Contract
Naast de Algemene Voorwaarden zijn de volgende clausules van toepassing op sommige aanvullende diensten en / of enige optie die aan de Ondernemer wordt aangeboden waarvoor expliciet wordt aangegeven dat de Ondernemer de verwerkingsverantwoordelijke is en dat Worldline FS de verwerker is (hierna de “Optie”). De "GDPR" zal dezelfde betekenis hebben als de definitie van "Gegevensbeschermingswetgeving" die is uiteengezet in de Algemene Voorwaarden.
1. Beschrijving van de verwerking
De verwerking van Persoonsgegevens die Worldline FS uitvoert als verwerker bij het verstrekken van de Optie onder de gesloten overeenkomst heeft de volgende kenmerken:
(i) De Ondernemer fungeert, voor elke verwerking waarvan het doel hierna bepaald is als verwerkingsverantwoordelijke en hij verbindt zich ertoe de verplichtingen van de GDPR na te leven;
(ii) Bij elk van deze verwerkingen treedt Worldline FS van haar kant op als verwerker van de Ondernemer, en handelt op gedocumenteerde instructies van de Ondernemer. Worldline FS is niet de verwerkingsverantwoordelijke van deze verwerking;
(iii) De Ondernemer heeft de Optie geselecteerd als het meest geschikte middel om de verwerking van Persoonsgegevens uit te voeren voor de doeleinden die hierin zijn bepaald;
(iv) De doelstelling van de verwerking is de levering van de dienst m.b.t. de Optie zoals beschreven in de gesloten overeenkomst.
(v) De Persoonsgegevens die het voorwerp uitmaken van de verwerking zijn Persoonsgegevens die worden verzameld en behandeld tijdens de verwerking van de Transacties, zoals Transactiegegevens, waaronder het kaartnummer, de vervaldatum, de datum en het bedrag van de Transactie;
(vi) De belanghebbende betrokkenen bij de verwerking zijn de houders van de betaalmiddelen (d.w.z. de klanten van de Ondernemer) van wie de Persoonsgegevens in het kader van de Optie worden verwerkt;
(vii) De Persoonsgegevens zullen worden bewaard tijdens de periode vermeld in de beschrijving van de dienst. Na afloop van deze periode, onder voorbehoud van andersluidende bewaarverplichtingen van wettelijke, reglementaire of contractuele aard die Worldline FS een andere bewaarperiode opleggen voor de Persoonsgegevens, worden deze Persoonsgegevens uitgewist of anoniem gemaakt in overeenstemming met artikel 2.g. Onverminderd back-ups die worden uitgevoerd door Worldline FS, en wanneer het Worldline Platform dit toestaat, kan de Ondernemer deze bewaarperiode beperken. De Ondernemer is verantwoordelijk voor de periode die hij kiest. De beschrijving van de dienst kan andere bewaarmodaliteiten en modaliteiten voor de beperking van de bewaarperiode van de Persoonsgegevens voorzien. In dat geval zullen dergelijke modaliteiten voorrang hebben op de bepalingen die in onderhavig artikel zijn uiteengezet.
2. Verbintenissen van Worldline FS
Worldline FS zal in het kader van haar gecertificeerde PCI-DSS organisatie, technische en organisatorische maatregelen toepassen die passend zijn in de sector waarin ze actief is, zodanig dat de verwerking beantwoordt aan de vereisten van de GDPR. Worldline FS waarborgt de rechten van de betrokkenen. In haar hoedanigheid van verwerker verbindt Worldline FS zich ertoe om:
a) de Persoonsgegevens enkel te verwerken op basis van instructies van de Ondernemer, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of aan een internationale organisatie, met dien verstande dat de modaliteiten voor de verlening van de Optie zoals beschreven in de gesloten overeenkomst, de instructies uitmaken van de Ondernemer;
b) erop toe te zien dat haar personeelsleden en het personeel van haar onderaannemers (hierna genoemd “de Subverwerkers”) die gemachtigd zijn om de Persoonsgegevens te verwerken, zich ertoe verbinden om de vertrouwelijkheid na te leven of onderworpen zijn aan een gepaste wettelijke vertrouwelijkheidsverbintenis;
c) rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, de passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.
d) voor zover mogelijk en rekening houdend met de aard van de desbetreffende verwerking, de Ondernemer door middel van passende technische en organisatorische maatregelen bijstand te verlenen bij het vervullen van diens plicht om verzoeken van betrokkenen om hun rechten uit te oefenen voorzien in de GDPR, te beantwoorden. Voor zover de wet dit toestaat zal de Ondernemer verantwoordelijk zijn voor de kosten die voortvloeien uit de verlening van dergelijke bijstand door Worldline FS.
e) rekening houdend met de aard van de desbetreffende verwerking en de informatie waarover Worldline FS beschikt, de Ondernemer bijstand te verlenen bij de naleving van zijn kennisgevingsverplichtingen voorzien in de GDPR, wat van de kant van Worldline FS inhoudt dat bij een Inbreuk in verband met Persoonsgegevens de Ondernemer onverwijld na de bewustwording van de inbreuk in verband met Persoonsgegevens op de hoogte wordt gebracht.
f) rekening houdend met de aard van de desbetreffende verwerking en de informatie waarover Worldline FS beschikt, de Ondernemer bijstand te verlenen bij de uitvoering van gegevensbeschermingseffectbeoordelingen evenals voor de uitvoering van de raadpleging van de toezichthoudende autoriteit, in voorkomend geval. Voor zover de wet dit toestaat zal de Ondernemer verantwoordelijk zijn voor de kosten die voortvloeien uit de verlening van dergelijke bijstand door Worldline FS;
g) naar keuze van de Ondernemer en tenzij een wet, een reglement of een gerechtelijke of administratieve overheid de bewaring van deze Persoonsgegevens vereist, alle Persoonsgegevens te wissen of deze terug te bezorgen na afloop van de verlening van de Optie of aan het einde van de bewaarperiode en al de bestaande kopieën te vernietigen, onder voorbehoud van de back-upkopieën en de Persoonsgegevens geregistreerd in de logs, die bewaard zullen worden tot de vervaldag van deze back-up- en logbestanden overeenkomstig de beleidslijnen van Worldline FS;
h) alle informatie ter beschikking te stellen van de Ondernemer die nodig is om de nakoming van de in huidig artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de Ondernemer of een door hem gemachtigde auditor mogelijk te maken en eraan bij te dragen.
In het geval van audits worden de volgende principes nageleefd: de Ondernemer vraagt slechts één (1) audit per contractueel jaar, behalve indien Worldline FS ernstig tekortkomt aan haar verplichtingen, in welk geval de Ondernemer gerechtigd is om een bijkomende audit te vragen. De Ondernemer zal, met het oog op de uitvoering van een audit, Worldline FS per aangetekende zending met ontvangstbevestiging minstens zes (6) weken voor de voorziene auditdatum inlichten over deze aanvraag en in deze kennisgeving een gedetailleerd auditplan meesturen. In het geval dat een audit plaatsvindt ten gevolge van een ernstige tekortkoming door Worldline FS, dan zal de Ondernemer Worldline FS achtenveertig (48)
uur op voorhand inlichten. De volgende principes zijn in alle omstandigheden van toepassing: 1) de referentie die van toepassing is op de audit, is de PCI-referentie die van toepassing is op de Dienst van Worldline FS. In dit verband wordt uitdrukkelijk overeengekomen dat niet onderworpen zijn aan de audit: financiële gegevens of Persoonsgegevens die geen betrekking hebben op de Ondernemer, elke inlichting waarvan de verspreiding de veiligheid van de systemen en/of gegevens van Worldline FS zou kunnen aantasten (in dit geval moet Worldline FS haar weigering motiveren met gewettigde beweegredenen, bijvoorbeeld een reden van confidentialiteit of veiligheid) of van andere klanten van Worldline FS, en de broncode van de Software of ieder ander instrument gebruikt door Worldline FS; 2) elke kost met betrekking tot de audit, met inbegrip van de interne kosten van Worldline FS, zal exclusief ten laste zijn van de Ondernemer. Worldline FS zal aan de Ondernemer een factuur sturen met betrekking tot alle kosten naar aanleiding van deze audit, met inbegrip van de werkdagen van haar personeel, waarbij wordt benadrukt dat één (1) werkdag wordt gefactureerd aan 1.400,00 EUR; 3) de audit zal niet langer duren dan drie (3) werkdagen 4) de auditor zal geen kopie mogen maken van documenten, bestanden, gegevens of informatie, geheel of gedeeltelijk, noch foto’s nemen, digitaliseren, of geluidsopnames, video-opnames of informaticabestanden opslaan; de auditor mag evenmin vragen dat het geheel of een deel van deze elementen hem worden bezorgd of verzonden; Worldline FS kan een vertoning van gevoelige documenten organiseren in een beveiligde ruimte (black room); 5) elke auditor zijnde een natuurlijke persoon, zal slechts aanvaard worden op een site van Worldline FS of een site van één van haar onderaannemers na mededeling door de Ondernemer van diens identiteit. De Ondernemer moet zich vergewissen van de integriteit van zijn gemandateerde auditors, ongeacht of zij worden tewerkgesteld door de Ondernemer of door een extern auditkantoor, en de Ondernemer waarborgt Worldline FS dat de auditor de in de gesloten overeenkomst vermelde vertrouwelijkheidsverplichtingen zal naleven; 6) de audit moet gebeuren tijdens de kantorenuren van Worldline FS en op die wijze dat de uitvoering van de Dienst van Worldline FS niet wordt gehinderd, noch gelijk welke andere activiteit voor haar andere klanten wordt gehinderd, wat in elk geval prioritair blijft op de uitvoering van de audit; Worldline FS kan op elk ogenblik de audit onderbreken indien de levering van de Dienst van Worldline FS vereist dat de door de audit aangewende middelen voor andere doeleinden worden aangewend.
i) de Ondernemer onmiddellijk te informeren indien, volgens Worldline FS, een instructie van de Ondernemer een schending uitmaakt van de GDPR.
3. Subverwerkers
Worldline FS kan een of meer Subverwerkers aanstellen om specifieke verwerkingsactiviteiten uit te voeren voor Persoonsgegevens die verwerkt worden in het kader van de uitvoering van de Optie. De Subverwerkers en hun respectieve locatie worden opgenomen in de dienstverleningsbeschrijving. Worldline FS kan bijkomende Subverwerkers aanstellen of een bestaande Subverwerker vervangen op voorwaarde dat Worldline FS de Ondernemer hiervan negentig (90) dagen op voorhand verwittigt om de Ondernemer toe te laten deze veranderingen te evalueren en in geval van bezwaar tegen de veranderingen het gebruik van de Optie te beëindigen, volgens de volgende modaliteiten. De Ondernemer beschikt over een periode van dertig (30) dagen vanaf de kennisgeving door Worldline FS om eventuele bezwaren schriftelijk mee te delen (de “Kennisgeving van Bezwaren”). Daar Worldline FS een gedeelde dienst aanbiedt, en behoudens wanneer de partijen tot een akkoord zijn gekomen over een alternatieve oplossing voor deze bezwaren, kan het gebruik van de Optie worden beëindigd door een van beide partijen door middel van een schriftelijke kennisgeving ten laatste binnen (30) dagen na de Kennisgeving van Bezwaren. Deze beëindiging wordt van kracht na een periode van dertig (30) dagen vanaf de datum van de kennisgeving van de beëindiging van het gebruik van de Optie en de Ondernemer zal niet langer in de mogelijkheid zijn om vanaf die datum gebruik te maken van de Optie. Bij ontstentenis van een Kennisgeving van Bezwaren binnen de voormelde periode van dertig (30) dagen zal de Optie verder verleend worden aan de Ondernemer door Worldline FS, met de bijstand van de nieuwe Subverwerker.
In elk geval, voor zover Worldline FS een Subverwerker in dienst neemt of vervangt om specifieke verwerkingsactiviteiten van Persoonsgegevens uit te voeren in verband met de levering van de Optie aan de Ondernemer, zullen er aan die Subverwerker verplichtingen worden opgelegd die niet minder verplichtend zijn dan de verplichtingen met betrekking tot de bescherming van Persoonsgegevens, zoals hierin uiteengezet, in het bijzonder met betrekking tot de verplichting afdoende garanties voor de toepassing van passende technische en organisatorische maatregelen te bieden op een wijze die beantwoordt aan de vereisten van de GDPR. Wanneer de Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Worldline FS ten aanzien van de Ondernemer volledig aansprakelijk voor het nakomen van de verplichtingen van de Subverwerker.
In geval van Hoogdringendheid, zoals hierna gedefinieerd, is Worldline FS gemachtigd door de Ondernemer om onmiddellijk een andere Subverwerker in dienst te nemen of onmiddellijk een bestaande Subverwerker te vervangen, om specifieke verwerkingsactiviteiten uit te voeren. In zulke omstandigheden dient Worldline FS de Ondernemer zo snel mogelijk op de hoogte te brengen van deze indienstneming of vervanging. De Ondernemer beschikt over een periode van dertig (30) dagen vanaf de datum van de kennisgeving door Worldline FS om eventuele bezwaren schriftelijk mee te delen (de “Kennisgeving van Bezwaren”). Daar Worldline FS een gedeelde dienst aanbiedt, en behoudens wanneer de partijen tot een akkoord zijn gekomen over een alternatieve oplossing voor deze bezwaren, kan het gebruik van de Optie worden beëindigd door een van beide partijen door middel van een schriftelijke kennisgeving ten laatste binnen (30) dagen na de Kennisgeving van Bezwaren. Deze beëindiging wordt van kracht na een periode van dertig (30) dagen vanaf de datum van de kennisgeving van de beëindiging van het gebruik van de Optie en de Ondernemer zal niet langer in de mogelijkheid zijn om vanaf die datum gebruik te maken van de Optie. Bij ontstentenis van een Kennisgeving van Bezwaren binnen de voormelde periode van dertig (30) dagen zal de Optie verder verleend worden aan de Ondernemer door Worldline FS, met de bijstand van de nieuwe Subverwerker. Een Hoogdringendheid wordt omschreven als elke gebeurtenis die de levering van de Optie redelijk of commercieel uitzonderlijk moeilijk maakte.
4. Verbintenissen van de Ondernemer
De Ondernemer verbindt zich ertoe om de verplichtingen na te leven die hij draagt uit hoofde van de GDPR.
5. Doorgiften
5.1. Doorgiften ten behoeve van Transactieverwerkingen
De Ondernemer is ingelicht en erkent dat, bij het verstrekken van de Optie, Worldline FS of haar Subverwerkers verplicht kunnen zijn om de Persoonsgegevens mee te delen aan derden die betrokken zijn bij de keten van de verwerking van transacties, met inbegrip van de acquirers, financiële instellingen en internationale betalingsplannen, waarmee Worldline FS of haar Subverwerkers geen contractuele relatie hebben, maar waarvan de tussenkomst noodzakelijk is voor de verwerking van de Transactie in overeenstemming met de gesloten overeenkomst en/of de instructies van de Ondernemer. Dit kan leiden tot de doorgifte van Persoonsgegevens aan een land buiten de Europese Economische Ruimte, dat geen passend beschermingsniveau heeft. In dat geval behoort het tot de verantwoordelijkheid van de Ondernemer om erop toe te zien dat Worldline FS en haar Subverwerkers dergelijke doorgifte van Persoonsgegevens mogen uitvoeren in overeenstemming met toepasselijke wetten en verordeningen.
5.2. Doorgifte als gevolg van de levering van de Dienst door Worldline FS
In het geval dat het gebruik van een Subverwerker door Worldline FS de doorgifte vereist van Persoonsgegevens aan een land gelegen buiten de Europese Economische Ruimte dat geen passend beschermingsniveau biedt, verbindt Worldline FS zich ertoe om een beheeroplossing voor deze doorgifte in te voeren in overeenstemming met de bepalingen van de GDPR.
Hiertoe en voor zover de beoogde kaderoplossing erin bestaat een overeenkomst van doorgifte van gegevens te ondertekenen op basis van standaardclausules voor de doorgifte van Persoonsgegevens aan Subverwerkers die in derde landen gevestigd zijn die geen passend
beschermingsniveau bieden, zoals goedgekeurd door de Europese Commissie (zoals deze clausules gewijzigd of vervangen kunnen worden), verleent de Ondernemer, in zijn hoedanigheid van gegevensexporteur, hierbij aan Worldline FS het mandaat om in zijn naam en voor zijn rekening een dergelijke overeenkomst van doorgifte van gegevens te ondertekenen met de betrokken gegevensimporteur(s).
Bovendien, wanneer Worldline FS verplicht is om Persoonsgegevens door te geven aan een derde land of aan een internationale organisatie, volgens de wetgeving van de Unie of de wetgeving van de Lidstaat waaronder zij valt, moet Worldline FS de Ondernemer informeren over deze wettelijke verplichting voorafgaand aan de verwerking, behoudens wanneer het betrokken recht deze informatie verbiedt omwille van algemeen belang.
6. Aanvragen van strafrechtelijke overheden of andere gerechtelijke of administratieve overheden
De communicatie door Worldline FS aan strafrechtelijke overheden en andere gerechtelijke of administratieve overheden (de “Overheden”), van alle Persoonsgegevens wanneer een dergelijke communicatie vereist is door een dergelijke Overheid, gebeurt enkel indien de Ondernemer instructie gegeven heeft aan Worldline FS om dit te doen, behalve indien Worldline FS door de wet wordt verplicht om 1) de inlichtingen te verstrekken aan zulke Overheden en 2) dit zonder de Ondernemer te verwittigen. In dergelijk geval zal Worldline FS deze informatie aan de Overheden verstrekken zonder de toestemming van de Ondernemer en zonder de Ondernemer te informeren over een dergelijke verwerking van Persoonsgegevens