Voorwaarden Gegevensverwerking Addendum bij Algemene Voorwaarden

Voorwaarden Gegevensverwerking Addendum bij Algemene Voorwaarden

Deze verwerkersvoorwaarden zijn van toepassing

op de werkzaamheden die C-TIX, een onderdeel en service van Cango Tickets

B.V. (Verwerker) uitvoert in het kader van de Hoofdovereenkomst (‘terms and conditions’ genoemd) die is gesloten met Opdrachtgever (verwerkingsverantwoordelijke) ten aanzien van de verwerking van persoonsgegevens. Met deze verwerkersovereenkomst biedt Cango Tickets B.V. een uniforme set voorwaarden aan haar klanten aan met als doel het ondersteunen van Opdrachtgever in de nakoming van haar verplichtingen voortkomende uit bestaande wet– en regelgeving op het gebied van de bescherming van persoonsgegevens. Mocht de noodzaak ontstaan afwijkende afspraken te maken, dan kan Opdrachtgever te allen tijde contact opnemen met Cango Tickets B.V.

De EU-wetgeving inzake gegevensbescherming maakt onderscheid tussen organisaties die Persoonsgegevens voor eigen doeleinden verwerken ("gegevensbeheerders") en organisaties die Persoonsgegevens verwerken namens andere organisaties ("gegevensverwerkers"). Als je een vraag of klacht hebt over de manier waarop je Persoonsgegevens worden verwerkt, moeten deze altijd worden gericht aan de relevante gegevensbeheerder, aangezien deze de primaire verantwoordelijkheid voor je Persoonsgegevens heeft.

C-TIX kan met betrekking tot je persoonsgegevens optreden als gegevensbeheerder of gegevensverwerker, afhankelijk van de omstandigheden.

Wanneer je bijvoorbeeld een account bij ons maakt om je evenementen te organiseren, is C-TIX beheerder van de Persoonsgegevens die je verstrekt als onderdeel van je account. We gebruiken deze gegevens louter om onze diensten te kunnen uitvoeren (zoals betalingen doen) en informatie over onze diensten te verstrekken (middels een nieuwsbrief bijvoorbeeld).

Wanneer een Consument echter voor een evenement een ticket koopt, verwerken wij Persoonsgegevens om de Organisator te helpen dat evenement te beheren (door e-mails met bevestiging, betalingen te verwerken, etc.) en om de Organisator te helpen met targeting en inzicht te bieden in het succes van zijn/haar evenement en evenementplanning (door evenementrapportages te verschaffen etc.). In deze omstandigheden biedt C-TIX slechts het 'gereedschap' voor Organisators; C-TIX bepaalt niet welke

Persoonsgegevens op ticketformulieren worden gevraagd en is ook niet verantwoordelijk voor de voortdurende nauwkeurigheid van verstrekte Persoonsgegevens. Vragen over Persoonsgegevens van consumenten (kopers van tickets) en rechten op grond van de wetgeving inzake gegevensbescherming, moeten daarom worden gericht aan de Organisator die de gegevensbeheerder is, en niet aan C-TIX.

Overwegende dat: Verwerkingsverantwoordelijke een onderneming of organisatie drijft van waaruit evenementen worden georganiseerd en daarbij gebruik maakt van software en diensten van Verwerker;

Verwerker een leverancier is van een (online) systeem voor het beheer van relaties en de aankoop, behandeling, verwerking en afwikkeling van tickets;

Partijen een overeenkomst zijn aangegaan (hierna: Hoofdovereenkomst), waarbij bij de uitvoering daarvan het voorzienbaar is dat Verwerker (waarschijnlijk) persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke zal verwerken;

Partijen beogen de Verwerkingsverantwoordelijke in staat te stellen zijn verplichtingen in de rol van verantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG) na te komen en naleving van de verplichtingen van Verwerker jegens Verwerkingsverantwoordelijke af te dwingen.

1. Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

a. Verwerker: de besloten vennootschap met beperkte aansprakelijkheid Cango Tickets B.V., gevestigd en kantoorhoudende te Maarssen aan Xxxxxxxxxxx 000, Xxxxxxxxx, geregistreerd onder nummer 67227880 bij de Kamer van Koophandel en BTW-nummer NL856885691B01.

b. Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon die handelt in de uitoefening van een beroep of bedrijf met wie C-TIX/Cango Tickets een Hoofdovereenkomst is aangegaan voor de levering van Diensten.

c. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

d. Hoofdovereenkomst: de afspraken vastgelegd in een (digitaal) document of op andere wijze op grond waarvan C-TIX/Cango Tickets de daarin genoemde Diensten en/of Extra Diensten aan Opdrachtgever levert, ook terms and conditions genoemd.

e. AVG: Algemene Verordening Gegevensbescherming.

f. Datalek: Beveiligingsincident waarbij onbedoeld toegang is verkregen tot persoonsgegevens en/of sprake is van onrechtmatige verwerking van gegevens.

g. Toezichthouder: De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacy wetgeving.

h. Verwerking: een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens.

Verwerkingsverantwoordelijke en Verwerker komen als volgt overeen:

2. Algemeen

a. Verwerker verwerkt ten behoeve van Verwerkingsverantwoordelijke persoonsgegevens (hierna aangeduid als: "de gegevens"), zijnde werkzaamheden in het kader van de uitvoering van de Hoofdovereenkomst. De gegevens worden verwerkt met behulp van het ticketingsysteem dat Verwerker ten behoeve van Verwerkingsverantwoordelijke exploiteert en de daarvoor benodigde betalingsverwerkings- en e-mailinfrastructuur.

b. Verwerker is gehouden de gegevens uitsluitend in het kader van de in Artikel 1a. bedoelde samenwerking te verwerken, uitsluitend binnen het grondgebied van de Europese Economische Ruimte (EER) en deze niet langer te bewaren dan door Verwerkingsverantwoordelijke opgedragen.

c. Verwerker zal de fysieke, technische en organisatorische beveiligingsmaatregelen treffen die nodig zijn om de toegang tot, beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen en te beveiligen tegen verlies of onrechtmatige verwerking.

d. Verwerker zal op verzoek van Verwerkingsverantwoordelijke inzage geven in de opzet, het bestaan en de werking van de in het continuïteits- en beveiligingsplan vastgelegde maatregelen ter zake van de gegevensverwerking, zowel in fysiek, technisch als in organisatorisch opzicht.

e. Verwerker zal zo spoedig mogelijk, doch uiterlijk 48 uur na ontdekking van een inbreuk in verband met persoonsgegevens dit aan Verwerkingsverantwoordelijke melden teneinde deze in staat te stellen aan zijn meldingsverplichtingen te voldoen.

f. Verwerker aanvaardt dat het niet bereiken van overeenstemming ter zake van de beveiliging en/of continuïteit van de verwerking alsmede het niet naleven van het continuïteitsplan en/of beveiligingsplan, dan wel het niet opvolgen van directe aanwijzingen van Verwerkingsverantwoordelijke ter zake van de gegevensverwerking grond kan zijn voor Verwerkingsverantwoordelijke om de Hoofdovereenkomst te beëindigen zonder dat Verwerkingsverantwoordelijke tot enige schadevergoeding is gehouden. Verwerkingsverantwoordelijke kan hiervoorgaande beëindigingsbevoegdheid pas inroepen na schriftelijke ingebrekestelling aan Verwerker onder vermelding van een redelijke hersteltermijn.

g. Verwerker is bereid om indien de Hoofdovereenkomst tussen Verwerkingsverantwoordelijke en Verwerker om enige reden eindigt, mee te werken aan de overdracht van de persoonsgegevens aan Verwerkingsverantwoordelijke, respectievelijk de vernietiging daarvan op verzoek en voor rekening van Verwerkingsverantwoordelijke.

h. Verwerkingsverantwoordelijke die bij verwerking is betrokken is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op de AVG, in de zin van artikel 82 van de AVG.

i. Verwerker is slechts aansprakelijk op grond van het bepaalde in artikel 82 van de AVG, voor schade of nadeel voortvloeiende uit het niet nakomen van deze verwerkersovereenkomst, daaronder begrepen wanneer bij de verwerking niet wordt voldaan aan de specifiek tot verwerkingsgerichte verplichtingen van de AVG, of buiten de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.

3. Informatie-uitwisseling

a. Partijen zullen elkaar informeren over feiten - waaronder tevens begrepen nieuwe wet- en regelgeving op het terrein van bescherming van persoonsgegevens - waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de verwerking van persoonsgegevens door de andere partij.

b. Verwerkingsverantwoordelijke zal Verwerker onverwijld op de hoogte stellen indien de verwerkte persoonsgegevens zogenaamde bijzondere persoonsgegevens betreffen.

c. Verwerker zal Verwerkingsverantwoordelijke zo spoedig mogelijk op de hoogte stellen van ieder incident of nog niet eerder onderkend gevaar voor incidenten waarvan voorzienbaar is dat zij de vertrouwelijkheid van de gegevensverwerking zouden kunnen aantasten of heeft aangetast. Verwerker zal Verwerkingsverantwoordelijke daarbij nadrukkelijk in staat stellen om diens wettelijke meldplichten van dergelijke incidenten te vervullen en/of de betrokkenen te informeren teneinde hen in staat te stellen identiteitsdiefstal of andere schade te beperken.

4. Beveiliging en geheimhouding

a. Verwerker zal zorg dragen voor de training van alle medewerkers, die toegang hebben tot de persoonsgegevens, in de zorg voor en bescherming van deze gegevens en dit desgevraagd aan kunnen tonen. Verwerker zal van medewerkers die toegang hebben tot de verwerkte persoonsgegevens een geheimhoudingsverklaring vergen indien en voor zover desbetreffende medewerkers niet al onderworpen zijn aan een beroepsgeheim.

b. Verwerker zal op verzoek van Verwerkingsverantwoordelijke inzage geven in de opzet, het bestaan en de werking van de continuïteits- en beveiligingsmaatregelen ter zake van de gegevensverwerking, zowel in technisch als in organisatorisch opzicht.

5. Audits, rechten van derden

a. Verwerkingsverantwoordelijke is gerechtigd in het kader van deze overeenkomst periodiek en/of indien daartoe een gerede aanleiding bestaat inzage te vorderen dan wel inzage ten behoeve van door Verwerkingsverantwoordelijke aan te wijzen derden te vorderen ter zake de naleving van de uit deze overeenkomst en/of de AVG en daaraan gerelateerde wet- en regelgeving voortvloeiende verplichtingen van Verwerker. Dit op kosten van Verwerkingsverantwoordelijke en onder een geheimhoudingsplicht voor de eventuele hierbij betrokken onafhankelijke derde(n).

b. Verwerker is zich bewust van de zelfstandige controlebevoegdheden van de Toezichthouder en zal deze toezichthouder toegang verstrekken en medewerking verlenen aan een onderzoek met betrekking tot de op grond van deze overeenkomst verwerkte persoonsgegevens.

c. Verwerker is gehouden om Verwerkingsverantwoordelijke volledige toegang tot de gegevens te bieden zodat deze in staat is diens verplichtingen jegens de betrokkenen te vervullen ter zake van inzage, correctie en verwijdering.

6. Evaluatie, wijziging

a. Partijen zullen periodiek de gang van zaken ter zake van de bescherming van de gegevensverwerking evalueren, mits op verzoek van Verwerkingsverantwoordelijke.

b. Partijen zijn bereid om deze overeenkomst aan te passen, indien de evaluaties als hierboven bedoeld, de ontwikkelingen op het gebied van wet- en regelgeving, en/of voortgeschreden

inzichten van toezichthouders dan wel veranderingen in de stand der techniek dit vereisen, mits op kosten van Verwerkingsverantwoordelijke.

7. Duur en beëindiging

a. Door het aangaan van de Hoofdovereenkomst treedt tevens deze Verwerkersovereenkomst in werking. Deze Verwerkersovereenkomst is onverbrekelijk verbonden met de duur van de onderliggende Hoofdovereenkomst.

b. Verplichtingen die naar hun aard bestemd zijn om ook na de beëindiging van deze overeenkomst voort te duren, blijven na de beëindiging van de overeenkomst gelden.

c. Verwerker stelt alle persoonsgegevens op het moment van beëindiging ter beschikking aan Verwerkingsverantwoordelijke en zal vervolgens overgaan tot vernietiging van alle persoonsgegevens waarbij de vernietigingshandelingen gedocumenteerd zullen worden en laatstgenoemde documentatie aan Verwerkingsverantwoordelijke ter hand gesteld zal worden, dit alles op verzoek en op kosten van Verwerkingsverantwoordelijke.

Te verwerken persoonsgegevens

Cango Tickets B.V. verwerkt de onderstaande persoonsgegevens van Opdrachtgever.

Account holder / Opdrachtgever

De Account holder is de eigenaar van het C-TIX-account. Naast gegevens die betrekking hebben op de organisatie zoals de naam van de organisatie, het BTW- en IBAN-nummer verwerkt C-TIX tevens persoonsgegevens van de Account holder, te weten:

Naam e-mailadres User / Contactpersoon Adres Plaats

Opdrachtgever wordt in de gelegenheid gesteld om zogenaamde Users aan te maken. Users zijn door Opdrachtgever aangewezen medewerker(s) die gevolmachtigd zijn in te loggen in het Account en deze te beheren. De te verwerken persoonsgegevens van Users betreffen:

Gebruikersnaam Naam E-mailadres

C-TIX stelt Opdrachtgever in de gelegenheid persoonsgegevens te bewaren en te beheren van Xxxxxxxxx, zijnde kopers van Tickets, personen die zich inschrijven voor nieuwsbrieven, medewerkers

Contactgegevens;

naam, geslacht, adres en woonplaats van bezoekadres en postadres, e-mail, telefoonnummer Privé-gegevens; geboortedatum

Alle overige gegevens die Opdrachtgever noteert in vrije invoervelden of aanmaakt via zelf te definiëren velden of categorieën.