Verwerkersovereenkomst Thunderbuild B.V.
Laatst gewijzigd: 24 mei 2018
Verwerkersovereenkomst Thunderbuild B.V.
Voorwaarden van de Algemene Verordening Gegevensbescherming van de Europese Unie
De ondergetekenden:
1. [volledige naam en rechtsvorm contractant], (statutair) gevestigd te [plaats],
te dezen vertegenwoordigd door
............... (en ) [naam ondertekenaar]
hierna te noemen: “U”,
en
2.Thunderbuild B.V.,
(statutair) gevestigd te Eindhoven te dezen vertegenwoordigd door
Xxxxxxxx Xxxxxxxxx, Algemeen Directeur. hierna te noemen: “Thunderbuild”,
hierna gezamenlijk te noemen: Partijen;
OVERWEGENDE DAT:
• Voor zover Thunderbuild Persoonsgegevens verwerkt ten behoeve van U in het kader van de Overeenkomst kwalificeert U krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Thunderbuild als verwerker;
• Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van
de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Thunderbuild wensen vast te leggen.
KOMEN OVEREEN:
Artikel 1. Definities
Onder “U” wordt de eindklant verstaan zoals gespecificeerd in deze Overeenkomst.
Onder “Persoonsgegevens” worden persoonsgegevens verstaan volgens de definitie in artikel 4 van de GDPR, in uw computeromgeving(en), waartoe Wederpartij toegang krijgt om de Services te leveren in het kader van deze Overeenkomst.
Onder “Servicebeschrijving” wordt de beschrijving verstaan van de Services die Thunderbuild aan U levert.
Termen die in deze Overeenkomst worden gebruikt maar er niet in worden gedefinieerd (bijv. “verwerking”, “verwerkingsverantwoordelijke”, “verwerker”, “betrokkene”) hebben dezelfde betekenis als in artikel 4 van de GDPR.
Artikel 2. Rollen en reikwijdte
1. Deze GDPR-voorwaarden gelden voor de verwerking van Persoonsgegevens door Thunderbuild.
2. Voor de doeleinden van deze GDPR-voorwaarden komen U en Thunderbuild overeen dat U de verwerkingsverantwoordelijke bent en Thunderbuild de verwerker van deze Persoonsgegevens, behalve wanneer U als verwerker van Persoonsgegevens fungeert, in welk geval Thunderbuild een subverwerker is.
Artikel 3. Reikwijdte, type en doel van de verwerking van persoonsgegevens
1. De reikwijdte en het doel van de verzameling, de verwerking en/of het gebruik van Persoonsgegevens door Thunderbuild worden beschreven op xxxxxxx.xxxxxxxxxxxx.xxx en/of in deze GDPR-voorwaarden.
2. U bepaalt de reikwijdte van de Persoonsgegevens waartoe U Thunderbuild toegang geeft om de services uit te voeren. Dienovereenkomstig kunnen/kan de verzameling, verwerking en/of het gebruik van Persoonsgegevens betrekking hebben op de volgende categorieën gegevens
o Persoonlijke informatie: voornaam, achternaam, geboortedatum
o Communicatiegegevens: telefoon, e-mailadres, postadres
o Locatie- en materieelgegevens: kenteken, GPS-locatie, voertuiginformatie
o Overige: overige persoonsgegevens waartoe U Thunderbuild toegang geeft in verband met de levering van Producten of Services.
Het is uw verantwoordelijkheid om Thunderbuild alleen toegang te geven tot de Persoonsgegevens die nodig zijn voor de uitvoering van de Services.
Artikel 4. Gegevensverwerking
1. Thunderbuild zal:
a) de Persoonsgegevens alleen verwerken (i) op basis van gedocumenteerde instructies van U, zoals nader omschreven in de Overeenkomst, of (ii) waar dit verplicht is volgens de wetgeving van de Europese Unie of een lidstaat waaraan Thunderbuild is onderworpen, in welk geval Thunderbuild dit vooraf zal meedelen aan U, tenzij dit bij wet verboden is;
b) ervoor zorgen dat personen die gemachtigd zijn om de Persoonsgegevens te verwerken zich hebben verbonden tot geheimhouding of zich moeten houden aan een passende wettelijke geheimhoudingsplicht;
c) alle maatregelen treffen die Thunderbuild als gegevensverwerker worden opgelegd door artikel 32 van de GDPR, zoals nader omschreven in artikel 8 hieronder;
d) zich houden aan de voorwaarden voor het inschakelen van een andere verwerker zoals beschreven in artikel 5;
e) U redelijke hulp bieden bij de vervulling van uw plicht om verzoeken van betrokkenen om hun rechten uit te oefenen zoals beschreven in hoofdstuk III van de GDPR te beantwoorden;
f) U helpen bij de naleving van uw verplichtingen overeenkomstig artikels 32 tot en met 36 van de GDPR, rekening houdend met de aard van de verwerking en de informatie waarover Thunderbuild beschikt;
g) Na het beëindigen van de overeenkomst tussen U en Thunderbuild alle persoonsgegevens volledig anonimiseren zodat deze niet meer te herleiden zijn. Deze geanonimiseerde gegevens blijven relevant voor ketenpartners waarmee U samengewerkt heeft. In het geval van wettelijk verplichte bewaringen blijft Thunderbuild de relevante bepalingen van deze GDPR-voorwaarden naleven totdat de gegevens zijn verwijderd;
h) U de noodzakelijke informatie beschikbaar stellen om naleving van de verplichtingen zoals beschreven in artikel 28 van de GDPR aan te tonen en audits door U of een externe auditor mogelijk maken en hieraan meewerken in overeenstemming met artikel 11 hieronder;
i) U informeren of er, volgens Xxxxxxxxxxxx, instructies zijn die een inbreuk vormen op de GDPR of andere bepalingen inzake gegevensbescherming van de Europese Unie of een lidstaat, op voorwaarde dat Thunderbuild geen verplichting heeft om uw gebruik of verwerking van Persoonsgegevens onafhankelijk te inspecteren of te verifiëren; en
j) U informeren en redelijke hulp bieden bij het vervullen van uw plichten in geval van inbreuken in verband met Persoonsgegevens, overeenkomstig artikel 9 hieronder.
2. Wanneer Thunderbuild een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens U, worden die andere verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als beschreven in deze GDPR-voorwaarden, al naargelang het geval door middel van een contract, of een andere wettelijke daad overeenkomstig de wetgeving van de Europese Unie of een lidstaat, dat/die voldoende garanties biedt op de toepassing van passende technische en organisatorische maatregelen, zodanig dat de verwerking voldoet aan de geldende eisen van de GDPR. Wanneer die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Xxxxxxxxxxxx verantwoordelijk voor het vervullen van de verplichtingen van die andere verwerker.
Artikel 5. Subverwerking
1. Overeenkomstig de voorwaarden van dit artikel 5 stemt u ermee in dat Thunderbuild subverwerkers inschakelt voor de verwerking van Persoonsgegevens.
2. Thunderbuild zal ervoor zorgen dat Subverwerkers gebonden zijn aan schriftelijke overeenkomsten die eisen dat ze minimaal hetzelfde niveau van gegevensbescherming bieden als deze GDPR- voorwaarden aan Thunderbuild opleggen.
3. Thunderbuild blijft te allen tijde verantwoordelijk voor de naleving van deze GDPR-voorwaarden door deze verwerkers voor zover van toepassing.
4. Subverwerkers staan vermeld in de lijst van subverwerkers die U beschikbaar wordt gesteld. Ten minste tien (10) werkdagen voordat een nieuwe Subverwerker toegang wordt verleend tot persoonsgegevens zal Thunderbuild de lijst van Subverwerkers bijwerken en U een methode aanbieden om hierover een kennisgeving te ontvangen. Wanneer Thunderbuild verwerker is (en geen subverwerker) gelden de volgende voorwaarden:
a) Als u een nieuwe Subverwerker afkeurt, kunt u elk abonnement voor de betrokken service zonder boete beëindigen door, vóór het einde van de opzegtermijn, het abonnement schriftelijk op te zeggen met opgave van de redenen voor de afkeuring.
b) Als de betrokken service deel uitmaakt van een pakket (of een vergelijkbare enkelvoudige aankoop van services), dan geldt de opzegging voor het volledige pakket.
c) Na de opzegging blijft U verplicht om alle betalingen uit te voeren die een bestelbon of een andere contractuele verbintenis met de ELA-reseller en/of Thunderbuild voorschrijft en hebt U geen recht op een terugbetaling vanwege de ELA-reseller en/of Thunderbuild.
Artikel 6. Verdere en internationale overdracht van gegevens
1. Thunderbuild kan Persoonsgegevens overdragen naar de Verenigde Staten en/of andere derde landen waar Thunderbuild of zijn verwerkers actief zijn. Thunderbuild zal zich houden aan de eisen van deze GDPR-voorwaarden, ongeacht waar die Persoonsgegevens worden opgeslagen of verwerkt. Daarnaast zijn alle landen waar data verwerkt en/of opgeslagen wordt door de Europese Commissie vastgesteld als landen met een passen beveiligingsniveau.
2. Daarnaast kan Thunderbuild Persoonsgegevens verwerken en bekendmaken aan (a) gelieerde entiteiten, voor doeleinden die stroken met de Overeenkomst en deze GDPR-voorwaarden; (b) in verband met een verwachte of daadwerkelijke fusie, overname, verkoop, faillissement of andere vorm van reorganisatie van een deel van of al zijn activiteiten, onder voorbehoud van de verplichting om de Persoonsgegevens te beschermen volgens de voorwaarden van de Overeenkomst; of (c) voor juridische doeleinden, inclusief het afdwingen van zijn rechten, opsporing en preventie van fraude, het voorkomen van schendingen van de rechten of eigendommen van Thunderbuild of uw gebruikers, of het publiek; en (c) indien het hiertoe wettelijk is verplicht, onder meer in het kader van een dagvaarding, gerechtelijk of administratief bevel, of een ander bindend instrument (gezamenlijk een “Eis”). Tenzij dit bij wet is verboden, zal Thunderbuild U onverwijld in kennis stellen van een eventuele Eis en U de redelijkerwijs noodzakelijke hulp bieden om U in staat te stellen tijdig op de Eis te reageren.
Artikel 7. Xxxx bij het beantwoorden van verzoeken van betrokkenen
1. Thunderbuild zal U de Persoonsgegevens van uw betrokkenen beschikbaar stellen en U de mogelijkheid geven om te voldoen aan verzoeken van betrokkenen om één of meer van hun rechten in het kader van de GDPR uit te oefenen, op een manier die strookt met de functionaliteit van het Product en de rol van Thunderbuild als verwerker. Thunderbuild zal gevolg geven aan redelijke verzoeken om U te helpen bij uw antwoord.
2. Als Thunderbuild een verzoek ontvangt van uw betrokkene om één of meer van zijn rechten uit te oefenen in het kader van de GDPR, zal Thunderbuild de betrokkene doorverwijzen en vragen het verzoek rechtstreeks aan U te richten.
Artikel 8. Inbreuk in verband met Persoonsgegevens
Thunderbuild zal U een inbreuk in verband met Persoonsgegevens zonder onredelijke vertraging melden zodra het hiervan kennis heeft genomen. In deze melding moet ten minste het volgende worden meegedeeld:
a) de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; en
c) de maatregelen die zijn genomen of voorgesteld om de inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, waar passend, maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 9. Register van verwerkingsactiviteiten
Thunderbuild zal een register van verwerkingsactiviteiten bijhouden zoals vereist door artikel 30(2) van de GDPR.
Artikel 10. Recht op audits
U mag audits uitvoeren van de verwerking van uw Persoonsgegevens door Thunderbuild zoals wettelijk voorgeschreven. Elke dergelijke audit moet worden uitgevoerd op uw kosten, tijdens de normale bedrijfsuren, zonder verstoring van de activiteiten van Thunderbuild en overeenkomstig de beveiligingsregels en -vereisten van Thunderbuild. Thunderbuild verbindt zich ertoe om U vóór elke audit de redelijkerwijs gevraagde informatie en bijbehorende bewijzen te bezorgen om aan uw auditverplichtingen te voldoen, en U verbindt zich ertoe deze informatie te controleren alvorens een onafhankelijke audit uit te voeren.
U mag een beroep doen op een externe auditor met de toestemming van Thunderbuild, die niet op onredelijke gronden zal worden geweigerd. Voordat hij een externe audit uitvoert, moet deze auditor een passende geheimhoudingsovereenkomst sluiten met Thunderbuild.
Artikel 11. Wijziging, aanvulling en termijn
1. Thunderbuild kan deze GDPR-voorwaarden wijzigen of aanvullen, met kennisgeving aan U, (i) indien het daartoe wordt verplicht door een toezichthoudende autoriteit of andere overheids- of regelgevende instantie, (ii) indien dit nodig is om aan het toepasselijke recht te voldoen, (iii) om modelcontractbepalingen toe te passen die zijn vastgelegd door de Europese Commissie of (iv) om zich te houden aan een goedgekeurde gedragscode of een certificeringsmechanisme dat is goedgekeurd of gecertificeerd overeenkomstig Artikels 40 en 42 van de GDPR.
2. Zonder afbreuk te doen aan deze GDPR-voorwaarden kan Thunderbuild af en toe aanvullende informatie en details verstrekken over de manier waarop het deze GDPR-voorwaarden ten uitvoer zal brengen in zijn productspecifieke technische, privacy- of beleidsdocumentatie.
3. Deze GDPR-voorwaarden worden van kracht bij de inwerkingtreding van de GDPR.
Voor U | Voor Thunderbuild |
Naam: | Naam: Xxxxxxxx Xxxxxxxxx |
Functie: | Functie: Algemeen Directeur |
Handtekening van bevoegd persoon: | Handtekening van bevoegd persoon: |