OVEREENKOMST INZAKE VERWERKING VAN PERSOONSGEGEVENS DOOR RICOH BELGIUM NV ALS GEGEVENSVERWERKER VOOR DE KLANT ALS VERWERKINGSVERANTWOORDELIJKE (v. mei 2018)
OVEREENKOMST INZAKE VERWERKING VAN PERSOONSGEGEVENS DOOR RICOH BELGIUM NV ALS GEGEVENSVERWERKER VOOR DE KLANT ALS VERWERKINGSVERANTWOORDELIJKE
(v. mei 2018)
INLEIDING | |
A | De Klant en Ricoh Begium NV (“Ricoh”) zijn partij bij een contract (“Contract”) dat mogelijk gepaard gaat met de verwerking van persoonsgegevens door Ricoh ten behoeve van de Klant. |
B | Huidige overeenkomst heeft als doel de voorwaarden te beschrijven voor de verwerking van persoonsgegevens door Ricoh ten behoeve van de Klant, zoals hierboven uiteengezet. |
C | Bij ondertekening van het Contract heeft de Klant uitdrukkelijk bevestigd huidige overeenkomst te hebben gelezen en deze te aanvaarden. Huidige overeenkomst maakt onlosmakelijk deel uit van het Contract. |
1. Gegevensverwerking
1.1 Definities
De gedefinieerde begrippen die worden gebruikt in dit artikel over gegevensverwerking zijn als volgt:
(a) Gegevens-beschermingswetgeving: alle wetten die van toepassing zijn op persoonsgegevens verwerkt op grond van of in verband met het Contract, waaronder: (i) de Richtlijn 95/46/EG betreffende Gegevensbescherming (zoals vervangen door de AVG); (ii) de Richtlijn 2002/58/EG betreffende Privacy en Elektronische Communicatie; (iii) de AVG, wanneer deze in werking treedt; (iv) de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en alle andere nationale wetgeving die het voorgaande implementeert of aanvult; en (v) alle verwante praktijkcodes en andere bindende richtsnoeren die door een toezichthouder worden zijn uitgegeven; zoals van tijd tot tijd gewijzigd, weder ingevoerd, en/of vervangen en van toepassing;
(b) GEB: gedefinieerd in artikel 1.8(g) hieronder;
(c) AVG: de Algemene Verordening Gegevensbescherming 2016/679;
(d) Relevante Bepalingen: gedefinieerd in artikel 1.9 hieronder; en
(e) Diensten: alle diensten die op grond van het Contract moeten worden verleend.
1.2 Bepalingen van de Gegevensbeschermingswetgeving
De volgende bepalingen die in dit artikel over gegevensbescherming worden gebruikt, hebben dezelfde betekenis die daaraan wordt gegeven in de Gegevensbeschermingswetgeving:
(a) persoonsgegevens;
(b) verwerkingsverantwoordelijke;
(c) gegevensverwerker;
(d) verwerking; en
(e) toezichthoudende autoriteit.
1.3 Verhouding en taken van de partijen
In verband met de verwerking van persoonsgegevens uit hoofde van deze overeenkomst, erkennen en gaan de partijen akkoord dat:
(a) de Klant de verwerkingsverantwoordelijke is; en
(b) Ricoh de gegevensverwerker is.
Ricoh stemt ermee in enkel persoonsgegevens te verwerken overeenkomstig de bepalingen van deze overeenkomst.
1.4 Achtergrond
Uit hoofde van het Contract kan Ricoh Diensten verschaffen met
betrekking tot een of meer van de volgende:
(a) printen en beeldvorming;
(b) documentverwerking en beheer;
(c) ondersteuning en onderhoud;
(d) bedrijfsprocessen en beheer; en/of
(e) middelentoewijzging. zoals omschreven in het Contract.
Dit kan gepaard gaan met de verwerking van persoonsgegevens door Ricoh ten behoeve van de Klant als onderdeel van het verschaffen van de desbetreffende Diensten, met inbegrip van persoonsgegevens met betrekking tot klanten of personeel van de Klant of andere personen waarmee de Klant gedurende zijn bedrijfsvoering zakendoet (zoals mogelijks in meer detail beschreven in deze overeenkomst).
1.5 Omschrijving van de verwerking
De verwerking die door Ricoh moet worden verricht is als volgt:
(a) het onderwerp van de verwerking is als omschreven in artikel 1.4 hierboven en de duur van de verwerking is de periode waarin Ricoh de desbetreffende Diensten verleent uit hoofde van deze overeenkomst;
(b) de aard van de verwerking is als omschreven in artikel
1.4 hierboven en het doeleinde van de verwerking is om Ricoh in staat te stellen de desbetreffende Diensten uit hoofde van deze overeenkomst te verlenen;
(c) de persoonsgegevens die moeten worden verwerkt, zijn alle persoonsgegevens die door de Klant worden gevraagd om de verschaffing van de Diensten door Ricoh op grond van deze overeenkomst mogelijk te maken of te vergemakkelijken als omschreven in artikel 1.4 hierboven, en de categorieën van betrokkenen zijn als omschreven in artikel 1.4 hierboven; en
(d) de verplichtingen en rechten van de verwerkingsverantwoordelijken zijn hieronder uiteengezet.
1.6 Naleving van Gegevensbeschermingswetgeving
De Klant en Ricoh zullen de Gegevensbeschermingswetgeving naleven (en zullen verzekeren dat hun personeel en/of onderaannemers deze naleven).
1.7 Verantwoordelijke personen en vragen
De Klant en Ricoh zullen elkaar in kennis stellen van de persoon die binnen hun organisatie bevoegd is om van tijd tot tijd te antwoorden op vragen inzake de persoonsgegevens en de verwerking die het voorwerp van deze overeenkomst uitmaakt. De Klant en Ricoh zullen alle dergelijke verzoeken snel en redelijk
behandelen.
1.8 Verwerking van persoonsgegevens door Ricoh
In verband met de verwerking van persoonsgegevens uit hoofde van deze overeenkomst, zal Ricoh:
(a) de persoonsgegevens (waaronder bij het doen van een internationale doorgifte van de persoonsgegevens), alleen verwerken voor zover noodzakelijk om de Diensten te verschaffen en alleen in overeenstemming met (i) de bepalingen van deze overeenkomst; en (ii) de schriftelijke voorschriften die de Klant van tijd tot tijd kan geven;
xxxxxx xxxxxx vereist door de wet. Indien Ricoh wettelijk verplicht is om de persoonsgegevens te verwerken op een andere manier dan is voorzien in deze overeenkomst, zal hij de Klant in kennis stellen voordat het de betrokken verwerking verricht (tenzij de wet Ricoh ook verhindert dat te doen om redenen van algemeen belang);
(b) de passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen tegen de risico's die zich voordoen bij de verwerking, in het bijzonder bescherming tegen onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van, of, toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens op grond van deze overeenkomst;
(c) alle redelijke maatregelen nemen om ervoor te zorgen dat: (i) enkel gemachtigde personeelsleden toegang hebben tot de persoonsgegevens; (ii) dergelijke toegang beperkt is voor wat noodzakelijk is voor de doeleinden van de verwerking beschreven onder artikel 1.4; en (iii) alle personen aan wie toestemming wordt verleend tot inzage tot de persoonsgegevens de nodige vertrouwelijkheid in verband met de persoonsgegevens zullen respecteren en handhaven (onder meer door middel van een passende contractuele geheimhoudingsplicht indien de betrokken personen niet reeds onder een dergelijke verplichting vallen krachtens de wet);
(d) nooit sub-verwerkers in dienst nemen voor het verlenen van de Diensten zonder de voorafgaande schriftelijke toestemming van de Klant en anders dan in overeenstemming met artikel 1.9;
(e) niets doen of nalaten te doen, waardoor de Klant hun verplichtingen op grond van de Gegevensbeschermingswetgeving zouden schenden;
(f) De Klant onmiddellijk in kennis stellen wanneer naar de mening van de Ricoh: (i) een instructie gegeven aan Ricoh de Gegevensbeschermingswet-geving schendt; of (ii) de verwerkte persoonsgegevens onjuist, onvolledig of niet relevant zijn.
(g) indien van toepassing met betrekking tot persoonsgegevens die worden verwerkt op grond van deze overeenkomst, samenwerken met en bijstand verlenen aan de Klant om de naleving te verzekeren van: (i) de verplichtingen van de Klant om te reageren op verzoeken van betrokkene(n) die hun rechten uit hoofde van Hoofdstuk III van de AVG wensen uit te oefenen, met in begrip van de verplichting om de Klant in kennis te stellen van alle schriftelijke verzoeken tot inzage die Ricoh ontvangt met betrekking tot de verplichtingen van de Klant uit hoofde van de Gegevensbeschermingswetgeving; en (ii) de verplichtingen van de Klant op grond van Artikelen 32-36 van de AVG: (A) de veiligheid van de verwerking verzekeren; (B) de betrokken toezichthoudende autoriteit en de betrokkene(n) in kennis stellen, , indien van toepassing, van inbreuken in verband met persoonsgegevens; (C) alle gegevensbeschermingseffectbeoordelingen uitvoeren (ieder een "GEB" genoemd) van het effect van de verwerking op de bescherming van persoonsgegevens; en (D) wanneer uit een
GEB blijkt dat de verwerking een hoog risico zou opleveren indien de Klant geen risico beperkende maatregelen neemt, de betrokken toezichthoudende autoriteit vooraf enige verwerking raadplegen.
1.9 Sub-verwerkers
Ricoh zal ervoor zorgen dat elke sub-verwerker die hij in dienst neemt om te zijnen behoeve diensten in verband met deze overeenkomst te verschaffen, dit alleen doet op basis van een schriftelijke overeenkomst die dergelijke sub-verwerker gelijkwaardige bepalingen oplegt als deze die aan Ricoh worden opgelegd in deze bijlage of dergelijke andere bepalingen die met de Klant worden afgesproken. (de "Relevante Bepalingen"). Ricoh zorgt voor de uitvoering door de sub-verwerker van de Relevante Bepalingen en is rechtstreeks aansprakelijk ten aanzien van de Klant voor:
(a) alle inbreuken door de sub-verwerker op de Relevante Bepalingen;
(b) ieder handelen of nalaten door de sub-verwerker die tot gevolg heeft dat: (i) Ricoh deze overeenkomst schendt; (ii) de Klant of Ricoh de Gegevensbeschermingswetgeving schendt.
In het geval de Klant een algemene schriftelijke toestemming heeft gegeven om sub-verwerkers in dienst te nemen, licht Ricoh vooraleer een nieuwe sub-verwerker in dienst te nemen op basis van de algemene schriftelijke toestemming, de Klant in over beoogde veranderingen, waarbij de Klant de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
1.10 Toezicht op de uitvoering door Ricoh
De Klant heeft het recht om de naleving door Ricoh van de Gegevensbeschermingswetgeving en zijn verplichtingen met betrekking tot gegevensverwerking uit hoofde van deze overeenkomst op elk moment tijdens normale kantooruren te toetsen en te controleren. Ricoh gaat ermee akkoord de Klant onmiddellijk alle toegang, bijstand en informatie te geven die redelijkerwijze noodzakelijk is om de toetsing en de desbetreffende audits mogelijk te maken. Als de Klant van mening is dat een audit ter plaatse nodig is, stemt Ricoh ermee in om de Klant redelijke toegang te verlenen tot zijn gebouwen (onder voorbehoud van redelijke vertrouwelijkheid en veiligheidsmaatregelen) en tot alle opgeslagen persoonsgegevens en gegevensverwerking programma's die ter plaatse zijn. De Klant heeft het recht om de audit te laten verrichten door een derde.
1.11 Doorgiften buiten de EER en aan derden
Indien Ricoh de persoonsgegevens die het heeft ontvangen van of ten behoeve van de Klant doorgeeft:
(a) buiten de Europese Economische Ruimte; of
(b) aan een derde (welke alle verbonden ondernemingen van Ricoh omvat) indien dergelijke derde in een land buiten de Europese Economische Ruimte is gevestigd;
dient Ricoh voorafgaand aan een dergelijke doorgifte de schriftelijke machtiging van de Klant te vragen.
1.12 Voltooiing van de Diensten
Bij voltooiing van de Diensten, moet Ricoh naar keuze van de Klant:
(a) wissen; of
(b) teruggeven aan de Klant;
alle persoonsgegevens (inclusief kopieën) verwerkt uit hoofde van deze overeenkomst, tenzij en voor zover Ricoh wettelijk gehouden is om kopieën van de persoonsgegevens te bewaren.
2