Introductie
Introductie
Autotaxatie Partners (hierna: ATP) is gespecialiseerd in de remarketing van auto’s. ATP onderscheidt zich vooral door het aanbieden van een online platform voor inruil- en verkooptransacties en het geven van gegarandeerde biedingen.
Aangesloten autobedrijven bieden inruilauto´s op het platvorm. Voor afnemers is het mogelijk om op het online platform een bod uit te brengen evenals het inzien van de uitgebrachte biedingen gedaan door de afnemer. Voor aanbiedende partijen van inruilauto´s verwerkt ATP in sommige gevallen – afhankelijk van de gekozen abonnementsvorm– Persoonsgegevens in opdracht van haar klanten. Op basis van de Algemene verordening gegevensbescherming (hierna: AVG) is de klant van ATP Verwerkingsverantwoordelijke van de Verwerking van Persoonsgegevens en ATP is Verwerker. Deze verwerkersvoorwaarden bevat verplichtingen en condities voor de Verwerkingsverantwoordelijke en de Verwerker als het gaat over de Verwerking van Persoonsgegevens door ATP.
Definities
1. AVG: de Algemene verordening gegevensbescherming 2016/679 van de EU (van tijd tot tijd gewijzigd en vervangen).
2. Betrokkene: de natuurlijke persoon van wie Persoonsgegevens worden Verwerkt in het kader van de dienstverlening tussen de klant en ATP.
3. Datalek: een inbreuk op de beveiliging (beveiligingsincident) die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens.
4. Diensten: alle activiteiten die ATP verricht in opdracht van de klant, daaronder begrepen het aanbieden van een online platform voor inruil- en verkooptransacties van auto’s, de gegarandeerde biedingen en de Autotaxatie Partners App.
5. Europa: de Europese Economische Ruimte, Zwitserland en het Verenigd Koninkrijk.
6. Gegevensbeschermingseffectbeoordeling: heeft de betekenis die daaraan wordt gegeven in de AVG.
7. Partijen: de klant en ATP die ten behoeve van de Diensten een overeenkomst hebben gesloten.
8. Persoonsgegevens: elke informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
9. Schriftelijke instructies: de verwerkersvoorwaarden en alle Schriftelijke instructies en aanwijzingen van Verwerkingsverantwoordelijke aan Verwerker ingevolge de Diensten, inclusief van tijd tot tijd wijzigingen, verduidelijkingen en aanvulling daarop.
10. Sub-verwerker: de (rechts)persoon die door de Verwerker wordt ingeschakeld voor de Verwerking van Persoonsgegevens. Dit omvat ook elke verdere Sub-verwerker die met toestemming van Verwerker weer door Sub-verwerker wordt ingeschakeld.
11. Verwerken (of Verwerking/Verwerkt): elke bewerking of geheel van bewerkingen die, al dan niet met behulp van geautomatiseerde middelen, uitgevoerd wordt op Persoonsgegevens of een geheel van Persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verspreiden of op andere wijze ter beschikking stellen, sorteren of combineren, beperken, wissen of vernietigen.
12. Verwerker: de Verwerker is ATP die ten behoeve van de uitvoering van de overeenkomst in opdracht van de klant Persoonsgegevens verwerkt.
13. Verwerkingsverantwoordelijke: De Verwerkingsverantwoordelijke is de klant die ATP ten behoeve van de uitvoering van de overeenkomst opdracht heeft gegeven of geeft voor het verwerken van persoonsgegevens.
Gegevens die wij verwerken
• E-mailadres van betrokkene;
• NAW-gegevens van betrokkene;
• Telefoonnummer(s) van betrokkene;
• Mogelijk andere relevante informatie die wordt verwerkt op basis van een overeenkomst voor uitvoering van de dienstverlening met betrekking tot de in- en verkoop van auto’s.
Categorieën van betrokkenen
• Gegevens Betrokkene;
• Gegevens Verwerkingsverantwoordelijke;
• Gegevens Verwerker;
• Gegevens sub-verwerker.
Verplichtingen
Verwerkingsverantwoordelijke zal te allen tijde zorg dragen dat Persoonsgegevens rechtmatig worden verkregen en voor een welbepaald, uitdrukkelijk, specifiek omschreven doel worden verwerkt. Verwerker draagt geen enkele verantwoordelijkheid over de juistheid van de door de Verwerkingsverantwoordelijke verwerkte Persoonsgegevens via het online platform. Verwerkingsverantwoordelijke zal alle noodzakelijke medewerking verlenen aan Verwerker, welke noodzakelijk is voor een goede nakoming conform de regels van de AVG.
Verwerker Verwerkt Persoonsgegevens uitsluitend voor zover nodig bij of in verband met de uitvoering van de tussen partijen gesloten overeenkomst. Verwerker Verwerkt Persoonsgegevens op een wijze die behoorlijk en zorgvuldig is – op grond van verplichtingen uit de AVG – op basis van het uitvoeren van de Diensten en Schriftelijke instructies van de Verwerkingsverantwoordelijke. Indien een Unierechtelijke of lidstaatrechtelijke bepaling Verwerker verplicht tot Verwerking van Persoonsgegevens; zal Verwerker, voor zover op grond van die wetgeving is toegestaan, Verwerkingsverantwoordelijke schriftelijk informeren alvorens over te gaan tot Verwerking.
Sub-verwerkers
Verwerkingsverantwoordelijke verleent aan Verwerker algemene toestemming voor de Verwerking en Sub-verwerking van Persoonsgegevens door Sub- verwerkers in het kader van de uit te voeren Diensten, onder voorbehoud dat: Verwerker te allen tijde garandeert dat de verplichtingen en condities uit deze verwerkingsvoorwaarden tevens van toepassing zijn op Sub-verwerkers.
Verplichtingen en condities worden op basis van een schriftelijke overeenkomst vastgelegd. Verwerker blijft in deze verhouding aanspreekpunt van de Verwerkingsverantwoordelijke.
Doorgifte van Persoonsgegevens
Verwerker Verwerkt Persoonsgegevens uitsluitend binnen Europa. Indien in de toekomst Verwerker beslist Persoonsgegevens buiten Europa te verwerken, zal Verwerker de Persoonsgegevens enkel verwerken in een land dat een passend beschermingsniveau waarborgt en de Verwerking voldoet aan de overige
verplichtingen die op Verwerker rusten op grond van deze verwerkersvoorwaarden.
Beveiliging van Persoonsgegevens
Verwerker heeft passende technische en organisatorische beveiligingsmaatregelen genomen om:
• ongestoorde beschikbaarheid, integriteit en vertrouwelijkheid van Persoonsgegevens te waarborgen, en;
• Persoonsgegevens te beveiligen tegen inbreuken, waaronder mede wordt verstaan: bedoelde en onbedoelde ongeautoriseerde of onwettige inzage, toegang, verlies, vernietiging, beschadiging, wijziging, vermenigvuldiging, diefstal, gebruik of openbaarmaking.
Persoonsgegevens worden opgeslagen op een databaseserver die niet publiekelijk benaderbaar is én waarvoor authenticatie & autorisatie zijn vereist. Verwerker neemt geen kennis van de Persoonsgegevens, slechts in geval van (technische) storingen of wanneer (technisch) onderhoud noodzakelijk is, is Verwerker gerechtigd kennis te nemen van de Persoonsgegevens.
Verwerker heeft medewerkers die met Persoonsgegevens werken een geheimhoudingsverklaring laten ondertekenen. De verplichting tot geheimhouding blijft bestaan zolang er Persoonsgegevens van Verwerkingsverantwoordelijke bij Verwerker worden verwerkt en zijn opgeslagen.
Verwerker maakt een back-up van de Persoonsgegevens.
Verwerker zal Verwerkingsverantwoordelijke redelijke medewerking verlenen bij het uitvoeren van een eventuele Gegevensbeschermingseffectbeoordeling en bij voorafgaande raadpleging bij toezichthoudende autoriteiten of andere bevoegde gegevensbeschermingsautoriteiten waartoe Verwerkingsverantwoordelijke zich op grond van de AVG verplicht acht.
Datalek
Verwerker zal onmiddellijk (uiterlijk binnen 48 uur) nadat zij kennis heeft genomen van een Datalek, Verwerkingsverantwoordelijke hiervan op de hoogte stellen. Deze mededeling bevat een omschrijving van:
• het Datalek;
• de (mogelijk) getroffen Persoonsgegevens, waaronder de soort gegevens en de hoeveelheid gegevens van de Betrokkene;
• de mogelijke gevolgen van het Datalek voor de Betrokkene;
• de maatregelen die Verwerker getroffen heeft en zal treffen om het Datalek te beperken en/of een nieuw Datalek te voorkomen, daaronder begrepen een noodplan;
• de verwachte oplossingstijd; en
• de contactgegevens van de vertegenwoordiger van Verwerker, bij wie Verwerkingsverantwoordelijke onmiddellijk updates kan verkrijgen van de status van het Datalek.
Xxxxxxx xxx Xxxxxxxxxx
In het geval een Betrokkene een verzoek om inzage, rectificatie, gegevenswissing, beperking van de verwerking, overdraagbaarheid van gegevens of bezwaar indient bij de Verwerkingsverantwoordelijke, dan zal Verwerker zo spoedig mogelijk – maar uiterlijk binnen tien (10) werkdagen nádat Verwerker kennis heeft genomen van het verzoek van Verwerkingsverantwoordelijke – adequate medewerking verlenen bij het uitvoeren van het betreffende verzoek en alle informatie verstrekken die Verwerkingsverantwoordelijke nodig heeft om aan het verzoek te kunnen voldoen.
Verwerker zal zelf niet op een verzoek reageren, behalve indien Verwerker daartoe wettelijk is verplicht op grond van Unierechtelijke of lidstaatrechtelijke bepalingen. Verwerker zal, voor zover op grond van die wetgeving is toegestaan, Verwerkingsverantwoordelijke schriftelijk informeren alvorens over te gaan tot uitvoering van het verzoek.
Duur en beëindiging
Verplichtingen van Verwerker die naar hun aard zijn bestemd om ook na beëindiging van de Diensten voort te duren blijven volledig van toepassing.
Bij beëindiging van de overeenkomst zal Verwerker Verwerkingsverantwoordelijke binnen vier (4) weken de mogelijkheid bieden de Persoonsgegevens hetzij:
1. a) te retourneren c.q. verstrekken aan de Verwerkingsverantwoordelijke op een door Verwerkingsverantwoordelijke geschikt bevonden gegevensdrager; dan wel
2. b) te vernietigen.
Toepasselijk recht en geschillenbeslechting
Op deze verwerkersvoorwaarden is uitsluitend Nederlands recht van toepassing.
Partijen zullen zich eerst tot het uiterste hebben ingespannen een geschil in onderling overleg te beslechten, alvorens een beroep te doen op de rechter.
Uitsluitend de rechter te Arnhem is bevoegd kennis te nemen van en te oordelen over eventuele tussen partijen bestaande geschillen.