Gegevensuitwisselingsovereenkomst Overeenkomst gegevensuitwisseling tussen verwerkingsverantwoordelijken

Gegevensuitwisselingsovereenkomst
Overeenkomst gegevensuitwisseling tussen verwerkingsverantwoordelijken

Partijen

1. De besloten vennootschap met beperkte aansprakelijkheid ..., gevestigd en kantoorhoudende te …, hierbij rechtsgeldig vertegenwoordigd door ondergetekende, hierna te noemen ABC;

2. De besloten vennootschap met beperkte aansprakelijkheid ..., gevestigd en kantoorhoudende te …, hierbij rechtsgeldig vertegenwoordigd door ondergetekende, hierna te noemen XYZ.

Overwegende:

1. Partijen wisselen op grond van de in Bijlage 1 gespecificeerde grondslag(en) persoonsgegevens uit met elkaar (hetzij eenzijdige verstrekking, hetzij wederkerige uitwisseling).

2. Partijen verwerken de betreffende persoonsgegevens allebei voor eigen doeleinden. Er is geen sprake van een gezamenlijke administratie, noch van gezamenlijke verwerkingsdoeleinden.

3. Partijen wensen in dit addendum aanvullende afspraken te maken omtrent voornoemde uitwisseling van persoonsgegevens.

Komen het volgende overeen:

1. Definities

   1. In deze overeenkomst hebben de volgende (onderstreepte) begrippen de daaropvolgende betekenis:

      1. Aanvullende Nationale Wetgeving: elke wetgeving met betrekking tot de verwerking van persoonsgegevens in een lidstaat van de EU, waar de verwerkingsverantwoordelijke aan is onderworpen naast de Privacyverordening.

      2. Uitwisseling: de verwerking van persoonsgegevens op grond van de in Bijlage 1 gespecificeerde grondslag waarbij Ontvanger persoonsgegevens van Verstrekker ontvangt om deze voor eigen doeleinden (verder) te verwerken.

      3. Uitgewisselde Persoonsgegevens: de op grond van de Uitwisseling tussen partijen uitgewisselde persoonsgegevens.

      4. Ontvanger: de partij die persoonsgegevens in het kader van een Uitwisseling ontvangt.

      5. Privacyverordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

      6. Verstrekker: de partij die persoonsgegevens in het kader van een Uitwisseling verstrekt;

      7. Toepasselijke Privacy Wetgeving: de Privacyverordening en de Aanvullende Nationale Wetgeving van de betreffende landen.

   2. Elk begrip dat hier niet is gedefinieerd, maar dat wel is gedefinieerd in de Toepasselijke Privacy Wetgeving (zoals “persoonsgegeven”, “verwerken”, etc.), heeft in deze overeenkomst dezelfde betekenis als in de Toepasselijke Privacy Wetgeving.

2. Positie en samenhang met eventueel bestaande overeenkomsten

   1. Deze gegevensuitwisselingsovereenkomst is van toepassing op iedere Uitwisseling.

   2. Voor zover de grondslag voor de Uitwisseling is gelegen in een tussen partijen gesloten overeenkomst

      1. is voor hetgeen niet in deze gegevensuitwisselingsovereenkomst is geregeld het bepaalde in de betreffende overeenkomst(en) mutatis mutandis van toepassing.

      2. prevaleert het bepaalde in deze gegevensuitwisselingsovereenkomst op hetgeen overigens tussen partijen is overeengekomen inzake de verwerking van persoonsgegevens;

3. Hoedanigheid van partijen

   1. Partijen onderkennen dat ze in het kader van de Uitwisseling allebei kwalificeren als “verwerkingsverantwoordelijke” in de zin van de Toepasselijke Privacy Wetgeving.

   2. De verantwoordelijkheid voor de Uitwisseling ligt bij Verstrekker. De verantwoordelijkheid voor de verdere verwerking ligt bij Ontvanger.

   3. Verstrekker garandeert jegens Ontvanger dat:

      1. zij de Uitgewisselde Persoonsgegevens tot aan de Uitwisseling rechtmatig verwerkte;

      2. de Uitwisseling rechtmatig is.

   4. Ontvanger garandeert jegens Verstrekker dat:

      1. zij de Uitgewisselde Persoonsgegevens verder zal verwerken in overeenstemming met de Toepasselijke Privacy Wetgeving;

      2. [optioneel:] zij de Uitgewisselde Persoonsgegevens louter zal verwerken voor: … [evt. uitwerken. Past niet helemaal bij de rol van vvw, maar komt soms wel voor in overeenkomst]

   5. Partijen vrijwaren elkaar – met inachtneming van het bepaalde in artikel 7 – voor claims van betrokkenen die voortvloeien uit een schending van de in de artikelen 3.3 en 3.4 verstrekte garanties.

4. Transparantie en rechten betrokkenen

   1. De verplichting tot het informeren van betrokkenen over de Uitwisseling in het kader van de transparantieverplichtingen uit de Toepasselijke Privacy Wetgeving ligt bij …. [Xxxxxxxxxxx/Ontvanger].

   2. Eventuele vragen van betrokkenen inzake de Uitwisseling of de verdere verwerking zullen door de in artikel 3.2 aangewezen verantwoordelijke partij worden beantwoord. Partijen verwijzen betrokkenen zo nodig naar de verantwoordelijke partij en onthouden zich daarbij van het geven van een inhoudelijk oordeel jegens betrokkene.

   3. Partijen stellen elkaar in kennis van iedere op verzoek van de betrokkene doorgevoerde rectificatie of wissing van persoonsgegevens of beperking van de verwerking die betrekking heeft op de Uitgewisselde Persoonsgegevens, tenzij het in kennis stellen niet te verenigen is met het betreffende verzoek van de betrokkene (bijv. omdat het geheel los stond van de Uitwisseling).

   4. Ontvanger zal bijhouden aan welke derde partijen de Uitgewisselde Persoonsgegevens verder worden verstrekt en betrokkene op diens verzoek een overzicht van deze derde partijen verstrekken.

5. Beveiliging

   1. Partijen zullen passende technische en organisatorische maatregelen nemen om de Uitwisseling te beveiligen tegen verlies of enige onrechtmatige verwerking van de Uitgewisselde Persoonsgegevens.

   2. Het is de verantwoordelijkheid van Verstrekker om te beoordelen of voornoemde maatregelen passend zijn, alvorens over te gaan tot de Uitwisseling.

   3. Partijen zullen elkaar informeren over ieder vermoeden van verlies of onrechtmatige verwerking gedurende de Uitwisseling.

   4. Vanaf het moment van ontvangst van de Uitgewisselde Persoonsgegevens ligt de verantwoordelijkheid voor passende beveiliging bij Ontvanger.

6. Vergoeding

   1. [Evt. uitwerken indien er betaald wordt]

7. Aansprakelijkheid

   1. Voor zover de grondslag voor de Uitwisseling is gelegen in een tussen partijen gesloten overeenkomst:

      1. is voor hetgeen niet in deze gegevensuitwisselingsovereenkomst is geregeld het bepaalde in de betreffende overeenkomst(en) mutatis mutandis van toepassing, met dien verstande dat een overeengekomen volledige uitsluiting van aansprakelijkheid voor verlies of verminking van gegevens niet van toepassing is.

   2. Voor zover de grondslag voor de Uitwisseling niet is gelegen in een tussen partijen gesloten overeenkomst is

      1. de aansprakelijkheid van Verstrekker uit welke hoofde dan ook beperkt tot ….

      2. de aansprakelijkheid van Ontvanger uit welke hoofde dan ook beperkt tot ….

8. Duur en beëindiging

   1. De duur van deze gegevensuitwisselingsovereenkomst is:

      1. voor zover de grondslag voor de Uitwisseling is gelegen in een tussen partijen gesloten overeenkomst, gelijk aan de duur van die overeenkomst.

      2. in overige gevallen gelijk aan de duur van de Uitwisseling.

   2. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze overeenkomst voort te duren, blijven na beëindiging bestaan. Tot deze verplichtingen behoren onder meer:

      1. afgegeven garanties en vrijwaringen;

      2. geschillenbeslechting, toepasselijk recht.

Aldus overeengekomen en in tweevoud ondertekend

Namens ABC	Namens XYZ
Naam: Titel/functie: Datum: Handtekening	Naam: Titel/functie: Datum: Handtekening

Bijlage 1: grondslag voor Uitwisseling

De grondslag voor de uitwisseling van persoonsgegevens tussen partijen is gelegen in …. [ uitwerken, bijvoorbeeld verwijzen naar overeenkomst waarvoor uitwisseling noodzakelijk is, bestaande toestemmingformulieren op grond waarvan uitwisseling gerechtvaardigd is, gerechtvaardigde belangen (incl. balancing test) op grond waarvan uitwisseling gerechtvaardigd en noodzakelijk is, etc.].