INVOERING
Gegevensverwerkingsovereenkomst
Toegangscontrole Cloud-applicaties
INVOERING
U bent een klant die een contract heeft afgesloten met het Spaanse bedrijf Salto Systems, SL voor de levering van de SaaS- services genaamd "Salto KS Keys as a Service" via het "Salto KS Keys as a Service"-platform (respectievelijk "KS-diensten” en de "Platform”), subject to the General Terms & Conditions of the services “Salto KS Key as a Service” which are applicable from time to time (the “Algemene voorwaarden
Bovendien kunnen Salto Systems, SL en/of de dochteronderneming van Salto Systems, SL die overeenkomt met het geografische gebied waar de klant zich bevindt, technische ondersteuning moeten verlenen met betrekking tot dergelijke KS- services en/of de bijbehorende hardware (de "Technische ondersteuningsdiensten”). De KS Diensten en de Technische Ondersteuningsdiensten worden hierna gezamenlijk de “Diensten” genoemd.
Om de Diensten aan u te kunnen leveren, moeten Salto Systems, SL en soms de dochteronderneming van Salto Systems, SL die overeenkomt met het geografische gebied waar u zich bevindt, namens u toegang krijgen tot persoonlijke gegevens en deze verwerken. Salto Systems, SL en de overeenkomstige dochteronderneming van Salto Systems, SL treden elk op als gegevensverwerker van dergelijke persoonlijke gegevens en u treedt op als gegevensbeheerder van dergelijke persoonlijke gegevens.
Daarom zijn Salto Systems, SL en de overeenkomstige dochteronderneming van Salto Systems, SL, gevestigd in de Europese Economische Ruimte (hierna "EER”) ZIJN VERPLICHT volgens de Europese Algemene Verordening Gegevensbescherming (de “AVG”) EEN GEGEVENSVERWERKINGSOVEREENKOMST TE SLUITEN met de klant.
Dienovereenkomstig is deze gegevensverwerkingsovereenkomst (de “ DPA”) wordt geformaliseerd tussen (a) de klant die zich abonneert op de diensten van KS Services (de “Klant" of de "Besturing:”), (b) Salto Systems, SL (“Salto HQ”) en (c) de dochteronderneming van Salto HQ die overeenkomt met het geografische gebied waar de Klant zich bevindt (waarvan de concrete gegevens en identiteit kunnen worden geraadpleegd op xxxxx://xxx.xxxxxxxxxxxx.xxx/xx/xxxxx-xxxxx/xxxxx- systeemkantoren/) (de “Dochteronderneming van Salto”). Salto HQ en Salto's Dochteronderneming zullen ook gezamenlijk en zonder onderscheid worden aangeduid als "Salto" of de "Data Processor”.
Als u een natuurlijke persoon bent die handelt in het kader van een zuiver persoonlijke of huishoudelijke activiteit, is de inhoud van de GBA die op u van toepassing is de inhoud van sectie A. In de overige gevallen is de inhoud van de GBA die op u van toepassing is vermeld in onderdeel B.
Partijen erkennen dat ook niet-Europese wetgeving van toepassing kan zijn op de verwerking van de persoonsgegevens. Behalve voor zover specifiek aangegeven in deze DPA, is de inhoud van deze DPA van toepassing ongeacht de wetgeving inzake gegevensbescherming die van toepassing is op de verwerking van gegevens.
Door de Algemene Voorwaarden te accepteren, gaan de partijen hierbij deze DPA aan zoals vereist door de toepasselijke wetgeving, die de Klant hierbij aanvaardt en ermee instemt.
AFDELING A: VAN TOEPASSING OP NATUURLIJKE PERSONEN DIE HANDELEN IN HET
KADER VAN EEN ZUIVER PERSOONLIJKE OF HUISHOUDELIJKE ACTIVITEIT
Deze DPA treedt in werking op de datum van aanvaarding door de Klant en blijft van kracht totdat de KS-diensten definitief zijn beëindigd. Voor de doeleinden van deze DPA worden de KS-services als definitief beëindigd beschouwd op de vroegste van de volgende data:
Zodra de termijn van de KS-services is beëindigd in overeenstemming met de Algemene voorwaarden die van tijd tot tijd van toepassing kunnen zijn (dwz wanneer de klant de KS-services niet verlengt) en de klant Salto uitdrukkelijk schriftelijk op de hoogte heeft gesteld van zijn voornemen om niet verder te gaan de KS Services in de toekomst niet meer verlengen, of;
Zodra de looptijd van de KS-services is beëindigd in overeenstemming met de Algemene Voorwaarden die van tijd tot tijd van toepassing kunnen zijn (dwz wanneer de Klant de KS-services niet verlengt), en een periode van 6 maanden is verstreken zonder dat de Klant de looptijd van de KS Services.
Deze DPA bevat een gedetailleerde beschrijving van de geleverde diensten. De gegevensverwerkingsactiviteiten die Salto zal uitvoeren, zijn alleen die welke strikt noodzakelijk zijn om de door de Klant ingehuurde Diensten te leveren.
Salto mag persoonsgegevens alleen verwerken om de door de Klant ingehuurde Diensten te leveren. In die zin zal Salto voldoen aan de verplichtingen die zijn vastgelegd in artikel 28 van de Algemene Verordening Gegevensbescherming (AVG). Specifiek, en onverminderd de andere verplichtingen opgelegd door de AVG, moet Salto als gegevensverwerker voldoen aan de volgende verplichtingen:
Gebruik de persoonsgegevens van de verwerking uitsluitend voor het leveren van het Platform, KS-services en technische ondersteuningsservices en in overeenstemming met de instructies van de klant.
De persoonsgegevens niet aan derden meedelen, tenzij de Klant zijn uitdrukkelijke toestemming heeft gegeven.
Bewaar de geheimhouding met betrekking tot de Persoonsgegevens waartoe Salto toegang heeft gekregen voor het verlenen van Diensten, zelfs na het verstrijken van de termijn van deze DPA.
De klant onverwijld op de hoogte stellen aangezien Salto op de hoogte is van een inbreuk in verband met persoonsgegevens, via het e-mailadres dat door de klant op het platform is opgegeven, samen met alle relevante informatie voor de documentatie en communicatie van het incident.
Persoonsgegevens verwerken door de passende beveiligingsmaatregelen te implementeren in overeenstemming met artikel 32 AVG, en om de technische en organisatorische beveiligingsmaatregelen in acht te nemen en aan te nemen die nodig zijn om de vertrouwelijkheid, geheimhouding en integriteit te waarborgen van de persoonsgegevens waartoe zij toegang hebben
.
Bij de definitieve beëindiging van de KS-diensten zal Salto de Persoonsgegevens vernietigen en, indien van toepassing, alle kopieën, documenten of ondersteunend materiaal die dergelijke Persoonsgegevens bevatten. Salto kan in ieder geval een kopie van Persoonsgegevens opslaan die geblokkeerd zijn tijdens de verjaringstermijnen van aansprakelijkheden die voortvloeien uit de uitvoering van de overeengekomen Diensten. In dit geval garandeert Salto dat het dergelijke gegevens niet zal verwerken, tenzij Salto verplicht is om gegevens beschikbaar te stellen aan het openbaar bestuur, rechters en rechtbanken tijdens de genoemde verjaringstermijnen.
De klant geeft Salto algemene toestemming om andere gegevensverwerkers in te schakelen voor de verwerking van de persoonsgegevens.
Bovendien verleent het ook algemene toestemming zodat dergelijke subverwerkers ook aan andere subverwerkers kunnen uitbesteden.
De Klant verklaart dat hij/zij meerderjarig is en naar behoren gemachtigd is om de persoonsgegevens van de betrokkene te uploaden naar het Platform (inclusief, onder andere, elke specifieke toestemming met betrekking tot de persoonsgegevens van kinderen) en om Salto toegang te verlenen tot dergelijke persoonsgegevens voor hun verwerking in overeenstemming met de bepalingen van deze DPA.
Xxxxx bevestigt uitdrukkelijk dat het een functionaris voor gegevensbescherming heeft aangesteld. Voor dit doel, als de Klant contact met hem/haar wil opnemen, kunt u dit doen via het volgende e-mailadres: xxxxxxx@xxxxxxxxxxxx.xxx
Alle communicatie die in het kader van deze DPA naar de Klant moet worden verzonden, wordt per e-mail verzonden naar het e-mailadres van de eigenaar van het systeem dat is aangegeven op het Platform, via het Platform, via de mobiele app van Salto KS of per brief met bevestiging van ontvangstbewijs naar het adres van de systeemeigenaar dat op het Platform is vermeld.
Om Salto in staat te stellen het Platform en de KS-diensten te leveren, evenals de Technische Ondersteuningsdiensten, aanvaardt en garandeert de Klant Salto de nodige gegevens te verstrekken zodat het de Diensten kan leveren. Elk van de partijen bij deze DPA is aansprakelijk voor de directe schade die kan voortvloeien uit de schending van de verplichtingen die krachtens deze gegevensbeschermingsovereenkomst zijn aangegaan, en moet in dit geval de vergoeding op zich nemen voor de schade die een dergelijke tekortkoming aan de andere partij zou kunnen veroorzaken. De totale maximale aansprakelijkheid van beide partijen jegens de andere op grond van deze DPA is beperkt tot de maximale aansprakelijkheid per gebeurtenis zoals overeengekomen in de Algemene Voorwaarden die van tijd tot tijd van toepassing kunnen zijn.
De partijen van deze DPA zijn het er onderling over eens dat eventuele verschillen of meningsverschillen die kunnen ontstaan met betrekking tot de interpretatie en/of uitvoering van de DPA zullen worden opgelost door de rechtbanken van het rechtsgebied waarin Salto HQ zijn statutaire zetel heeft in overeenstemming met de Spaanse wet en uitdrukkelijk afstand doen van enige andere jurisdictie die daarmee overeenstemt.
AFDELING B: VAN TOEPASSING OP RECHTSPERSONEN EN NATUURLIJKE PERSONEN DIE NIET HANDELEN IN HET KADER VAN EEN LOUTER PERSOONLIJKE OF HUISHOUDELIJKE ACTIVITEIT
1. Onderwerp van DPA
1.1. Het onderwerp van deze DPA is de gegevensverwerking die wordt uitgevoerd door Salto HQ en door Salto's dochteronderneming, als gegevensverwerkers, namens de Besturing, in overeenstemming met zijn instructies gedurende de belangrijkste contractuele relatie die de partijen bindt, in overeenstemming met de verplichtingen voorzien in de artikelen 28 en 29 AVG en de toepasselijke lokale wetgeving inzake gegevensbescherming.
1.2. Persoonlijke gegevens. Voor de uitvoering van de Diensten stelt de Besturing de Gegevensverwerker de persoonsgegevens met betrekking tot de volgende categorieën en de voor- en achternaam van de betrokkenen, e-mail, mobiel telefoonnummer, land, gebruikersfoto (optioneel), adres (optioneel) ter beschikking ) en taal (optioneel) van de gebruikers aangemaakt door de systeemeigenaar (hierna de “Persoonlijke gegevens
1.3. Gegevensverwerking. De gegevensverwerking zal bestaan uit:
A. de hosting en de toegang door Salto HQ tot de persoonlijke gegevens die door de klant naar het platform zijn geüpload en tot de database die dergelijke persoonlijke gegevens bevat, om de KS-diensten te leveren, het platform te onderhouden en de technische ondersteuningsdiensten te verlenen (“Verwerking 1
B. de toegang tot alle of een deel van de database met de persoonsgegevens door de dochteronderneming van Salto om, op verzoek van de klant, de technische ondersteuningsdiensten te verlenen (de "Verwerking 2
1.4. Looptijd. Deze DPA treedt in werking op de datum van aanvaarding door de Klant en blijft van kracht totdat de KS- diensten definitief zijn beëindigd. Voor de doeleinden van deze DPA worden de KS-services als definitief beëindigd beschouwd op de vroegste van de volgende data:
A. Zodra de looptijd van de KS Services is beëindigd in overeenstemming met de algemene voorwaarden die van toepassing kunnen zijn van tijd tot tijd (dat wil zeggen wanneer de Data Besturing niet verlengt de KS Services) en de Data Besturing uitdrukkelijk schriftelijk aan de Data Processor haar intentie om de KS Services in de toekomst niet verder te verlengen meer of;
B. Zodra de looptijd van de KS Services heeft in overeenstemming met de algemene voorwaarden die van toepassing kunnen zijn van tijd tot tijd is beëindigd (dwz wanneer de Data Besturing niet verlengt de KS Services), en een periode van 6 maanden is verstreken zonder dat de Data Besturing met de looptijd van de KS Services verlengd. Partijen komen overeen dat bij de beëindiging van de Technische Ondersteuningsdiensten en bij de definitieve beëindiging van de KS Diensten de bepalingen van artikel 2.5 van toepassing zijn met betrekking tot de vernietiging van de Persoonsgegevens.
2. Verplichtingen van de gegevensverwerker
2.1. Algemene verplichtingen. Elke gegevensverwerker is verplicht om:
2.1.1. Gebruik de Persoonsgegevens die het onderwerp van de verwerking zijn, evenals dergelijke gegevens die door de Gegevensverwerker kunnen worden verzameld, alleen wanneer dit nodig is voor de uitvoering van de Diensten en in overeenstemming met de bepalingen van de Algemene Voorwaarden die van tijd tot tijd van toepassing kunnen zijn . In ieder geval mogen Persoonsgegevens door de Gegevensverwerker niet voor eigen doeleinden worden gebruikt.
2.1.2. Stel de gegevensbeheerder onmiddellijk op de Besturing wanneer de gegevensverwerker of zijn personeel constateert dat de AVG of andere toepasselijke lokale wetgeving inzake gegevensbescherming wordt geschonden.
2.1.3. Verwerk Persoonsgegevens in overeenstemming met de instructies van de Verwerkingsverantwoordelijke, die schriftelijk moeten worden overgedragen aan het volgende e-mailadres: xxxxxxx@xxxxxxxxxxxx.xxx.
In die gevallen waarin de Data Processor van mening is dat een instructie van de Data Besturing schendt enige wettelijke bepaling op het gebied van gegevensbescherming van de EER of van een van de lidstaten van de EER, moet het voor de verwerking Besturing op de hoogte onmiddellijk schriftelijk. In het geval dat er een bewezen inbreuk heeft plaatsgevonden, kan de gegevensverwerker de uitvoering van die instructie opschorten, totdat de toelaatbaarheid van die instructie is opgehelderd.
2.1.4. Zorg ervoor dat iedereen die namens hem of namens de gegevensbeheerder Besturing en toegang heeft tot de persoonsgegevens, deze gegevens alleen verwerkt volgens de instructies van de Besturing, tenzij hij dit moet doen in overeenstemming met enige wettelijke bepaling van de EER van een van de lidstaten van de EER of van enige andere toepasselijke wetgeving.
2.1.5. De technische en organisatorische beveiligingsmaatregelen implementeren in overeenstemming met artikel 32 AVG,
waarvoor de gegevensverwerker zich ertoe verbindt om potentiële risico's te beoordelen die voortvloeien uit de gegevensverwerkingsactiviteiten die hij uitvoert, rekening houdend met de middelen die worden gebruikt om de diensten te verlenen (technologie, middelen, enz.) en andere omstandigheden die een veiligheidsimpact kunnen hebben.
2.1.6. De gegevensbeheerder Besturing bij het waarborgen van de naleving van verplichtingen met betrekking tot de beveiliging van de verwerking, kennisgevingen van inbreuken op persoonsgegevens aan de overeenkomstige toezichthoudende autoriteit en aan de betrokken betrokkenen, gegevensbeschermingseffectbeoordeling en voorafgaand overleg overeenkomstig de artikelen 32 tot 36 AVG of toepasselijke lokale gegevensbescherming regelgeving, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensverwerker beschikt.
Kennisgevingen die op grond van deze DPA aan de Klant moeten worden gedaan, worden gedaan naar het e-mailadres van de systeemeigenaar die op het Platform is geregistreerd. De Klant is als enige verantwoordelijk om ervoor te zorgen dat een dergelijk e-mailadres actueel en geldig is.
2.1.7. Houd indien nodig een register bij van verwerkingsactiviteiten namens de Besturing in overeenstemming met artikel 30 AVG.
2.1.8. De Besturing alle nodige informatie verstrekken om aan te tonen dat hij aan zijn verplichtingen voldoet. De partijen zullen onderling de voorwaarden overeenkomen waaronder de gegevensverwerker de naleving van zijn wettelijke verplichtingen bevestigt.
Op verzoek van de Data Controller, de Data Processor zal de Data Besturing te voorzien van voldoende bewijs van de implementatie van de technische en organisatorische maatregelen in overeenstemming met deze DPA, ontving de instructies, evenals de wettelijke bepalingen inzake de bescherming van de EER of van een van de EER-lidstaten.
2.1.9. Toestaan van en bijdragen aan audits, inclusief inspecties, uitgevoerd door de Besturing of een andere auditor die is gemachtigd door de Besturing.
2.1.10. Het geheim houden van de Persoonsgegevens waartoe de Verwerker toegang heeft gekregen voor het verlenen van Diensten, ook na het verstrijken van de looptijd van deze DPA. De gegevensverwerker verplicht zich tot strikte geheimhouding en vertrouwelijkheid met betrekking tot de gegevens, documenten en informatie die zijn ontvangen of waarvan de gegevensverwerker kennis heeft gekregen als gevolg van het verlenen van de diensten, en deze te beschermen tegen elk ongeoorloofd gebruik of onbevoegde derde inspectie van partijen.
De Data Processor zal de Data Besturing onmiddellijk schriftelijk in het geval dat een onbevoegde derde heeft toegang verkregen tot of is de betreffende vertrouwelijke gegevens, documenten en informatie, alsmede de resultaten van de verrichte werkzaamheden binnen de Diensten geïnspecteerd. In een dergelijk geval zal de Data Processor communiceren ook de naam van deze derde partij bij de Data Besturing.
2.1.11. Ervoor zorgen dat toegang tot Persoonsgegevens alleen wordt toegestaan aan medewerkers of medewerkers die zich tot geheimhouding hebben verplicht of onder een passende wettelijke geheimhoudingsplicht staan, en die vanwege de aard van hun werkzaamheden strikt noodzakelijk zijn voor het verlenen van de Diensten .
De gegevensverwerker garandeert dat geautoriseerd personeel naar behoren is getraind met betrekking tot de bescherming van persoonsgegevens en uitdrukkelijk en schriftelijk heeft ingestemd met de naleving van de beveiligingsmaatregelen die passen bij het type en de doeleinden van de gegevensverwerkingsactiviteiten, waarover zij zullen worden geïnformeerd.
2.1.12. Voor het verlenen van de Diensten kan Salto enkele externe dienstverleners inschakelen die zich buitenzijde de EER bevinden en die de Persoonsgegevens zullen verwerken. In dat geval zal Salto eisen dat providers zich houden aan de
maatregelen die zijn ontworpen om de Persoonsgegevens te beschermen die zijn vastgelegd in een bindend contract, behalve in gevallen waarin de Europese Commissie heeft vastgesteld dat het land waar de ontvanger zich bevindt een passend beschermingsniveau biedt.
2.2. Uitbesteding
2.2.1. Besturing verleent algemene toestemming aan Verwerker om andere gegevensverwerkers in te schakelen voor de verwerking van de Persoonsgegevens. Bovendien verleent het ook algemene toestemming om dergelijke subgegevensverwerkers ook uit te besteden aan andere subgegevensverwerkers. De Subgegevensverwerker(s) die momenteel betrokken zijn bij de verwerking van Persoonsgegevens zijn opgenomen in Bijlage 1. Wanneer de Gegevensverwerker andere bedrijven inschakelt, zal de Gegevensverwerker de Besturing op de hoogte stellen dat deze geacht wordt automatisch te zijn opgenomen in een dergelijke Bijlage vanaf een dergelijke kennisgeving, zonder de noodzaak om die Bijlage bij te werken.
2.2.2. Wanneer de gegevensverwerker een andere gegevensverwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens de gegevensbeheerder, is de gegevensverwerker verplicht om een Besturing te ondertekenen met inachtneming van de voorwaarden die in deze DPA zijn bepaald.
2.2.3. De subgegevensverwerker wordt beschouwd als een gegevensverwerker en zal geen Persoonsgegevens verwerken, behalve in opdracht van de Besturing en de clausules van deze DPA. De gegevensverwerker moet de nieuwe contractuele relatie zo regelen dat dezelfde gegevensbeschermingsverplichtingen (instructies, veiligheidsmaatregelen, plichten, enz.) en dezelfde formele vereisten met betrekking tot gegevensverwerking en rechten en vrijheden van betrokkenen worden vervuld door de subgegevensverwerker .
2.3. Uitoefening van rechten
2.3.1. Indien de betrokkenen jegens de gegevensverwerker de rechten van toegang, rectificatie, verwijdering uitoefenen, om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerde beslissing, beperking van de verwerking, bezwaar en gegevensoverdraagbaarheid, zal de gegevensverwerker de gegevensbeheerder op de hoogte Besturing dergelijke omstandigheid per e-mail naar het op het Platform vermelde adres. De gegevensverwerker zal de gegevensbeheerder Besturing met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, rekening houdend met de aard van de verwerking, om te voldoen aan de verplichting van de gegevensbeheerder om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene die zijn verleend in Hoofdstuk III van de AVG of toepasselijke lokale gegevensbeschermingsverordening.
2.3.2. In het bijzonder kan het Platform een optie bevatten voor betrokkenen om hun account van het Platform te verwijderen. In dergelijke gevallen wordt de Verwerkingsverantwoordelijke per e-mail of via een kennisgeving verzonden naar zijn Platform- account op de hoogte gebracht van het verzoek van de betrokkene en de datum waarna een dergelijk gebruikersprofiel en gerelateerde gegevens Besturing van het Platform zullen worden verwijderd of geanonimiseerd. De gegevensbeheerder Besturing het recht om de gegevens vóór de bovengenoemde datum van het platform te downloaden om te voldoen aan de bewaartermijnen van de gegevensbeheerder.
2.4. Veiligheids maatregelen
2.4.1. In overeenstemming met de geïdentificeerde gegevensverwerkingsactiviteiten en, in overeenstemming met de risicoanalyse uitgevoerd door de gegevensverwerker, verbindt de gegevensverwerker zich ertoe de gepaste
veiligheidsmaatregelen te implementeren in overeenstemming met artikel 32 AVG.
2.4.2. Partijen kunnen besluiten de door partijen getroffen en overeengekomen beveiligingsmaatregelen te specificeren in een Bijlage bij deze DPA.
2.5. Beëindiging van diensten
2.5.1. Met betrekking tot de Verwerking 1: Bij de definitieve beëindiging van de KS-diensten (onder voorbehoud van de bepalingen van artikel 1.4 van deze DPA), zal de gegevensverwerker de persoonlijke gegevens vernietigen, en, indien van toepassing, alle kopieën, documenten of ondersteunende materialen die dergelijke persoonlijke gegevens bevatten. Dienovereenkomstig, bij beëindiging van de looptijd van de KS-services in overeenstemming met de Algemene voorwaarden die van tijd tot tijd van toepassing kunnen zijn (dwz wanneer de gegevensbeheerder de Besturing -services niet verlengt), tenzij uitdrukkelijk schriftelijk anders aangegeven door de Besturing, de gegevensverwerker zal de database en de daarin opgenomen persoonsgegevens gedurende een periode van 6 maanden onderhouden met als doel de klant de heractivering van de KS-diensten te vergemakkelijken.
Zodra deze 6 maanden zijn verstreken zonder dat de Data Besturing hebben gereactiveerd de KS Dienst of indien eerder uitdrukkelijk en schriftelijk door de Data Besturing nodig, de KS Services wordt geacht definitief beëindigd en dus de Data Processor zal de persoonsgegevens te vernietigen, en, indien van toepassing, alle kopieën, documenten of ondersteunende materialen die dergelijke Persoonsgegevens bevatten.
De gegevensverwerker kan in ieder geval een kopie van de Persoonsgegevens bewaren die geblokkeerd is tijdens de verjaringstermijnen van aansprakelijkheden die voortvloeien uit de uitvoering van de overeengekomen Diensten. In dit geval garandeert de gegevensverwerker dat hij deze niet zal verwerken, tenzij de gegevensverwerker verplicht is om gegevens tijdens de genoemde verjaringstermijnen beschikbaar te stellen aan het openbaar bestuur, rechters en rechtbanken.
2.5.2. Met betrekking tot de Verwerking 2: Bij de uitvoering van elk van de concrete Technische Ondersteuningsdiensten (dwz bij het oplossen van het concrete probleem waarvoor de Technische Ondersteuningsdiensten moesten worden
geleverd), Salto zal, zonder onnodige vertraging (die niet langer mag zijn dan drie (3) Kalenderdagen), de Persoonsgegevens of elk wachtwoord dat is gegeven voor toegang tot dergelijke Persoonsgegevens, en, indien van toepassing, alle kopieën, documenten of ondersteunend materiaal vernietigen. die dergelijke Persoonsgegevens bevatten.
2.6. Inbreuk in verband met persoonsgegevens
2.6.1. In het geval van inbreuk op persoonsgegevens, de Data Processor Besturing voor de verwerking in kennis stellen zonder onnodige vertraging na bewustwording van een inbreuk op persoonsgegevens, en via het e-mailadres aangegeven door de Data Besturing bij het Platform, samen met alle relevante informatie voor de documentatie en communicatie van het incident.
2.7. Functionaris voor gegevensbescherming
2.7.1. De gegevensverwerker bevestigt uitdrukkelijk dat hij een functionaris voor gegevensbescherming heeft aangesteld. Voor dit doel, als de Klant contact met hem/haar wil opnemen, kunt u dit doen via het volgende e-mailadres: xxxxxxx@xxxxxxxxxxxx.xxx
2.7.2. De functionaris voor gegevensbescherming van de gegevensverwerker moet er zonder enige beperking voor zorgen dat alle relevante gegevensbeschermingsbepalingen van de EER of de EER-lidstaat bij de gegevensverwerker worden nageleefd en uitgevoerd met betrekking tot de contractuele relatie tussen de gegevensverwerker en de Besturing.
2.7.3. Indien de functionaris voor gegevensbescherming in dat verband onregelmatigheden bij de gegevensverwerker
constateert, moet hij de gegevensbeheerder Besturing schriftelijk op de hoogte stellen. In dat geval wordt de functionaris voor gegevensbescherming van de gegevensverwerker uitdrukkelijk vrijgesteld van de verplichting tot geheimhouding jegens de Besturing.
3. Verplichtingen van de Besturing.
Wanneer de gegevens beheerder is gelegen in de EER, dezelfde accepteert en garanties:
3.1. Verstrek de gegevensverwerker van de benodigde gegevens zodat deze de Diensten kan leveren.
3.2. Voldoe aan alle verplichtingen die in de AVG zijn uiteengezet voor de verwerking van de Persoonsgegevens en zorg ervoor dat, voorafgaand aan en tijdens de verwerking, de AVG volledig wordt nageleefd door de Besturing. Onder andere verklaart de gegevensbeheerder Besturing dat hij, voordat hij persoonsgegevens naar het platform uploadt en/of anderszins toegang geeft tot persoonsgegevens aan de gegevensverwerker, heeft voldaan aan alle wettelijke formaliteiten en vereisten en dat hij alle de toestemmingen die vereist zijn op grond van de toepasselijke wetgeving voor het verzamelen van de Persoonsgegevens (inclusief, onder andere, eventuele specifieke toestemmingen die vereist zijn voor de verwerking van Persoonsgegevens van Kinderen, indien van toepassing) en voor het verlenen van toegang aan de Gegevensverwerker tot dergelijke Persoonsgegevens en voor de verwerking van dergelijke Persoonsgegevens door de Gegevensverwerker met inachtneming van de bepalingen van deze DPA.
3.3. Toezicht houden op de verwerking van Persoonsgegevens.
Wanneer de gegevensbeheerder zich buitenzijde de EER bevindt, aanvaardt en garandeert deze hetzelfde:
3.4. Verstrek de gegevensverwerker van de benodigde gegevens zodat deze de Diensten kan leveren.
3.5. Voldoe aan alle verplichtingen die zijn uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming. Onder andere verklaart de gegevensbeheerder Besturing dat hij, voordat hij persoonsgegevens naar het platform uploadt en/of anderszins toegang geeft tot persoonsgegevens aan de gegevensverwerker, heeft voldaan aan alle wettelijke formaliteiten en vereisten en dat hij alle de toestemmingen die vereist zijn op grond van de toepasselijke wetgeving voor het verzamelen van de Persoonsgegevens (inclusief, onder andere, eventuele specifieke toestemmingen die vereist zijn voor de verwerking van Persoonsgegevens van Kinderen, indien van toepassing), voor het verlenen van toegang aan de Gegevensverwerker tot dergelijke Persoonsgegevens en voor de verwerking van dergelijke Persoonsgegevens door de Gegevensverwerker met inachtneming van de bepalingen van deze DPA.
3.6. Toezicht houden op de verwerking van Persoonsgegevens.
4. Aansprakelijkheid
Elk van de partijen bij deze DPA is aansprakelijk voor de directe schade die kan voortvloeien uit de schending van de verplichtingen die krachtens deze gegevensbeschermingsovereenkomst zijn aangegaan, en moet in dit geval de vergoeding op zich nemen voor de schade die een dergelijke tekortkoming aan de andere partij zou kunnen veroorzaken. De totale maximale aansprakelijkheid van beide partijen jegens de andere op grond van deze DPA is beperkt tot de maximale aansprakelijkheid per gebeurtenis zoals overeengekomen in de Algemene Voorwaarden die van tijd tot tijd van toepassing
kunnen zijn.
5. Diversen
5.1. Eventuele wijzigingen van en aanvullingen op deze DPA moeten door de partijen worden aanvaard en schriftelijk worden gedaan om van kracht te worden.
5.2. Deze DPA is opgenomen in en vormt een aanvulling op de Algemene Voorwaarden. Bovendien wijzigt en vervangt het gedeeltelijk de bepalingen van de Algemene Voorwaarden die in strijd zijn met of in strijd zijn met de inhoud van deze DPA (indien van toepassing). Voor alle duidelijkheid: de overige bepalingen van de Algemene Voorwaarden blijven van kracht.
5.3. Alle communicatie die in het kader van deze Besturing tussen de gegevensverwerker en de gegevensbeheerder moet worden verzonden, gebeurt in overeenstemming met de volgende regels:
a. Indien geadresseerd aan het hoofdkantoor van Salto of aan de dochteronderneming van Salto: wordt verzonden per e-mail naar het e-mailadres xxxxxxx@xxxxxxxxxxxx.xxx of per brief met ontvangstbevestiging naar het volgende adres:
SALTO Systems, S.L. (t.b.v. Functionaris Gegevensbescherming) Xxxxxx 0, Xxxxxxxx Lanbarren
Oiartzun (Gipuzkoa-Spanje)
B. Indien geadresseerd aan de klant: wordt per e-mail verzonden naar het e-mailadres van de eigenaar van het systeem dat is aangegeven op het platform, via het platform, via de mobiele app van Salto KS of per brief met ontvangstbevestiging naar het adres van de eigenaar van het systeem aangegeven in het Platform.
Bij wijze van uitzondering kan elke specifieke communicatie die moet worden verzonden met betrekking tot het verlenen van de Technische Ondersteuningsdiensten worden gedaan aan het specifieke personeelslid dat het incident oplost.
6. Toepasselijk recht en jurisdictie
6.1. De partijen van deze DPA zijn het er onderling over eens dat eventuele verschillen of meningsverschillen die kunnen ontstaan met betrekking tot de interpretatie en/of uitvoering van de DPA zullen worden opgelost door de rechtbanken van het rechtsgebied waarin Salto HQ zijn statutaire zetel heeft in overeenstemming met de Spaanse wet en uitdrukkelijk afstand doen van enige andere jurisdictie die daarmee overeenstemt.
BIJLAGE 1: SUBVERWERKERS PERSOONSGEGEVENS
In overeenstemming met artikel 2.2.1 van de DPA hierin, verklaart de gegevensverwerker, en de gegevensbeheerder Besturing en aanvaardt, dat op de datum hiervan de bedrijven die zich bezighouden met de verwerking van persoonsgegevens namens de gegevensbeheerder de Besturing zijn:
The Processing 1:
Clay Solutions B.V. (Salto Group company).
Clay Solutions B.V. besteedt de hosting van het platform uit aan Microsoft Ireland Operations Limited en Qweb Internet Services B.V.
Qweb Internet Services BV besteedt de hosting van het Platform uit aan Dataplace B.V.
The Processing 2:
Het hoofdkantoor van SALTO.
Clay Solutions B.V. (Salto Group company).
Vrijwaring:
This is a downloadable version of the website content that we make available to you for informative purposes for an easier consultation and filling. However, SALTO assumes no responsibility for any errors or typos that the downloadable version may contain.
As SALTO reserves the right to modify this content from time to time, please check on the Legal section of our website to find the latest version of the legal documents and their updates.