Privacyverklaring, verwerking van Persoonsgegevens

Privacyverklaring, verwerking van Persoonsgegevens

Versie: 1.0

Datum: 22.03.2018

Begripsbepalingen

Zowel in deze privacyverklaring als in de Overeenkomst worden de hiernavolgende begrippen als volgt gedefinieerd, wanneer ze beginnen met een hoofdletter:

CC: Competence Credits B.V, de besloten vennootschap naar Nederlands recht, ingeschreven bij Kamer van Koophandel onder het nummer 51059134.

- CC Account: De account van de Opdrachtgever, die wordt geïdentificeerd door een userid en geconfigureerd door de Opdrachtgever. In een beveiligde omgeving die toegankelijk is via de CC Website, kan de Opdrachtgever toegang hebben tot zijn CC Account en kan de Opdrachtgever kan de stand van zaken van zijn Transacties raadplegen, nazien en beheren. Een Opdrachtgever kan verschillende CC Accounts hebben.

- CC Dienst: De diensten, zoals gedefinieerd in de Overeenkomst met Competence Credits B.V.

- CC Platform: Het betaalverwerkingsplatform dat het verstrekken van de CC Dienst mogelijk maakt.

Opdrachtgever: Xxxx natuurlijke of rechtspersoon die een contract aangaat met CC voor de levering van de CC Dienst.

Betrokkene: Iedere natuurlijke persoon wiens Persoonsgegevens worden Verwerkt.

Derde: Elke andere persoon dan CC, diens werknemers, de Opdrachtgever en de Gebruikers van de Opdrachtgever.

Documentatie: Elk document dat CC ter beschikking stelt van de Opdrachtgever. Financiële Instellingen: Elke financiële instelling beschikbaar op het CC Platform.

Gebruikers van de Opdrachtgever: Elke natuurlijke persoon die door de Opdrachtgever naar eigen goeddunken wordt uitgekozen om namens de Opdrachtgever toegang te hebben tot de CC Account.

Inbreuk in verband met Persoonsgegevens: heeft de betekenis zoals gedefinieerd in de Privacywetgeving en welke plaatsvindt in het kader van de uitvoering van de Overeenkomst.

Intellectuele Eigendomsrechten: Alle geregistreerde en niet-geregistreerde, juridische en economische, intellectuele en industriële eigendomsrechten die eigendom zijn van een lid van de CC (al dan niet bestaand, toekomstig of contingent, inclusief, zonder beperking, auteursrechten en naburige rechten, databaserechten, patenten, handelsmerken, servicemerken en handelsnamen, domeinnamen en andere zoektermen op het internet en rechten in vertrouwelijke informatie) over de hele wereld, ongeacht hoe deze rechten bekend staan in enig land ter wereld.

Overeenkomst: Elk contractueel document, inclusief de bijlagen ervan (met inbegrip van, maar zonder enige beperking, de Algemene Voorwaarden), dat door CC en de Opdrachtgever wordt gesloten met betrekking tot het gebruik van de CC Dienst.

Persoonsgegevens: heeft de betekenis zoals gedefinieerd in de Privacywetgeving en die Verwerkt worden in het kader van de uitvoering van de Overeenkomst.

Privacywetgeving: De Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgebonden gegevens en betreffende het vrije verkeer van die gegevens), zoals van tijd tot tijd gewijzigd of vervangen, en aanvullende wetgeving, en, zolang de Algemene Verordening Gegevensbescherming niet van toepassing is, Richtlijn 95/46/EG van 24 oktober 1995 (“Richtlijn 95/46”) en de lokale implementatie ervan. In landen waar de Algemene Verordening Gegevensbescherming en Richtlijn 95/46 niet van toepassing zijn, verwijst Privacywetgeving ook naar de lokale gegevensbeschermingswetgeving. Dit kan leiden tot een situatie waarin dergelijke lokale gegevensbeschermingswetgeving als enige of samen met de Algemene Verordening Gegevensbescherming

/Richtlijn 95/46 van toepassing is, afhankelijk van de situatie. En “Verwerkingsverantwoordelijke”,

“Verwerker”, en “Verwerking” zullen dezelfde betekenissen hebben als in de Privacywetgeving en “Verwerkte” en “Verwerken” zullen geïnterpreteerd worden in overeenstemming met de definitie van “Verwerking”.

Software: De software die gebruikt wordt om de CC Dienst te verstrekken.

Transactie: Een vraag aan een Financiële Instelling, onafhankelijk van de feitelijke inhoud van het antwoord van de Financiële Instelling, dat positief of negatief kan zijn.

1. Beschrijving van de Verwerking

De Verwerking van Persoonsgegevens die CC uitvoert onder haar Overeenkomst is gebaseerd op volgende overeengekomen voorwaarden:

De Opdrachtgever is de Verwerkingsverantwoordelijke of medeverwerkingsverantwoordelijke;

i. CC treedt op als Verwerker van de Opdrachtgever, en handelt op instructie van de Opdrachtgever. CC is niet de Verwerkingsverantwoordelijke van deze Verwerking, behalve voor die specifieke diensten waarvoor uitdrukkelijk in de Overeenkomst wordt vermeld dat CC de Verwerkingsverantwoordelijke is;

ii. De Opdrachtgever heeft de CC Dienst gekozen als de meest geschikte oplossing voor de Verwerking van de Persoonsgegevens waarvan de doelstelling hierna wordt vermeld;

iii. De doelstelling van de Verwerking zoals vastgelegd door de Opdrachtgever is de Verwerking van gegevens met betrekking tot de Transacties en alle bijkomende of verwante verrichtingen die noodzakelijk zijn om betaalgegevens te Verwerken; De Verwerking bestaat erin, binnen de hierboven vermelde beperkingen, met behulp van het CC Platform en de hieraan verbonden uitrustingen, via netwerkverbindingen en volgens standaardprotocollen, om de Persoonsgegevens te verzamelen, samen te voegen, te vergelijken, te versleutelen, te ontcijferen, te organiseren, te verifiëren, te analyseren, te controleren, te registreren, te uploaden, weer te geven, aan te vullen, te kopiëren, te vermenigvuldigen en over te maken aan personen die deelnemen aan de keten van de Verwerking van de Persoonsgegevens.

iv. De Persoonsgegevens die het voorwerp uitmaken van de Verwerking zijn Persoonsgegevens die worden verzameld en behandeld tijdens de verwerking van de Transacties;

v. De Persoonsgegevens zullen worden bewaard tijdens de periode vermeld in de beschrijving van de dienst, die berekend wordt in kalenderdagen vanaf de datum van de Transactie. Na afloop van deze periode, onder voorbehoud van andersluidende bewaarverplichtingen van wettelijke, reglementaire of contractuele aard die CC een andere bewaarperiode opleggen voor de Persoonsgegevens, worden deze Persoonsgegevens uitgewist of anoniem gemaakt. Onverminderd back-ups die worden uitgevoerd door CC. De beschrijving van de dienst kan andere bewaarmodaliteiten en modaliteiten voor de beperking van de bewaarperiode van de Persoonsgegevens voorzien.

2. Verbintenissen van CC

CC zal technische en organisatorische maatregelen toepassen die passend zijn in de sector waarin ze actief is, zodanig dat de Verwerking beantwoordt aan de vereisten van de Privacywetgeving. CC waarborgt de rechten van de Betrokkenen.

In haar hoedanigheid van Verwerker verbindt CC zich ertoe om:

a) de Persoonsgegevens enkel te Verwerken op basis van instructies van de Opdrachtgever, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of aan een internationale organisatie, met dien verstande dat de modaliteiten voor de verlening van de CC Dienst zoals beschreven in de Overeenkomst, de instructies uitmaken van de Opdrachtgever;

b) erop toe te zien dat haar personeelsleden en het personeel van haar onderaannemers die gemachtigd zijn om de Persoonsgegevens te Verwerken, zich ertoe verbinden om de vertrouwelijkheid na te leven of onderworpen zijn aan een gepaste wettelijke vertrouwelijkheidsverbintenis;

c) rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, de passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

d) maatregelen te nemen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van CC en toegang heeft tot Persoonsgegevens, deze uitsluitend in opdracht van de Opdrachtgever verwerkt, tenzij een wet, een reglement of een gerechtelijke of administratieve overheid haar hiertoe verplicht;

e) rekening houdend met de aard van de Verwerking, de Opdrachtgever door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand te verlenen bij het

vervullen van diens plicht om verzoeken van Xxxxxxxxxxx om hun rechten uit te oefenen voorzien in de Privacywetgeving te beantwoorden; Wanneer verzoeken van een Betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag CC :

- de Opdrachtgever een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel

- weigeren gevolg te geven aan deze verzoeken.

f) de Opdrachtgever te helpen om de naleving te waarborgen van de verplichtingen opgelegd in de artikelen 32 tot 36 van de Algemene Verordening Gegevensbescherming, rekening houdend met de aard van de Verwerking en van de inlichtingen die CC ter beschikking heeft;

g) de Opdrachtgever te helpen haar verplichtingen tot melding na te leven voorzien in de Privacywetgeving, hetgeen vanwege CC impliceert dat:

- in geval van een Inbreuk in verband met Persoonsgegevens door CC of haar onderaannemers die een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt CC de Inbreuk in verband met Persoonsgegevens in kwestie mede aan de Opdrachtgever

- zonder onredelijke vertraging na kennis genomen te hebben van de Inbreuk in verband met Persoonsgegevens, zodat de Opdrachtgever in voorkomend geval de bevoegde toezichthoudende autoriteit kan inlichten;

- de door CC uitgevoerde kennisgeving met betrekking tot deze inbreuk moet minstens :

o de aard omschrijven van de Inbreuk in verband met Persoonsgegevens met inbegrip, waar mogelijk, onder vermelding van de categorieën van Betrokkenen en bij benadering, het aantal Betrokkenen en de categorieën en persoonsgegevensregisters in kwestie;

o de maatregelen omschrijven die CC heeft genomen of heeft voorgesteld om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

- Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt;

- In geval van een Inbreuk in verband met Persoonsgegevens die niet valt onder de categorie beoogd in deze paragrafen, meldt CC deze Inbreuk in verband met Persoonsgegevens aan de Opdrachtgever zonder onredelijke vertraging zodra hij hiervan kennis heeft genomen;

h) alle informatie ter beschikking te stellen van de Opdrachtgever die nodig is om de nakoming van de in huidig artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de Opdrachtgever of een door hem gemachtigde auditor mogelijk te maken en eraan bij te dragen.

i) In het geval van audits worden de volgende principes nageleefd:

- de Opdrachtgever vraagt slechts één (1) audit per contractueel jaar, behalve indien CC ernstig tekortkomt aan haar verplichtingen, in welk geval de Opdrachtgever gerechtigd is om een bijkomende audit te vragen.

- De Opdrachtgever zal, met het oog op de uitvoering van een audit, CC per aangetekende zending met ontvangstbevestiging minstens zes (6) weken voor de voorziene auditdatum inlichten over deze aanvraag en in deze kennisgeving een gedetailleerd auditplan meesturen.

- In het geval dat een audit plaatsvindt ten gevolge van een ernstige tekortkoming door CC, dan zal de Opdrachtgever CC achtenveertig (48) uur op voorhand inlichten. n dit verband wordt uitdrukkelijk overeengekomen dat niet onderworpen zijn aan de audit: financiële gegevens of Persoonsgegevens die geen betrekking hebben op de Opdrachtgever, elke inlichting waarvan de verspreiding de veiligheid van de systemen en/of gegevens van CC zou kunnen aantasten (in dit geval moet CC haar weigering motiveren met gewettigde beweegredenen, bijvoorbeeld een reden van confidentialiteit of veiligheid) of van andere klanten van CC, en de broncode van de Software of ieder ander instrument gebruikt door CC;

- xxxx xxxx met betrekking tot de audit, met inbegrip van de interne kosten van CC, zal exclusief ten laste zijn van de Opdrachtgever. CC zal aan de Opdrachtgever een factuur sturen met betrekking tot alle kosten naar aanleiding van deze audit, met inbegrip van de werkdagen van haar personeel, waarbij wordt benadrukt dat één (1) werkdag wordt gefactureerd volgens normaal maatwerktarief; 3) de audit zal niet langer duren dan drie (3) werkdagen 4) de auditor zal geen kopie mogen maken van documenten, bestanden, gegevens of informatie, geheel of gedeeltelijk, noch foto’s nemen, digitaliseren, of geluidsopnames, video-opnames of informaticabestanden opslaan; de auditor mag evenmin vragen dat het geheel of een deel van deze elementen hem worden bezorgd of verzonden; CC kan een vertoning van gevoelige documenten organiseren in een beveiligde ruimte (black room); 5) elke auditor zijnde een natuurlijke persoon, zal slechts aanvaard worden op een site van CC of een site van één van haar onderaannemers na mededeling door de Opdrachtgever van diens identiteit. De Opdrachtgever moet zich vergewissen van de integriteit van zijn gemandateerde auditors, ongeacht of zij worden tewerkgesteld door de Opdrachtgever of

door een extern auditkantoor, en de Opdrachtgever waarborgt CC dat de auditor de in de Overeenkomst vermelde vertrouwelijkheidsverplichtingen zal naleven; 6) de audit moet gebeuren tijdens de de kantorenuren van CC en op die wijze dat de uitvoering van de CC Dienst niet wordt gehinderd, noch gelijk welke andere activiteit voor haar andere klanten wordt gehinderd, wat in elk geval prioritair blijft op de uitvoering van de audit; CC kan op elk ogenblik de audit onderbreken indien de levering van de CC Dienst vereist dat de door de audit aangewende middelen voor andere doeleinden worden aangewend.

- de Opdrachtgever onmiddellijk te informeren indien, volgens CC, een instructie van de Opdrachtgever een schending uitmaakt op het Privacywetgeving.

3. Onderaannemers

CC kan andere Verwerkers in dienst nemen [hierna Subverwerker(s) genoemd] voor de Verwerking van Persoonsgegevens voor rekening van de

Opdrachtgever, of een bestaande Subverwerker vervangen op voorwaarde de Opdrachtgever hiervan negentig

(90) dagen op voorhand te verwittigen en de Opdrachtgever toe te laten deze veranderingen te evalueren en in geval van bezwaar tegen de veranderingen de Overeenkomst te beëindigen, volgens de volgende modaliteiten. De Opdrachtgever beschikt over een periode van dertig (30) dagen vanaf de kennisgeving die gebeurt door CC om zijn toelating te verlenen of te weigeren. Daar CC een gedeelde dienst aanbiedt, indien de Opdrachtgever weigert de indienstneming of vervanging van een Subverwerker toe te laten, en behalve indien partijen het eens geraken over de aanstelling van een andere Subverwerker, dan eindigt de Overeenkomst na een periode van zestig (60) dagen vanaf de kennisgeving van de beslissing tot weigering van de Opdrachtgever. De beëindiging van de Overeenkomst gebeurt zonder beëindigingskosten voor elk van de partijen. Na verloop van de periode van zestig (60) dagen, moet de Opdrachtgever zich onthouden de CC Dienst verder te gebruiken. In het geval dat de Opdrachtgever niet antwoordt binnen de hierboven vermelde periode van dertig (30) dagen vanaf de kennisgeving door CC, dan betekent dit dat de Opdrachtgever zijn toelating verleent.

Wanneer CC een Subverwerker in dienst neemt of vervangt om voor rekening van de Opdrachtgever de Verwerking van Persoonsgegevens te verrichten, worden dezelfde verplichtingen inzake gegevensbescherming zoals uiteengezet in de Overeenkomst, opgenomen in het contract of een andere rechtshandeling die zal worden afgesloten tussen CC en de Subverwerker. In het bijzonder de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de Verwerking aan de Privacywetgeving beantwoordt. Wanneer de Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft CC ten aanzien van de Opdrachtgever volledig aansprakelijk voor het nakomen van de verplichtingen van de Subverwerker.

4. Verbintenissen van de Opdrachtgever

De Opdrachtgever verbindt zich ertoe om de verplichtingen na te leven die hij draagt uit hoofde van de Privacywetgeving.

5. Doorgiften

Doorgifte op instructie van de Opdrachtgever. Wanneer CC of haar Subverwerkers Persoonsgegevens verwerken in het kader van de uitvoering van de Overeenkomst, erkent en aanvaardt de Opdrachtgever (en aanvaardt de rechtmatigheid hiervan) de mededeling door CC of haar Subverwerker(s) van alle Persoonsgegevens aan Derden, met inbegrip van Financiële Instellingen, waarvan de tussenkomst noodzakelijk is voor de goede uitvoering van de Overeenkomst en/of op instructie van de Opdrachtgever. Dit kan de doorgifte met zich meebrengen van Persoonsgegevens aan een land buiten de Europese Economische Ruimte dat geen passend beschermingsniveau biedt. In dit geval vergewist de Opdrachtgever zich ervan dat CC of haar Subverwerker(s), handelend voor rekening van de Opdrachtgever, dergelijke doorgifte van Persoonsgegevens mogen uitvoeren in overeenstemming met de toepasselijke wetgeving (met inbegrip, maar niet exclusief, van het zich ervan vergewissen dat de doorgifte op wettelijke wijze gebeurt).

Doorgifte aan een Subverwerker. In het geval dat het gebruik van een Subverwerker door CC op diens eigen initiatief de doorgifte vereist van Persoonsgegevens aan een land gelegen buiten de Europese Economische Ruimte dat geen passend beschermingsniveau biedt, zullen CC en haar Subverwerkers zich ervan vergewissen dat de bepalingen van de Algemene Verordening Gegevensbescherming worden nageleefd.

Indien bijgevolg in de uitvoering van de Overeenkomst, CC de doorgifte vereist van Persoonsgegevens aan een land gelegen buiten de Europese Economische Ruimte dat geen passend beschermingsniveau biedt, zal de toestemming van de Opdrachtgever nodig zijn.

CC zal de Opdrachtgever negentig (90) dagen op voorhand kennisgeven. De Opdrachtgever beschikt over een periode van dertig (30) dagen vanaf de kennisgeving door CC om haar toestemming te verlenen of te weigeren.

Daar CC een gedeelde dienst aanbiedt, indien de Opdrachtgever weigert de bovenvermelde doorgifte toe te laten dan eindigt de Overeenkomst na een periode van zestig (60) dagen vanaf de kennisgeving van de beslissing tot weigering van de Opdrachtgever. De beëindiging van de Overeenkomst gebeurt zonder beëindigingskosten voor elk van de partijen. Na verloop van de periode van zestig (60) dagen, moet de Opdrachtgever zich onthouden de CC Dienst verder te gebruiken. In het geval dat de Opdrachtgever niet antwoordt binnen de hierboven vermelde periode van dertig (30) dagen vanaf de kennisgeving door CC, dan betekent dit dat de Opdrachtgever zijn toelating verleent.

6. Aanvragen van strafrechtelijke overheden of andere gerechtelijke of administratieve overheden

De communicatie door CC aan strafrechtelijke overheden en andere gerechtelijke of administratieve overheden, van alle Persoonsgegevens wanneer een dergelijke communicatie vereist is door een dergelijke overheid, gebeurt enkel indien de Opdrachtgever instructie gegeven heeft aan CC om dit te doen, behalve indien CC door de wet wordt verplicht om 1) de inlichtingen te verstrekken aan de strafrechtelijke overheden en andere gerechtelijke of administratieve overheden en 2) dit zonder de Opdrachtgever te verwittigen. In dergelijke omstandigheid zal CC dergelijke inlichtingen verstrekken aan de strafrechtelijke overheden en andere gerechtelijke of administratieve overheden zonder de toestemming van de Opdrachtgever en zonder de Opdrachtgever te verwittigen van deze Verwerking van Persoonsgegevens.

7. Verwerking van Persoonsgegevens als Verwerkingsverantwoordelijke

In het geval dat een partij Persoonsgegevens als Verwerkingsverantwoordelijke Verwerkt, zorgt deze partij ervoor dat de toepasselijke Privacywetgeving wordt nageleefd. Zo zal deze partij ervoor zorgen dat de Betrokkenen op de hoogte worden gebracht van dergelijke Verwerking en zal deze partij ervoor zorgen dat de rechten van de Betrokkene worden nageleefd.

[einde privacyverklaring]