BIJLAGE – VERWERKING VAN PERSOONSGEGEVENS
BIJLAGE – VERWERKING VAN PERSOONSGEGEVENS
Deze Bijlage (Verwerking van Persoonsgegevens) bevat de rechten en plichten van de Partijen met betrekking tot de verwerking van Persoonsgegevens op grond van de tussen Vastgoedmakelaars en gebruikers van het platform (hierna “Verwerkingsverantwoordelijke” en Setle BV (hierna “Verwerker”).
1. DEFINITIES
1.1. In deze Bijlage zijn de volgende definities van toepassing:
“Appendix” betekent de appendix met titel “Details van Verwerking van Persoonsgegevens” dat aan deze Bijlage is gehecht en hier een integraal onderdeel van uitmaakt.
"Bijlage" betekent dit document, dat een integraal onderdeel van de Overeenkomst zal uitmaken.
"Derde Partij" betekent elke persoon of entiteit die geen partij is bij de Overeenkomst.
"Diensten" betekent de diensten, functies, verantwoordelijkheden en prestaties die door Verwerker onder de Overeenkomst moeten worden geleverd en worden vervuld.
"Onderaannemer" betekent een Derde Partij die door Verwerker als onderaannemer wordt ingeschakeld om de Diensten of een deel daarvan te leveren.
"Verwerkingsverantwoordelijke", "Verwerker", "Betrokkene", "Persoonsgegevens", "Datalek" en "Verwerking" zullen dezelfde betekenissen hebben als in de Data Protection Wetgeving. "Verwerkt" en "Verwerken" zullen worden geïnterpreteerd in overeenstemming met de definitie van "Verwerking";
"Wetgeving inzake gegevensbescherming": alle wetgeving die binnen de Europese Unie van kracht is inzake de bescherming van persoonsgegevens, inclusief Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens;
2. GEGEVENSVERWERKING
2.1. De Verwerker zal onder de Overeenkomst en in uitvoering van de Diensten Persoonsgegevens Verwerken namens de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de Verwerking en garandeert hij gerechtigd is om de Persoonsgegevens door de Verwerker te laten Verwerken en dat Verwerkingsverantwoordelijke één of meer juridische grondslagen heeft om deze Persoonsgegevens te Verwerken.
2.2. Wanneer Persoonsgegevens worden verwerkt door de Verwerker, haar agenten, Onderaannemers of werknemers onder of in verband met de Overeenkomst, zal Verwerker ervoor zorgen dat haar agenten, Onderaannemers en werknemers:
(a) alleen de Persoonsgegevens Verwerken, overdragen, wijzigen, wijzigen of wijzigen of de openbaarmaking van de Persoonsgegevens aan een Derde bekendmaken of toestaan:
(i) in overeenstemming met de instructies van Verwerkingsverantwoordelijke zoals vermeld in deze Bijlage en de Appendix; of
(ii) indien vereist door EU- of nationale wetgeving waaraan de Verwerker is onderworpen, in welk geval de Verwerker de Verwerkingsverantwoordelijke informeert over die wettelijke verplichting alvorens Verwerking van die Persoonsgegevens, tenzij die wet verbiedt dat dergelijke informatie wordt verstrekt om redenen van openbaar belang;
(b) redelijke stappen ondernemen om ervoor te zorgen dat alle werknemers, agenten en Onderaannemers die toegang hebben tot de Persoonsgegevens:
(i) op de hoogte zijn van het vertrouwelijke karakter van de Persoonsgegevens; en
(ii) onderworpen zijn aan vertrouwelijkheidsverplichtingen of professionele of wettelijke verplichtingen van vertrouwelijkheid die van toepassing zijn met betrekking tot (de verwerking van) dergelijke persoonlijke gegevens;
(c) tenzij wettelijke bepalingen aangeven dat een Datalek van de Persoonsgegevens niet vereist is om door een Verwerker aan een Verwerkingsverantwoordelijke te worden gemeld, de Verwerkingsverantwoordelijke onverwijld op de hoogte brengen van een schending van de Persoonsgegevens en de Verwerkingsverantwoordelijke anderszins helpen, rekening houdend met de aard van Verwerking en de informatie die beschikbaar is voor de Verwerker, bij het nakomen van haar verplichtingen met betrekking tot de kennisgeving, het onderzoek, de beperking en de remediëring van een schending van de Persoonsgegevens krachtens de Wetgeving inzake gegevensbescherming, onverminderd het recht van de Verwerker om redelijke kosten aan de Verwerkingsverantwoordelijke in rekening te brengen voor dergelijke hulp;
(d) op redelijke verzoek van de Verwerkingsverantwoordelijke samen te werken met de Verwerkingsverantwoordelijke, voor zover noodzakelijk om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan enige uitoefening van rechten door een Betrokkene onder de Wetgeving inzake bescherming Persoonsgegevens met betrekking tot Persoonsgegevens die door de Verwerker onder de Overeenkomst worden Verwerkt of om te voldoen aan enige beoordeling, onderzoek, kennisgeving of onderzoek op grond van de Wetgeving inzake gegevensbescherming, inclusief door een regelgevende instantie, onder voorbehoud
van een redelijke voorafgaande kennisgeving en onverminderd het recht van de Verwerker om de redelijke kosten voor dergelijke hulp in rekening te brengen;
(e) alleen Onderaannemers toestemming geven om de Persoonsgegevens ("Subverwerker") te Verwerken waarop de Verwerkingsverantwoordelijke geen bezwaar heeft, en waarbij:
(i) de Verwerkingsverantwoordelijke vooraf op de hoogte is gebracht van de identiteit van de voorgestelde Subverwerker (alsook van eventuele wijzigingen aan deze Subverwerkers); en
(ii) de bepalingen in overeenkomst tussen de Verwerker en de Subverwerker
mutatis mutandis dezelfde zijn als die in deze bijlage; en
(iii) de Verwerker volledig aansprakelijk blijft jegens de Verwerkingsverantwoordelijke, binnen de grenzen van de aansprakelijk zoals overeengekomen in de Overeenkomst, voor elk falen van een Subverwerker om zijn verplichtingen in verband met de Verwerking van Persoonsgegevens na te komen;
(f) de Verwerker de Verwerking van de Persoonsgegevens stop zal zetten na de beëindiging of het verstrijken van de duurtijd en, naar keuze van de Verwerkingsverantwoordelijke de Persoonsgegevens en eventuele kopieën hetzij (voor zover technisch mogelijk) terug te geven, hetzij te verwijderen, tenzij een wettelijk voorschrift de Verwerken verplicht om de Persoonsgegevens te bewaren.
2.3. De aard en het doel van de Verwerking, categorieën van Persoonsgegevens worden verder uiteengezet in de Appendix aan deze Bijlage.
2.4. De Verwerkingsverantwoordelijke gaat er hierbij mee akkoord dat de Verwerker [NAAM SUBVERWERKER] zal inschakelen voor de Verwerking van Persoonsgegevens zoals vermeld in deze Bijlage.
2.5. De Verwerker kan alleen aansprakelijk worden gesteld voor een aan haar toerekenbare inbreuk op deze Bijlage, of de bepalingen die rechtstreeks op de Bijlage van toepassing zijn op grond van de toepasselijke Wetgeving inzake gegevensbescherming, in zoverre de Verwerkingsverantwoordelijke heeft voldaan aan zijn eigen verplichtingen zoals uiteengezet in deze Bijlage en de toepasselijke Wetgeving inzake gegevensbescherming. De aansprakelijkheidsbeperking zoals uiteengezet in de Overeenkomst is van toepassing.
2.6. Op redelijk verzoek zal de Verwerker de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat hij voldoet aan zijn verplichtingen onder artikel 32 tot 36 van de Wetgeving inzake gegevensbescherming.
2.7. De Verwerkingsverantwoordelijke heeft het recht om de naleving door de Verwerker van deze Bijlage te controleren of te laten controleren. Dergelijke audit mag niet meer dan één keer per contractjaar plaatsvinden. De Verwerkingsverantwoordelijke dient de Verwerker
minstens dertig (30) dagen vóór de schriftelijke kennisgeving per aangetekend schrijven op de hoogte te stellen van zijn voornemen om een audit uit te voeren. De kennisgeving moet de naam van de auditor bevatten en een beschrijving van het doel en de reikwijdte van de audit. De audit zal plaatsvinden tijdens de normale kantooruren zoals van toepassing op de locatie van de Verwerker. De audit kan worden uitgevoerd door een interne auditor of een externe door de Verwerkingsverantwoordelijke gekozen auditor, op voorwaarde dat de externe partij niet beschouwd kan worden als een concurrent van de Verwerker of op voorwaarde dat er geen belangenconflict is. De Verwerker kan de toegang van de Verwerkingsverantwoordelijke tot de ruimten van de Verwerker beperken tot een ruimte die door de Verwerker wordt voorzien en de auditor mag geen documenten van de Verwerker kopiëren of verwijderen zonder de voorafgaande goedkeuring en instemming van de Verwerker. De Verwerkingsverantwoordelijke garandeert dat de audit zo wordt uitgevoerd dat het ongemak voor de Verwerker en zijn bedrijf tot een minimum beperkt blijft. Verwerkingsverantwoordelijke zal aan zijn auditors voldoende geheimhoudingsverplichtingen opleggen. Het is in alle gevallen essentieel om de vertrouwelijke informatie van de Verwerker te beschermen. De Verwerkingsverantwoordelijke moet, of zal zijn externe auditoren verzoeken, om een ontwerpversie van het auditverslag te versturen naar de Verwerker. De Verwerker heeft het recht om zijn opmerkingen in te dienen binnen een tijdsbestek zoals overeengekomen tussen Partijen. De auditor houdt rekening met de opmerkingen van de Verwerker en neemt deze opmerkingen op in zijn eindverslag dat aan de Verwerker wordt bezorgd. Alle kosten van de audit komen uitsluitend voor rekening van de Verwerkingsverantwoordelijke.
2.8. Elke Partij zal passende technische en organisatorische maatregelen nemen (en garandeert dat zijn agenten, werknemers en Subverwerkers dergelijke maatregelen nemen) om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, waarbij met name rekening wordt gehouden met het risico van onopzettelijke of onwettige vernietiging, verlies, wijziging of ongeautoriseerde openbaarmaking van of toegang tot het Persoonsgegevens. Hierbij zal rekening worden gehouden met met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de Verwerking, alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
2.9. Elke overdracht van Persoonsgegevens aan een derde land of een internationale organisatie mag alleen plaatsvinden in overeenstemming met de principes uiteengezet in deze Bijlage en de Wetgeving inzake gegevensbescherming. De Verwerkingsverantwoordelijke verleent de Verwerker toestemming om Persoonsgegevens over te dragen aan een derde land of aan een internationale organisatie zoals uiteengezet in de Appendix aan deze Bijlage. Elke wijziging of toevoeging aan deze lijst zal worden meegedeeld aan de Verwerkingsverantwoordelijke alvorens deze overdracht plaatsvindt. De Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen dergelijke overdracht binnen de vijf (5) kalenderdagen na kennisgeving van de wijziging. De Partijen komen samen overeen over het al dan niet doorgaan van de overdracht en de consequenties
daarvan voor het leveren van de Diensten in termen van, onder andere, bereik, timing en budget. Elke overdracht aan een derde land of internationale organisatie kan op grond van:
(a) Uitgifte door de Commissie op basis van adequaatheidsbesluiten;
(b) Passende waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van Betrokkenen en doeltreffende rechtsmiddelen. Passende waarborgen worden geacht te zijn voorzien in de volgende gevallen: (i) bindende bedrijfsregels, (ii) standaardbepalingen inzake gegevensbescherming die door de Commissie of een toezichthoudende autoriteit zijn vastgesteld en door de Commissie zijn goedgekeurd; of (iii) een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme.
2.10. Als er nieuwe richtlijnen of een wijziging in de Wetgeving op het gebied van gegevensbescherming of jurisprudentie zijn die alle of een deel van de Diensten illegaal maakt, kan de Provider de Overeenkomst beëindigen tenzij de Partijen overeenstemming bereiken over het wijzigen van de Diensten waardoor de Diensten niet langer illegaal zijn.
APPENDIX 1: DETAILS VAN VERWERKING VAN PERSOONSGEGEVENS
1. Het voorwerp van de Verwerking van Persoonsgegevens
2. De aard en het doel van de Verwerking van Persoonsgegevens
De Persoonsgegevens mogen verwerkt worden om de volgende doeleinden:
De categorieën van Persoonsgegevens waarop de Persoonsgegevens betrekking hebben.
• Persoonlijke identificatiegegevens (bv. naam, adres, titel, functie, telefoon, e-mailadres, adres, identiteitskaartnummer, rijbewijsnummer enz.)
• Elektronische identificatie- en lokalisatiegegevens (IP-adressen, cookies, verbindingsmomenten, GSM, GPS,..)
• Financiële identificatiegegevens (bv. identificatie- en bankrekeningnummers, nummers van krediet- of debetkaarten, geheime codes, …)
•
Financiële middelen (bv. inkomsten, bezittingen, investeringen, totale inkomsten, beroepsinkomsten, spaargelden, begindatum en einddatum van beleggingen, investeringsinkomsten, lasten op activa)
•
Schulden, uitgaven (bv. totale uitgaven, huurgelden, leningen, hypotheken en andere vorm van krediet)
•
Solvabiliteit (bv. beoordeling van de inkomsten, van het financieel statuut, van de solvabiliteit)
•
Alle gegevens m.b.t. leningen, hypotheken en kredieten (bv. aard van de lening, geleend bedrag, resterend te betalen saldo, aanvangsdatum, duur, rentevoet, overzicht van de betaling, bijzonderheden betreffende de waarborgen)
•
Financiële hulp (bv. uitkeringen, hulp, giften, subsidies)
•
Gegevens m.b.t. bijzonderheden betreffende verzekeringen (bv. aard van de verzekering, bijzonderheden betreffende de gedekte risico’s, verzekerde bedragen, periode gedurende welke de risico’s zijn gedekt, vervaldatum, al dan niet uitgevoerde of ontvangen betalingen, stand van de overeenkomst)
•
Financiële transacties (bv. bedragen die de persoon die in het bestand is opgenomen, moet betalen en heeft betaald, toegekend krediet, wisselborgstelling, betalingsbewijzen, overzicht van de betalingen, deposito’s en andere waarborgen)
•
Beroepsactiviteiten (bv. beroepsactiviteiten van de personen die in het bestand is opgenomen : aard van de activiteit, aard van de goederen of diensten die door de persoon die in het bestand is opgenomen worden gebruikt of geleverd, zakenrelaties)
•
Persoonlijke kenmerken (bv. leeftijd, geslacht, geboortedatum, - plaats, burgerlijke staat, nationaliteit, militair statuut, bijzonderheden m.b.t. het visum, arbeidsvergunning, etc.)
•
Bezittingen (bv. grond, eigendommen, ..)
•
Samenstelling van het gezin (bv. huwelijk, maritaal overzicht, bijzonderheden betreffende de andere familie- en gezinsleden)
•
Gegevens betreffende beroep en betrekking (bv.: huidige betrekking, aanwerving, loopbaan, aanwezigheid en discipline, bedrijfsgeneeskunde, loon,..)
De categorieën van Betrokkenen waarop de Persoonsgegevens betrekking hebben:
• (potentiële) / (ex)klanten
• Vastgoed
3. Instructies
4. Transfer van Persoonsgegevens
Persoonsgegevens worden getransfereerd naar de volgende landen buiten de EER: Niet van toepassing