Contract
1
Verwerkersovereenkomst 17 mei 2018
VERWERKERSOVEREENKOMST
Partijen:
, gevestigd te ( ) aan de , ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer , ten deze rechtsgeldig vertegenwoordigd door de heer/mevrouw , hierna te noemen: "Verwerkingsverantwoordelijke"
EN
S.R.S. SPECIALIST RETAIL SYSTEMS B.V., gevestigd te (1322 CG) Almere aan de Transistorstraat 46, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 33223035, ten deze rechtsgeldig vertegenwoordigd door de heer X. xxx xxx Xxxx, hierna te noemen: "Verwerker".
OVERWEGENDE DAT:
− tussen Verwerkingsverantwoordelijke en Verwerker een overeenkomst is gesloten met betrekking tot het leveren van software, hierna te noemen: “de Overeenkomst";
− Verwerker in het kader van de uitvoering van de Overeenkomst de beschikking krijgt over per- soonsgegevens en deze voor Verwerkingsverantwoordelijke zal (laten) verwerken;
− de Algemene Verordening Gegevensbescherming, hierna te noemen: “AVG”, in deze van belang is;
− begrippen uit de AVG die worden gebruikt in deze Verwerkersovereenkomst, zoals persoonsgege- vens, betrokkene, verwerken, verwerkingsverantwoordelijke en verwerker, de betekenis hebben die daaraan is toegekend in de AVG;
− Partijen conform het bepaalde in artikel 28 AVG in deze overeenkomst, hierna te noemen: "de Verwerkersovereenkomst", hun afspraken over de verwerking van de persoonsgegevens vast- leggen.
2
KOMEN ALS VOLGT OVEREEN:
Artikel 1 Onderwerp Verwerkersovereenkomst en duur
1.1. De Verwerkersovereenkomst regelt de verwerking van persoonsgegevens door Verwerker in op- dracht en ten behoeve van Verwerkingsverantwoordelijke.
1.2. De Verwerkersovereenkomst gaat op het moment van ondertekening en blijft van kracht gedurende de looptijd van de Overeenkomst. Als de Overeenkomst eindigt, eindigt ook de Verwerkersover- eenkomst van rechtswege.
Artikel 2 Omvang verwerkingen door Xxxxxxxxx
2.1 Verwerker verwerkt persoonsgegevens voor Verwerkingsverantwoordelijke, overeenkomstig diens instructies en onder de uitdrukkelijke verantwoordelijkheid van Verwerkingsverantwoordelijke.
2.2 Verwerkingsverantwoordelijke heeft de zeggenschap over de verwerking van de persoonsgege- vens en heeft het doel van en de middelen voor de verwerking van de persoonsgegevens vastge- steld. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. In bijlage 1 bij deze Verwerkersovereenkomst is vast- gesteld om welke categorieën van betrokkenen en persoonsgegevens het gaat.
2.3 Indien een instructie in strijd is met wet- of regelgeving, dan zal Verwerker Verwerkingsverantwoor- delijke hiervan in kennis stellen, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
2.4 Verwerkingsverantwoordelijke staat er tegenover Verwerker voor in dat de inhoud, het gebruik en/of de verwerking van de persoonsgegevens niet onrechtmatig is/zijn en geen inbreuk maken op enig recht van een derde.
Artikel 3 Verantwoordelijkheid Verwerkingsverantwoordelijke
3.1 Verwerkingsverantwoordelijke heeft zelfstandig de verplichting om bij gebruik van het door Verwer- ker aangeboden systeem te beoordelen of alle daaraan gekoppelde opties/mogelijkheden in een voorkomend geval toegestaan zijn in het kader van de AVG.
3.2 Verwerker is niet aansprakelijk voor schade die ontstaat voor Verwerkingsverantwoordelijke en haar medewerkers ten gevolge van gebruik van opties/mogelijkheden die niet in overeenstemming blijken te zijn met de AVG.
Artikel 4 Beveiliging van de verwerking
4.1 Verwerker zal technische en organisatorische beveiligingsmaatregelen treffen om de persoonsge- gevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Bij de te treffen maatregelen zal Verwerker rekening houden met de stand van de techniek, de uitvoerings- kosten, de aard, omvang, context en verwerkingsdoeleinden en de risico’s voor de rechten en vrij- heden van betrokkenen.
3
4.2 Indien Verwerkingsverantwoordelijke daar om verzoekt, zal Xxxxxxxxx haar informeren omtrent door haar getroffen technische en organisatorische beveiligingsmaatregelen.
4.3 Verwerker kan er niet voor instaan dat de beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn.
4.4 Indien Verwerkingsverantwoordelijke van oordeel is dat een wijziging in de door Verwerker te tref- fen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te bieden, dan treden Partijen in overleg over de door Verwerkingsverantwoordelijke gewenste wijziging in de be- veiligingsmaatregelen.
Artikel 5 Procedure datalek
5.1 Indien sprake is van een inbreuk op de gegevensbescherming (een datalek) meldt Verwerker dit zo spoedig als redelijkerwijs mogelijk is nadat is vastgesteld dat een dergelijke inbreuk heeft plaats- gevonden, bij Verwerkingsverantwoordelijke.
5.2 Verwerkingsverantwoordelijke beoordeelt of het datalek moet worden gemeld bij de Autoriteit Per- soonsgegevens en/of bij betrokkene(n). De verantwoordelijkheid voor correcte en tijdige melding blijft te allen tijde rusten bij Verwerkingsverantwoordelijke.
5.3 Verwerker heeft het recht zelfstandig af te wegen of hij melding dient te maken van een datalek bij de Autoriteit Persoonsgegevens en/of betrokkene(n).
Artikel 6 Audit door Verwerkingsverantwoordelijke
6.1 Verwerkingsverantwoordelijke heeft het recht om jaarlijks door een onafhankelijke deskundige een toetsing ten aanzien van de uitvoering van de Verwerkersovereenkomst door Verwerker te laten uitvoeren. De kosten die zijn verbonden aan deze toetsing komen voor rekening van Verwerkings- verantwoordelijke.
6.2 Verwerkingsverantwoordelijke stelt Verwerker er 15 werkdagen van tevoren van in kennis indien hij voornemens is een dergelijke toetsing uit te voeren.
6.3 Indien er aanbevelingen uit de toetsing komen, zullen Verwerker en Verwerkingsverantwoordelijke hierover in overleg treden. Verwerker is echter niet verplicht de aanbevelingen op te volgen.
Artikel 7 Afhandeling verzoeken betrokkene
7.1 Verwerkingsverantwoordelijke heeft zelf toegang tot de persoonsgegevens en voldoet hij zelf aan alle verzoeken van betrokkenen met betrekking tot de persoonsgegevens. Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan Verwerkingsverantwoordelijke doorgeven.
7.2 Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zullen Verwerker en Verwer- kingsverantwoordelijke in overleg treden om er gezamenlijk voor te zorgen dat een betrokkene zijn rechten op grond van de AVG kan uitoefenen.
7.3 De eventuele met de uitvoering de in het vorige lid gemoeide kosten komen voor rekening van Verwerkingsverantwoordelijke.
4
Artikel 8 Overige medewerkingsverplichting Verwerker
8.1 Verwerker verleent Verwerkingsverantwoordelijke, voor zover naar aard van de zijn werkzaamhe- den mogelijk, bijstand bij het doen nakomen van de verplichtingen van Verwerkingsverantwoorde- lijke uiteengezet in de artikelen 32 t/m 36 AVG, rekening houdend met de tot Verwerker ter be- schikking staande informatie.
8.2 De eventuele met de uitvoering van de in het vorige lid gemoeide kosten met inbegrip van door Verwerker bestede uren komen voor rekening van Verwerkingsverantwoordelijke.
Artikel 9 Inschakelen subverwerkers
9.1 Verwerkingsverantwoordelijke verleent Verwerker toestemming om andere verwerkers in te scha- kelen ter uitvoering van de verplichtingen voortvloeiende uit de Overeenkomst onder de voor- waarde dat Verwerker Verwerkingsverantwoordelijke inlicht over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers. Verwerkingsverantwoordelijke kan binnen 14 dagen na bekendmaking bezwaar maken tegen de inschakeling van een subverwerker.
9.2 Indien Verwerker een andere verwerker inschakelt, draagt hij ervoor zorg dat de betreffende derde een overeenkomst sluit waarin hij zich tenminste houdt aan dezelfde wettelijke verplichtingen en de eventuele aanvullende verplichtingen uit de Verwerkersovereenkomst als die Verwerker heeft.
Artikel 10 Geheimhouding personeel Verwerker
10.1 Personeel van Xxxxxxxxx krijgt uitsluitend toegang tot persoonsgegevens verkregen van Verwer- kingsverantwoordelijke voor zover dat nodig is voor de uitvoering van de Overeenkomst. Verwer- ker legt het personeel dat toegang heeft tot deze persoonsgegevens een geheimhoudingsver- plichting op.
Artikel 11 Aansprakelijkheid
11.1 Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van de toezichthoudende au- toriteit en/of betrokkenen van wie persoonsgegevens door Verwerker worden verwerkt in het kader van de uitvoering van de Overeenkomst, tenzij Verwerkingsverantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan Verwerker toerekenbaar zijn.
11.2 Een aan Verwerkingsverantwoordelijke door de toezichthoudende autoriteit opgelegde bestuurlijke boete kan niet worden verhaald op Verwerker, tenzij er sprake is van opzet of bewuste roekeloos- heid aan de zijde van Xxxxxxxxx.
Artikel 12 Einde Verwerkersovereenkomst
12.1 Drie maanden na beëindiging van de Verwerkersovereenkomst zullen de van Verwerkingsverant- woordelijke ontvangen persoonsgegevens worden vernietigd. De Verwerkeringsverantwoordelijke
5
heeft tot dat moment de tijd om eventueel aanspraak te doen op verkrijging van deze data. Ver- werker kan de kosten die hiermee gemoeid zijn in rekening brengen bij Verwerkingsverantwoorde- lijke.
12.2 Het bepaalde in het vorige lid geldt niet indien een wettelijke regeling het geheel of gedeeltelijk retourneren of vernietigen van persoonsgegevens door Verwerker belet. In een dergelijk geval zal Verwerker de persoonsgegevens slechts blijven verwerken voor zover noodzakelijk uit hoofde van zijn wettelijke verplichtingen.
Artikel 13 Overig
13.1 Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst, zijn derhalve ook van toepassing op deze Verwerkersover- eenkomst. Bij strijdigheid tussen bepalingen uit deze Verwerkersovereenkomst en de Overeen- komst prevaleren de bepalingen uit de Verwerkersovereenkomst.
Aldus overeengekomen en in tweevoud opgemaakt.
Verwerkingsverantwoordelijke Verwerker
Naam: Datum: Plaats:
Naam: Xxx xxx xxx Xxxx Datum:
Plaats: Almere
6
Bijlage 1 Categorieën persoonsgegevens en categorieën betrokkenen
Van een klant of personeelslid van de klant kunnen de volgende gegevens worden opgeslagen, indien u deze in onze applicatie invoert.
• NAW: Aanhef, naam, adres, postcode, woonplaats, land, telefoonnummer, mobiel, e-mailadres,
geboortedatum en inschrijffiliaal (er zijn meerdere adressen per klant mogelijk).
• Variabelen kenmerken: U kunt extra opties op een klantprofiel aanmaken, welke u bij elke klant kunt invoeren in de applicatie. Deze vindt u onder CRM > systeem > klant labels.
• Aankoophistorie: Van elke geregistreerde klant die zich kenbaar maakt tijdens de aankoop, wordt geregistreerd dat de betreffende aankoop door deze klant is gedaan.
• Notities: U kunt bij een klant meerdere notities registreren.
• Spaarpunten, kortingsvouchers, rekeningen, aanbetalingen en vermakingen: Voor zover u hiervan gebruikmaakt worden deze gegevens voor oneindige duur bewaard. U kunt van al deze gegevens, alle mutaties inzien.
• Korting: Hoeveel korting ontvangt een personeelslid of klant standaard?
Voor personeel is er nog een aanvullende optie:
• Tijdsregistratie: Door middel van in- en uitklokken op de kassa, wordt geregistreerd van hoe laat tot hoe laat een personeelslid aanwezig was. Daarnaast is er een optie dat een manager dit handmatig invoert.
Al deze gegevens met betrekking tot klanten vindt u terug in het CRM-gedeelte van SRS in het pro- gramma: “onderhoud klanten”.
De gegevens voor personeel zijn terug te vinden in het Retail gedeelte van SRS in de programma’s: “onderhoud personeel” en “Personeelsaankopen”.
7