GEGEVENSVERWERKINGSOVEREENKOMST

GEGEVENSVERWERKINGSOVEREENKOMST

Deze gegevensverwerkingsvoorwaarden (hierna de ”Voorwaarden”) zijn van toepassing op alle Diensten (als hierna gedefinieerd) van Intime BV (hierna ”Verwerker”).

Elke onderneming, bedrijf of andere partij die een account heeft bij Intime BV of op andere wijze gebruik maakt van de Diensten (hierna de “Klant”) zal worden geacht de Voorwaarden onvoorwaardelijk te hebben geaccepteerd.

In het kader van deze Voorwaarden zal de Klant worden aangemerkt als de Verantwoordelijke en Intime BV als de Verwerker.

nemen in aanmerking dat:

- partijen overeen zijn gekomen dat Verantwoordelijke gebruik maakt van Verwerker voor het verzenden van (inter)nationale post aan klanten van Verantwoordelijke, zoals is overeengekomen in een andere overeenkomst die de uitvoering daarvan beheerst (hierna te noemen: de "Samenwerkingsovereenkomst").

- in het kader van de uitvoering van de Samenwerkingsovereenkomst privacygevoelige persoonsgegevens door Verwerker verwerkt zullen worden, welke van of via Verantwoordelijke zijn verkregen.

- beide Partijen uitvoering willen geven aan de Samenwerkingsovereenkomst op een manier die in overeenstemming is met de wet, reden waarom zij deze Gegevensverwerkingsovereenkomst ("GVO") zijn aangegaan.

Artikel 1 Definities

In het kader van deze GVO betekent:

"Toepasselijke Gegevensbeschermingswet"

de wetgeving die bescherming biedt voor de fundamentele rechten en vrijheden van personen en met name hun recht op privacy met betrekking tot de Verwerking van Persoonsgegevens, welke wetgeving van toepassing is op Verantwoordelijke en Verwerker; de term Toepasselijke Gegevensbeschermingswet omvat tevens de AVG in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing vanaf 25 mei 2018.

"Verantwoordelijke"

de partij die, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt;

"Algemene Verordening Gegevensbescherming" of "AVG"

de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing vanaf 25 mei 2018

“Internationale Organisatie”

een organisatie en de daaronder vallende internationaal publiekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

“Lidstaat"

een land dat tot de Europese Unie behoort;

"Persoonsgegevens”

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene);

"Betrokkene"

een identificeerbare persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

"Inbreuk in verband met Persoonsgegevens"

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens;

"Verwerken/Verwerking"

een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

"Verwerker"

de partij die ten behoeve van Verantwoordelijke Persoonsgegevens verwerkt;

"Samenwerkingsovereenkomst"

de hoofdovereenkomst die is gesloten tussen Verantwoordelijke en Verwerker en waarin de voorwaarden voor het verzenden van (inter)nationale post aan klanten van Verantwoordelijke zijn uiteengezet;

"Diensten"

de diensten verleend door Verwerker aan Verantwoordelijke en beschreven onder ‘onderwerp van de verwerking’ in Artikel 2 van deze GVO;

"Algemene Persoonsgegevens"

Persoonsgegevens over een Betrokkene die tot een eenduidige identificatie kunnen leiden. Voorbeelden zijn : Naam, adres, woonplaats, telefoonnummer, emailadres, IP adres.

"Bijzondere Persoonsgegevens"

Gegevens van Betrokkene die niet kunnen worden aangemerkt als Algemene Persoonsgegevens. Voorbeelden zijn: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

"Subverwerker"

een gegevensverwerker die door Verwerker wordt ingeschakeld en die zich bereid verklaart Persoonsgegevens van Verwerker te ontvangen die uitsluitend zijn bedoeld voor Verwerkingsactiviteiten die moeten worden uitgevoerd ten behoeve van Verantwoordelijke in overeenstemming met diens instructies, de voorwaarden van deze GVO en de voorwaarden van een schriftelijke sub verwerkingsovereenkomst;

"Autoriteit Persoonsgegevens"

de in Nederland ingestelde onafhankelijke overheidsinstantie die belast is met het toezicht op de naleving van de AVG;

"Technische en Organisatorische Beveiligingsmaatregelen"

de maatregelen gericht op de bescherming van Persoonsgegevens tegen onopzettelijke vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking of toegang, met name waar de Verwerking de doorzending van gegevens via een netwerk behelst, en tegen alle andere onrechtmatige vormen van Verwerking.

“Derde Land”

een land met betrekking waartoe de Europese Commissie niet heeft beslist dat dat land, of een gebied of een of meer gespecificeerde sectoren binnen dat land, een passend beschermingsniveau garandeert.

Artikel 2 Details van de Verwerking

1. De Persoonsgegevens die in het kader van de Verwerkingsactiviteiten door Verantwoordelijke aan Verwerker worden verschaft betreffen de volgende categorieën Betrokkenen: klanten van Verantwoordelijke en Verantwoordelijke zelf

2. De persoonsgegevens van Verantwoordelijke worden verwerkt ter uitvoering van de Samenwerkingsovereenkomst en met het volgende doel : het verzenden van (inter)nationale post aan klanten van Verantwoordelijke.

3. De Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke zijn verzameld, verwerkt en gebruikt betreffen de volgende categorieën persoonsgegevens: Algemene Persoonsgegevens

Artikel 3 Beveiligingsmaatregelen

1. Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek.

2. Verwerker heeft aantoonbaar bevoegd en bekwaam personeel. Zowel bevoegd en bekwaam voor het verwerken van de gegevens als voor het beveiligen en beschermen van de gegevens. De personeelsleden zijn via een schriftelijke overeenkomst verplicht tot geheimhouding van alle informatie van Verantwoordelijke. Toegang tot Persoonsgegevens is beperkt op basis van het need-to-know principe. Alleen wanneer toegang tot Persoonsgegevens daadwerkelijk benodigd is voor het uitvoeren van de werkzaamheden wordt deze toegang ook ingeregeld. Zodra bevoegdheden van personen veranderen, wordt de toegang tot gegevens hierop aangepast.

3. Verwerker zal Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellen van iedere doorbraak van de beveiliging van de Persoonsgegevens.

4. Verwerker zorgt ervoor dat Persoonsgegevens worden verwerkt in een fysiek beveiligde omgeving, met passende bescherming tegen dreigingen van buitenaf. Wanneer medewerkers van Verwerker toegang op afstand (bijvoorbeeld telewerken via internet) kunnen krijgen tot Persoonsgegevens, is deze toegang afgeschermd met een versleutelde verbinding. Wanneer Persoonsgegevens worden verwerkt op mobiele apparatuur, waaronder tablets, laptops en/of smartphones, dan dienen deze apparaten versleuteld (encrypted) te zijn conform marktstandaarden. Verwerker heeft in ieder geval de volgende maatregelen genomen: Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of via vergelijkbare technologie die minimaal eenzelfde beveiligingsniveau levert. De Persoonsgegevens worden beveiligd conform de ISO 27001 norm.

Artikel 4 Rechten en verplichtingen van Verantwoordelijke

1. Verantwoordelijke blijft de verantwoordelijke voor de Verwerking van de Persoonsgegevens conform de instructies aan Verwerker op grond van de onderlinge Samenwerkingsovereenkomst, deze GVO en eventuele andere instructies.

2. Verantwoordelijke heeft Xxxxxxxxx opdracht gegeven, en zal Verwerker gedurende de looptijd van de gegevensverwerking waartoe opdracht is gegeven opdracht blijven geven, de Persoonsgegevens uitsluitend te verwerken ten behoeve van Verantwoordelijke en in overeenstemming met de Toepasselijke Gegevensbeschermingswet, de onderlinge Samenwerkingsovereenkomst, deze GVO en instructies van Verantwoordelijke.

3. Verantwoordelijke is gerechtigd en verplicht om Verwerker instructies te geven in verband met de Verwerking van de Persoonsgegevens, zowel in het algemeen als in individuele gevallen. Instructies kunnen ook betrekking hebben op het rectificeren, wissen en blokkeren van de Persoonsgegevens. Instructies worden in het algemeen schriftelijk gegeven, tenzij de urgentie of andere specifieke omstandigheden een andere (bijvoorbeeld mondelinge of elektronische) vorm vereisen. Niet schriftelijke instructies moeten onverwijld door Verantwoordelijke schriftelijk worden bevestigd. Voor zover de uitvoering van een instructie leidt tot kosten voor Verwerker zal Verwerker Verantwoordelijke eerst in kennis stellen van die kosten. Pas nadat Verantwoordelijke heeft bevestigd dat de kosten voor de uitvoering van een instructie voor zijn rekening komen, zal Verwerker die instructie uitvoeren.

4. Verantwoordelijke is gerechtigd de naleving van het bepaalde in deze GVO ten hoogste eenmaal per jaar te controleren. Verantwoordelijke kan de controle na toestemming van Xxxxxxxxx zelf doen of kan het laten uitvoeren door een onafhankelijke en daartoe gecertificeerde auditor. Verantwoordelijke draagt de kosten van deze controle met uitzondering van de kosten van het personeel van Verwerker dat de controle begeleidt. Indien uit de controle blijkt dat Verwerker materieel tekortschiet in de nakoming van deze GVO, komen alle kosten voor rekening van Xxxxxxxxx, onverminderd de overige rechten van Verantwoordelijke. Indien Verwerker tekortschiet, maar de tekortkoming niet materieel is, zal Verwerker die tekortkoming op zo kort mogelijke termijn herstellen.

Artikel 5 Verplichtingen van Verwerker

In aanvulling op zijn verplichtingen zoals genoemd in artikel 3, zal Verwerker:

1. de Persoonsgegevens uitsluitend verwerken conform de instructies van Verantwoordelijke en ten behoeve van Verantwoordelijke; die instructies worden gegeven in de Samenwerkingsovereenkomst, deze GVO en anderszins in gedocumenteerde vorm.

2. de Persoonsgegevens enkel in een Lidstaat verwerken. Doorgifte van de Persoonsgegevens naar Derde Landen is niet toegestaan. Verwerker meldt Verantwoordelijke binnen welk land of welke landen de Persoonsgegevens worden verwerkt.

3. Verantwoordelijke onmiddellijk informeren indien Verwerker een instructie van Verantwoordelijke om enigerlei reden niet kan naleven;

4. Alle informatie aan Verantwoordelijke beschikbaar stellen die nodig is om aan te tonen dat de in deze GVO en in art. 28 AVG genoemde verplichtingen worden nagekomen, en controles, waaronder inspecties door Verantwoordelijke of een andere controleur die daartoe is gemandateerd door Verantwoordelijke, mogelijk maken en daaraan bijdragen. Verantwoordelijke is zich ervan bewust dat controles in persoon en op locatie de bedrijfsactiviteiten van Verwerker aanzienlijk kunnen verstoren.

5. Verantwoordelijke assisteren bij een Gegevensbeschermingseffectbeoordeling zoals vereist op grond van art. 35 AVG die betrekking heeft op de door Verwerker aan Verantwoordelijke verleende Diensten en de Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke worden verwerkt;

6. alle vragen van Verantwoordelijke met betrekking tot zijn Verwerking van de te verwerken Persoonsgegevens behandelen (bijvoorbeeld door Verantwoordelijke in staat te stellen tijdig te reageren op klachten of verzoeken van Xxxxxxxxxxx) en gehoor geven aan het advies van de Autoriteit Persoonsgegevens betreffende de Verwerking van de doorgegeven gegevens;

7. voor zover Verwerker verplicht en gevraagd is Persoonsgegevens die op grond van deze GVO zijn verwerkt te rectificeren, te wissen en/of te blokkeren, dit onverwijld doen. Indien en voor zover Persoonsgegevens niet kunnen worden gewist op grond van wettelijke vereisten in verband met gegevensbewaring, dient Verwerker, in plaats van de desbetreffende Persoonsgegevens te wissen, de verdere Verwerking en/of het verdere gebruik van Persoonsgegevens te beperken, of de bijbehorende identiteit uit de Persoonsgegevens te verwijderen.

8. Verantwoordelijke zonder onnodige vertraging in kennis stellen:

x. xxx xxxx juridisch bindend verzoek om verstrekking van de Persoonsgegevens door een wet handhavingsinstantie, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhaving onderzoek te bewaren;

b. van klachten en verzoeken die direct van Xxxxxxxxxxx zijn ontvangen (bijvoorbeeld klachten en verzoeken om toegang, rectificatie, wissing, beperking van verwerking, gegevensportabiliteit, bezwaar tegen verwerking van gegevens, geautomatiseerde besluitvorming) zonder op dat verzoek in te gaan, tenzij hij daartoe anderszins is gemachtigd;

c. indien Verwerker op grond van EU-wetgeving of de wetgeving van een Lidstaat die op Verwerker van toepassing is verplicht is de Persoonsgegevens te verwerken buiten het kader van de opdracht van Verantwoordelijke, alvorens die verwerking uit te voeren buiten dat kader, tenzij die EU-wetgeving of wetgeving van die Lidstaat die informatie verbiedt om gewichtige redenen van algemeen belang; die kennisgeving moet de wettelijke vereiste uit hoofde van die EU-wetgeving of de wetgeving van de Lidstaat vermelden;

d. indien, naar de mening van Xxxxxxxxx, een instructie in strijd is met de Toepasselijke Gegevensbeschermingswet; bij het verstrekken van die kennisgeving is Verwerker niet verplicht de instructie op te volgen, tenzij en totdat Verantwoordelijke deze heeft bevestigd of gewijzigd; en

e. zodra Verwerker zich bewust wordt van een Inbreuk in verband met Persoonsgegevens bij Verwerker uiterlijk binnen 24 uur na ontdekking. In geval van zo'n Inbreuk in verband met Persoonsgegevens zal Verwerker Verantwoordelijke, op schriftelijk verzoek van Verantwoordelijke, assisteren bij de verplichting van Verantwoordelijke uit hoofde van Toepasselijke Gegevensbeschermingswet om de betrokkenen respectievelijk de Autoriteit Persoonsgegevens te informeren, en om de Inbreuk in verband met Persoonsgegevens te documenteren.

Artikel 6 Beperking Aansprakelijkheid

Alle aansprakelijkheid voortvloeiend uit of verband houdend met deze GVO volgt, en wordt uitsluitend beheerst door, de aansprakelijkheidsbepalingen uiteengezet in, of anderszins van toepassing op, de onderlinge Samenwerkingsovereenkomst. Derhalve, en ter berekening van aansprakelijkheidslimieten en/of ter bepaling van de toepassing van andere beperkingen van aansprakelijkheid, wordt elke aansprakelijkheid die zich uit hoofde van deze GVO voordoet, geacht zich voor te doen uit hoofde van de desbetreffende Samenwerkingsovereenkomst.

Artikel 7 Looptijd en beëindiging

1. Deze GVO heeft een looptijd van 12 maanden, te rekenen vanaf de datum van ondertekening.

2. Deze GVO wordt na afloop van de looptijd steeds automatisch verlengd voor 12 maanden.

3. Deze GVO is opzegbaar tegen het einde van de looptijd of de verlenging daarvan ingevolge lid 2 van dit artikel. De opzegtermijn van deze GVO is 1 maand.

4. Partijen kunnen deze overeenkomst met onmiddellijke ingang opzeggen per aangetekende brief, in geval van:

a. aanvraag door of verlening van surseance van betaling aan de andere partij;

b. aanvraag van faillissement door of faillietverklaring van de andere partij; of

c. liquidatie van de andere partij of niet tijdelijke stopzetting van de onderneming van de andere partij.

d. het eindigen van de Samenwerkingsovereenkomst, ongeacht op welke wijze deze is komen te eindigen.

5. Als deze overeenkomst eindigt blijft het bepaalde in deze overeenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze overeenkomst voort te duren, van kracht. Verwerker dient, naar keuze van Verantwoordelijke, alle Persoonsgegevens na het einde van de verlening van de Diensten te wissen of aan Verantwoordelijke te retourneren, en alle bestaande kopieën te wissen tenzij Verwerker op grond van EU- wetgeving of wetgeving van een Lidstaat verplicht is die Persoonsgegevens te bewaren.

Artikel 8 Vernietiging

1. Verwerker stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, maar uiterlijk binnen tien werkdagen na het einde van deze overeenkomst of de Opdracht, ter beschikking aan Verantwoordelijke.

2. Verwerker is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en onherroepelijk te verwijderen.

3. Zodra na het einde van deze overeenkomst vaststaat dat Verantwoordelijke alle Persoonsgegevens in een door Verantwoordelijke schriftelijk geaccepteerd formaat bezit,

verwijdert Verwerker alle Persoonsgegevens volledig en onherroepelijk binnen veertien dagen.

Artikel 9 Melding Autoriteit Persoonsgegevens

1. Verantwoordelijke zal de verwerking van Persoonsgegevens bij de Autoriteit Persoonsgegevens melden volgens de toepasselijke wet- en regelgeving. Indien Verantwoordelijke deze melding niet verricht, staat Verantwoordelijke ervoor in dat de verwerking van Persoonsgegevens onder één van de vrijstellingen onder de Wbp valt, waardoor geen melding bij de Autoriteit Persoonsgegevens vereist is.

Artikel 10 Toepasselijk recht en forumkeuze

1. Deze overeenkomst wordt beheerst door Nederlands recht.

2. Alle geschillen tussen Partijen welke mochten ontstaan naar aanleiding van deze overeenkomst, dan wel van overeenkomsten die daarvan het gevolg zijn, zullen in eerste instantie worden beslecht door de bevoegde rechter van Oost-Brabant.

Artikel 11 Overig

1. In het geval van strijdigheid tussen het bepaalde in deze GVO en enige andere overeenkomsten tussen Partijen, prevaleert het bepaalde in deze GVO met betrekking tot de gegevensbescherming verplichtingen van Partijen. In geval van twijfel over de vraag of clausules in die andere overeenkomsten betrekking hebben op de gegevensbescherming verplichtingen van Partijen prevaleert deze GVO.

2. Ongeldigheid of onafdwingbaarheid van enige bepaling in deze GVO heeft geen gevolgen voor de geldigheid of afdwingbaarheid van de overige bepalingen van deze GVO. De ongeldige of onafdwingbare bepaling wordt (i) zo gewijzigd dat de geldigheid of afdwingbaarheid ervan wordt gegarandeerd en tegelijkertijd de intenties van Partijen zo veel mogelijk bewaard blijven of – indien dit niet mogelijk is – (ii) zo uitgelegd alsof het ongeldige of onafdwingbare gedeelte daarin nooit was opgenomen. Het vorenstaande is ook van toepassing indien deze GVO een omissie bevat.

3. Deze GVO wordt beheerst door dezelfde wetgeving als de Samenwerkingsovereenkomst behalve voor zover dwingend Toepasselijke Gegevensbeschermingswet van toepassing is.