ADDENDUM GEGEVENSVERWERKING

ADDENDUM GEGEVENSVERWERKING

KUWAIT PETROLEUM (BELGIUM) N.V., met maatschappelijke zetel gevestigd te B- 2018 Antwerpen, Xxxxxxxxxxxxx 00 xxx 0, XXX Xxxxxxxxx – afdeling Antwerpen, BTW BE 0404.584.525, hierna “KPB”, is in specifieke situaties een verwerker van beperkte persoonsgegevens voor rekening van de Deelnemer, zoals hieronder nader wordt beschreven.

Hierna worden KPB en de Deelnemer ook individueel aangeduid als een "Partij" en samen als “Partijen”

OVERWEGENDE DAT

Artikel 14 van de Algemene Voorwaarden voor Q8 Liberty Cards beschrijft de verwerking van persoonsgegevens. Hoewel KPB persoonsgegevens verwerkt als een verwerkingsverantwoordelijke van haar Deelnemers en hun vertegenwoordigers, is het in specifieke situaties ook een verwerker van beperkte persoonsgegevens van bepaalde Kaarthouders voor rekening van de Deelnemer.

De Algemene Verordening Gegevensbescherming 2016/679 ('AVG of GDPR') vereist dat verwerkingsverantwoordelijken en verwerkers een contract of een andere rechtshandeling voorhanden hebben voor een dergelijke verwerkingsrol in overeenstemming met de nieuwe bepalingen (artikel 28.3 AVG).

Het huidige Addendum Gegevensverwerking werd opgesteld in deze context om te voldoen aan de voormelde gezamelijke verplichting die op KPB en de Deelnemer rust en waarnaar verwezen wordt in de update van Artikel 14 van de Algemene Voorwaarden voor Q8 Liberty Cards.

Dit Addendum Gegevensverwerking maakt integraal deel uit van de Overeenkomst met betrekking tot het gebruik van de Q8 Liberty Card tussen de partijen en de algemene voorwaarden voor Q8 Liberty kaarten (Algemene Voorwaarden) van KPB en elke andere overeenkomst tussen de partijen die beheerst wordt door de Q8Liberty overeenkomst op grond van een uitdrukkelijke verwijzing ernaar, hierna de “Overeenkomst” en van toepassing is overeenkomstig artikel 17.1 van de Algemene Voorwaarden.

AANVAARDEN PARTIJEN DAT

dit Addendum Gegevensverwerking de specifieke situaties regelt waarin KPB persoonsgegevens verwerkt voor rekening van de Deelnemer.

De bepalingen van de Overeenkomst zijn volledig van toepassing op dit Addendum Gegevensverwerking, tenzij uitdrukkelijk anders is bepaald, en in het bijzonder zullen alle bepalingen in de Overeenkomst met betrekking tot gegevensbescherming worden aangevuld door dit Addendum Gegevensverwerking.

1. Gegevensverwerkingsverplichtingen

Als onderdeel van de levering van de Q8 Liberty-kaartdiensten en voor de volledige duur daarvan, zal KPB beperkte persoonsgegevens van bepaalde Kaarthouders verwerken (gebruiken, wijzigen, opslaan,

...) in de zin van toepasselijke gegevensbeschermingswetgeving, op de manier zoals uiteengezet in deel 2 hieronder. Voor zover deze verwerking niet voor KPB's eigen doeleinden wordt uitgevoerd, zal KPB, met betrekking tot dergelijke verwerking:

(a) dergelijke persoonsgegevens alleen verwerken in opdracht van Xxxxxxxxx zoals beschreven in deel 2 hieronder, tenzij vereist door EU-wetgeving of nationale wetgeving waaraan KPB is onderworpen; in dat geval zal KPB Deelnemer vóór de verwerking op de hoogte brengen van die wettelijke verplichting, tenzij die wet dergelijke informatie om belangrijke redenen van openbaar belang verbiedt;

(b) alleen dergelijke persoonsgegevens verwerken in de lidstaten van de Europese Unie of de Europese Economische Ruimte of “Whitelisted” landen of met bijkomende waarborgen in landen zonder adequate bescherming (bv. EU Standaardcontractbepalingen of modelbepalingen);

(c) ervoor zorgen dat personen die gemachtigd zijn om dergelijke persoonsgegevens te verwerken gehouden zijn tot vertrouwelijkheid of een passende wettelijke geheimhoudingsplicht hebben;

(d) passende technische en organisatorische maatregelen nemen om een passend beveiligingsniveau voor het risico te waarborgen, waarbij met name rekening wordt gehouden met de risico's die de verwerking met zich meebrengt, meer bepaald door accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt en ervoor zorgen dat elke natuurlijke persoon die handelt onder het gezag van KPB en die toegang heeft tot persoonsgegevens, deze niet verwerkt, behalve in opdracht van Xxxxxxxxx, tenzij hij of zij dat moet doen volgens de wetgeving van de Unie of de lidstaten;

(e) volgende voorwaarden in acht nemen voor het inschakelen van een andere verwerker dan die vermeld in sectie 2 (5) hieronder:

• KPB zal Xxxxxxxxx informeren over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere verwerkers, waardoor Xxxxxxxxx de kans krijgt om bezwaar te maken tegen dergelijke wijzigingen;

• Wanneer KPB een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens Deelnemer, zal KPB die andere verwerker dezelfde gegevensbeschermingsverplichtingen opleggen als uiteengezet in dit Addendum Gegevensverwerking, bij wijze van een contract of een andere rechtshandeling onder Unie of nationale wetgeving. Indien die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft KPB volledig aansprakelijk jegens Deelnemer voor de nakoming van de verplichtingen van die andere verwerker.

(f) rekening houdend met de aard van de verwerking, Xxxxxxxxx helpen bij passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichting van Deelnemer om te reageren op verzoeken om de rechten van de betrokkene uit te oefenen onder toepasselijke gegevensbeschermingswetgeving;

(g) rekening houdend met de aard van de verwerking en de informatie waarover KPB beschikt, Deelnemer helpen bij het waarborgen van de naleving van de verplichtingen krachtens de toepasselijke gegevensbeschermingswetgeving met betrekking tot de beveiliging van de verwerking, de kennisgeving van elke schending van persoonsgegevens aan toezichthoudende autoriteiten en betrokkenen, indien relevant, de uitvoering van gegevensbeschermingseffectbeoordelingen waar nodig en het voorafgaand overleg met de toezichthoudende autoriteit;

(h) naar keuze van Xxxxxxxxx dergelijke persoonsgegevens te verwijderen of terug te geven n na het einde van de levering van de Q8 Liberty-kaartdiensten en bestaande kopieën te verwijderen, tenzij (i) de wetgeving van de Unie of van de lidstaten de bewaring van de persoonsgegevens vereist of (ii) de verjaringstermijn nog niet is verlopen;

(i) aan Deelnemer alle informatie ter beschikking stellen die nodig is om aan te tonen dat aan deze verplichtingen wordt voldaan en audits, inclusief inspecties, uitgevoerd door Deelnemer of een andere door Deelnemer gemachtigde auditor mogelijk maken en hieraan bijdragen.

2. Beschrijving van de gegevensverwerkingsactiviteiten.

De verwerking waarop dit addendum betrekking heeft, betreft:

(i) categorieën van persoonsgegevens: identificatiegegevens en contactgegevens, brandstof gerelateerde transacties, [...]

(ii) categorieën van betrokkenen: werknemers en andere bestuurders van Deelnemer

(iii) aard en doel van de verwerking: wagenparkbeheer, beheer van brandstofverbruik en kosten

(iv) instructies van Deelnemer:

(a) de tankkaarten maken met integratie van alle (persoons-)gegevens die door Deelnemer aan KPB zijn verstrekt;

(b) via het Q8 Liberty-portaal alle (persoons-)gegevens die door de Deelnemer aan KPB worden aangeboden, beschikbaar stellen;

(c) op speciaal verzoek, gebruik van bestuurderslijsten voor de verdeling van kaarten mogelijk maken.

(v) vooraf geautoriseerde subverwerkers:

(a) voor het creëren en verspreiden van tankkaarten en Pin zendingen: Zetes NV

(b) Transactiebeheersysteem Eazyfuel: Smartcentrics Technologies International Ltd (IE)

(c) voor data warehousing: Delaware Consulting