Standaardvoorwaarden voor gegevensverwerking
Standaardvoorwaarden voor gegevensverwerking
Deze voorwaarden zijn in grote mate gebaseerd op de standaard contractuele bepalingen 2021/915 van de Europese Commissie.
Deze voorwaarden zijn van toepassing op alle diensten geleverd door WEngage, waaronder begrepen de hieronder geïdentificeerde vennootschappen, aan een opdrachtgever op basis van een dienstverleningsovereenkomst of aanvaarde offerte (hierna ‘Hoofdovereenkomst’), voor zover WEngage daarbij persoonsgegevens verwerkt namens en in opdracht van de opdrachtgever en voor zover daarvoor tussen WEngage en de opdrachtgever geen specifieke verwerkersovereenkomst is gesloten in uitvoering van artikel 28, lid 3 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (hierna ‘AVG’).
In dat geval geven deze voorwaarden nader uitvoering aan artikel 5 van de Algemene Voorwaarden van WEngage met betrekking tot privacy en gegevensbescherming.
WEngage omvat de volgende vennootschappen:
Naam en rechtsvorm | Adres | Ondernemingsnummer |
WEngage International NV | Xxxxxxxxxx 000 0000 Xxxxxxxx Xxxxxx | (BE) 0879.144.256 |
WEngage NV | Xxxxxxxxxx 000 0000 Xxxxxxxx Xxxxxx | (XX) 0793.259.664 |
WEngage BV | Xxxxxxxxxxxxxxxx 00 0000 XX Xxxxx Xxxxxxxxx | (XX) 8081 90969 801 |
WEngage sarlau | 00 Xxxxxx Xxxxxxxxxx Xxxxxxx Xxx Xxxx XX 00000 Xxxxx Xxxxxxx | ICE: 001509504000076 |
1. Kwalificatie partijen en voorwerp
1.1 Ten aanzien van de verwerkingen van persoonsgegevens van de betrokkenen die namens de opdrachtgever te verrichten zijn bij de dienstverlening onder de Hoofdovereenkomst, treedt de opdrachtgever op als verwerkingsverantwoordelijke en WEngage als haar verwerker in de zin van de AVG. De opdrachtgever wordt verder in deze voorwaarden aangeduid als ‘verwerkingsverantwoordelijke’ en WEngage als ‘verwerker’.
1.2 Deze voorwaarden regelen de respectievelijke verantwoordelijkheden en verplichtingen van de verwerkingsverantwoordelijke en de verwerker voor de verwerkingen waarvan het onderwerp, de duur, de aard en het doel, blijken uit de Hoofdovereenkomst. In geval van tegenstrijdigheid met de Hoofdovereenkomst met betrekking tot de verwerking en bescherming van persoonsgegevens, hebben de bepalingen van deze voorwaarden voorrang.
1.3 De verwerkingsverantwoordelijke waarborgt dat alle persoonsgegevens die zij verstrekt of die derden namens haar verstrekken aan de verwerker, rechtmatig verzameld zijn in overeenstemming met de AVG en alle andere toepasselijke wet- en regelgeving.
1.4 De verwerkingen hebben betrekking op de volgende soort persoonsgegevens, tenzij anders blijkt uit de schriftelijke instructies van de verwerkingsverantwoordelijke: identificatiegegevens, betaalgeschiedenis, bestelgeschiedenis, klacht en communicatie geschiedenis, afspraken (o.a. datum en onderwerp), adresgegevens, opnames (audio en schermopname), metadata.
1.5 De verwerkingen hebben betrekking op de volgende categorieën van betrokkenen, tenzij anders blijkt uit de schriftelijke instructies van de verwerkingsverantwoordelijke: klanten van de verwerkingsverantwoordelijke, prospecten van de verwerkingsverantwoordelijke, inschrijvers, oproepers (inkomende oproepen), medewerkers van de verwerkingsverantwoordelijke, medewerkers van de verwerker (incl. haar werknemers en deze van toegestane subverwerkers).
2. Instructies
2.1 De verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij de wetgeving dit om gewichtige redenen van algemeen belang verbiedt. De verwerkingsverantwoordelijke kan ook tijdens de verwerking van persoonsgegevens steeds verdere instructies geven. Deze instructies worden altijd schriftelijk vastgelegd.
2.2 De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis als de instructies van de verwerkingsverantwoordelijke naar het oordeel van de verwerker inbreuk maken op de AVG of de toepasselijke gegevensbeschermingsbepalingen van de Unie of de lidstaten.
3. Beveiliging van de verwerking
3.1 De verwerker treft passende technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen conform artikel 32 AVG. Dit houdt onder meer in dat de gegevens worden beschermd tegen een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot de gegevens, hetzij per ongeluk hetzij onrechtmatig (inbreuk in verband met persoonsgegevens). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van de verwerking en de risico’s voor de betrokkenen.
3.2 De verwerker verleent zijn personeel slechts toegang tot de persoonsgegevens die worden verwerkt voor zover dat strikt noodzakelijk is voor de uitvoering, het beheer en de monitoring van de Hoofdovereenkomst en deze voorwaarden. De verwerker waarborgt dat de tot het verwerken van de ontvangen persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
4. Documentatie en naleving
4.1 De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat is voldaan aan de in artikel 28 AVG vastgestelde verplichtingen. Op verzoek van de verwerkingsverantwoordelijke staat de verwerker ook tot maximaal één keer per jaar (behalve in geval van een inbreuk in verband met persoonsgegevens), audits toe van de onder deze bepalingen vallende verwerkingsactiviteiten en draagt de verwerker aan die audits bij.
4.2 De verwerkingsverantwoordelijke kan ervoor kiezen de audit zelf uit te voeren of een
onafhankelijke auditor daartoe opdracht te geven, waarbij de auditor gebonden dient te zijn aan een geheimhoudingsplicht en geen concurrent van de verwerker mag zijn. De verwerkingsverantwoordelijke draagt volledig de kosten van alle audits in het kader van dit artikel, met inbegrip van het vergoeden van de door verwerker ter beschikking gestelde medewerkers en hun bestede tijd en geleverde prestaties in de context van de audit. De audits kunnen ook inspecties in de bedrijfsruimten of fysieke faciliteiten van de verwerker omvatten en worden, in voorkomend geval, tijdig, minstens twee weken voor de voorziene aanvang van de audit, schriftelijk aangekondigd aan de verwerker onder mededeling van de naam van de auditor(s) en een beschrijving van doel, omvang en wijze van de audit. Dergelijke audits vinden enkel plaats tijdens de kantooruren van verwerker waarbij de verwerkingsverantwoordelijke en auditor(s) er zorg voor dragen dat zij de bedrijfsactiviteiten en de uitvoering van de diensten en de dienstverlening aan andere opdrachtgevers van verwerker zo min mogelijk verstoren.
5. Gebruik van subverwerkers
5.1 De verwerkingsverantwoordelijke verleent diens algemene schriftelijke toestemming aan de verwerker voor het inschakelen van andere (sub-)verwerkers in het kader van de Hoofdovereenkomst. De verwerker verstrekt voor aanvang van de verwerkingsdiensten in schriftelijke vorm een overzicht van de subverwerkers waarop de verwerker een beroep doet of van plan is te doen aan de verwerkingsverantwoordelijke. De daarin opgenomen subverwerkers worden door de verwerkingsverantwoordelijke als aanvaard beschouwd bij diens instructie tot aanvang van de verwerkingsdiensten. De verwerker zal dit overzicht actueel houden en de verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen met betrekking tot de aanneming of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijke in de gelegenheid wordt gesteld bezwaar te maken tegen dergelijke wijzigingen gedurende de redelijke termijn meegedeeld in deze kennisgeving.
5.2 Wanneer de verwerker een subverwerker in dienst neemt voor de uitvoering van specifieke verwerkingen (namens de verwerkingsverantwoordelijke), doet hij dit door middel van een overeenkomst die de subverwerker in wezen dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke op grond van deze bepalingen aan de verwerker worden opgelegd. De verwerker zorgt ervoor dat de subverwerker voldoet aan de verplichtingen die krachtens deze bepalingen en de AVG op de verwerker rusten.
5.3 De verwerker blijft ten opzichte van de verwerkingsverantwoordelijke volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker overeenkomstig zijn overeenkomst met de verwerker. De verwerker stelt de verwerkingsverantwoordelijke in kennis van elk verzuim van de subverwerker om zijn contractuele verplichtingen na te komen.
6. Internationale doorgiften
6.1 Het is de verwerker toegelaten om de persoonsgegevens buiten de Europese Economische Ruimte te (laten) verwerken, mits de verwerkingsverantwoordelijke hiervan voorafgaandelijk op de hoogte is gebracht en mits naleving van artikels 44 en verder van de AVG.
6.2 De verwerkingsverantwoordelijke stemt ermee in dat wanneer de verwerker overeenkomstig bepaling 5 een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingen (namens de verwerkingsverantwoordelijke) en die verwerkingen een doorgifte van persoonsgegevens in de zin van hoofdstuk V van de AVG inhouden, de verwerker en de subverwerker de naleving van hoofdstuk V van de AVG kunnen waarborgen door gebruik te maken van standaardcontractbepalingen die door de Commissie zijn vastgesteld overeenkomstig artikel 46, lid 2, van de AVG, mits aan de voorwaarden voor het gebruik van die standaardcontractbepalingen is voldaan.
7. Bijstand aan de verwerkingsverantwoordelijke
7.1 De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis van elk verzoek dat hij van de betrokkene heeft ontvangen. De verwerker antwoordt niet zelf op het verzoek, tenzij de verwerkingsverantwoordelijke daartoe toestemming heeft gegeven.
7.2 De verwerker staat de verwerkingsverantwoordelijke bij bij het vervullen van zijn verplichtingen om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten, en houdt daarbij rekening met de aard van de verwerking. Bij het nakomen van zijn verplichtingen uit hoofde van artikels 7.1 en 7.2 volgt de verwerker de instructies van de verwerkingsverantwoordelijke.
7.3 De verwerker heeft niet alleen de verplichting de verwerkingsverantwoordelijke bij te staan overeenkomstig artikel 7.2, maar staat de verwerkingsverantwoordelijke ook bij bij het waarborgen van de naleving van de volgende verplichtingen, waarbij rekening wordt gehouden met de aard van de gegevensverwerking en de informatie waarover de verwerker beschikt:
7.3.1 de verplichting om een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens (een “gegevensbeschermingseffectbeoordeling”) wanneer een bepaalde soort verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen;
7.3.2 de verplichting om de bevoegde toezichthoudende autoriteit/autoriteiten voorafgaand aan de verwerking te raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om dat risico te beperken;
7.3.3 de verplichting om ervoor te zorgen dat persoonsgegevens accuraat en actueel zijn, door de verwerkingsverantwoordelijke onverwijld in te lichten wanneer de verwerker ervan kennis heeft gekregen dat de gegevens die hij verwerkt onjuist of achterhaald zijn;
7.3.4 de verplichtingen in artikel 32 van de AVG.
8. Kennisgeving van een inbreuk in verband met persoonsgegevens
8.1 In het geval van een inbreuk in verband met persoonsgegevens werkt de verwerker samen met de verwerkingsverantwoordelijke en staat hij hem bij opdat de verwerkingsverantwoordelijke kan voldoen aan zijn verplichtingen uit hoofde van de artikelen 33 en 34 van de AVG, indien van toepassing, waarbij rekening wordt gehouden met de aard van de verwerking en de informatie waarover de verwerker beschikt. In geval van een inbreuk in verband met persoonsgegevens die door de verwerker worden verwerkt, stelt de verwerker, nadat hij kennis heeft gekregen van de inbreuk, de verwerkingsverantwoordelijke daarvan onverwijld in kennis.
9. Beëindiging verwerkingsdiensten
9.1 Na de beëindiging van de verwerkingsdiensten wist de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens die namens de verwerkingsverantwoordelijke zijn verwerkt en bevestigt hij tegenover de verwerkingsverantwoordelijke dat hij dit heeft gedaan, of zendt hij alle persoonsgegevens terug aan de verwerkingsverantwoordelijke en verwijdert hij bestaande kopieën, tenzij het Unierecht of het lidstatelijke recht de opslag van de persoonsgegevens voorschrijft. Totdat de gegevens zijn gewist of teruggegeven, blijft de verwerker ervoor zorgen dat deze bepalingen worden nageleefd.
10. Aansprakelijkheid verwerker
10.1 De verwerker is slechts aansprakelijk voor de directe schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld. De potentiële aansprakelijkheid van de verwerker ten aanzien van de verwerkingsverantwoordelijke voor inbreuken op deze voorwaarden en de AVG wordt te allen tijde uitgesloten en beperkt overeenkomstig de bepalingen hieromtrent
opgenomen in de Hoofdovereenkomst en de toepasselijke algemene voorwaarden van de verwerker. Bij gebreke aan dergelijke aansprakelijkheidsbeperkingen ten voordele van de verwerker, is de totale aansprakelijkheid van de verwerker ten aanzien van de verwerkingsverantwoordelijke beperkt tot een maximumbedrag van de prijs betaald of betaalbaar door de verwerkingsverantwoordelijke voor de betrokken diensten onder de Hoofdovereenkomst over een periode van 12 maanden, met een maximum van 50.000 EUR.
11. Contact, leidende toezichthoudende autoriteit, bevoegdheid & toepasselijk recht
11.1 De verwerker is bereikbaar voor alle operationele kennisgevingen en instructies in verband met de verwerking via de contactpersonen en -gegevens opgenomen in de Hoofdovereenkomst of zoals afzonderlijk schriftelijk gecommuniceerd aan de verwerkingsverantwoordelijke. De verwerker heeft ook een functionaris voor gegevensbescherming aangesteld bereikbaar via xxx@xxxxxxx.xx.
11.2 De verwerker heeft haar hoofdvestiging in de zin van de AVG te Xxxxxxxxxx 000, 0000 Xxxxxxxx, Xxxxxx, zodat de Belgische Gegevensbeschermingsautoriteit, gevestigd te Xxxxxxxxxxxxxx 00, 0000 Xxxxxxx, Xxxxxx, optreedt als de bevoegde leidende toezichthoudende autoriteit ten aanzien van de verwerker krachtens artikel 56 AVG.
11.3 Deze voorwaarden zijn uitsluitend onderworpen aan en worden geïnterpreteerd in overeenstemming met de Belgische wetgeving. Elk geschil dat eruit voortvloeit of ermee verband houdt, valt onder de exclusieve bevoegdheid van de rechtbanken van Brussel, België.