Command Alkon Incorporated, Addendum Over Gegevensverwerking
Command Alkon Incorporated, Addendum Over Gegevensverwerking
Bijgewerkt: 23-08-2023
Dit addendum voor Gegevensverwerking (“DPA”) maakt deel uit van de hoofdlicentie- en dienstenovereenkomst (“Overeenkomst”) tussen: (i) de Klant (geïdentificeerd in de hoofdlicentie- en dienstenovereenkomst) en zijn aan de EER gelieerde ondernemingen (“Klant”); en (ii) Command Alkon Incorporated en zijn dochterondernemingen (“Bedrijf”), alleen indien vereist op grond van de Algemene Verordening Gegevensbescherming (“GDPR”) of andere toepasselijke privacywetgeving.
Dit addendum vervangt elke eerdere overeenkomst tussen de partijen over het onderwerp in dit document, dat wil zeggen gegevensprivacy en -beveiliging, zoals van toepassing op de privacywetgeving.
Met het oog op de wederzijdse verplichtingen die hierin zijn uiteengezet, komen de partijen hierbij overeen dat de onderstaande voorwaarden als bijlage bij de Overeenkomst worden toegevoegd.
1. Definities
“Persoonlijke Gegevens van Klanten” betekent persoonsgegevens die door het Bedrijf namens de Klant worden verwerkt om de producten en/of diensten te leveren.
“CCPA” betekent de California Consumer Privacy Act, zoals gewijzigd door de California Privacy Rights Act of verdere Californische wet/regelgeving.
“Betrokkene” betekent de persoon op wie de Persoonsgegevens van de Klant betrekking hebben.
“Data Privacy Framework” betekent het rechtskader tussen de EU en de VS voor grensoverschrijdende overdrachten van Persoonsgegevens tussen de Europese Unie en de Verenigde Staten, met inbegrip van de Britse uitbreiding naar de EU-VS. DPF en de Swiss-
U.S. DPF.
“Gegevensbeschermingswetten” betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (en elke wijziging of vervanging daarvan), de Zwitserse federale wet inzake gegevensbescherming van 19 juni 1992 (en elke wijziging of vervanging ervan), of de GDPR van de EU zoals gewijzigd en opgenomen in de Britse wetgeving op grond van de Britse Europese Unie (Intrekking)) Wet 2018 en toepasselijke secundaire wetgeving op grond van die wet (en elke wijziging of vervanging ervan), of elke andere toepasselijke privacywetgeving die een gegevensbeschermingsautoriteit vereist, afhankelijk van wat van toepassing is (waaronder de CCPA).
“Persoonsgegevens” betekent alle informatie die betrekking heeft op een Betrokkene, met inbegrip van maar niet beperkt tot een naam, een identificatienummer, locatiegegevens, een
online-identificator, of op een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van de Betrokkene.
“Proces” of “Verwerking” betekent elke bewerking of reeks handelingen die worden uitgevoerd met Persoonsgegevens van Klanten, al dan niet op geautomatiseerde wijze, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, wijzigen, opvragen, raadplegen, gebruiken, openbaar maken, verwijderen, beperken, toegang, verspreiden, combineren, aanpassen, kopiëren, overdragen, wissen en/of vernietigen van Persoonsgegevens van Klanten.
“Inbreuk op de Beveiliging” betekent een bevestigde Inbreuk op de Beveiliging die leidt tot een onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot de verzonden, opgeslagen of anderszins verwerkte Persoonsgegevens van de Klant.
“Derde Partij” betekent een andere partij dan de Klant of het Bedrijf.
De termen “verwerkingsverantwoordelijke”, “verwerker” en “toezichthoudende autoriteit” zoals gebruikt in deze gegevensbeschermingsautoriteit zullen de betekenis hebben die eraan wordt toegekend in de GDPR.
Alle andere termen zonder hoofdletters hebben de betekenis die is vastgelegd in de Overeenkomst of de toepasselijke privacywetgeving.
2. Verwerking van Persoonsgegevens van Klanten
2.1 Doel van de Verwerking. Het doel van de Gegevensverwerking in het kader van deze gegevensbeschermingsautoriteit is de levering van producten en/of diensten op grond van de Overeenkomst. Bijlage 1 beschrijft het onderwerp en de details van de Verwerking van Persoonsgegevens van Klanten.
2.2 Verantwoordelijkheden voor de Verwerker en de Controller. De partijen erkennen en gaan ermee akkoord dat: (a) het bedrijf een verwerker is van Persoonsgegevens van Klanten volgens de wetgeving inzake gegevensbescherming; (b) de Klant een beheerder is van de Persoonsgegevens van Klanten volgens de wetgeving inzake gegevensbescherming; (c) de Klant verantwoordelijk is voor het verkrijgen van alle nodige autorisaties en goedkeuringen voor het invoeren, gebruiken, verstrekken, opslaan en verwerken van Persoonsgegevens van Klanten zodat het bedrijf de producten en/of diensten kan leveren; en (d) elke partij zal voldoen aan de toepasselijke verplichtingen op grond van de wetgeving inzake gegevensbescherming met betrekking tot de Verwerking van Persoonlijke Gegevens van Klanten.
2.3 Amerikaanse Wetgeving Inzake Gegevensbescherming. Voor de doeleinden van de Amerikaanse wetgeving inzake gegevensbescherming (waaronder de CCPA) omvat “verwerkingsverantwoordelijke” “bedrijf”; “verwerker” omvat “dienstverlener”; “Betrokkene” omvat “consument”; en “Persoonlijke gegevens” omvat “persoonlijke informatie.” Het bedrijf is een dienstverlener en de Klant is een bedrijf.
2.4 Instructies voor de Klant. De Klant geeft het bedrijf opdracht om Persoonsgegevens van Klanten te verwerken: (a) in overeenstemming met de Overeenkomst en eventuele toepasselijke supplementen; (b) indien anders nodig om de producten en/of diensten aan de Klant te leveren; (c) indien nodig om te voldoen aan de toepasselijke wet- of regelgeving; en (d) om te voldoen aan andere redelijke schriftelijke instructies van de Klant, indien dergelijke instructies in overeenstemming zijn met de voorwaarden van de Overeenkomst. De Klant zal ervoor zorgen dat zijn instructies voor de Verwerking van Persoonsgegevens van Klanten voldoen aan de wetgeving inzake gegevensbescherming. Wat de partijen betreft, is de Klant als enige verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettigheid van de Persoonlijke gegevens van de Klant en de manier waarop de Klant de Persoonlijke Gegevens van de Klant heeft verkregen.
2.5 Naleving van de Instructies van de Klant door het Bedrijf. Het bedrijf verwerkt Persoonsgegevens van Klanten uitsluitend volgens de instructies van de Klant en behandelt de Persoonsgegevens van Klanten als vertrouwelijke informatie. Als het bedrijf van mening is of zich ervan bewust wordt dat een van de instructies van de Klant in strijd is met de wetgeving inzake gegevensbescherming, zal het bedrijf de Klant hiervan binnen een redelijke termijn op de hoogte stellen. Het bedrijf kan Persoonsgegevens van Klanten verwerken op een andere manier dan in schriftelijke instructies van de Klant, indien dit vereist is op grond van de toepasselijke wetgeving waaraan het bedrijf is onderworpen. In deze situatie zal het bedrijf de Klant op de hoogte brengen van een dergelijke vereiste voordat het bedrijf de Persoonsgegevens van de Klant verwerkt, tenzij dit volgens de toepasselijke wetgeving verboden is.
2.6 CCPA-Verwerking. Voor zover de Verwerking van Persoonsgegevens door het bedrijf onderworpen is aan de CCPA, verklaart het bedrijf dat het: (a) de Persoonsgegevens van Klanten niet zal bewaren, gebruiken of openbaar maken, voor zover dat nodig is om de producten en/of diensten te leveren, om de kwaliteit van de producten en/of diensten op te bouwen of te verbeteren, om beveiligingsincidenten op te sporen, om bescherming te bieden tegen frauduleuze of illegale activiteiten, om subverwerkers te behouden in overeenstemming met deze DPA, of zoals anderszins toegestaan door de CCPA; of (b) Persoonlijke Gegevens van Klanten verkopen of delen.
3. Subverwerkers
3.1 Aanstelling van Subverwerkers. De Klant geeft het bedrijf hierbij algemene schriftelijke toestemming om externe subverwerkers in te schakelen om beperkte of aanvullende diensten te verlenen in verband met de levering van producten en/of diensten. Op de website van het bedrijf staan subverwerkers die momenteel door het bedrijf zijn ingeschakeld om specifieke Verwerkingsactiviteiten met betrekking tot Persoonsgegevens van Klanten uit te voeren (xxxxx://xxxxxxxxxxxx.xxx/xxx- processor-list/) en het bedrijf zal de lijst van subverwerkers bijwerken voordat een nieuwe subverwerker wordt ingeschakeld om specifieke Verwerking uit te voeren. De Klant kan zich aanmelden voor elektronische updates wanneer de lijst van subverwerkers van het bedrijf wordt gewijzigd door een dergelijk verzoek te sturen naar xxxxxxx@xxxxxxxxxxxx.xxx. De Klant kan bezwaar maken tegen elke subverwerker door dit bezwaar binnen dertig (30) dagen na een update aan het bedrijf
mee te delen, en de partijen zullen te goeder trouw te werk gaan om het bezwaar op te lossen. De Klant gaat hierbij akkoord met subverwerkingsactiviteiten door huidige subverwerkers die op de website van het bedrijf worden vermeld.
3.2 Beveiliging van de Subverwerker. Wanneer het bedrijf zijn verplichtingen uitbesteedt, zal het dat alleen doen door middel van een schriftelijke overeenkomst met de subverwerker die contractuele verplichtingen oplegt die minstens gelijk zijn aan de verplichtingen die op grond van dit addendum aan het bedrijf worden opgelegd.
3.3 Aansprakelijkheid. Indien de subverwerker zijn verplichtingen op het gebied van gegevensbescherming op grond van een dergelijke schriftelijke overeenkomst niet nakomt, blijft het bedrijf volledig aansprakelijk jegens de Klant voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van een dergelijke overeenkomst.
4. Verantwoordelijkheden op Veiligheidsgebied
4.1 Beveiliging van het Bedrijf. Het bedrijf zal passende technische en organisatorische maatregelen nemen om de Persoonsgegevens van Klanten te beschermen (“Informatiebeveiligingsprogramma”), waarbij rekening wordt gehouden met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de Verwerking, evenals met het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen. Het bedrijf beheert zichzelf volgens de volgende veiligheidsnormen: NIST 800-171; AWS CIS.
4.2 Beveiliging van Klanten. De Klant erkent dat de producten en/of diensten bepaalde functies en functionaliteiten bevatten die de Klant kan gebruiken en die van invloed zijn op de veiligheid van de Persoonsgegevens van de Klant die worden verwerkt door het gebruik van de producten en/of diensten door de Klant. De Klant is verantwoordelijk voor het beoordelen van de informatie die het bedrijf beschikbaar stelt over de gegevensbeveiliging en om onafhankelijk te bepalen of de producten en/of diensten voldoen aan de vereisten en wettelijke verplichtingen van de Klant, met inbegrip van zijn verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming. De Klant is verder verantwoordelijk voor het correct configureren van de producten en/of diensten en het gebruik van functies en functionaliteiten die door het bedrijf beschikbaar worden gesteld om de juiste beveiliging te handhaven in het licht van de aard van de Persoonsgegevens van Klanten die worden verwerkt als gevolg van het gebruik van de producten en/of diensten door de Klant. De Klant is verantwoordelijk voor het gebruik van de producten en/of diensten en de opslag van alle kopieën van Persoonlijke Gegevens van Klanten buiten de systemen van het bedrijf of de subverwerkers van het bedrijf, met inbegrip van, maar niet beperkt tot, het beveiligen van de inloggegevens, systemen en apparaten van de account, en het bewaren van kopieën van de Persoonlijke Gegevens van de Klant, indien van toepassing.
4.3 Personeel van het Bedrijf. Het bedrijf zorgt ervoor dat het personeel dat betrokken is bij de Verwerking van Persoonsgegevens van Klanten op de hoogte wordt gebracht van het vertrouwelijke karakter van de Persoonsgegevens van de Klant, een passende opleiding heeft gekregen over hun verantwoordelijkheden en onderworpen is aan
vertrouwelijkheidsverplichtingen, waarbij dergelijke verplichtingen ook na de beëindiging van de overeenkomst van die persoon met het bedrijf blijven bestaan.
4.4 Veiligheidstests. Het bedrijf zal de doeltreffendheid van het Informatiebeveiligingsprogramma testen, beoordelen en evalueren om de veilige Verwerking van Persoonsgegevens van Klanten te garanderen. Het bedrijf zal voldoen aan het Informatiebeveiligingsprogramma en verklaart en garandeert dat het Informatiebeveiligingsprogramma in overeenstemming is en zal zijn met de toepasselijke wetgeving.
4.5 Effectbeoordelingen. Het bedrijf zal redelijke maatregelen nemen om samen te werken en de Klant te helpen bij het uitvoeren van effectbeoordelingen en bijbehorend overleg met elke toezichthoudende autoriteit indien de Klant op grond van de wetgeving inzake gegevensbescherming verplicht is dergelijke effectbeoordelingen uit te voeren.
5. Rechten van Betrokkenen
5.1 Hulp bij de Verplichtingen van de Klant. Voor zover de Klant bij het gebruik of de ontvangst van de producten en/of diensten niet in staat is om de Persoonlijke Gegevens van Klanten te corrigeren, te wijzigen, te beperken, te blokkeren of te verwijderen, zoals vereist door de wetgeving inzake gegevensbescherming, zal het bedrijf onmiddellijk voldoen aan redelijke verzoeken van de Klant om dergelijke acties mogelijk te maken, voor zover het bedrijf dat wettelijk is toegestaan en kan doen. Indien wettelijk toegestaan, is de Klant verantwoordelijk voor alle kosten die voortvloeien uit de verlening van dergelijke bijstand door het bedrijf.
5.2 Meldingsverplichtingen. Het bedrijf zal, voor zover wettelijk toegestaan, de Klant onmiddellijk op de hoogte stellen als het een verzoek ontvangt van een Betrokkene om toegang tot, correctie, wijziging, verwijdering van of bezwaar tegen de Verwerking van Persoonsgegevens van Klanten met betrekking tot een dergelijke persoon. Het bedrijf zal niet reageren op een dergelijk verzoek van de Betrokkene met betrekking tot Persoonlijke Gegevens van Klanten zonder voorafgaande schriftelijke toestemming van de Klant, behalve om te bevestigen dat het verzoek betrekking heeft op de Klant. Bovendien zal het bedrijf, voor zover wettelijk toegestaan, de Klant onmiddellijk op de hoogte stellen als het een verzoek ontvangt om openbaarmaking of correspondentie, kennisgeving of andere communicatie met betrekking tot Persoonsgegevens van Klanten van wetshandhavingsinstanties, een bevoegde autoriteit of een relevante gegevensbeschermingsautoriteit. Het bedrijf zal de Klant passende redelijke medewerking en hulp bieden bij de behandeling van een dergelijk verzoek, voor zover wettelijk toegestaan en voor zover de Klant geen toegang heeft tot dergelijke Persoonlijke Gegevens van Klanten door het gebruik of de ontvangst van de producten en/of diensten. Indien wettelijk toegestaan, is de Klant verantwoordelijk voor alle kosten die voortvloeien uit de verlening van dergelijke bijstand door het bedrijf.
6. Inbreuk in Verband met Persoonsgegevens
6.1 Meldingsverplichtingen. In het geval dat het bedrijf kennis neemt van een geverifieerde Inbreuk op de Beveiliging waarbij Persoonsgegevens van Klanten
betrokken zijn, zal het bedrijf de Klant onverwijld en in ieder geval niet later dan 72
(72) uur na ontdekking op de hoogte stellen van de Inbreuk op de Beveiliging. De verplichtingen in dit artikel 6 zijn niet van toepassing op incidenten die worden veroorzaakt door personeel of eindgebruikers van de Klant of Klant of op mislukte pogingen of activiteiten die de veiligheid van de Persoonsgegevens van Klanten niet in gevaar brengen, waaronder mislukte inlogpogingen, pings, poortscans, denial-of- service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
6.2 Wijze van Xxxxxxx. Meldingen van beveiligingsinbreuken, indien van toepassing, worden via e-mail of telefoon naar het contactpunt van de Klant gestuurd. Het is de exclusieve verantwoordelijkheid van de Klant om ervoor te zorgen dat de contactgegevens op de ondersteuningssystemen van het bedrijf te allen tijde correct zijn. De Klant is als enige verantwoordelijk voor het voldoen aan de meldingseisen voor inbreuken die van toepassing zijn op de Klant en voor het nakomen van alle meldingsverplichtingen van derden in verband met een Inbreuk op de Beveiliging van Persoonsgegevens.
6.3 Inhoud van de Melding. Indien een kennisgeving vereist is, moet deze kennisgeving ten minste:
6.3.1 beschrijf de aard van de Inbreuk op de Beveiliging, de categorieën en aantallen betrokken Betrokkenen, en de categorieën en nummers van de betrokken Persoonsgegevens;
6.3.2 geef de naam en contactgegevens door van de relevante contactpersoon van het bedrijf, van wie meer informatie kan worden verkregen;
6.3.3 beschrijf de waarschijnlijke gevolgen van de Inbreuk op de Beveiliging; en
6.3.4 beschrijf de maatregelen die zijn genomen of voorgesteld om de Inbreuk op de Beveiliging aan te pakken.
7. Verwijdering of Teruggave van Persoonsgegevens van Klanten
7.1 Verwijderen of Terugsturen. Onder voorbehoud van paragraaf 7.3 gaat het bedrijf ermee akkoord om onmiddellijk en in ieder geval binnen dertig (30) dagen na de stopzetting van alle diensten met betrekking tot de Verwerking van Persoonsgegevens van Klanten (de “stopdatum”) de Persoonsgegevens van de Klant veilig te Verwijderen of, op tijdig schriftelijk verzoek van de Klant, een volledig exemplaar van alle Persoonsgegevens van de Klant terug te sturen aan de Klant door middel van een veilige bestandsoverdracht in een formaat dat redelijkerwijs door de Klant wordt gevraagd.
7.2 Definitie van Delete. Ter verduidelijking: “Verwijderen” betekent het verwijderen of wissen van Persoonlijke Gegevens van Klanten, zodat deze niet kunnen worden hersteld of gereconstrueerd.
7.3 Archiefstukken. Het bedrijf mag Persoonsgegevens van Klanten bewaren voor zover vereist door de toepasselijke wetgeving of zoals voorgeschreven in het schema voor
het bewaren van documenten van het bedrijf, op voorwaarde dat het bedrijf de vertrouwelijkheid van al deze Persoonsgegevens van Klanten garandeert.
8. Auditrechten
8.1 Auditrechten. De Klant mag niet meer dan één keer per jaar een onderling overeengekomen Derde Partij inschakelen om het bedrijf te auditeren, uitsluitend om te voldoen aan de auditvereisten op grond van artikel 28, sectie 3 (h) van de GDPR. Om een audit aan te vragen, moet de Klant minstens vier (4) weken voor de voorgestelde auditdatum een gedetailleerd auditplan indienen waarin de voorgestelde omvang, duur en startdatum van de audit worden beschreven. Auditverzoeken moeten worden gestuurd naar xxxxxxx@xxxxxxxxxxxx.xxx. Voordat de audit wordt uitgevoerd, moet de auditor een schriftelijke vertrouwelijkheidsovereenkomst opstellen die aanvaardbaar is voor het bedrijf. De audit moet worden uitgevoerd tijdens normale kantooruren, afhankelijk van het beleid van het bedrijf, en mag de bedrijfsactiviteiten van het bedrijf niet op onredelijke wijze beïnvloeden. Alle audits zijn voor rekening en kosten van de Klant. Het bedrijf zal samenwerken met elk auditverzoek van de Klant of elke bevoegde regelgevende of toezichthoudende autoriteit om na te gaan of het bedrijf voldoet aan zijn verplichtingen uit hoofde van deze DPA door, onder voorbehoud van geheimhoudingsverplichtingen, auditrapporten van derden beschikbaar te stellen, indien beschikbaar, en/of beschrijvingen van beveiligingscontroles en andere informatie die redelijkerwijs door de Klant wordt gevraagd met betrekking tot de beveiligingspraktijken en het beleid van het bedrijf.
8.2 Hulp bij de Naleving van de Regelgeving. Rekening houdend met de aard van de Verwerking en de informatie waarover het bedrijf beschikt, zal het bedrijf de Klant voldoende redelijke medewerking en bijstand verlenen met betrekking tot de nalevingsverplichtingen van de Klant, zoals beschreven in de artikelen 32-36 van de GDPR.
9. Overdracht van Xxxxxxxx
9.1 Algemene Machtiging. De Klant gaat ermee akkoord dat het bedrijf, met inachtneming van paragraaf 9.2, Persoonsgegevens van Klanten mag opslaan en verwerken in de Verenigde Staten van Amerika en elk ander land waar het bedrijf of een van zijn subverwerkers faciliteiten heeft of anderszins Persoonsgegevens verwerkt. Dergelijke overdrachten worden in de eerste plaats geregeld door de certificering van het Data Privacy Framework van het bedrijf of, als alternatief, door de onderling gelieerde standaardcontractbepalingen van het bedrijf. Het bedrijf zal geen Persoonlijke Gegevens van Klanten overdragen of laten overdragen van het ene rechtsgebied naar het andere, tenzij in overeenstemming met de toepasselijke wetgeving, en zal er niet toe leiden dat de Klant een wet inzake gegevensbescherming overtreedt.
9.2 Standaardcontractclausules. Voor zover en alleen voor zover het bedrijf Persoonsgegevens van Klanten uit de Europese Economische Ruimte verwerkt en er standaardcontractclausules nodig zijn, is module twee van de standaardcontractbepalingen van toepassing en wordt deze hierbij opgenomen. Voor
de toepassing van de standaardcontractbepalingen is de Klant de “gegevensexporteur” en het bedrijf de “gegevensimporteur.”
9.3 Brits Addendum bij de Standaardcontractclausules van de EU. Voor zover, en alleen voor zover het bedrijf Persoonsgegevens van Klanten uit het Verenigd Koninkrijk verwerkt en er standaardcontractbepalingen vereist zijn, komen de partijen overeen dat het Britse addendum van toepassing is op Persoonsgegevens die via de producten en/of diensten vanuit het Verenigd Koninkrijk worden overgedragen, hetzij rechtstreeks, hetzij via verdere overdracht, naar elk land of ontvanger buiten het Verenigd Koninkrijk dat door de bevoegde Britse regelgevende instantie of overheidsinstantie voor het Verenigd Koninkrijk niet wordt erkend als land of ontvanger buiten het Verenigd Koninkrijk dat niet wordt erkend als land of ontvanger buiten het Verenigd Koninkrijk dat niet wordt erkend als land of ontvanger buiten het Verenigd Koninkrijk van bescherming voor persoonlijke gegevens.
9.4 Zwitserse FADP. Voor zover, en alleen voor zover het bedrijf Persoonsgegevens van Klanten uit Zwitserland verwerkt, zijn de volgende aanvullende vereisten van toepassing voor zover de gegevensoverdrachten uitsluitend onder de FADP vallen of onder zowel de FADP als de EU GDPR vallen: (a) de term “lidstaat” mag niet zodanig worden geïnterpreteerd dat Betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om een rechtszaak aan te spannen voor hun rechten in hun gewone verblijfplaats (Zwitserland) in overeenstemming met clausule 18(c) van de standaardcontractbepalingen; (b) voor zover de gegevens overdrachten die ten grondslag liggen aan de standaardcontractclausules zijn uitsluitend onderworpen aan de FADP, verwijzingen naar de AVG van de EU moeten worden opgevat als verwijzingen naar de FADP; (c) voor zover de gegevensoverdrachten die ten grondslag liggen aan de standaardcontractclausules onderworpen zijn aan zowel de FADP als de EU-GDPR, moeten de verwijzingen naar de GDPR van de EU worden opgevat als verwijzingen naar de FADP voor zover de gegevensoverdrachten onderworpen zijn aan de FADP; en (d) tot de De Zwitserse wet inzake gegevensbescherming (rev. FADP) treedt in werking. De bepalingen van de standaardcontractbepalingen beschermen ook de Persoonlijke Gegevens van Klanten voor zover deze bepalingen volgens de Zwitserse wetgeving op hen van toepassing zijn.
9.5 Aanvullende Maatregelen. Als aanvulling op de standaardcontractbepalingen verneemt dat een overheidsinstantie (waaronder wetshandhavingsinstanties) toegang wil krijgen tot of een kopie wil krijgen van sommige of alle Persoonsgegevens van Klanten die door het bedrijf worden verwerkt, hetzij op vrijwillige of verplichte basis, voor doeleinden die verband houden met nationale veiligheidsinformatie, dan zal het bedrijf, tenzij wettelijk verboden of op grond van een dwingende wettelijke verplichting die anders vereist: 1) onmiddellijk de Klant op de hoogte stellen op wie de Persoonsgegevens van toepassing zijn; 2) relevante overheidsinstantie die niet bevoegd is om de Persoonlijke Gegevens van de Klant bekend te maken en moet, tenzij dit wettelijk verboden is, onmiddellijk de Klant op de hoogte stellen waarop de Persoonsgegevens van de Klant van toepassing zijn; 3) de overheidsinstantie ervan op de hoogte brengen dat zij alle verzoeken of verzoeken rechtstreeks moet richten aan de Klant op wie de Persoonsgegevens van de Klant van toepassing zijn; en 4) geen toegang tot de Persoonlijke Gegevens van de Klant verlenen totdat de Klant daar
schriftelijk toestemming voor heeft gegeven of totdat hij daartoe wettelijk verplicht is. Indien wettelijk verplicht, zal het bedrijf redelijke en wettige inspanningen leveren om een dergelijk verbod of dergelijke dwang aan te vechten. Als het bedrijf gedwongen wordt om de Persoonlijke Gegevens van de Klant te verstrekken, zal het bedrijf de Persoonlijke Gegevens van Klanten alleen bekendmaken voor zover dit wettelijk vereist is in overeenstemming met de toepasselijke wettelijke procedure.
9.6 Wet op het Toezicht op de Buitenlandse Inlichtingendienst. Het bedrijf heeft nog nooit een richtlijn ontvangen op grond van artikel 702 van de Amerikaanse Foreign Intelligence Surveillance Act, gecodificeerd in 50 U.S.C. §1881a (“FISA-sectie 702”). Geen enkele rechtbank heeft vastgesteld dat het bedrijf het type entiteit is dat in aanmerking komt voor een procedure die is uitgevaardigd op grond van FISA-sectie 702. Het bedrijf is niet het type aanbieder dat in aanmerking komt voor stroomopwaartse inzameling (“bulkinzameling”) overeenkomstig artikel 702 van de FISA, zoals beschreven in het Xxxxxxx II-besluit.
9.7 Voorrang bij Overdracht. In het geval dat diensten onder meer dan één overdrachtsmechanisme vallen, wordt de overdracht van de Persoonsgegevens van de Klant onderworpen aan één enkel overdrachtsmechanisme in overeenstemming met de volgende rangorde: (i) certificering van het kader voor gegevensbescherming van het bedrijf; (ii) standaardcontractbepalingen van de EU (indien vereist volgens de toepasselijke wetgeving inzake gegevensbescherming).
10. Termijn en Beëindiging
Termijn van de DPA. Deze gegevensbeschermingsautoriteit wordt van kracht op de datum waarop de Overeenkomst volledig is uitgevoerd en blijft, niettegenstaande het verstrijken van de looptijd van een gekocht abonnement, van kracht tot en vervalt automatisch na verwijdering van alle Persoonlijke Gegevens van Klanten zoals beschreven in deze DPA.
11. Niet-naleving; Rechtsmiddelen; Partijen
11.1 Beperking van Aansprakelijkheid. De aansprakelijkheid van het bedrijf voor niet- naleving van de verplichtingen in deze gegevensbeschermingsautoriteit is onderworpen aan de bepaling inzake beperking van aansprakelijkheid in de Overeenkomst.
11.2 Partijen bij deze Gegevensbeschermingsautoriteit. Niets in de gegevensbeschermingsautoriteit verleent voordelen of rechten aan andere personen of entiteiten dan de partijen bij deze gegevensbeschermingsautoriteit.
12. Algemene Voorwaarden
Toepasselijk recht en Jurisdictie
12.1 Deze gegevensbeschermingsautoriteit wordt één jaar na de uitgiftedatum geëvalueerd en vervolgens drie jaar daarna, of eerder indien nodig.
12.2 Tenzij vereist op grond van de standaardcontractbepalingen:
12.2.1 de partijen bij dit Addendum onderwerpen zich hierbij aan de keuze van de jurisdictie zoals bepaald in de Overeenkomst met betrekking tot alle geschillen of vorderingen die voortvloeien uit dit Addendum, met inbegrip van geschillen over het bestaan, de geldigheid of de beëindiging ervan; en
12.2.2 dit Addendum en alle niet-contractuele of andere verplichtingen die daaruit voortvloeien of daarmee verband houden, worden beheerst door de wetten van het land of gebied die voor dit doel in de Overeenkomst zijn vastgelegd.
Rangorde van Voorrang
12.3 In geval van tegenstrijdigheid of inconsistentie tussen dit addendum en de standaardcontractclausules waarbij de standaardcontractclausules vereist zijn, hebben de standaardcontractclausules voorrang.
12.4 Onder voorbehoud van paragraaf 12.2, met betrekking tot het onderwerp van dit Addendum, in geval van tegenstrijdigheden tussen de bepalingen van dit Addendum en andere overeenkomsten tussen de partijen, waaronder de Overeenkomst en inclusief (tenzij uitdrukkelijk schriftelijk anders overeengekomen, ondertekend namens de partijen) overeenkomsten die zijn gesloten of waarvan wordt beweerd dat ze zijn gesloten na de datum van dit Addendum, hebben de bepalingen van dit Addendum voorrang.
Wijzigingen in de Wetgeving Inzake Gegevensbescherming
12.5 De Klant kan:
12.5.1 door het Bedrijf van tijd tot tijd schriftelijk van ten minste dertig (30) kalenderdagen op de hoogte te stellen van eventuele wijzigingen in de standaardcontractbepalingen die vereist zijn als gevolg van een wijziging of beslissing van een bevoegde autoriteit op grond van die wet inzake gegevensbescherming; en
12.5.2 andere varianten van dit addendum voorstellen die de Klant redelijkerwijs noodzakelijk acht om te voldoen aan de vereisten van elke wet inzake gegevensbescherming.
12.6 Als de Klant op grond van paragraaf 12.5 op de hoogte stelt, zullen de partijen de voorgestelde wijzigingen onmiddellijk bespreken en te goeder trouw onderhandelen om deze of alternatieve varianten, die bedoeld zijn om te voldoen aan de vereisten die zijn geïdentificeerd in de kennisgeving van de Klant, zo snel als redelijkerwijs mogelijk is, overeen te komen en te implementeren.
Ontslagvergoeding
12.7 Mocht een bepaling van dit Addendum ongeldig of niet-afdwingbaar zijn, dan blijft de rest van dit Xxxxxxxx geldig en van kracht. De ongeldige of niet-afdwingbare bepaling wordt ofwel: (i) zo nodig gewijzigd om de geldigheid en afdwingbaarheid ervan te waarborgen, waarbij de bedoelingen van de partijen zo goed mogelijk
worden bewaard, of, indien dit niet mogelijk is; (ii) zo uitgelegd alsof het ongeldige of niet-afdwingbare deel er nooit in was opgenomen.