Overeenkomst gegevensverwerker
Overeenkomst gegevensverwerker
Gegevensbeheerder: Klant gevestigd in de EU (de “gegevensbeheerder”)
en
Gegevensverwerker: Europese vertegenwoordiger
Bedrijf: XXX.XXX (B-one FZ-LLC) Xxx.xxx A/S
Xxx.xx. Xxx.xx. 19.958 CVR: 28677138
Plaats: Dubai Kopenhagen
Land van registratie: VAE Denemarken
(de “gegevensverwerker”)
(afzonderlijk genoemd een “partij” en gezamenlijk de “partijen”)
hebben afgesloten deze
OVEREENKOMST GEGEVENSVERWERKER - DPA
(de "overeenkomst")
betreffende de verwerking van persoonsgegevens door de gegevensverwerker namens de gegevensbeheerder.
1. De verwerkte persoonsgegevens
1.1 Deze overeenkomst is aangegaan met betrekking tot het gebruik door de gegevensbeheerder van de diensten van de gegevensverwerker als onderdeel van het abonnement en aanvullende diensten als beschreven in "Xxx.xxx Algemene voorwaarden" (de "hoofdovereenkomst").
1.2 De gegevensverwerker verwerkt namens de gegevensbeheerder in relatie tot de relevante gegevenssubjecten de soorten persoonsgegevens als vermeld in Schema 1. De persoonsgegevens hebben betrekking op de gegevenssubjecten vermeld in Schema 1.
1.3 De overeenkomst en de hoofdovereenkomst zijn onderling afhankelijk en kunnen niet afzonderlijk beëindigd worden. De overeenkomst kan echter vervangen worden door een andere geldige overeenkomst gegevensverwerker zonder beëindiging van de hoofdovereenkomst.
2. Doel
2.1 De gegevensverwerker mag alleen persoonsgegevens verwerken voor doeleinden die noodzakelijk zijn om te voldoen aan de verplichtingen van de gegevensverwerker en zodoende de diensten te bieden als vermeld in de hoofdovereenkomst.
3. Verplichtingen van de gegevensbeheerder
3.1 De gegevensbeheerder garandeert dat de persoonsgegevens verwerkt worden voor legitieme doeleinden en dat de gegevensverwerker niet meer persoonsgegevens verwerkt als benodigd voor het voldoen aan dergelijke doeleinden.
3.2 De gegevensbeheerder heeft de verantwoordelijkheid te zorgen voor een geldige juridische grondslag voor de verwerking ten tijde van overdracht van de persoonsgegevens aan de gegevensverwerker. Op verzoek van de gegevensverwerker garandeert de gegevensbeheerder, schriftelijk, te voorzien in documentatie van de grondslag van verwerking.
3.3 Daarnaast garandeert de gegevensbeheerder dat de gegevenssubjecten aan wie de persoonsgegevens toebehoren voorzien zijn van voldoende informatie over de verwerking van hun persoonsgegevens.
3.4 In het geval dat de gegevensbeheerder een subgegevensverwerker in de arm neemt, die direct is benoemd in overeenstemming met clausule 5.1, dan moet de beheerder de gegevensverwerker hiervan onmiddellijk op de hoogte stellen. De gegevensverwerker is op geen enkele wijze aansprakelijk voor een verwerking die wordt uitgevoerd door de subgegevensverwerker in overeenstemming met dergelijke instructies.
4. Verplichtingen van de gegevensverwerker
4.1 Alle verwerking door de gegevensverwerker van de persoonsgegevens die door de gegevensbeheerder verstrekt worden, dient in overeenstemming te zijn met deze instructies van de gegevensbeheerder, en de gegevensverwerker is voorts verplicht zich te houden aan alle gegevensbeschermingswetgeving die van tijd tot tijd van kracht is.
Als de wetgeving van de Europese Unie of van een EU-lidstaat waaraan de gegevensverwerker onderhevig is voorschrijft dat de gegevensverwerker verplicht is de persoonsgegevens te verwerken die vermeld zijn in clausule 1.2, moet de gegevensverwerker de gegevensbeheerder vóór verwerking op de hoogte stellen van die wettelijke vereiste. Dit is echter niet van toepassing als deze wetgeving dergelijke informatie verbiedt op belangrijke grondslagen van openbaar belang.
De gegevensverwerker moet de gegevensbeheerder onmiddellijk op de hoogte stellen als, naar de mening van de gegevensverwerker, een instructie inbreuk maakt op de Europese Algemene Verordening Gegevensbescherming of de gegevensbeschermingsbepalingen van een EU-lidstaat.
4.2 De gegevensverwerker moet alle nodige technische en organisatorische beveiligingsmaatregelen treffen, inclusief alle aanvullende maatregelen, die benodigd zijn om te zorgen dat de persoonsgegevens vermeld in clausule 1.2 niet onbedoeld of onwettig vernietigd, verloren, aangetast of misbruikt worden, of vrijgegeven worden aan onbevoegde derde partijen, of anderszins verwerkt op een wijze die strijdig is met de Deense gegevensbeschermingswet die van tijd tot tijd van kracht is. Deze maatregelen worden gedetailleerder besproken in Schema 1.
4.3 De gegevensverwerker moet ervoor zorgen dat de werknemers met bevoegdheid tot het verwerken van de persoonsgegevens zich houden aan geheimhouding of onder passende wettelijke geheimhoudingsverplichting vallen.
4.4 Indien verzocht door de gegevensbeheerder, moet de gegevensverwerker verklaren en/of vastleggen dat de gegevensbeheerder voldoet aan de vereisten van de toepasselijke gegevensbeschermingswetgeving, inclusief documentatie betreffende de gegevensstromen van de gegevensverwerker alsmede procedures/beleidsregels voor het verwerken van persoonsgegevens.
4.5 Rekening houdend met de aard van de verwerking moet de gegevensverwerker, in zo ver mogelijk, de beheerder helpen met passende technische en organisatorische maatregelen, om te voldoen aan de verplichting van de gegevensbeheerder om te reageren op verzoeken tot het uitoefenen van de rechten van gegevenssubjecten als vastgelegd in hoofdstuk 3 van de Algemene Verordening Gegevensbescherming.
4.6 De gegevensverwerker, of een andere gegevensverwerker (subgegevensverwerker) moet verzoeken en bezwaren van gegevenssubjecten verzenden aan de gegevensbeheerder, zodat de gegevensbeheerder deze verder kan verwerken, tenzij de gegevensverwerker het recht heeft een dergelijk verzoek zelf af te handelen.
Indien verzocht door de gegevensbeheerder moet de gegevensverwerker de gegevensbeheerder assisteren bij het beantwoorden van dergelijke verzoeken en/of bezwaren.
4.7 Als de gegevensverwerker persoonsgegevens verwerkt in een andere EU-lidstaat, dan moet de gegevensverwerker zich houden aan de wetgeving betreffende beveiligingsmaatregelen die gelden in die lidstaat.
4.8 De gegevensverwerker moet de gegevensbeheerder op de hoogte stellen van een vermoeden dat gegevensbeschermingsregels overtreden zijn of van andere onregelmatigheden met betrekking tot de verwerking van de gegevensverwerking. De deadline van de gegevensverwerker voor het melden van een datalek aan de gegevensbeheerder is 24 uur vanaf het moment dat de gegevensverwerker een datalek opmerkt. Indien verzocht door de gegevensbeheerder moet de gegevensverwerker de gegevensbeheerder assisteren met betrekking tot het toelichten van de omvang van het datalek, inclusief voorbereiding van een melding aan de Deense Gegevensbeschermingsautoriteit en/of gegevenssubjecten.
4.9 De gegevensverwerker moet aan de gegevensbeheerder alle informatie beschikbaar stellen die nodig is om naleving van artikel 28 van de Algemene Verordening Gegevensbescherming en deze overeenkomst aan te tonen. In dit opzicht staat de gegevensverwerker audits toe en werkt hieraan mee, inclusief inspecties, uitgevoerd door de gegevensbeheerder of een andere auditor die door de gegevensbeheerder is aangetrokken.
4.10 In aanvulling op bovenstaande moet de gegevensverwerker de gegevensbeheerder ondersteunen om te zorgen voor naleving van de verplichtingen van de gegevensbeheerder onder artikel 32-36 van de Algemene Verordening Gegevensbescherming. Deze ondersteuning is afhankelijk van de aard van de verwerking en de informatie die beschikbaar is voor de gegevensverwerker.
5. Overdracht van gegevens aan subgegevensverwerkers of derde partijen
Dit houdt in dat de gegevensverwerker geen andere gegevensverwerker (subgegevensverwerker) aantrekt voor de uitvoering van de overeenkomst zonder voorafgaande specifieke of algemene schriftelijke goedkeuring van de gegevensbeheerder.
5.2 De gegevensbeheerder kent de gegevensverwerker hierbij een algemene goedkeuring toe om overeenkomsten met subgegevensverwerkers aan te gaan. De gegevensverwerker moet de gegevensbeheerder op de hoogte brengen van wijzigingen betreffende de aanvulling of vervanging van subgegevens. De gegevensbeheerder kan redelijke en relevante bezwaren maken tegen dergelijke wijzigingen. Als de gegevensverwerker een subgegevensverwerker wil blijven gebruiken waartegen de gegevensbeheerder bezwaar heeft gemaakt, hebben de partijen het recht de overeenkomst met een kortere opzegtermijn te beëindigen en, indien van toepassing, de hoofdovereenkomst, cf. 7.2. Tijdens deze periode mag de gegevensbeheerder niet van de gegevensverwerker eisen dat hij geen gebruik maakt van de subgegevensverwerker in kwestie.
5.3 De gegevensverwerker moet dezelfde verplichtingen opleggen aan de subgegevensverwerker als vermeld in de overeenkomst. Dit wordt gerealiseerd via een contract of een andere rechtshandeling onder Europese wetgeving of de wet van een lidstaat. Er moet gezorgd worden dat er voldoende garanties gegeven worden door de subgegevensverwerker voor de implementatie van voldoende technische en organisatorische maatregelen op dergelijke wijze dat de verwerking voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming ("dezelfde" voorwaarden).
5.4 Als de subgegevensverwerker zich niet houdt aan zijn verplichtingen omtrent gegevensbescherming, blijft de gegevensbeheerder aansprakelijk voor de uitvoering van de verplichtingen van de subgegevensverwerker.
5.5 De gegevensverwerker moet, namens de gegevensbeheerder, gegevensverwerkersovereenkomsten aangaan met subgegevensverwerkers binnen de EU/EER. Aangaande subgegevensverwerkers buiten de EU/EER, moet de gegevensverwerker standaardovereenkomsten aangaan in overeenstemming met de Beschikking van de Commissie 2010/87/EU van 5 februari 2010 over standaard contractuele clausules voor de overdracht van persoonsgegevens aan verwerkers gevestigd in derde landen ("standaardcontracten") of in overeenstemming met het EU/VS Privacy Shield.
5.6 De gegevensbeheerder kent de gegevensverwerker hierbij een algemene volmacht toe tot het aangaan van standaardcontracten met subgegevensverwerkers buiten de EU/EER namens de gegevensbeheerder.
6. Aansprakelijkheid
6.1 De aansprakelijkheid van de partijen wordt geregeld door de hoofdovereenkomst.
6.2 De aansprakelijkheid voor schade onder deze overeenkomst wordt geregeld door de hoofdovereenkomst.
7. Ingangsdatum en beëindiging
7.1 Deze overeenkomst wordt op hetzelfde moment van kracht als de hoofdovereenkomst.
7.2 In het geval van beëindiging van de hoofdovereenkomst, stopt ook deze overeenkomst.
De gegevensverwerker blijft echter onderhevig aan de verplichtingen die zijn vastgesteld in deze overeenkomst, zo lang de gegevensverwerker persoonsgegevens verwerkt namens de gegevensbeheerder.
In de situatie als beschreven onder clausule 5.2 hebben de partijen het recht de hoofdovereenkomst en de overeenkomst te beëindigen met een opzegtermijn van 1 (één) maand eindigend aan het einde van de maand.
7.3 Na beëindiging van de verwerkingsdiensten is de gegevensverwerker verplicht om, op verzoek van de gegevensbeheerder, alle persoonsgegevens te verwijderen of te retourneren aan de gegevensbeheerder, naast het verwijderen van alle bestaande kopieën, tenzij het bewaren van persoonsgegevens is voorgeschreven door Europese of nationale wetgeving.
8. Geldend recht en rechtsgebied
8.1 Een claim of geschil voortvloeiend uit of met betrekking tot deze overeenkomst dient beslecht te worden door een competente rechtbank van eerste aanleg in hetzelfde rechtsgebied als vermeld in de hoofdovereenkomst.
Schema 1
Categorieën gegevenssubjecten, soorten persoonsgegevens en instructies
1. Categorieën gegevenssubjecten:
- De gegevensverwerker verwerkt contactinformatie van de actuele, potentiële en voormalige klanten en/of leden, werknemers, leveranciers, zaken- en meewerkende partners en filialen van de gegevensbeheerder.
- De gegevensverwerker stelt zijn systeem als gehoste dienst ter beschikking van de gegevensbeheerder, en het is voor de gegevensbeheerder niet mogelijk alle categorieën van gegevenssubjecten vast te stellen. Als de gegevensbeheerder gegevens host onder verdere categorieën van gegevenssubjecten bij de gegevensverwerker, dan is het de verplichting van de gegevensbeheerder deze informatie te registreren.
2. Soorten persoonsgegevens:
- Contact- en identificatie-informatie, waaronder e-mailadressen
- IP-adressen
- Domeinnamen
- Gebruikersnamen
- Lidmaatschapsinformatie
- Analyse- en gebruiksgegevens
- Bestelgeschiedenis en -informatie
- Contracten
- Communicatie
- Ondersteuning
- Afbeeldingen
- Er kunnen aanvullende soorten persoonsgegevens voorkomen
3. Instructies Service
De gegevensverwerker kan persoonsgegevens verwerken betreffende de gegevenssubjecten met als doeleinde het
leveren, ontwikkelen, beheren en administreren van de diensten van de hoofdovereenkomst, inclusief het zorgen voor stabiliteit en beschikbaarheid van onze servers en het voldoen aan wettelijke vereisten.
Beveiliging
De gegevensverwerker garandeert de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens. De gegevensverwerker implementeert systematische, organisatorische en technische maatregelen om te zorgen voor een voldoende niveau aan gegevensbescherming, rekening houdend met de staat, aard en kosten van implementatie in relatie tot de aard van de persoonsgegevens en het risico van de verwerking.
De gegevensverwerker biedt een hoog niveau aan beveiliging voor zijn diensten en producten. Deze beveiliging wordt geboden via technische, organisatorisch en fysieke beveiligingsmaatregelen, waaronder:
- Colocatiefaciliteiten en kantoren zijn beveiligd door voldoende toegangscontroles die de toegang beperken tot bevoegde medewerkers.
- Relevante antivirusbescherming.
- Toegang en aanmelden zijn op basis van functie of persoon en het personeel en systemen hebben niet meer toegang dan nodig voor het uitvoeren van hun werkzaamheden.
- Back-up van systemen die persoonsgegevens verwerken.
- Mutatielogboeken.
- De communicatie via het internet tussen systemen die persoonsgegevens verwerken is gecodeerd.
- Classificatie van persoonsgegevens om te zorgen voor implementatie van beveiligingsmaatregelen die overeenkomen met de risicobeoordeling.
- Gebruik van systemen en processen die helpen bij het verbeteren van de beveiliging tijdens de verwerking van persoonsgegevens.
De gegevensverwerker heeft de bevoegdheid verdere beslissingen te nemen over de noodzakelijke technische en organisatorische beveiligingsmaatregelen die geïmplementeerd moeten worden om te zorgen voor het juiste beveiligingsniveau van de persoonsgegevens.
Bewaartermijn
Persoonsgegevens die op onze systemen bewaard/gehost worden, worden binnen redelijke tijd nadat de gegevensbeheerder de hoofdovereenkomst volledig beëindigd heeft, verwijderd of geanonimiseerd. Uitzonderingen zijn gegevens waar er een wettelijke vereiste voor de gegevensverwerker bestaat de gegevens langer te bewaren.
Dit soort gegevens wordt normaal gesproken binnen acht weken verwijderd, maar ze kunnen eerder verwijderd worden.
Andere soorten gegevens die zijn opgeslagen in logboeken enz. worden na redelijke tijd verwijderd, meestal binnen 8 weken.
Locatie van gegevens
Persoonsgegevens die bewaard/gehost worden op de systemen van de gegevensverwerker worden gehost in datacenters in Denemarken. De gegevensbeheerder geeft de gegevensverwerker hierbij de bevoegdheid gegevens te verplaatsen naar andere datacenters in de Europese Unie als de gegevensverwerker dit relevant vindt en als hetzelfde niveau aan beveiliging en beschikbaarheid gegarandeerd kan worden.
Inspectie van gegevensverwerker
De gegevensverwerker moet eens per jaar op eigen kosten een audit/inspectierapport verkrijgen van een derde partij betreffende de naleving door de gegevensverwerker van deze overeenkomst en de Schema's.
Omdat de systemen van de gegevensverwerker gebruikt worden door meerdere gegevensbeheerders, kent de gegevensbeheerder de gegevensverwerker om veiligheidsredenen de bevoegdheid toe te bepalen dat de audit uitgevoerd moet worden door een derde inspecteur of auditor die de gegevensverwerker selecteert.
Als de gegevensbeheerder de neutrale gegevensverwerker die door de gegevensverwerker gekozen is, niet accepteert, mag de klant een andere derde partij kiezen in overleg met de gegevensverwerker.