OVEREENKOMST INZAKE GEGEVENSVERWERKING
OVEREENKOMST INZAKE GEGEVENSVERWERKING
VEREISTEN AAN DE VERWERKING VAN PERSOONSGEGEVENS
1.1. De in deze overeenkomst gebruikte termen hebben dezelfde betekenis als neergelegd in de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming of General Data Protection Regulation (GDPR)).
1.2. Voor zover bij het gebruik van TimeMoto® persoonsgegevens worden verwerkt in de zin van de GDPR, houden partijen het ervoor dat Safescan kan worden aangemerkt als een Verwerker. Safescan neemt de, uit hoofde van de GDPR, op haar als Verwerker rustende verplichtingen in acht. Verantwoordelijke is, behoudens een andersluidende bepaling in deze voorwaarden, de wederpartij bij deze overeenkomst, zijnde een partij aan wie Safescan een gebruiksrecht heeft verleend op TimeMoto®.
1.3. Verantwoordelijke garandeert tegenover Safescan dat Verantwoordelijke de op haar rustende verplichtingen onder de GDPR nakomt. Verantwoordelijke vrijwaart Safescan in verband daarmee voor aanspraken van derden, waaronder begrepen van personen op wie de persoonsgegevens waarvoor Verantwoordelijke verantwoordelijk is betrekking hebben en de Autoriteit Persoonsgegevens of een daarmee vergelijkbare buitenlandse instantie in welk land dan ook.
1.4. Persoonsgegevens worden door Safescan uitsluitend verwerkt met het doel uitvoering te geven aan de overeenkomst tot het gebruik van TimeMoto®. Hiertoe verwerkt Safescan persoonsgegevens over medewerkers van Verantwoordelijke en (eventueel) andere personen die Verantwoordelijke in het kader van haar activiteiten via Safescan project- en/of arbeidstijden laat registeren. Safescan verwerkt de volgende persoonsgegevens: voor- en achternamen, e-mailadressen en tijdregistratiedata (aanwezigheid, afwezigheid, projecttijden, vrije dagen, vakanties, ziekteverzuim). De opslag van deze persoonsgegevens vindt plaats gedurende de periode dat Verantwoordelijke gebruik maakt van de dienst TimeMoto® op grond van de daaraan ten grondslag liggende overeenkomst. Safescan verwerkt deze persoonsgegevens uitsluitend in opdracht van Verantwoordelijke, overeenkomstig de schriftelijke instructies van Verantwoordelijke en, voor zover relevant, op de wijze zoals vastgelegd in de bovenliggende overeenkomst (de daarop toepasselijke algemene voorwaarden inbegrepen), tenzij een op Safescan van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling tot verwerking verplicht. In dat geval stelt Safescan Verantwoordelijke voorafgaand aan de verwerking in kennis van die bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
1.5. TimeMoto® is niet gericht op het verwerken van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, evenals genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Verantwoordelijke mag TimeMoto® dan ook niet gebruiken om bijzondere persoonsgegevens op te slaan of anderszins te verwerken. Verantwoordelijke vrijwaart TimeMoto® voor alle
schadelijke gevolgen die het gevolg zijn van overtreding van dat verbod, waaronder, doch daar niet toe beperkt, boetes van de Autoriteit Persoonsgegevens of een daarmee vergelijkbare buitenlandse instantie in welk land dan ook.
1.6. Voor zover personeel van Safescan, of door haar in te schakelen derden, in verband met de instandhouding, het onderhoud of de verbetering van TimeMoto® kennisnemen van persoonsgegevens zal Safescan zorgdragen dat zij geheimhouding zullen betrachten.
1.7. Safescan neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen bieden, rekening houdend met de stand van de techniek, de uitvoeringskosten alsook de aard, de omvang, de context en de verwerkingsdoeleinden, een passend beveiligingsniveau. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Verantwoordelijke heeft ten alle tijde het recht bij Safescan een actueel overzicht op
Xxxxxxxxxxxx 00
0000 XX Xxxxxxxxxx
T x00 00 000 00 00
F x00 00 000 00 00
ABN AMRO BANK
IBAN XX00XXXX0000000000
Chamber of Commerce 2713.1933
VAT NL0093.91.241.B.01
te vragen van de organisatorische en technische beveiligingsmaatregelen die Safescan treft om dit passende niveau van beveiliging te bewerkstelligen. Onder de in dit artikel bedoelde beveiligingsmaatregelen wordt in ieder geval begrepen (i) maatregelen met betrekking tot de fysieke toegang tot de hardware, (ii) maatregelen met betrekking tot de fysieke toegang tot het kantoor van de externe IT-partner van Safescan, (iii) maatregelen met betrekking tot de toegangscontrole op server niveau, (iv) maatregelen met betrekking tot de toegangscontrole op data niveau en (v) maatregelen met betrekking tot de kopieermethoden en -beveiliging.
1.8. Safescan zal persoonsgegevens uitsluitend buiten de EU verwerken indien Verantwoordelijke daarvoor uitdrukkelijk en schriftelijk toestemming geeft.
INSCHAKELING DERDEN
1.9. Verantwoordelijke verleent Safescan hierbij algemene schriftelijk toestemming om derden in te schakelen (‘subverwerker(s)’). Safescan licht Verantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van subverwerker(s), waarbij Verantwoordelijke de mogelijkheid heeft om bezwaar te maken. Indien Safescan een subverwerker(s) inschakelt, sluit zij een rechtsgeldige bewerkersovereenkomst met deze partij af.
ONDERSTEUNING VERPLICHTINGEN GDPR
1.10. Rekening houdend met de aard van de verwerking en de Safescan ter beschikking staande informatie verleent Safescan aan Verantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de in hoofdstuk III GDPR neergelegde rechten van de personen op wie de door Safescan verwerkte gegevens toezien.
1.11. Rekening houdend met de aard van de verwerking en de aan Safescan ter beschikking staande informatie verleent Safescan aan Verantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 GDPR (‘het beveiligen van persoonsgegevens’, ‘het verrichten van een melding van een inbreuk in verband met persoonsgegevens aan de toezichthouder’, ‘het verrichten van een mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene’, ‘het verrichten van een gegevensbeschermingseffectbeoordeling’ en ‘het verrichten van een voorafgaande raadpleging’).
1.12. Op Verantwoordelijke rusten in voorkomend geval verplichtingen jegens derden uit hoofde van de GDPR zoals die tot het verstrekken van informatie en het geven van inzage. Safescan zal, zoveel als redelijkerwijs en technisch mogelijk is, medewerking verlenen aan de door Verantwoordelijke uit hoofde van de GDPR, na te komen verplichtingen. De kosten verbonden aan deze medewerking komen voor rekening van Verantwoordelijke. Verantwoordelijke vrijwaart Safescan voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt.
REGISTER GEGEVENSVERWERKING EN AUDIT
1.13. Safescan houdt een register bij als bedoeld in artikel 30 GDPR.
1.14. Na afloop van de dienstverlening heeft Verantwoordelijke gedurende zestig dagen de tijd om de persoonsgegevens vanuit de omgeving van Safescan te migreren naar een eigen omgeving of een omgeving van een derde. Indien Verantwoordelijke aangeeft de persoonsgegevens niet te willen migreren of indien zestig dagen zijn verstreken na afloop van de dienstverlening, zal Safescan de persoonsgegevens wissen.
1.15. Desgevraagd stelt Safescan aan Verantwoordelijke alle informatie ter beschikking die redelijkerwijs nodig is om de nakoming van de in deze overeenkomst neergelegde verplichtingen aan te tonen. Wanneer Verantwoordelijke in dit verband een instructie geeft die naar de mening van Safescan inbreuk oplevert op de GDPR of op andere Unierechtelijke of lidstaatrechtelijke bepalingen, stelt Safescan Verantwoordelijke daarvan op de hoogte. Safescan laat periodiek een audit uitvoeren die toeziet op de wijze waarop door Safescan persoonsgegevens worden verwerkt. Het bij deze audit behorende auditcertificaat kan Verantwoordelijke eens per kalenderjaar opvragen.
1.16. Indien sprake is van een inbreuk in verband met persoonsgegevens, informeert Safescan Verantwoordelijke hierover zonder onredelijke vertraging en tenminste binnen 72 uur nadat zij van deze inbreuk kennis heeft genomen.
Xxxxxxxxxxxx 00
0000 XX Xxxxxxxxxx
T x00 00 000 00 00
F x00 00 000 00 00
ABN AMRO BANK
IBAN XX00XXXX0000000000
Chamber of Commerce 2713.1933
VAT NL0093.91.241.B.01
SAFESCAN ALS VERANTWOORDELIJKE IN DE ZIN VAN DE GDPR
1.17. Voor zover Safescan zelf persoonsgegevens verwerkt en voor deze verwerking kan worden aangemerkt als verantwoordelijk in de zin van de GDPR, dan geschiedt dat in overeenstemming met haar Privacy Policy zoals die te vinden is op xxx.xxxxxxxx.xxx/xxxxxxx. Door het aangaan van een overeenkomst tot het gebruik van TimeMoto® stemt Verantwoordelijke met deze Privacy Policy in en geeft Verantwoordelijke aan Safescan toestemming persoonsgegevens te gebruiken op de wijze zoals daarin beschreven.
ALGEMENE VOORWAARDEN
1.18. Op deze overeenkomst zijn de algemene voorwaarden TimeMoto® van toepassing.
Xxxxxxxxxxxx 00
0000 XX Xxxxxxxxxx
T x00 00 000 00 00
F x00 00 000 00 00
ABN AMRO BANK
IBAN XX00XXXX0000000000
Chamber of Commerce 2713.1933
VAT NL0093.91.241.B.01