Privacy- en Gegevensbeschermingsvereisten voor Leveranciers
Privacy- en Gegevensbeschermingsvereisten voor Leveranciers
Laatst bijgewerkt op: 1 januari 2023
1. Definities
1.1 "Overeenkomst" betekent de hoofddienstenovereenkomst, inkoopordervoorwaarden of ander contract op grond waarvan de Dienstverlener diensten verleent aan de Klant.
1.2 "Klant" betekent het RELX-bedrijf of de RELX-bedrijven die de diensten ontvangen die onder de Overeenkomst worden geleverd.
1.3 "Gegevensbeschermingswetten" betekent alle privacy- en gegevensbeschermingswetten , regels, voorschriften, decreten, bevelen en andere overheidsvereisten die van toepassing zijn op de verwerking van persoonlijke informatie.
1.4 "Persoonsgegevens" betekent de persoonsgegevens die dienstverlener verwerkt onder de Overeenkomst.
1.5 "Verwerking" betekent elke verwerking of andere toegang tot of bewerking of reeks bewerkingen die worden uitgevoerd op persoonlijke informatie, en "Proces" en "Verwerkt" hebben overeenkomstige betekenissen.
1.6 "Dienstverlener" betekent de dienstverlener of leverancier die de diensten onder de Overeenkomst levert.
1.7 De kleine letters "persoonsgegevens", "betrokkene", "verwerking", "verwerkingsverantwoordelijke", "gezamenlijke verwerkingsverantwoordelijke", "verwerker", "inbreuk op persoonsgegevens" en "toezichthoudende autoriteit" hebben dezelfde betekenis die eraan wordt toegekend in de wetgeving inzake gegevensbescherming, en waar de wetgeving inzake gegevensbescherming gelijkwaardige of overeenkomstige termen gebruikt, zoals "persoonlijke informatie" in plaats van "persoonsgegevens", worden ze hierin als hetzelfde gelezen.
1.8 Termen met een hoofdletter die worden gebruikt maar hierin niet zijn gedefinieerd, hebben de betekenis die in de Overeenkomst is uiteengezet.
2. Beschrijving van de verwerking
2.1 De aard en het doel van de Verwerkingsactiviteiten die door Dienstverlener namens Klant worden uitgevoerd, houden verband met het verlenen van de diensten onder de Overeenkomst.
2.2 De duur van de Verwerking is voor de duur van het recht van de Klant om de diensten te ontvangen of te gebruiken totdat de Persoonlijke Informatie in overeenstemming met de Overeenkomst is verwijderd.
2.3 De categorieën betrokkenen zijn personen over wie persoonlijke informatie wordt verstrekt aan de serviceprovider door of op aanwijzing van de klant als onderdeel van de services.
2.4 De soorten persoonlijke informatie zijn soorten persoonlijke gegevens die door of op aanwijzing van de klant aan de serviceprovider worden verstrekt als onderdeel van de services.
2.5 Met betrekking tot alle persoonlijke informatie die is opgenomen in klantaccountgegevens, gebruiksgegevens en andere gegevens die de serviceprovider verwerkt als een controller die nodig is om de services te leveren, te beheren of te beveiligen, zijn de klant en de serviceprovider elk een onafhankelijke controller en geen gezamenlijke controller.
2.6 Met betrekking tot alle persoonlijke informatie die de serviceprovider onafhankelijk verzamelt als een controller en aan de klant levert als onderdeel van de services, zijn de serviceprovider en de klant elk een onafhankelijke controller en geen gezamenlijke controller. De Dienstverlener is verantwoordelijk voor het waarborgen van de wettigheid van de Persoonsgegevens die hij aan de Klant verstrekt voor verwerking.
2.7 Eventuele aanvullende details over de Verwerkingsactiviteiten die door Dienstverlener worden uitgevoerd namens de Klant en de Verwerkingsinstructies van de Klant voor Dienstverlener zijn uiteengezet in de Overeenkomst.
3. Beperkingen op de verwerking
3.1 De Dienstverlener zal de Persoonsgegevens Verwerken in overeenstemming met zijn verplichtingen onder de Wetgeving inzake Gegevensbescherming en alleen voor zover nodig voor de doeleinden van het uitvoeren onder de Overeenkomst.
3.2 Voor zover de Dienstverlener persoonlijke informatie namens de Klant verwerkt, zal de Dienstverlener de Persoonsgegevens alleen verwerken op gedocumenteerde instructies van de Klant, tenzij dit vereist is door de toepasselijke wetgeving waaraan de Dienstverlener is onderworpen; in een dergelijk geval zal de Dienstverlener de Klant vóór de Verwerking op de hoogte stellen van die wettelijke vereiste, tenzij die wet dergelijke informatie verbiedt om gewichtige redenen van algemeen belang. De Dienstverlener zal de Klant onmiddellijk op de hoogte stellen als, naar zijn mening, een instructie in strijd is met de wetgeving inzake gegevensbescherming.
4. Personeel
De Dienstverlener zal ervoor zorgen dat personen die gemachtigd zijn om de Persoonsgegevens te Verwerken zich hebben verbonden tot vertrouwelijkheid of onder een passende wettelijke geheimhoudingsplicht vallen en de Persoonsgegevens niet zullen Verwerken, behalve in opdracht van de Klant, tenzij dit vereist is door de toepasselijke wetgeving.
5. Beveiliging
De Dienstverlener implementeert en handhaaft passende technische en organisatorische maatregelen, inclusief die welke in de Overeenkomst zijn gespecificeerd, op een zodanige manier dat zijn Verwerking van Persoonsgegevens voldoet aan de vereisten van de Wetgeving inzake Gegevensbescherming, de bescherming van de rechten van de betrokkenen waarborgt en een beschermingsstandaard biedt die
ten minste hetzelfde beschermingsniveau biedt als vereist is onder de Wetgeving inzake gegevensbescherming.
6. De Klant op de hoogte stellen van verzoeken
De Dienstverlener zal, voor zover wettelijk toegestaan, de Klant onmiddellijk schriftelijk op de hoogte stellen van elk verzoek van een betrokkene, toezichthoudende autoriteit of andere derde partij of een dagvaarding of ander gerechtelijk of administratief bevel of verzoek van een overheidsinstantie of procedure die de Dienstverlener ontvangt om toegang te krijgen tot of openbaarmaking van Persoonsgegevens. De Klant heeft het recht om zich te verzetten tegen of in te grijpen in een dergelijke actie of om een dergelijk verzoek op eigen kosten te behandelen in plaats van en namens de Dienstverlener, tenzij dit wettelijk verboden is. Dienstverlener zal redelijkerwijs samenwerken met de Klant in een dergelijke procedure.
7. Samenwerking
7.1 Rekening houdend met de aard van de Verwerking, zal de Dienstverlener de Klant bijstaan door passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichting van de Klant om te reageren op verzoeken om de rechten van de betrokkene uit te oefenen die zijn vastgelegd in de Wetgeving inzake gegevensbescherming (inclusief het recht op toegang, correctie, bezwaar en wissing, indien van toepassing).
7.2 De Dienstverlener zal de Klant helpen bij het waarborgen van de naleving van de gegevensbeveiliging, de melding van inbreuken in verband met persoonsgegevens en andere verplichtingen op grond van de Wetgeving inzake gegevensbescherming, rekening houdend met de aard van de Verwerking en de informatie waarover de Dienstverlener beschikt.
8. Inbreuk op persoonsgegevens
De Dienstverlener zal de Klant op de hoogte stellen zoals gespecificeerd in de Overeenkomst, zonder onnodige vertraging en in alle gevallen binnen de periode die vereist is onder de Wetgeving inzake gegevensbescherming nadat hij zich bewust is geworden van een inbreuk in verband met persoonsgegevens en zal redelijke inspanningen leveren om de Klant te helpen bij het onderzoeken en herstellen van een dergelijke inbreuk in verband met persoonsgegevens.
9. Verantwoording
Voor zover de Dienstverlener persoonlijke informatie namens de Klant verwerkt, zal de Dienstverlener alle informatie die nodig is om de naleving van de Wetgeving inzake gegevensbescherming aan te tonen, beschikbaar stellen aan de Klant en audits mogelijk maken en eraan bijdragen, inclusief inspecties, uitgevoerd door de Klant of een andere auditor die door de Klant is gemachtigd, met inachtneming van passende vertrouwelijkheidsverbintenissen.
10. Subverwerkers
10.1 Voor zover de Dienstverlener persoonlijke informatie namens de Klant verwerkt, geeft de Klant hierbij algemene schriftelijke toestemming aan de Serviceprovider om andere verwerkers in te schakelen om de Persoonlijke Informatie te Verwerken. De Dienstverlener zal de Klant op de hoogte stellen van alle voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van dergelijke andere verwerkers, waardoor de Klant de mogelijkheid krijgt om redelijkerwijs bezwaar te maken tegen dergelijke wijzigingen.
10.2 Wanneer de Dienstverlener een andere verwerker inschakelt voor het uitvoeren van specifieke Verwerkingsactiviteiten namens de Klant, worden dezelfde verplichtingen inzake gegevensbescherming als hierin uiteengezet en de Overeenkomst of andere rechtshandeling tussen de Partijen aan die andere verwerker opgelegd door middel van een contract of andere rechtshandeling onder toepasselijk recht. Wanneer die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Dienstverlener volledig aansprakelijk voor de uitvoering van de verplichtingen van die andere verwerker.
11. Locatie van de verwerking
Persoonlijke informatie kan worden overgedragen naar elk land waar de Serviceprovider en de verwerkers die het inschakelt faciliteiten onderhouden die onderworpen zijn aan passende waarborgen zoals beschreven in de Wetgeving inzake gegevensbescherming, inclusief elk toepasselijk overdrachtsmechanisme.
12. Opleiding
De Dienstverlener zal passende privacytrainingen uitvoeren (inclusief zoals vereist door de Wetgeving inzake Gegevensbescherming) voor personeel dat Persoonsgegevens verwerkt.
13. Vorderingen
Wanneer de Klant wordt geconfronteerd met een feitelijke of potentiële claim die voortvloeit uit of verband houdt met schending van de Wetgeving inzake gegevensbescherming met betrekking tot de diensten die door de Dienstverlener onder de Overeenkomst worden geleverd, zal de Dienstverlener onmiddellijk alle materialen en informatie verstrekken die relevant zijn voor de verdediging van een dergelijke claim en de onderliggende omstandigheden met betrekking tot de claim.
14. Verwijdering
Onmiddellijk na het einde van de levering van diensten met betrekking tot de Verwerking van Persoonsgegevens door de Dienstverlener namens de Klant, of een eerder tijdstip waarop de Klant daarom verzoekt, zal de Dienstverlener, naar keuze van de Klant, alle Persoonsgegevens verwijderen of terugsturen naar de Klant of de door hem aangewezen persoon (in een gegevensformaat dat de Klant redelijkerwijs kan specificeren) en bestaande kopieën verwijderen, tenzij de toepasselijke wetgeving de
opslag van de persoonlijke informatie vereist. Op verzoek van de Klant zal de Dienstverlener een dergelijke verwijdering schriftelijk certificeren.
15. Jurisdictiespecifieke voorwaarden
Voor zover de Dienstverlener persoonlijke informatie verwerkt die afkomstig is van of anderszins onderworpen is aan de wetgeving inzake gegevensbescherming van een van de rechtsgebieden die in de bijlage hierin worden vermeld, zijn de daarin gespecificeerde voorwaarden met betrekking tot de toepasselijke jurisdictie(s) van toepassing in aanvulling op de voorgaande voorwaarden.
Bijlage Jurisdictiespecifieke voorwaarden
1. Europese Economische Ruimte
1.1 Voor zover de klant persoonlijke informatie uit de Europese Economische Ruimte (“EER”) doorgeeft aan een dienstverlener buiten de EER, geldt dat, tenzij de partijen zich kunnen beroepen op een alternatief doorgiftemechanisme of een andere grondslag volgens de wetgeving inzake gegevensbescherming, de partijen worden geacht de standaardcontractbepalingen te zijn aangegaan zoals die door de Europese Commissie zijn goedgekeurd in Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021, dat beschikbaar is op xxxx://xxxx.xxxxxx.xx/xxx/xxx_xxxx/0000/000/xx (“bepalingen”), met betrekking tot een dergelijke doorgifte, waarbij:
a. de klant de “gegevensexporteur” is en de dienstverlener de “gegevensimporteur”;
b. de voetnoten, de optie van bepaling 11(a) en optie 1 van bepaling 17 worden weggelaten en de toepasselijke bijlagen respectievelijk worden aangevuld met de informatie die in de overeenkomst is opgenomen;
c. voor zover elke partij optreedt als verwerkingsverantwoordelijke, module één van toepassing is en modules twee, drie en vier worden weggelaten;
d. voor zover de klant optreedt als verwerkingsverantwoordelijke en de dienstverlener optreedt als verwerker, module twee van toepassing is, modules één, drie en vier worden weggelaten, optie 1 van bepaling 9(a) wordt weggelaten en de termijn in optie 2 14 dagen is;
e. voor zover elke partij als verwerker optreedt, module drie van toepassing is, modules één, twee en vier worden weggelaten, optie 1 van bepaling 9(a) wordt weggelaten en de termijn in optie 2 14 dagen is;
f. de “bevoegde toezichthoudende autoriteit” de bevoegde toezichthoudende autoriteit is in het
land waar de gegevensexporteur is gevestigd;
g. de bepalingen worden beheerst door de wetten van het land waar de gegevensexporteur is gevestigd;
h. alle geschillen die voortvloeien uit de bepalingen worden beslecht door de rechter in het land waar de gegevensexporteur is gevestigd; en
i. in geval van tegenstrijdigheid tussen een voorwaarde in de overeenkomst en de bepalingen de bepalingen voorrang hebben.
1.2 Voor zover de klant zich buiten de EER bevindt en persoonlijke informatie ontvangt van een in de EER gevestigde dienstverlener, geldt dat, tenzij de partijen zich kunnen beroepen op een alternatief doorgiftemechanisme of een andere grondslag volgens de wetgeving inzake gegevensbescherming, de partijen worden geacht de bepalingen te zijn aangegaan met betrekking tot een dergelijke doorgifte, waarbij:
a. de dienstverlener de “gegevensexporteur” is en de klant de “gegevensimporteur”;
b. de van toepassing zijnde bijlagen respectievelijk worden aangevuld met de in de overeenkomst opgenomen informatie;
c. voor zover de dienstverlener optreedt als verwerkingsverantwoordelijke, module één van toepassing is, en module twee, drie en vier, de voetnoten, de optie van bepaling 11(a) en optie 1 van bepaling 17 worden weggelaten;
d. voor zover de dienstverlener als verwerker optreedt, module vier van toepassing is en modules één, twee en drie en de voetnoten worden weggelaten;
e. de “bevoegde toezichthoudende autoriteit” de bevoegde toezichthoudende autoriteit is in het
land waar de gegevensexporteur is gevestigd;
f. de bepalingen worden beheerst door de wetten van het land waar de gegevensexporteur is gevestigd;
g. alle geschillen die voortvloeien uit de bepalingen worden beslecht door de rechter in het land waar de gegevensexporteur is gevestigd; en
h. in geval van tegenstrijdigheid tussen een voorwaarde in de overeenkomst en de bepalingen de bepalingen voorrang hebben.
2. Verenigd Koninkrijk
2.1 Met betrekking tot de doorgifte van persoonsgegevens uit het Verenigd Koninkrijk zijn de bepalingen zoals geïmplementeerd op grond van paragraaf 1 hierboven van toepassing met inachtneming van de volgende wijzigingen:
a. de bepalingen worden gewijzigd zoals gespecificeerd door deel 2 van het addendum over internationale doorgifte van gegevens bij de standaardcontractbepalingen van de Europese Commissie, dat is uitgegeven op grond van artikel 119A van de wet van het Verenigd Koninkrijk inzake gegevensbescherming (UK Data Protection Act 2018) en dat van tijd tot tijd kan worden gewijzigd of vervangen (“addendum Verenigd Koninkrijk”);
b. tabel 1 tot en met 3 in deel 1 van het addendum Verenigd Koninkrijk worden respectievelijk aangevuld met de informatie in de overeenkomst; en
c. tabel 4 in deel 1 van het addendum Verenigd Koninkrijk wordt aangevuld door “geen van beide partijen” te selecteren.
3. Zwitserland
3.1 Met betrekking tot de doorgifte van persoonsgegevens uit Zwitserland zijn de bepalingen zoals geïmplementeerd op grond van paragraaf 1 hierboven van toepassing met inachtneming van de volgende wijzigingen:
a. verwijzingen naar “Verordening (EU) 2016/679” worden geïnterpreteerd als verwijzingen naar
de Zwitserse federale wet inzake gegevensbescherming (“FWIG”);
b. verwijzingen naar specifieke artikelen van “Verordening (EU) 2016/679” worden vervangen
door het overeenkomstige artikel of de overeenkomstige paragraaf van de FWIG;
c. verwijzingen naar “EU”, “Unie”, “een lidstaat” en “recht van een lidstaat” worden vervangen door verwijzingen naar “Zwitserland” of “Zwitsers recht”, voor zover van toepassing;
d. de term “lidstaat” wordt niet zodanig geïnterpreteerd dat betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om hun rechten uit te oefenen;
e. bepaling 13(a) en deel C van bijlage I worden niet gebruikt en de “bevoegde toezichthoudende autoriteit” is de Zwitserse federale commissaris voor gegevensbescherming en informatie;
f. op de bepalingen is het recht van Zwitserland van toepassing; en
g. alle geschillen die voortvloeien uit de bepalingen worden beslecht door de gerechten van Zwitserland.
4. Brazilië
4.1 Voor zover elke partij optreedt als verwerkingsverantwoordelijke, zal elke partij:
a. voldoen aan haar verplichtingen uit hoofde van de Braziliaanse algemene wet inzake gegevensbescherming, nr. 13.709 uit 2018 (Lei Geral de Proteção de Dados Pessoais) (LGPD);
b. een registratie bijhouden van de verwerkingen van persoonsgegevens die zij uitvoert;
c. een functionaris voor gegevensbescherming benoemen; en
d. veiligheidsmaatregelen, technische en administratieve maatregelen nemen die persoonsgegevens kunnen beschermen tegen ongeoorloofde toegang en tegen accidentele of onwettige vernietiging, verlies, wijziging, mededeling of een andere vorm van ongepaste of onwettige omgang met deze gegevens, met inbegrip van toepasselijke minimale technische normen zoals vastgelegd door de nationale autoriteit.
4.2 Voor zover de Klant persoonlijke informatie van Brazilië overdraagt aan een serviceprovider buiten Brazilië, garandeert de serviceprovider de naleving van de principes en de rechten van de betrokkene en het regime van gegevensbescherming dat wordt geboden onder de LGPD.
5. Zuid-Afrika
Voor zover de Dienstverlener als exploitant persoonlijke informatie verwerkt in het kader van de South African Protection of Personal Information Act, nr. 4 van 2013 (POPIA) voor de Klant als verantwoordelijke partij, zal de Serviceprovider de beveiligingsmaatregelen waarnaar wordt verwezen in sectie 19 van POPIA verder vaststellen en handhaven en de Klant onmiddellijk op de hoogte stellen wanneer er redelijke gronden zijn om aan te nemen dat Personal Information is geopend of verkregen door een onbevoegde persoon.