Addendum inzake gegevensbescherming

De algemene verordening gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) is een verordening in de Europese Unie (EU) inzake gegevensbescherming en privacy voor alle personen binnen de EU. Deze verordening is op 25 mei 2018 in werking getreden en is van toepassing op alle organisaties die persoonsgegevens van EU-burgers verzamelen, opslaan en/of verwerken.

Bij Konveio LLC hechten we veel waarde aan privacy en transparantie en willen we onze klanten laten weten dat Konveio alle nodige maatregelen heeft genomen om aan deze regelgeving te voldoen. Daarom hebben we dit addendum inzake gegevensverwerking (Data Processing Addendum, DPA) opgesteld, waarin onze praktijken op het gebied van gegevensverwerking worden beschreven.

Wilt u een gesigneerd exemplaar? Neem dan contact met ons op.

Addendum inzake gegevensbescherming

Dit addendum inzake gegevensbescherming ("Addendum") maakt deel uit van de Algemene voorwaarden ("Hoofdovereenkomst", "Overeenkomst") tussen: (i) Konveio LLC ("Verkoper") die optreedt namens zichzelf en als vertegenwoordiger van elke aan de Verkoper gelieerde onderneming; en (ii) u, de Klant ("Onderneming"), die optreedt namens zichzelf en als vertegenwoordiger van elke aan de Onderneming gelieerde onderneming.

De termen die in dit Addendum worden gebruikt, hebben de betekenis die in dit Addendum wordt uiteengezet. Termen met een hoofdletter die hierin niet anders worden gedefinieerd, hebben de betekenis die daaraan in de Hoofdovereenkomst wordt gegeven. Behalve zoals hieronder gewijzigd, blijven de voorwaarden van de Hoofdovereenkomst volledig van kracht.

Gezien de wederzijdse verplichtingen die hierin zijn vastgelegd, komen de partijen overeen dat de onderstaande voorwaarden als addendum bij de hoofdovereenkomst worden gevoegd. Tenzij de context anders vereist, verwijzen verwijzingen in dit addendum naar de hoofdovereenkomst naar de hoofdovereenkomst zoals gewijzigd door en inclusief dit addendum.

1. Definities

1.1 In dit addendum hebben de volgende termen de hieronder vermelde betekenis en moeten verwante termen dienovereenkomstig worden geïnterpreteerd:

1.1.1 "Toepasselijke wetgeving" betekent (a) wetgeving van de Verenigde Staten of de Europese Unie of lidstaten met betrekking tot persoonlijke gegevens van het bedrijf waarvoor een lid van de bedrijfsgroep onderworpen is aan EU-wetgeving inzake gegevensbescherming; en (b) alle andere toepasselijke wetgeving met betrekking tot persoonlijke gegevens van het bedrijf waarvoor een lid van de bedrijfsgroep onderworpen is aan andere wetgeving inzake gegevensbescherming;

1.1.2 "Gelieerde onderneming" betekent een entiteit die eigenaar is van of zeggenschap heeft over, eigendom is van of onder zeggenschap staat van, of onder gezamenlijke zeggenschap of eigendom staat met de Onderneming, waarbij zeggenschap wordt gedefinieerd als het direct of indirect bezitten van de bevoegdheid om leiding te geven aan of invloed uit te oefenen op het management en het beleid van een entiteit, hetzij door het bezit van stemgerechtigde effecten, door een contract of anderszins;

1.1.3 "Lid van de bedrijfsgroep" betekent het bedrijf of een aan het bedrijf gelieerde onderneming;

1.1.4 "Persoonsgegevens van het bedrijf" betekent alle persoonsgegevens die door een gecontracteerde verwerker namens een lid van de bedrijfsgroep worden verwerkt op grond van of in verband met de hoofdovereenkomst;

1.1.5 "Gecontracteerde verwerker" betekent leverancier of een subverwerker;

1.1.6 "Wetgeving inzake gegevensbescherming" betekent de EU-wetgeving inzake gegevensbescherming, de Amerikaanse wetgeving inzake gegevensbescherming en, voor zover van toepassing, de wetgeving inzake gegevensbescherming of privacy van elk ander land;

1.1.7 "EER" betekent de Europese Economische Ruimte;

1.1.8 "EU-wetgeving inzake gegevensbescherming" betekent EU-richtlijn 95/46/EG, zoals omgezet in de nationale wetgeving van elke lidstaat en zoals van tijd tot tijd gewijzigd, vervangen of vervangen, met inbegrip van de AVG en wetten ter uitvoering of aanvulling van de AVG;

1.1.9 "AVG" betekent Algemene Verordening Gegevensbescherming 2016/679 van de EU;

1.1.10 "Beperkte overdracht" betekent:

1.1.10.1 een overdracht van Persoonsgegevens van het Bedrijf van een Lid van de Bedrijfsgroep naar een Gecontracteerde Verwerker; of

1.1.10.2 een verdere doorgifte van Persoonsgegevens van het Bedrijf van een Gecontracteerde Verwerker naar een Gecontracteerde Verwerker, of tussen twee vestigingen van een Gecontracteerde Verwerker,

in elk geval waarin een dergelijke overdracht verboden zou zijn door de wetgeving inzake gegevensbescherming (of door de voorwaarden van overeenkomsten inzake gegevensoverdracht die zijn opgesteld om tegemoet te komen aan de beperkingen inzake gegevensoverdracht van de wetgeving inzake gegevensbescherming) bij gebrek aan de standaardcontractbepalingen die moeten worden vastgesteld krachtens artikel 6.4.3 of 12 hieronder;

1.1.11 "Diensten" betekent de diensten en andere activiteiten die door of namens de Verkoper aan leden van de Bedrijvengroep worden geleverd of uitgevoerd overeenkomstig de Hoofdovereenkomst;

1.1.12 "Standaardcontractbepalingen" betekent de contractuele bepalingen zoals uiteengezet in Bijlage 2, gewijzigd zoals aangegeven (tussen vierkante haken en cursief) in die bijlage en onder artikel 13.4;

1.1.13 "Subverwerker" betekent elke persoon (met inbegrip van elke derde partij en elke aan de Verkoper gelieerde onderneming, maar met uitzondering van een werknemer van de Verkoper of een van zijn onderaannemers) die door of namens de Verkoper of een aan de Verkoper gelieerde onderneming is aangesteld om Persoonsgegevens te verwerken namens een Lid van de Bedrijvengroep in verband met de Hoofdovereenkomst; en

1.1.14 "Gelieerde onderneming van de leverancier" betekent een entiteit die eigenaar is van of zeggenschap heeft over, eigendom is van of onder zeggenschap staat van, of onder gezamenlijke zeggenschap of eigendom staat met de leverancier, waarbij zeggenschap wordt gedefinieerd als het direct of indirect bezitten van de bevoegdheid om het management en het beleid van een entiteit te sturen of te laten sturen, hetzij door eigendom van stemgerechtigde effecten, door een contract of anderszins.

1.2 De termen "Commissie", "verwerkingsverantwoordelijke", "betrokkene", "lidstaat", "persoonsgegevens", "inbreuk in verband met persoonsgegevens", "verwerking" en "toezichthoudende autoriteit" hebben dezelfde betekenis als in de AVG, en aanverwante termen moeten dienovereenkomstig worden geïnterpreteerd.

1.3 Het woord "omvatten" moet worden geïnterpreteerd als "omvatten zonder beperking", en verwante termen moeten dienovereenkomstig worden geïnterpreteerd.

2. Autoriteit

De leverancier garandeert en verklaart dat, voordat een aan de leverancier gelieerde onderneming namens een lid van de bedrijfsgroep persoonsgegevens van het bedrijf verwerkt, de leverancier die deze bijlage als vertegenwoordiger van en namens die aan de leverancier gelieerde onderneming aangaat, naar behoren en effectief is gemachtigd (of achteraf bekrachtigd) door die aan de leverancier gelieerde onderneming.

3. Verwerking van persoonsgegevens van het bedrijf

3.1 De leverancier en elke aan de leverancier gelieerde onderneming zullen:

3.1.1 alle toepasselijke wetgeving inzake gegevensbescherming naleven bij de verwerking van persoonsgegevens van het bedrijf; en

3.1.2 geen Persoonsgegevens van het Bedrijf verwerken anders dan op basis van de gedocumenteerde instructies van het betreffende Lid van de Bedrijfsgroep, tenzij Verwerking vereist is op grond van Toepasselijke Wetgeving waaraan de betreffende Gecontracteerde Verwerker onderworpen is, in welk geval de Leverancier of de betreffende Gelieerde Onderneming van de Leverancier, voor zover toegestaan door Toepasselijke Wetgeving, het betreffende Lid van de Bedrijfsgroep op de hoogte zal stellen van die wettelijke vereiste voordat de betreffende Verwerking van die Persoonsgegevens plaatsvindt.

3.2 Elk lid van de bedrijfsgroep:

3.2.1 geeft de Leverancier en elke aan de Leverancier gelieerde onderneming (en machtigt de Leverancier en elke aan de Leverancier gelieerde onderneming om elke Subverwerker instructies te geven) de opdracht om:

3.2.1.1 Persoonsgegevens van het bedrijf verwerken; en

3.2.1.2 in het bijzonder, Persoonsgegevens van het Bedrijf overdragen naar enig land of gebied,

voor zover redelijkerwijs noodzakelijk voor het leveren van de Diensten en in overeenstemming met de Hoofdovereenkomst; en

3.2.2 garandeert en verklaart dat het te allen tijde naar behoren en effectief bevoegd is en zal blijven om de in paragraaf 3.2.1 uiteengezette instructies namens elke relevante gelieerde onderneming te geven.

3.3 Bijlage 1 bij dit Addendum bevat bepaalde informatie over de verwerking van de Persoonsgegevens van het Bedrijf door de Gecontracteerde Verwerkers, zoals vereist door artikel 28(3) van de AVG (en, mogelijk, gelijkwaardige vereisten van andere Wetgeving inzake gegevensbescherming). Het Bedrijf kan van tijd tot tijd redelijke wijzigingen aanbrengen in Bijlage 1 door middel van een schriftelijke kennisgeving aan de Leverancier, indien het Bedrijf dit redelijkerwijs noodzakelijk acht om aan deze vereisten te voldoen. Niets in bijlage 1 (inclusief zoals gewijzigd overeenkomstig dit artikel 3.3) verleent enig recht of legt enige verplichting op aan enige partij bij deze aanvulling.

4. Personeel van leveranciers en aan leveranciers gelieerde ondernemingen

De leverancier en elke aan de leverancier gelieerde onderneming zullen redelijke maatregelen nemen om de betrouwbaarheid van alle werknemers, agent of contractant van een gecontracteerde verwerker die toegang kan hebben tot de persoonsgegevens van het bedrijf, waarbij in elk geval wordt gewaarborgd dat de toegang strikt beperkt blijft tot die personen die de relevante persoonsgegevens van het bedrijf moeten kennen/er toegang toe moeten hebben, voor zover dit strikt noodzakelijk is voor de doeleinden van de hoofdovereenkomst, en om te voldoen aan de toepasselijke wetgeving in het kader van de taken van die persoon ten opzichte van de gecontracteerde verwerker, waarbij wordt gewaarborgd dat al deze personen onderworpen zijn aan geheimhoudingsverplichtingen of professionele of wettelijke geheimhoudingsverplichtingen.

5. Beveiliging

5.1 Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, alsmede het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen de leverancier en elke aan de leverancier gelieerde onderneming met betrekking tot de persoonsgegevens van het bedrijf passende technische en organisatorische maatregelen nemen om een beveiligingsniveau te waarborgen dat passend is voor dat risico, met inbegrip van, indien van toepassing, de maatregelen bedoeld in artikel 32, lid 1, van de AVG.

5.2 Bij het beoordelen van het passende beveiligingsniveau houden de Leverancier en elke aan de Leverancier gelieerde onderneming in het bijzonder rekening met de risico's die de Verwerking met zich meebrengt, met name als gevolg van een Inbreuk in verband met persoonsgegevens.

6. Subverwerking

6.1 Elk lid van de bedrijfsgroep machtigt de leverancier en elke aan de leverancier gelieerde onderneming om subverwerkers aan te wijzen (en elke overeenkomstig dit artikel 6 aangewezen subverwerker toe te staan subverwerkers aan te wijzen) in overeenstemming met dit artikel 6 en eventuele beperkingen in de hoofdovereenkomst.

6.2 De Leverancier en elke Gelieerde onderneming van de Leverancier mogen gebruik blijven maken van de Subverwerkers die op de datum van dit Addendum reeds door de Leverancier of een Gelieerde onderneming van de Leverancier zijn ingeschakeld, op voorwaarde dat de Leverancier en elke Gelieerde onderneming van de Leverancier in elk geval zo spoedig mogelijk voldoen aan de verplichtingen zoals uiteengezet in artikel 6.4.

6.3 De leverancier zal zich inspannen om het bedrijf vooraf schriftelijk in kennis te stellen van de aanstelling van een nieuwe subverwerker, met inbegrip van alle details over de verwerking die door de subverwerker zal worden uitgevoerd. Indien het bedrijf binnen 14 dagen na ontvangst van die kennisgeving de leverancier schriftelijk in kennis stelt van eventuele bezwaren (op redelijke gronden) tegen de voorgestelde aanstelling:

6.3.1 De leverancier zal te goeder trouw met het bedrijf samenwerken om een commercieel redelijke wijziging in de levering van de diensten mogelijk te maken, waardoor het gebruik van die voorgestelde subverwerker wordt vermeden; en

6.3.2 Indien een dergelijke wijziging niet binnen 31 dagen na ontvangst van de kennisgeving van het Bedrijf door de Leverancier kan worden doorgevoerd, kan het Bedrijf, ongeacht de bepalingen in de Hoofdovereenkomst, de Hoofdovereenkomst met onmiddellijke ingang beëindigen door middel van een schriftelijke kennisgeving aan de Leverancier, voor zover deze betrekking heeft op de Diensten waarvoor het gebruik van de voorgestelde Subverwerker vereist is.

6.4 Met betrekking tot elke subverwerker zal de leverancier of de relevante gelieerde onderneming van de leverancier:

6.4.1 voordat de subverwerker voor het eerst persoonsgegevens van het bedrijf verwerkt (of, indien van toepassing, in overeenstemming met artikel 6.2), voldoende zorgvuldigheid betrachten om ervoor te zorgen dat de subverwerker in staat is om het door de hoofdovereenkomst vereiste beschermingsniveau voor persoonsgegevens van het bedrijf te bieden;

6.4.2 ervoor zorgen dat de overeenkomst tussen enerzijds (a) de Verkoper, of (b) de relevante Gelieerde onderneming van de Verkoper, of (c) de relevante tussenliggende Subverwerker; en anderzijds de Subverwerker, wordt beheerst door een schriftelijke overeenkomst met voorwaarden die ten minste hetzelfde niveau van bescherming bieden voor Persoonsgegevens van het Bedrijf als die welke in deze Bijlage zijn uiteengezet en voldoen aan de vereisten van artikel 28, lid 3, van de AVG;

6.4.3 het Bedrijf ter inzage verstrekken van kopieën van de overeenkomsten van de Gecontracteerde Verwerkers met Subverwerkers (die kunnen worden geredigeerd om vertrouwelijke commerciële informatie te verwijderen die niet relevant is voor de vereisten van deze Addendum), zoals het Bedrijf van tijd tot tijd kan verzoeken.

6.5 De Leverancier en elke aan de Leverancier gelieerde onderneming zorgen ervoor dat elke Subverwerker de verplichtingen uit hoofde van de artikelen 3.1, 4, 5, 7.1, 8.2, 9 en 11.1 nakomt, voor zover deze van toepassing zijn op de Verwerking van Persoonsgegevens van het Bedrijf door die Subverwerker, alsof deze partij is bij deze Addendum in plaats van de Leverancier.

7. Rechten van betrokkenen

7.1 Rekening houdend met de aard van de Verwerking, zullen de Leverancier en elke aan de Leverancier gelieerde onderneming elk Lid van de Bedrijvengroep bijstaan door passende technische en organisatorische maatregelen te nemen, voor zover dit mogelijk is, om te voldoen aan de verplichtingen van de Leden van de Bedrijvengroep, zoals redelijkerwijs begrepen door het Bedrijf, om te reageren op verzoeken om de rechten van de Betrokkene uit hoofde van de Wetgeving inzake gegevensbescherming uit te oefenen.

7.2 De leverancier zal:

7.2.1 het Bedrijf onmiddellijk op de hoogte stellen indien een Gecontracteerde Verwerker een verzoek ontvangt van een Betrokkene op grond van enige Wetgeving inzake gegevensbescherming met betrekking tot Persoonsgegevens van het Bedrijf; en

7.2.2 ervoor zorgen dat de Contractant niet op dat verzoek reageert, behalve op basis van gedocumenteerde instructies van het Bedrijf of de relevante Gelieerde onderneming van het Bedrijf of zoals vereist door de Toepasselijke wetgeving waaraan de Contractant onderworpen is, in welk geval de Leverancier, voor zover toegestaan door de Toepasselijke wetgeving, het Bedrijf op de hoogte zal stellen van die wettelijke vereiste voordat de Contractant op het verzoek reageert.

8. Inbreuk op persoonsgegevens

8.1 De leverancier zal het bedrijf onverwijld op de hoogte stellen wanneer de leverancier of een subverwerker kennis neemt van een inbreuk op persoonsgegevens die van invloed is op de persoonsgegevens van het bedrijf, en het bedrijf voldoende informatie verstrekken om elk lid van de bedrijfsgroep in staat te stellen te voldoen aan alle verplichtingen om de betrokkenen op de hoogte te stellen van de inbreuk op persoonsgegevens overeenkomstig de wetgeving inzake gegevensbescherming.

8.2 De leverancier zal samenwerken met het bedrijf en elk lid van de bedrijfsgroep en alle redelijke commerciële maatregelen nemen die door het bedrijf worden voorgeschreven om te helpen bij het onderzoeken, beperken en herstellen van elk dergelijk incident met persoonsgegevens.

9. Effectbeoordeling inzake gegevensbescherming en voorafgaande raadpleging

De leverancier en elke aan de leverancier gelieerde onderneming zullen elke onderneming van de groep redelijke bijstand verlenen bij alle effectbeoordelingen inzake gegevensbescherming en voorafgaande raadplegingen met toezichthoudende autoriteiten of andere bevoegde autoriteiten op het gebied van gegevensbescherming, die de onderneming redelijkerwijs noodzakelijk acht voor elke onderneming van de groep op grond van artikel 35 of 36 van de AVG of gelijkwaardige bepalingen van enige andere wetgeving inzake gegevensbescherming, in elk geval uitsluitend met betrekking tot de verwerking van persoonsgegevens van de onderneming door, en rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor, de gecontracteerde verwerkers.

10. Verwijdering van persoonlijke gegevens van het bedrijf

10.1 Onder voorbehoud van de artikelen 10.2 en 10.3 zullen de Verkoper en elke aan de Verkoper gelieerde onderneming onmiddellijk en in ieder geval binnen 14 dagen na de datum van beëindiging van alle Diensten die betrekking hebben op de Verwerking van Persoonsgegevens van het Bedrijf (de "Beëindigingsdatum"), alle kopieën van die Persoonsgegevens van het Bedrijf verwijderen en ervoor zorgen dat deze worden verwijderd.

10.2 Onder voorbehoud van artikel 10.3 kan het Bedrijf naar eigen goeddunken door middel van een schriftelijke kennisgeving aan de Verkoper binnen 30 dagen na de Beëindigingsdatum van de Verkoper en elke aan de Verkoper gelieerde onderneming verlangen dat zij (a) een volledige kopie van alle Persoonsgegevens van het Bedrijf aan het Bedrijf retourneren via een beveiligde bestandsoverdracht in een formaat dat redelijkerwijs door het Bedrijf aan de Verkoper wordt meegedeeld; en (b) alle andere kopieën van Persoonsgegevens van het Bedrijf die door een Contractuele Verwerker zijn verwerkt, verwijderen en ervoor zorgen dat deze worden verwijderd. De Verkoper en elke aan de Verkoper gelieerde onderneming dienen binnen 30 dagen na de Beëindigingsdatum aan een dergelijk schriftelijk verzoek te voldoen.

10.3 Elke gecontracteerde verwerker mag persoonsgegevens van het bedrijf bewaren voor zover dit vereist is door de toepasselijke wetgeving en alleen voor zover en voor de periode die vereist is door de toepasselijke wetgeving, en altijd op voorwaarde dat de leverancier en elke aan de leverancier gelieerde onderneming de vertrouwelijkheid van al deze persoonsgegevens van het bedrijf waarborgen en ervoor zorgen dat deze persoonsgegevens van het bedrijf alleen worden verwerkt voor zover dat nodig is voor de doeleinden die zijn gespecificeerd in de toepasselijke wetgeving die de opslag ervan vereist, en voor geen enkel ander doel.

10.4 De leverancier zal binnen 30 dagen na de beëindigingsdatum een schriftelijke verklaring aan het bedrijf verstrekken waarin wordt bevestigd dat hij en elke aan hem gelieerde onderneming volledig aan dit artikel 10 hebben voldaan.

11. Controlebevoegdheden

11.1 Onder voorbehoud van artikel 11.2 zullen de Verkoper en elke aan de Verkoper gelieerde onderneming op verzoek aan elk Lid van de Bedrijvengroep alle informatie verstrekken die nodig is om aan te tonen dat aan dit Addendum wordt voldaan, en zullen zij audits, met inbegrip van inspecties, door een Lid van de Bedrijvengroep of een door een Lid van de Bedrijvengroep aangestelde auditor met betrekking tot de Verwerking van de Persoonsgegevens van het Bedrijf door de Gecontracteerde Verwerkers toestaan en daaraan meewerken.

11.2 Informatie- en controlerechten van de leden van de bedrijfsgroep ontstaan alleen op grond van artikel 11.1 voor zover de hoofdovereenkomst hen geen andere informatie- en controlerechten toekent die voldoen aan de relevante vereisten van de wetgeving inzake gegevensbescherming (met inbegrip van, indien van toepassing, artikel 28, lid 3, onder h), van de AVG).

12. Beperkte overdrachten

12.1 Onder voorbehoud van artikel 12.3 gaan elk lid van de bedrijfsgroep (als "gegevensuitvoerder") en elke gecontracteerde verwerker, voor zover van toepassing (als "gegevensimporteur"), hierbij de standaardcontractbepalingen aan met betrekking tot elke beperkte overdracht van dat lid van de bedrijfsgroep naar die gecontracteerde verwerker.

12.2 De standaardcontractbepalingen treden in werking overeenkomstig artikel 12.1 op de laatste van de volgende data:

12.2.1 de gegevensexporteur partij wordt bij deze overeenkomsten;

12.2.2 de gegevensimporteur partij wordt bij deze overeenkomsten; en

12.2.3 aanvang van de betreffende beperkte overdracht.

12.3 Sectie 12.1 is niet van toepassing op een beperkte overdracht, tenzij het effect ervan, samen met andere redelijkerwijs uitvoerbare nalevingsmaatregelen (waaronder, voor alle duidelijkheid, niet het verkrijgen van toestemming van betrokkenen), ertoe leidt dat de betreffende beperkte overdracht kan plaatsvinden zonder inbreuk te maken op de toepasselijke wetgeving inzake gegevensbescherming.

13. Algemene voorwaarden

TOEPASSELIJK RECHT EN BEVOEGDE RECHTER

13.1 Onverminderd de bepalingen van artikel 7 (Bemiddeling en jurisdictie) en artikel 9 (Toepasselijk recht) van de standaardcontractbepalingen:

13.1.1 De partijen bij deze aanvullende overeenkomst onderwerpen zich hierbij aan de keuze van het rechtsgebied zoals bepaald in de hoofdovereenkomst met betrekking tot alle geschillen of vorderingen die op enigerlei wijze voortvloeien uit deze aanvullende overeenkomst, met inbegrip van geschillen over het bestaan, de geldigheid of de beëindiging ervan of de gevolgen van de nietigheid ervan; en

13.1.2 Deze aanvulling en alle niet-contractuele of andere verplichtingen die hieruit voortvloeien of hiermee verband houden, worden beheerst door de wetgeving van het land of gebied dat hiervoor in de hoofdovereenkomst is bepaald.

VOLGORDE VAN VOORRANG

13.2 Niets in deze aanvulling vermindert de verplichtingen van de leverancier of een aan de leverancier gelieerde onderneming uit hoofde van de hoofdovereenkomst met betrekking tot de bescherming van persoonsgegevens, noch staat het de leverancier of een aan de leverancier gelieerde onderneming toe om persoonsgegevens te verwerken (of de verwerking ervan toe te staan) op een wijze die verboden is door de hoofdovereenkomst. In geval van tegenstrijdigheid of inconsistentie tussen deze aanvulling en de standaardcontractbepalingen, prevaleren de standaardcontractbepalingen.

13.3 Onder voorbehoud van artikel 13.2, met betrekking tot het onderwerp van deze aanvulling, prevaleren in geval van inconsistenties tussen de bepalingen van deze aanvulling en andere overeenkomsten tussen de partijen, met inbegrip van de hoofdovereenkomst en met inbegrip van (tenzij uitdrukkelijk anders schriftelijk overeengekomen, ondertekend namens de partijen) overeenkomsten die zijn aangegaan of beogen te zijn aangegaan na de datum van deze aanvulling, de bepalingen van deze aanvulling.

WIJZIGINGEN IN DE WETGEVING INZAKE GEGEVENSBESCHERMING, ENZ.

13.4 Het bedrijf kan:

13.4.1 door middel van een schriftelijke kennisgeving aan de Verkoper met een termijn van ten minste 30 (dertig) kalenderdagen van tijd tot tijd wijzigingen aan te brengen in de Standaardcontractbepalingen (met inbegrip van alle Standaardcontractbepalingen die zijn overeengekomen krachtens artikel 12.1), voor zover deze van toepassing zijn op beperkte overdrachten die onderworpen zijn aan een bepaalde wet inzake gegevensbescherming, die vereist zijn als gevolg van een wijziging in of een besluit van een bevoegde autoriteit op grond van die wet inzake gegevensbescherming, om die beperkte overdrachten mogelijk te maken (of te blijven maken) zonder inbreuk te maken op die wet inzake gegevensbescherming; en

13.4.2 andere wijzigingen in deze aanvulling voorstellen die het bedrijf redelijkerwijs noodzakelijk acht om te voldoen aan de vereisten van enige wetgeving inzake gegevensbescherming.

13.5 Indien het Bedrijf kennisgeving doet krachtens artikel 13.4.1:

13.5.1 De leverancier en elke aan de leverancier gelieerde onderneming zullen onmiddellijk meewerken (en ervoor zorgen dat alle betrokken subverwerkers onmiddellijk meewerken) om ervoor te zorgen dat gelijkwaardige wijzigingen worden aangebracht in elke overeenkomst die is gesloten op grond van artikel 6.4.3; en

13.5.2 Het bedrijf zal niet op onredelijke gronden zijn instemming onthouden of uitstellen met betrekking tot eventuele daaruit voortvloeiende wijzigingen in deze bijlage die door de leverancier worden voorgesteld om de gecontracteerde verwerkers te beschermen tegen extra risico's die verband houden met de wijzigingen die zijn aangebracht op grond van artikel 13.4.1 of 13.5.1.

13.6 Indien het Bedrijf kennisgeving doet krachtens artikel 13.4.2, zullen de partijen onverwijld de voorgestelde wijzigingen bespreken en te goeder trouw onderhandelen met het oog op het overeenkomen en implementeren van die wijzigingen of alternatieve wijzigingen die zijn bedoeld om zo snel als redelijkerwijs mogelijk is tegemoet te komen aan de vereisten die in de kennisgeving van het Bedrijf zijn vermeld.

13.7 Noch het Bedrijf, noch de Verkoper heeft de toestemming of goedkeuring van een Gelieerde onderneming van het Bedrijf of een Gelieerde onderneming van de Verkoper nodig om deze Bijlage te wijzigen overeenkomstig dit artikel 13.5 of anderszins.

ONTSLAG

13.8 Indien een bepaling van deze aanvulling ongeldig of niet-afdwingbaar is, blijft de rest van deze aanvulling geldig en van kracht. De ongeldige of niet-afdwingbare bepaling wordt ofwel (i) zo nodig gewijzigd om de geldigheid en afdwingbaarheid ervan te waarborgen, waarbij de bedoelingen van de partijen zo nauwkeurig mogelijk worden behouden, of, indien dit niet mogelijk is, (ii) geïnterpreteerd alsof het ongeldige of niet-afdwingbare deel nooit daarin was opgenomen.

Bijlage 1: Standaardcontractbepalingen

STANDAARD CONTRACTUELE BEPALINGEN (VERWERKERS)

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend niveau van gegevensbescherming waarborgen.

ACHTERGROND

De gegevensexporteur heeft een addendum inzake gegevensverwerking ("DPA") gesloten met de gegevensimporteur. Overeenkomstig de voorwaarden van de DPA wordt ervan uitgegaan dat de door de gegevensimporteur geleverde diensten de overdracht van persoonsgegevens aan de gegevensimporteur met zich meebrengen. De gegevensimporteur is gevestigd in een land dat geen adequaat niveau van gegevensbescherming waarborgt. Om naleving van Richtlijn 95/46/EG en de toepasselijke wetgeving inzake gegevensbescherming te waarborgen, stemt de verwerkingsverantwoordelijke in met de levering van dergelijke diensten, met inbegrip van de verwerking van persoonsgegevens die daarmee verband houden, op voorwaarde dat de gegevensimporteur de bepalingen van deze clausules uitvoert en naleeft.

ARTIKEL 1

DEFINITIES

Voor de toepassing van de bepalingen:

• ‘"persoonsgegevens", "bijzondere categorieën gegevens", "verwerking", "verwerkingsverantwoordelijke", "verwerker", "betrokkene" en "toezichthoudende autoriteit" hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
• 'de gegevensexporteur': de verwerkingsverantwoordelijke die de persoonsgegevens doorgeeft;
• onder "gegevensimporteur" wordt verstaan: de verwerker die ermee instemt om van de gegevensexporteur persoonsgegevens te ontvangen die bestemd zijn om na de doorgifte namens hem te worden verwerkt overeenkomstig zijn instructies en de bepalingen van de clausules, en die niet onderworpen is aan een systeem van een derde land dat een passend beschermingsniveau biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
• 'de subverwerker': elke verwerker die door de gegevensimporteur of door een andere subverwerker van de gegevensimporteur is ingeschakeld en die ermee instemt om van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor verwerkingsactiviteiten die namens de gegevensexporteur na de doorgifte moeten worden uitgevoerd in overeenstemming met zijn instructies, de bepalingen van de clausules en de bepalingen van de schriftelijke onderaannemingsovereenkomst;
• "de toepasselijke wetgeving inzake gegevensbescherming": de wetgeving ter bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op privacy met betrekking tot de verwerking van persoonsgegevens, die van toepassing is op een voor de verwerking verantwoordelijke in de lidstaat waar de gegevensexporteur is gevestigd;
• "technische en organisatorische beveiligingsmaatregelen": maatregelen die bedoeld zijn om persoonsgegevens te beveiligen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies, wijziging, ongeoorloofde verspreiding of toegang, met name wanneer de verwerking gepaard gaat met de overdracht van gegevens via een netwerk, en tegen alle andere onrechtmatige vormen van verwerking.

ARTIKEL 2

DETAILS VAN DE OVERDRACHT

De details van de overdracht en in het bijzonder de speciale categorieën van persoonsgegevens, indien van toepassing, worden gespecificeerd in bijlage 1, die een integraal onderdeel vormt van de clausules.

ARTIKEL 3

CLAUSULE IN HET VOORDEEL VAN DERDEN

1. De betrokkene kan deze clausule, clausule 4, onder b) tot en met i), clausule 5, onder a) tot en met e) en onder g) tot en met j), clausule 6, leden 1 en 2, clausule 7, clausule 8, lid 2, en clausules 9 tot en met 12 als derde begunstigde tegen de gegevensexporteur afdwingen.
2. De betrokkene kan deze clausule, clausule 5, onder a) tot en met e) en g), clausule 6, clausule 7, clausule 8, lid 2, en clausules 9 tot en met 12 afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of juridisch niet meer bestaat, tenzij een opvolgende entiteit de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst of van rechtswege heeft overgenomen, waardoor zij de rechten en verplichtingen van de gegevensexporteur op zich neemt, in welk geval de betrokkene deze tegen die entiteit kan afdwingen.
3. De betrokkene kan deze clausule, clausule 5(a) tot en met (e) en (g), clausule 6, clausule 7, clausule 8(2) en de bepalingen 9 tot en met 12 afdwingen in gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk zijn verdwenen of juridisch niet meer bestaan of insolvent zijn geworden, tenzij een opvolgende entiteit de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst of van rechtswege heeft overgenomen, waardoor zij de rechten en verplichtingen van de gegevensexporteur op zich neemt, in welk geval de betrokkene deze tegen die entiteit kan afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten in het kader van de bepalingen.
4. De partijen hebben geen bezwaar tegen vertegenwoordiging van een betrokkene door een vereniging of andere instantie, indien de betrokkene dit uitdrukkelijk wenst en indien dit volgens de nationale wetgeving is toegestaan.

ARTIKEL 4

VERPLICHTINGEN VAN DE GEGEVENSEXPORTEUR

De gegevensexporteur stemt ermee in en garandeert:

• dat de verwerking, met inbegrip van de overdracht zelf, van de persoonsgegevens is en zal worden uitgevoerd in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, is gemeld aan de relevante autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd) en niet in strijd is met de relevante bepalingen van die staat;
• dat het de gegevensimporteur heeft geïnstrueerd en gedurende de gehele duur van de verwerking van persoonsgegevens zal instrueren om de overgedragen persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de clausules te verwerken;
• dat de gegevensimporteur voldoende garanties biedt met betrekking tot de technische en organisatorische beveiligingsmaatregelen die zijn gespecificeerd in bijlage 2 bij dit contract;
• dat na beoordeling van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, de beveiligingsmaatregelen geschikt zijn om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens via een netwerk omvat, en tegen alle andere onwettige vormen van verwerking, en dat deze maatregelen een beveiligingsniveau garanderen dat passend is voor de risico's die de verwerking met zich meebrengt en de aard van de te beschermen gegevens, rekening houdend met de stand van de techniek en de kosten van de implementatie ervan;
• dat het de naleving van de veiligheidsmaatregelen zal waarborgen;
• dat, indien de doorgifte bijzondere categorieën gegevens betreft, de betrokkene vóór of zo spoedig mogelijk na de doorgifte ervan in kennis is gesteld of zal worden gesteld dat zijn gegevens kunnen worden doorgegeven aan een derde land dat geen passende bescherming biedt in de zin van Richtlijn 95/46/EG;
• om elke kennisgeving die hij van de gegevensimporteur of een subverwerker ontvangt overeenkomstig clausule 5(b) en clausule 8(3) door te sturen naar de toezichthoudende autoriteit voor gegevensbescherming indien de gegevensexporteur besluit de doorgifte voort te zetten of de opschorting op te heffen;
• op verzoek van de betrokkenen een kopie van de clausules, met uitzondering van bijlage 2, en een beknopte beschrijving van de beveiligingsmaatregelen ter beschikking te stellen, evenals een kopie van elk contract voor subverwerkingsdiensten dat in overeenstemming met de clausules moet worden opgesteld, tenzij de clausules of het contract commerciële informatie bevatten, in welk geval deze commerciële informatie kan worden verwijderd;
• dat, in geval van subverwerking, de verwerkingsactiviteit wordt uitgevoerd in overeenstemming met clausule 11 door een subverwerker die ten minste hetzelfde niveau van bescherming biedt voor de persoonsgegevens en de rechten van de betrokkene als de gegevensimporteur onder de clausules; en
• dat het zal zorgen voor naleving van clausule 4(a) tot (i).

ARTIKEL 5

VERPLICHTINGEN VAN DE GEGEVENSIMPORTEUR

De gegevensimporteur stemt ermee in en garandeert:

• de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en de clausules te verwerken; indien hij om welke reden dan ook niet aan deze verplichting kan voldoen, stemt hij ermee in de gegevensexporteur onmiddellijk op de hoogte te stellen van zijn onvermogen om aan deze verplichting te voldoen, in welk geval de gegevensexporteur het recht heeft de overdracht van gegevens op te schorten en/of de overeenkomst te beëindigen;
• dat het geen reden heeft om aan te nemen dat de op het bedrijf van toepassing zijnde wetgeving het verhindert om de instructies van de gegevensexporteur en zijn verplichtingen uit hoofde van het contract na te komen, en dat het in geval van een wijziging in deze wetgeving die waarschijnlijk een aanzienlijk nadelig effect zal hebben op de garanties en verplichtingen waarin de clausules voorzien, het de gegevensexporteur onmiddellijk op de hoogte zal stellen van de wijziging zodra het daarvan op de hoogte is, in welk geval de gegevensexporteur het recht heeft om de overdracht van gegevens op te schorten en/of de overeenkomst te beëindigen;
• dat het de in bijlage 2 gespecificeerde technische en organisatorische beveiligingsmaatregelen heeft geïmplementeerd alvorens de overgedragen persoonsgegevens te verwerken;
• dat zij de gegevensexporteur onmiddellijk in kennis zal stellen van:
• elk wettelijk bindend verzoek om openbaarmaking van de persoonsgegevens door een wetshandhavingsinstantie, tenzij dit anderszins verboden is, zoals een verbod op grond van het strafrecht om de vertrouwelijkheid van een wetshandhavingsonderzoek te waarborgen,
• elke onopzettelijke of ongeoorloofde toegang, en
• elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen, zonder op dat verzoek te reageren, tenzij hiervoor toestemming is verleend;
• alle verzoeken van de gegevensexporteur met betrekking tot de verwerking van de overgedragen persoonsgegevens onmiddellijk en correct te behandelen en het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de overgedragen gegevens op te volgen;
• op verzoek van de gegevensexporteur om zijn gegevensverwerkingsfaciliteiten ter beschikking te stellen voor controle van de verwerkingsactiviteiten die onder de clausules vallen, welke controle wordt uitgevoerd door de gegevensexporteur of een controle-instantie die bestaat uit onafhankelijke leden die over de vereiste beroepskwalificaties beschikken en aan een geheimhoudingsplicht zijn gebonden, en die door de gegevensexporteur, in voorkomend geval in overeenstemming met de toezichthoudende autoriteit, wordt geselecteerd;
• op verzoek van de betrokkene een kopie van de clausules of van een bestaand contract voor subverwerking ter beschikking te stellen, tenzij de clausules of het contract commerciële informatie bevatten, in welk geval deze commerciële informatie kan worden verwijderd, met uitzondering van bijlage 2, die wordt vervangen door een beknopte beschrijving van de beveiligingsmaatregelen in gevallen waarin de betrokkene geen kopie kan verkrijgen van de gegevensexporteur;
• dat het, in geval van subverwerking, de gegevensexporteur vooraf op de hoogte heeft gesteld en diens voorafgaande schriftelijke toestemming heeft verkregen;
• dat de verwerkingsdiensten door de subverwerker zullen worden uitgevoerd in overeenstemming met clausule 11;
• om onverwijld een kopie van elke subverwerkerovereenkomst die hij op grond van de bepalingen sluit, aan de gegevensexporteur te sturen.

ARTIKEL 6

AANSPRAKELIJKHEID

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden als gevolg van een schending van de in artikel 3 of artikel 11 bedoelde verplichtingen door een partij of subverwerker, recht heeft op vergoeding van de geleden schade door de gegevensexporteur.
2. Indien een betrokkene niet in staat is om overeenkomstig lid 1 een vordering tot schadevergoeding in te stellen tegen de gegevensexporteur wegens een schending door de gegevensimporteur of zijn subverwerker van een van hun verplichtingen als bedoeld in clausule 3 of clausule 11, omdat de gegevensexporteur feitelijk is verdwenen of juridisch niet meer bestaat of insolvent is geworden, gaat de gegevensimporteur ermee akkoord dat de betrokkene een vordering tegen de gegevensimporteur kan instellen alsof deze de gegevensexporteur is, tenzij een opvolgende entiteit de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst of van rechtswege heeft overgenomen, in welk geval de betrokkene zijn rechten tegen die entiteit kan doen gelden.
   De gegevensimporteur mag zich niet beroepen op een schending van de verplichtingen door een subverwerker om zijn eigen aansprakelijkheid te ontlopen.
3. Indien een betrokkene geen vordering kan instellen tegen de gegevensexporteur of de gegevensimporteur als bedoeld in de leden 1 en 2, voortvloeiend uit een schending door de subverwerker van een van hun verplichtingen als bedoeld in clausule 3 of clausule 11, omdat zowel de gegevensexporteur als de gegevensimporteur feitelijk zijn verdwenen of juridisch niet meer bestaan of insolvent zijn geworden, gaat de subverwerker ermee akkoord dat de betrokkene een vordering kan instellen tegen de subverwerker met betrekking tot zijn eigen verwerkingsactiviteiten op grond van de bepalingen, alsof deze de gegevensexporteur of de gegevensimporteur was, tenzij een opvolgende entiteit de volledige wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur bij overeenkomst of van rechtswege heeft overgenomen, in welk geval de betrokkene zijn rechten tegen die entiteit kan doen gelden. De aansprakelijkheid van de subverwerker is beperkt tot zijn eigen verwerkingsactiviteiten onder de Clausules.

ARTIKEL 7

BEMIDDELING EN RECHTSBEVOEGDHEID

1. De gegevensimporteur stemt ermee in dat indien de betrokkene zich op grond van de clausules beroept op rechten van derden en/of schadevergoeding eist, de gegevensimporteur de beslissing van de betrokkene zal aanvaarden:
2. het geschil voor te leggen aan bemiddeling door een onafhankelijke persoon of, indien van toepassing, door de toezichthoudende autoriteit;
3. het geschil voor te leggen aan de rechtbanken van de lidstaat waar de gegevensexporteur is gevestigd.
4. De partijen komen overeen dat de keuze van de betrokkene geen afbreuk doet aan zijn materiële of procedurele rechten om rechtsmiddelen aan te wenden overeenkomstig andere bepalingen van nationaal of internationaal recht.

ARTIKEL 8

SAMENWERKING MET TOEZICHTHOUDENDE AUTORITEITEN

1. De gegevensexporteur stemt ermee in een kopie van dit contract bij de toezichthoudende autoriteit te deponeren indien deze daarom verzoekt of indien een dergelijk deponeren vereist is krachtens de toepasselijke wetgeving inzake gegevensbescherming.
2. De partijen komen overeen dat de toezichthoudende autoriteit het recht heeft om een audit uit te voeren bij de gegevensimporteur en bij elke subverwerker, die dezelfde reikwijdte heeft en aan dezelfde voorwaarden onderworpen is als een audit bij de gegevensexporteur op grond van de toepasselijke wetgeving inzake gegevensbescherming.
3. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van het bestaan van wetgeving die op hem of een subverwerker van toepassing is en die de uitvoering van een audit van de gegevensimporteur of een subverwerker overeenkomstig lid 2 verhindert. In dat geval heeft de gegevensexporteur het recht de in clausule 5, onder b), bedoelde maatregelen te nemen.

ARTIKEL 9

TOEPASSELIJK RECHT

De bepalingen worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.

ARTIKEL 10

WIJZIGING VAN DE OVEREENKOMST

De partijen verbinden zich ertoe de bepalingen niet te wijzigen of aan te passen. Dit belet de partijen niet om, indien nodig, bepalingen toe te voegen met betrekking tot zakelijke aangelegenheden, op voorwaarde dat deze niet in strijd zijn met de bepaling.

ARTIKEL 11

SUBPROCESSING

1. De gegevensimporteur mag geen van zijn verwerkingsactiviteiten die hij namens de gegevensexporteur uitvoert op grond van de bepalingen uitbesteden zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. Wanneer de gegevensimporteur zijn verplichtingen uit hoofde van de bepalingen met toestemming van de gegevensexporteur uitbesteedt, doet hij dit uitsluitend door middel van een schriftelijke overeenkomst met de subverwerker, waarin aan de subverwerker dezelfde verplichtingen worden opgelegd als aan de gegevensimporteur op grond van de bepalingen. Wanneer de subverwerker zijn gegevensbeschermingsverplichtingen uit hoofde van een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur volledig aansprakelijk jegens de gegevensuitvoerder voor de nakoming van de verplichtingen van de subverwerker uit hoofde van die overeenkomst.
2. De voorafgaande schriftelijke overeenkomst tussen de gegevensimporteur en de subverwerker moet ook voorzien in een derde-partijbegunstigingsclausule zoals vastgelegd in clausule 3 voor gevallen waarin de betrokkene geen aanspraak kan maken op de in clausule 6, lid 1, bedoelde schadevergoeding tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen of juridisch niet meer bestaan of insolvent zijn geworden en geen opvolgende entiteit de volledige wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur bij overeenkomst of van rechtswege heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingsactiviteiten in het kader van de clausules.
3. De bepalingen met betrekking tot gegevensbeschermingsaspecten voor de subverwerking van het in lid 1 bedoelde contract worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.
4. De gegevensexporteur houdt een lijst bij van de subverwerkingsovereenkomsten die op grond van de bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig bepaling 5, onder j), zijn gemeld, en die ten minste eenmaal per jaar wordt bijgewerkt. De lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming van de gegevensexporteur.

ARTIKEL 12

VERPLICHTING NA BEËINDIGING VAN DE VERWERKING VAN PERSOONSGEGEVENS

1. De partijen komen overeen dat bij beëindiging van de levering van gegevensverwerkingsdiensten de gegevensimporteur en de subverwerker, naar keuze van de gegevensexporteur, alle overgedragen persoonsgegevens en de kopieën daarvan aan de gegevensexporteur zullen teruggeven of alle persoonsgegevens zullen vernietigen en aan de gegevensexporteur zullen verklaren dat zij dit hebben gedaan, tenzij de wetgeving die op de gegevensimporteur van toepassing is, hem verhindert om alle of een deel van de overgedragen persoonsgegevens terug te geven of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal waarborgen en de doorgegeven persoonsgegevens niet meer actief zal verwerken.
2. De gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun gegevensverwerkingsfaciliteiten ter beschikking zullen stellen voor een audit van de in lid 1 bedoelde maatregelen.

Bijlage 1 bij de modelcontractbepalingen

De lidstaten kunnen, overeenkomstig hun nationale procedures, aanvullende informatie die in deze bijlage moet worden opgenomen, aanvullen of specificeren.

GEGEVENSEXPORTEUR

De gegevensexporteur is: _________________

GEGEVENSIMPORTEUR

De gegevensimporteur is: Konveio, LLC

GEGEVENSVERWERKING

De overgedragen persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen:
Gebruikers, managers, beheerders

CATEGORIEËN VAN GEGEVENS

De overgedragen persoonsgegevens hebben betrekking op de volgende categorieën gegevens:
Identificerende informatie die relevant is voor het aanmaken van een gebruikersaccount, het indienen en beheren van opmerkingen, zoals naam, e-mailadres, telefoonnummer (optioneel), verbindingsgegevens, persoonlijke levensgegevens.

SPECIALE CATEGORIEËN VAN GEGEVENS (INDIEN VAN TOEPASSING)

De overgedragen persoonsgegevens hebben betrekking op de volgende bijzondere categorieën van gegevens: n.v.t.

VERWERKINGSOPERATIES

De overgedragen persoonsgegevens worden onderworpen aan de volgende basisverwerkingsactiviteiten:
Het leveren van diensten voor het verzamelen en beheren van opmerkingen en enquêtes.

Bijlage 2 bij de modelcontractbepalingen

Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn geïmplementeerd in overeenstemming met clausules 4(d) en 5(c):

Firewalls, SSL-certificaten, webapplicatie-firewalls, veilig beheer van de ontwikkelingscyclus, veilige coderingspraktijken, 2FA-toegang, PCI Level 1 Service Provider, interne kwetsbaarheidsbeoordelingen, voortdurende opleiding van medewerkers, virus-/malwarescans, bescherming tegen phishing en meer.

‍