GELET OP:
De Opdrachtgever (zoals bedoeld in het commercieel voorstel) een overeenkomst (de “Overeenkomst”) sloot met sharingbox, (de “Aanbieder”) voor het verlenen van diensten beschreven in het bovenstaand commercieel voorstel (de “Diensten”). Bij het verlenen van deze diensten aan de opdrachtgever in het kader van of in verband met de overeenkomst, kan de opdrachtnemer bepaalde persoonsgegevens van de opdrachtgever verwerken als gegevensverwerker namens de opdrachtgever (de “Persoonsgegevens van de opdrachtgever”), met uitzondering van persoonsgegevens die door de opdrachtnemer worden verwerkt in zijn hoedanigheid van verantwoordelijke voor de verwerking;
Bij de verwerking van persoonsgegevens van de opdrachtgever treedt de opdrachtnemer op als gegevensverwerker in de zin van de toepasselijke Wet Bescherming Persoonsgegevens; en
opdrachtgever en opdrachtnemer wensen in deze Bijlage dataverwerking het kader vast te leggen voor de verwerking van persoonsgegevens van de opdrachtgever door de opdrachtnemer in het kader van of in verband met de overeenkomst.
DERHALVE WORDT HET VOLGENDE OVEREENGEKOMEN:
1. Interpretatie
In deze bijlage dataverwerking zijn de bepalingen en voorwaarden van de overeenkomst van toepassing. De begrippen die in deze bijlage dataverwerking met een hoofdletter worden gebruikt, maar die in deze bijlage niet worden gedefinieerd, hebben de betekenis die daaraan in de overeenkomst wordt gegeven, tenzij de context anders vereist.
In deze Bijlage Dataverwerking:
„Overeenkomst” in de zin van overweging 1 van deze bijlage dataverwerking;
“Erkende Onderaannemers” betekent de onderaannemers die overeenkomstig artikel 6.2 door de opdrachtgever zijn goedgekeurd;
„Persoonsgegevens van de klant” in de zin van overweging 1 van deze bijlage dataverwerking. Een beschrijving van de categorieën van Persoonsgegevens van de opdrachtgever is opgenomen in Bijlage 1;
“Wetgeving inzake gegevensbescherming” betekent alle wetten, wetsbesluiten, regelgevingen, regelgevingsbeleid, bij wet, ordonnantie of lagere wetgeving met betrekking tot de verwerking, de persoonlijke levenssfeer en het gebruik van persoonsgegevens, zoals van toepassing op de opdrachtgever, opdrachtnemer en/of de Diensten, met inbegrip van:
in België:
de gegevensbeschermingswet van 8 december 1992 en andere nationale wetten of voorschriften ter uitvoering van Richtlijn 95/46/EG (“gegevensbeschermingsrichtlijn”); en
de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (de algemene verordening gegevensbescherming) (“GDPR”), en alle overeenkomstige of gelijkwaardige nationale wet- of regelgeving; en
in andere EU-landen: de gegevensbeschermingsrichtlijn of de GDPR, zodra van toepassing, en alle relevante wet- en regelgeving van de lidstaten ter uitvoering van deze richtlijnen of ter verdere bepaling van het GDPR;
in elk geval, zoals van kracht en van toepassing, en zoals van tijd tot tijd kan worden gewijzigd, aangevuld of vervangen;
„Bijlage dataverwerking”: deze bijlage dataverwerking, met inbegrip van eventuele schema’s bij deze bijlage dataverwerking;
“Onder „persoonsgegevens” wordt verstaan iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
“Diensten”: de betekenis die aan die term wordt gegeven in overweging 1 van deze bijlage dataverwerking;
„Derde landen”: de betekenis die aan die term wordt gegeven in artikel 7.1.
De partijen erkennen en komen overeen dat deze bijlage dataverwerking een integrerend deel van de overeenkomst vormt.
In geval van tegenstrijdigheid of inconsistentie:
term in het hoofdgedeelte van deze bijlage dataverwerking;
term in een van de tabellen van deze bijlage dataverwerking; en
term in de overeenkomst en de bijbehorende schema’s en bijlagen;
de term in de categorie die voor het eerst op bovenstaande lijst voorkomt, heeft voorrang.
2. Toepassingsgebied en doel
De bepalingen van deze bijlage dataverwerking zijn slechts van toepassing indien en voor zover de opdrachtnemer bij het verlenen van de diensten persoonsgegevens van de opdrachtgever verwerkt.
3. Naleving van de toepasselijke wetgeving inzake gegevensbescherming
Bij de verwerking van persoonsgegevens van de opdrachtgever zal de opdrachtnemer te allen tijde voldoen aan zijn verplichtingen onder alle toepasselijke wetgeving inzake gegevensbescherming.
De opdrachtnemer verwerkt uitsluitend persoonsgegevens van de opdrachtgever:
op de wijze en voor de doeleinden als vermeld in bijlage 1, en
op gedocumenteerde instructies van de opdrachtgever.
De opdrachtgever hierbij:
instrueert de opdrachtnemer namens de opdrachtgever zodanige stappen te ondernemen in de verwerking van persoonlijke gegevens van de opdrachtgever als redelijkerwijs nodig is voor het verrichten van de diensten; en
machtigt de opdrachtnemer aan de erkende onderaannemers en namens de opdrachtgever instructies te verstrekken die gelijkwaardig zijn aan de instructies genoemd in artikel 3.3.1.
4. Vertrouwelijkheid en veiligheid
De opdrachtnemer verplicht zich alle persoonsgegevens van de opdrachtgever vertrouwelijk te behandelen. Tenzij de opdrachtgever schriftelijk anders verlangt, zal de opdrachtnemer persoonlijke gegevens van de opdrachtgever niet aan derden verstrekken anders dan aan:
die van haar werknemers, erkende onderaannemers en werknemers van de erkende onderaannemers aan wie een dergelijke openbaarmaking redelijkerwijs noodzakelijk is voor de verlening van de diensten; of
voor zover vereist door de wet, door een overheids- of andere regelgevende autoriteit, of door een rechtbank of andere autoriteit met een bevoegde jurisdictie; en,
met dien verstande dat de personen aan wie op grond van artikel 4.1.3 Persoonlijke gegevens van de opdrachtgever mogen worden verstrekt, gebonden zijn aan een geheimhoudingsplicht die in overeenstemming is met de geheimhoudingsplicht die op grond van deze bijlage dataverwerking en op grond van de overeenkomst aan de opdrachtnemer is opgelegd;
Gelet op de beschikbare technologie, de kosten van de implementatie daarvan en gelet op de aard, omvang, context en doeleinden van de verwerking van persoonlijke gegevens van de opdrachtgever, zal de opdrachtnemer passende technische en organisatorische maatregelen treffen om een aan het risico aangepast beveiligingsniveau te waarborgen en te voorkomen dat persoonlijke gegevens van de opdrachtgever per ongeluk of onrechtmatig worden vernietigd, verloren, gewijzigd, openbaar gemaakt of geraadpleegd.
5. Meldingen van inbreuken in verband met persoonlijke gegevens
De opdrachtnemer zal de opdrachtgever zo spoedig als redelijkerwijs mogelijk schriftelijk op de hoogte stellen van een daadwerkelijke inbreuk op de beveiliging die leidt tot (onbedoelde) vernietiging, verlies, wijziging, onbevoegde openbaarmaking van of toegang tot door de opdrachtnemer verwerkte persoonsgegevens van de opdrachtgever.
6. Onderaanneming en onderverwerking
De opdrachtgever machtigt de opdrachtnemer om de verwerking van persoonlijke gegevens van de opdrachtgever geheel of gedeeltelijk uit te besteden, mits dat het geval is:
De opdrachtnemer stelt de opdrachtgever op de hoogte van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging of onderaannemers, waardoor de opdrachtgever in de gelegenheid wordt gesteld bezwaar te maken tegen dergelijke wijzigingen; en
De aanbieder en de onderaannemer hebben een schriftelijke overeenkomst inzake gegevensverwerking gesloten waarin verplichtingen zijn vastgelegd die in overeenstemming zijn met de verplichtingen in deze bijlage dataverwerking.
Voor de toepassing van artikel 6.1 stemt de opdrachtgever hierbij in met het uitbesteden van de verwerking van persoonsgegevens van de opdrachtgever aan de onderaannemers zoals omschreven in Bijlage 2. De in bijlage 2 beschreven onderaannemers worden voor de toepassing van deze bijlage dataverwerking geacht toegelaten onderaannemers te zijn.
7. Grensoverschrijdende overdracht van persoonsgegevens van de opdrachtgever
De opdrachtnemer kan persoonsgegevens van de opdrachtgever doorgeven aan een ontvanger in een land buiten de Europese Economische Ruimte (een ander land is een “derde land”) indien:
de Commissie van de EU ten aanzien van dat derde land een passend beschermingsniveau heeft vastgesteld overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming;
de overdracht binnen de werkingssfeer valt van het EU-VS-programma inzake bescherming van de persoonlijke levenssfeer;
de ontvanger een contract met de opdrachtgever is aangegaan dat modelclausules bevat die zijn goedgekeurd door de Europese Commissie of een andere bevoegde overheidsinstantie conform de toepasselijke wetgeving inzake gegevensbescherming; of
er zijn alternatieve passende waarborgen geboden overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming.
8. Audit
Ten behoeve van de controle op de nakoming door de opdrachtnemer van diens verplichtingen uit hoofde van deze Bijlage dataverwerking, kan de opdrachtgever de opdrachtnemer verzoeken en zal de opdrachtnemer de opdrachtgever toestaan kopieën te verkrijgen van alle niet-vertrouwelijke informatie die redelijkerwijs nodig is om aan te tonen dat de opdrachtnemer voldoet aan zijn verplichtingen uit hoofde van deze Bijlage dataverwerking. Dergelijke verzoeken om informatie zullen schriftelijk door de opdrachtgever worden gedaan. De aanbieder verbindt zich ertoe om, voor zover hem bekend, de verlangde documenten en informatie binnen een redelijke termijn te verstrekken, rekening houdend met de omvang en complexiteit van de verlangde informatie.
Voor zover de opdrachtgever niet overeenkomstig artikel 8.1 de benodigde informatie heeft verkregen, kan de opdrachtgever ten behoeve van de controle op de nakoming door de opdrachtnemer van zijn verplichtingen uit hoofde van deze Bijlage dataverwerking een inspectie bij de opdrachtnemer aanvragen en aanvaardt de opdrachtnemer een dergelijke inspectie indien en slechts indien aan alle navolgende voorwaarden wordt voldaan:
het inspectieverzoek ten minste negentig (90) werkdagen voordat de inspectie plaatsvindt schriftelijk aan de opdrachtnemer wordt verstrekt;
de keuring wordt uitgevoerd tijdens de normale werkuren;
De inspectie geen invloed heeft op de dagelijkse bedrijfsvoering van de leverancier;
de inspectie niet langer duurt of niet meer middelen vergt dan nodig is om de gevraagde informatie te verkrijgen;
De opdrachtgever en/of de derden die namens hem de inspectie uitvoeren, komen eerst overeen om, alvorens enige inspectie wordt uitgevoerd, gebonden te zijn aan ad hoc redelijke geheimhoudingsverplichtingen ten aanzien van de verkregen informatie en documenten;
De opdrachtgever en opdrachtnemer komen een schriftelijk actieplan overeen met daarin de exacte reikwijdte van de te inspecteren informatie, documenten, informatiesystemen en IT-faciliteiten; en
De opdrachtgever draagt alle kosten en uitgaven in verband met elke audit (waaronder, maar niet beperkt tot, kosten en uitgaven die de opdrachtnemer maakt in verband met enige assistentie die de opdrachtnemer verleent bij de uitvoering van een dergelijke audit).
9. Bijstand bij de behandeling van verzoeken van betrokkenen
De opdrachtnemer zal voor zover mogelijk en voor rekening en risico van de opdrachtgever medewerking verlenen aan de uitvoering van de overeenkomst:
bijstand verlenen bij de behandeling van verzoeken van betrokkenen
het uitvoeren van privacy-effectbeoordelingen met betrekking tot gegevens in verband met het leveren van de diensten.
10. Duur en beëindiging
Deze bijlage dataverwerking treedt in werking op de datum van de dienstenovereenkomst en blijft van kracht zolang de opdrachtnemer de diensten uit de overeenkomst levert.
11. Retourneren/vernietigen van persoonlijke gegevens van klanten
Binnen dertig (30) werkdagen na afloop of beëindiging van deze bijlage dataverwerking zal de opdrachtnemer
naar keuze van de opdrachtgever:
alle persoonlijke gegevens van de opdrachtgever die op de beëindigingsdatum of vervaldatum in het bezit of in beheer zijn van de opdrachtnemer in elektronisch formaat aan de opdrachtgever te retourneren; of
hun computersystemen en -bestanden van enige persoonlijke gegevens van de opdrachtgever die op de beëindigingsdatum of de vervaldatum in het bezit of onder de controle zijn van de opdrachtnemer
Schema 1: Beschrijving van de gegevensverwerking
1. Doel van de gegevensverwerking
Het doel van de gegevensverwerking is:
Foto’s en dataverzameling via fotocabines, het hosten van online fotogalerijen, fotokwaliteitscontroles en verzending van foto’s naar eindgebruikers;
IT-ondersteuning (probleemoplossing) en klantenservice (inclusief toegang op afstand tot fotocabines voor onderhoudsdoeleinden).
2. Categorieën persoonlijke gegevens
De persoonlijke gegevens van de opdrachtgever die door de opdrachtnemer worden verwerkt zijn:
Identificatiegegevens (namen, titels enz.);
Locatie van fotocabines;
Contactgegevens (e-mails);
Gegevens ter identificatie van beroepsbeoefenaren (functiebenaming, enz.);
Beeldopnamen (foto’s).
3. Categorieën van betrokkenen
De categorieën van betrokkenen zijn:
Eindgebruikers van de fotocabines.
4. Verwerkingsinstructies
Opdrachtnemer zal de persoonsgegevens van de opdrachtgever als volgt verwerken:
Alleen voor zover nodig om de bovengenoemde doelen te bereiken; en
Indien van toepassing, alleen voor zover noodzakelijk om te voldoen aan een wettelijke verplichting die op de opdrachtnemer van toepassing is; of
Indien toestemming van de betrokkene is vereist, alleen na voorafgaande toestemming van de betrokkene.
Schema 2 Erkende Onderaannemers
– Amazon Web Services, Inc. adres: P.O. Box 81226 Seattle, WA 98108-1226
– Google LLC, adres: 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States
– Mandrill, (The Rocket Science Group LLC), adres: 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, Georgia 30308
– Twilio Inc., adres 375 Beale Street, Suite 300, San Francisco, CA 94105
– Sightengine, Kozelo SAS, 16 bis rue d’Odessa, 75014 Paris, France