Algemene Voorwaarden. Addendum AVG

Algemene Voorwaarden. Addendum AVG

Indien en voor zover 4motivation Benelux B.V., handelend onder de naam RetailTrust, persoonsgegevens in hoedanigheid van verwerker, ten behoeve van een Verwerkingsverantwoordelijke verwerkt, dan zijn de onderstaande algemene voorwaarden eveneens van toepassing. Deze voorwaarden worden aangehaald als algemene voorwaarden RetailTrust Addendum AVG.

Artikel 1. Doeleinden van verwerking

1.1 Retailtrust verbindt zich onder de voorwaarden van deze Algemene Voorwaarden AVG in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader zoals in de Overeenkomst is overeengekomen, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald. (De doeleinden worden opgenomen in Bijlage I onder a.)

1.2 De persoonsgegevens die door Retailtrust in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage I onder b.

1.3 Retailtrust zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke en of partijen in de hoofdovereenkomst zijn overeengekomen, en of is vastgesteld en of voor welk doel de persoonsgegevens noodzakelijk om de hoofdovereenkomst uit te voeren. Verwerkingsverantwoordelijke zal Retailtrust op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze algemene voorwaarden zijn genoemd.

1.4 De in opdracht van Verwerkingsverantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen. Verwerkingsverantwoordelijke geeft Retailtrust toestemming om de gegevens te verwerken. Verwerkingsverantwoordelijke vrijwaart Retailtrust voor aanspraken van derden indien en voor zover verwerkingsverantwoordelijke geen toestemming heeft om de (persoons)gegevens te laten verwerken.

Artikel 2. Verplichtingen Verwerker

2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Retailtrust zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming.

2.2 Retailtrust zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze algemene voorewaaden.

2.3 De verplichtingen van de Retailtrust die uit deze algemene voorwaarden voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Retailtrust, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

2.4 Retailtrust zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.

2.5 Retailtrust zal, voor zover dat binnen haar macht ligt, redelijkerwijs bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (Privacy Impact Assessment). De tijd die hieraan wordt besteed, wordt door Retailtrust bij Verwerkingsverantwoordelijke in rekening gebracht.

Artikel 3. Doorgifte van persoonsgegevens

3.1 Retailtrust mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is niet toegestaan, tenzij Verwerkingsverantwoordelijke daar toestemming voor geeft.

3.2 Retailtrust zal Verwerkingsverantwoordelijke melden om welk land of welke landen het gaat.

Artikel 4. Verdeling van verantwoordelijkheid

4.1 De toegestane verwerkingen zullen door medewerkers van Retailtrust worden uitgevoerd binnen een geautomatiseerde omgeving, dan wel door derden (sub-verwerkers).

4.2 Retailtrust is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze algemene voorwaarden , overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke, volledig in de geest in de tussen partijen gesloten (hoofd)overeenkomst. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Retailtrust uitdrukkelijk niet verantwoordelijk.

4.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze algemene voorwaarden niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden. Verwerkingsverantwoordelijke vrijwaart Retailtrust van aanspraken van derden.

Artikel 5. Inschakelen van derden of onderaannemers

5.1 Retailtrust mag in het kader van deze algemene voorwaarden gebruik maken van derden en zal op verzoek een lijst van derden (sub-verwerkers) aanleveren aan Verwerkingsverantwoordelijke.

5.2 Retailtrust zal in ieder geval iedere (sub)verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na laten leven met betrekking tot de verwerking van de persoonsgegevens.

5.3 Retailtrust staat in voor een correcte naleving van de plichten uit deze algemene voorwaarden door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

Artikel 6. Beveiliging

6.1 Retailtrust zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

6.2 Retailtrust heeft in ieder geval de maatregelen genomen zoals genoemd in het Beveiligingsprotocol welke als bijlage II is aangehecht aan deze algemene voorwaarden. Verwerker mag het Beveiligingsprotocol op ieder moment eenzijdig aanpassen. Zij zal Verwerkingsverantwoordelijke op de hoogte stellen van aanpassingen.

6.3 Retailtrust staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de algemene voorwaarden ontbreekt, zal Retailtrust zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

6.4 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Retailtrust ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen. Verwerkingsverantwoordelijke garandeert dat de ter beschikking gestelde gegevens vrij van virussen zijn.

Artikel 7. Meldplicht

7.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Retailtrust de Verwerkingsverantwoordelijke binnen 48 uur nadat het lek voor het eerst bij haar bekend is geworden op de hoogte van het beveiligingslek en/of het datalek.

7.2 Een melding moet altijd worden gedaan, maar alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft.

7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:

• de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

• de maatregelen die de Retailtrust heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Retailtrust, zal Retailtrust het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Retailtrust mag de betrokkene daarvan op de hoogte stellen.

8.2 Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verwerkingsverantwoordelijke binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door Verwerkingsverantwoordelijke aan Verwerker worden vergoed.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1 In het kader van geheimhouding en vertrouwelijkheid wordt verwezen naar de Algemene Voorwaarden en/of gesloten (hoofd)overeenkomst tussen Verwerkingsverantwoordelijke en Retailtrust.

9.2. In aanvulling op de Algemene Voorwaarden van Retailtrust houdt de Verwerkingsverantwoordelijke de door haar verwerkte persoonsgegevens die zij heeft verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens cq. verwerkte gegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen.

9.3 De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven aan Retailtrust om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

Artikel 10. Audit

10.1 Retailtrust geeft hierbij Verwerkingsverantwoordelijke het recht om een audit uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van de bepalingen in deze algemene voorwaarden of Retailtrust verstrekt aan Verwerkingsverantwoordelijke een third party-mededeling, waarmee kan worden aangenomen dat Retailtrust overeenkomstig de bepalingen in deze algemene voorwaarden handelt. Voornoemde naar oordeel van Verwerker cq. Retailtrust.

10.2 Deze audit mag eens per jaar plaatsvinden alsook bij een concreet vermoeden van misbruik van persoonsgegevens.

10.3 Retailtrust zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.

10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Retailtrust worden beoordeeld en kunnen, naar eigen goeddunken van Retailtrust en op de wijze zoals Retailtrust zelf bepaalt, worden doorgevoerd door Retailtrust.

10.5. De kosten van de audit en of third party mededeling worden door Verwerkingsverantwoordelijke gedragen.

Artikel 11. Aansprakelijkheid

11.1 In het kader van aansprakelijkheid wordt verwezen naar de Algemene Voorwaarden van Retailtrust, met onderstaande aanvullende artikelen:

11.2 De aansprakelijkheid van Retailtrust voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade in verband met uitvoering van deze algemene voorwaarden, verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.

11.3 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van Retailtrust. In dat geval wordt de maximale schadevergoeding vastgesteld op 25.000,- euro.

Artikel 12. Duur en beëindiging

12.1 Deze aanvullende algemene voorwaarden in verband met de AVG zijn van toepassing voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking, en of de periode dat partijen overeenkomen dat Verwerkingsverantwoordelijke in de gelegenheid wordt gesteld om de gegevens te downloaden.

12.2 Zodra verwerking van persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke, om welke reden en op welke wijze dan ook, is beëindigd, zal Retailtrust – naar keuze van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen. Voornoemde met uitzondering van de persoonsgegevens waarvan Retailtrust deze moet bewaren teneinde de wettelijke (bewaar)verplichtingen na te komen.

12.3 Retailtrust is gerechtigd deze algemene voorwaarden van tijd tot tijd te herzien. Zij zal minimaal twee maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke.

Artikel 13. Toepasselijk recht en geschillenbeslechting

13.1 De algemene voorwarden en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de algemene voorwaarden, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement te Maastricht.

Artikel 14. Overige bepalingen

In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde: (i) de algemene voorwaarden AVG voor; (ii) overeenkomst; (iii) de Algemene Voorwaarden; (iv) eventueel aanvullende voorwaarden of afspraken.

Begrippen bij Algemene Voorwaarden AVG

Begrippen Betrokkene:

Verwerker:

Sub-verwerker:

Degene op wie een Persoonsgegeven betrekking heeft.

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Ver- werkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

Verwerkingsverantwoordelijke / Verantwoordelijke:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Bijzondere Persoonsgegevens:

Gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen althans gegevens welke niet uitsluitend betrekking hebben op naam, geboortedatum, adres, postcode en woonplaats.

Datalek / Inbreuk in verband met persoonsgegevens:

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de

Derden:

Meldplicht Datalekken:

Medewerkers:

Overeenkomst: Persoonsgegevens:

wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).

Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

De tussen partijen gesloten hoofdovereenkomst.

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” cq. hoofovereenkomst worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Persoonsgegevens van gevoelige aard:

Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.

Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:

• Bijzondere persoonsgegevens

• Gegevens over de financiële of economische situatie van de Betrokkene

• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene

• Gebruikersnamen, wachtwoorden en andere inloggegevens

• Gegevens die kunnen worden misbruikt voor (identiteits)fraude

Verwerken / Verwerking:

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

AVG:

Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening.