Bijlage gegevensverwerking

Deze Bijlage maakt integraal deel uit van de Overeenkomst en wordt aangegaan door

(i) De Cliënt ("Data Exporteur")
(ii) IQUALIF ("Data Importeur")

Elk zijnde een "partij" en gewoonlijk "partijen".

Inleiding

WAAR de gegevensimporteur professionele softwarediensten, computerservices en aanverwante diensten levert (zoals browsers met geavanceerde zoekfuncties);

Waar overeenkomstig het Contract de Gegevensimporteur ermee heeft ingestemd om de Gegevensexporteur de diensten te verlenen die in het Contract zijn gespecificeerd(de ''Diensten'');

WAAR, door het verlenen van de Diensten, de Gegevensimporteur toegang ontvangt of profiteert van toegang tot de informatie van de Gegevensexporteur of de informatie van andere personen die een (potentiële) relatie hebben met de Gegevensexporteur, dergelijke informatie kan worden gekwalificeerd als persoonsgegevens in de zin van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van dergelijke gegevens ("AVG") en andere toepasselijke wetgeving inzake gegevensbescherming.

WAAR deze bijlage de voorwaarden en bepalingen bevat die van toepassing zijn op het verzamelen, verwerken en gebruiken van dergelijke persoonsgegevens door de gegevensimporteur in zijn hoedanigheid van geautoriseerde gegevensverwerkingsagent van de gegevensexporteur, om ervoor te zorgen dat de partijen de toepasselijke wetgeving inzake gegevensbescherming naleven .

DAAROM, en om de partijen in staat te stellen hun relatie rechtmatig voort te zetten, hebben de partijen dit aanhangsel als volgt gesloten:

Deel 1

1. Structuur van het document en definities

1.1 Structuur

Deze bijlage bestaat uit de volgende onderdelen:

Deel 1:	bevat algemene bepalingen, b.v. betreffende de definities die in deze bijlage worden gebruikt, naleving van lokale wetten, timing en beëindiging
Deel 2:	bevat de hoofdtekst van het ongewijzigde document met standaardcontractbepalingen
Bijlage 1.1 van deel 2:	bevat de hoofdtekst van het ongewijzigde document met standaardcontractbepalingen
Bijlage 2 van deel 2:	bevat een beschrijving van de technische en organisatorische beveiligingsmaatregelen van de Gegevensimporteur, die worden toegepast in verband met alle verwerkingsactiviteiten beschreven in Bijlage 1.1 van Deel 2
Deel3:	bevat de handtekeningen van de partijen die door deze bijlage gebonden zijn en identificeert elke gegevensimporteur

1.2 Terminologie en definities

Voor de doeleinden van deze bijlage zijn de terminologie en definities die worden gebruikt door de AVG van toepassing (in de tekst van het document met standaardcontractbepalingen in deel 2, waar gedefinieerde termen niet met een hoofdletter worden geschreven).

"Lidstaat"	betekent een land dat behoort tot de Europese Unie of de Europese Economische Gebied
'Bijzondere categorieën (persoons) gegevens'	verwijst naar persoonsgegevens die raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of lidmaatschap van een vakbond onthullen, en genetische gegevens, biometrische gegevens, indien verwerkt met het doel een persoon uniek te identificeren, gegevens over gezondheid, gegevens over iemands geslacht leven of seksuele geaardheid
"Standaardcontract bepalingen"	betekent de modelcontractbepalingen voor de doorgifte van persoonsgegevens van verwerkers die in derde landen zijn gevestigd, onder Besluit 2010/87 / EU van de Commissie van 5 februari 2010, dat werd gewijzigd bij Uitvoeringsbesluit (EU) 2016/2297 van de Commissie op 16 februari 2010. December 2016
“Data processor”	betekent elke verwerkingsagent, gevestigd binnen of buiten de EU / EER, die ermee instemt om van de gegevensimporteur of een andere verwerker van de gegevensimporteur persoonsgegevens te ontvangen met het exclusieve doel van verwerkingsactiviteiten die door de gegevensexporteur moeten worden uitgevoerd na de overdracht in overeenstemming met de instructies van de gegevensexporteur, de voorwaarden van deze bijlage en het contract met de gegevensimporteur

2. Verplichtingen van de gegevensexporteur

2.1 De gegevensexporteur heeft de verplichting om te zorgen voor naleving van alle toepasselijke verplichtingen onder de AVG en andere toepasselijke gegevensbeschermingswetgeving die van toepassing is op de gegevensexporteur en om een dergelijke naleving aan te tonen zoals vereist door Artikel 5 (2) van de AVG. De gegevensexporteur garandeert dat de gegevensimporteur de voorafgaande toestemming van de betrokkenen heeft verkregen in overeenstemming met artikel 6 (a) van de AVG en heeft voldaan aan zijn verplichting om de betrokkenen te informeren in overeenstemming met de artikelen 13 en 14 van de AVG.

2.2 De gegevensexporteur moet de gegevensimporteur de respectieve bestanden van de verwerkingsactiviteiten verstrekken in overeenstemming met artikel 30, lid 1, van de AVG met betrekking tot de diensten onder deze bijlage, voor zover nodig voor de gegevensimporteur om te voldoen aan de verplichting onder Artikel 30 (2) van de AVG.

2.3 De gegevensexporteur moet een functionaris of vertegenwoordiger voor gegevensbescherming aanstellen voor zover vereist door de toepasselijke wetgeving inzake gegevensbescherming. De gegevensexporteur is verplicht om de contactgegevens van de gegevensbeschermingsagent of -vertegenwoordiger, indien van toepassing, aan de gegevensimporteur te verstrekken.

2.4. De gegevensexporteur bevestigt voorafgaand aan de voltooiing van de verwerking, door aanvaarding van deze bijlage, dat de technische en organisatorische beveiligingsmaatregelen van de gegevensimporteur, zoals uiteengezet in bijlage 2 bij deel 2, passend en voldoende zijn om de rechten van de betrokkene te beschermen. en bevestigt dat de gegevensimporteur in dit opzicht voldoende waarborgen biedt.

3. Naleving van lokale wetgeving

Om te voldoen aan de vereisten van de implementatie van de verwerkers volgens artikel 28 van de AVG, zijn de volgende wijzigingen van toepassing:

3.1 Instructies

(i) De gegevensexporteur instrueert de gegevensimporteur om persoonlijke gegevens alleen namens de gegevensexporteur te verwerken. De instructies van de gegevensexporteur worden gegeven in deze bijlage en in het contract. De gegevensexporteur heeft de plicht ervoor te zorgen dat alle instructies die aan de gegevensimporteur zijn gegeven voldoen aan de toepasselijke wetgeving inzake gegevensbescherming. De gegevensimporteur mag persoonsgegevens alleen verwerken in overeenstemming met de instructies van de gegevensexporteur, tenzij anders vereist door de Europese Unie of de wetgeving van de lidstaat (in het laatste geval is deel 1, clausule 3.2 (iv) (c) van toepassing) .
(ii) Alle andere instructies die verder gaan dan de instructies in deze Bijlage of in het Contract moeten worden opgenomen in het onderwerp van deze Bijlage en het Contract. Als het implementeren van deze aanvullende instructie kosten met zich meebrengt voor de gegevensimporteur, zal de gegevensimporteur de gegevensexporteur op de hoogte stellen van dergelijke kosten en een toelichting geven voordat de instructie wordt geïmplementeerd. Pas nadat de gegevensexporteur heeft bevestigd dat hij deze kosten voor het uitvoeren van de instructie accepteert, zal de gegevensimporteur deze aanvullende instructie implementeren. De gegevensexporteur moet aanvullende instructies schriftelijk geven, tenzij spoedeisendheid of andere specifieke omstandigheden een andere vorm vereisen (bv. Mondeling, elektronisch). Instructies in een andere dan schriftelijke vorm moeten schriftelijk en onverwijld door de Gegevensexporteur worden bevestigd.
1. Tenzij de gegevensexporteur de rectificatie, wissing of beperking van persoonsgegevens niet zelf kan uitvoeren, kunnen de instructies ook betrekking hebben op de rectificatie, wissing en / of beperking van persoonsgegevens zoals uiteengezet in deel 1, clausule 3.3.
2. De gegevensimporteur moet de gegevensexporteur onmiddellijk op de hoogte stellen als, naar zijn mening, een instructie in strijd is met de AVG of andere toepasselijke bepalingen inzake gegevensbescherming van de Europese Unie of een lidstaat ("betwiste instructie"). Als de gegevensimporteur van mening is dat een instructie in strijd is met de AVG of andere toepasselijke gegevensbeschermingsbepalingen van de Europese Unie of een lidstaat, is de gegevensimporteur niet verplicht om de betwiste instructie op te volgen. Indien de Gegevensexporteur de Betwiste Instructie bevestigt na ontvangst van informatie van de Gegevensimporteur en zijn verantwoordelijkheid erkent voor de Betwiste Instructie, zal de Gegevensimporteur de Betwiste Instructie uitvoeren, tenzij de Betwiste Instructie betrekking heeft op (i) de implementatie van technische en organisatorische maatregelen , (ii) de rechten van de betrokkenen of (iii) de inschakeling van gegevensverwerkers. In de gevallen (i) tot (iii) kan de gegevensimporteur contact opnemen met een bevoegde toezichthoudende autoriteit om de betwiste Instructie juridisch te laten beoordelen door die autoriteit. Als de toezichthoudende autoriteit de betwiste Instructie wettig verklaart, voert de gegevensimporteur de betwiste Instructie uit. Deel 1 Clausule 3.1 (ii) blijft van toepassing.

3.2 Verplichtingen van de gegevensimporteur

(i) De gegevensimporteur moet ervoor zorgen dat personen die door de gegevensimporteur gemachtigd zijn om persoonsgegevens namens de gegevensexporteur te verwerken, in het bijzonder werknemers van de gegevensimporteur en werknemers van een onderaannemer, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en dat dergelijke personen di(i) De gegevensimporteur moet ervoor zorgen dat personen die door de gegevensimporteur gemachtigd zijn om persoonsgegevens namens de gegevensexporteur te verwerken, in het bijzonder werknemers van de gegevensimporteur en werknemers van een onderaannemer, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en dat dergelijke personen die toegang hebben tot persoonsgegevens deze verwerken in overeenstemming met de instructies van de gegevensexporteur.e toegang hebben tot persoonsgegevens deze verwerken in overeenstemming met de instructies van de gegevensexporteur
ii) De gegevensimporteur moet de technische en organisatorische beveiligingsmaatregelen implementeren zoals uiteengezet in bijlage 2 tot deel 2 alvorens de persoonsgegevens namens de gegevensexporteur te verwerken. De gegevensimporteur kan de technische en organisatorische beveiligingsmaatregelen van tijd tot tijd wijzigen als deze niet minder bescherming bieden dan die vermeld in bijlage 2 bij deel 2.
(iii) De gegevensimporteur stelt de gegevensexporteur, op verzoek van de gegevensexporteur, informatie ter beschikking om de naleving van de verplichtingen van de gegevensimporteur uit hoofde van deze bijlage aan te tonen. De partijen komen overeen dat aan deze informatieverplichting wordt voldaan door de gegevensexporteur een auditrapport te bezorgen (waarin de beveiliging van principes, systeembeschikbaarheid en vertrouwelijkheid wordt behandeld) ("auditrapport"). Als aanvullende auditactiviteiten wettelijk vereist zijn, kan de gegevensexporteur verzoeken dat inspecties worden uitgevoerd door de gegevensexporteur of een andere door de gegevensexporteur aangewezen auditor, op voorwaarde dat deze auditor een vertrouwelijkheidsovereenkomst met de gegevensimporteur aan de gegevensimporteur uitvoert. redelijke tevredenheid ("Audit"). Deze audit is onderworpen aan de volgende voorwaarden: (i) de voorafgaande formele schriftelijke aanvaarding van de gegevensimporteur; en (ii) de gegevensexporteur draagt alle kosten met betrekking tot de on-site audit voor de gegevensexporteur en de gegevensimporteur. De gegevensexporteur moet een auditrapport opstellen met een samenvatting van de resultaten en observaties van de on-site audit ("on-site auditrapport"). De auditrapporten ter plaatse en de auditrapporten zijn vertrouwelijke informatie van de gegevensimporteur en mogen niet aan derden worden bekendgemaakt, tenzij vereist door de toepasselijke wetgeving inzake gegevensbescherming of in overeenstemming met de toestemming van de gegevensimporteur.
(iv) De gegevensimporteur is verplicht om de gegevensexporteur onverwijld op de hoogte te stellen:
1. a.met betrekking tot een wettelijk bindend verzoek om openbaarmaking van persoonsgegevens door een wetshandhavingsautoriteit, tenzij anderszins verboden, zoals een strafrechtelijk verbod om de vertrouwelijkheid van een wetshandhavingsonderzoek te beschermen
2. b. met betrekking tot klachten en verzoeken die rechtstreeks van een betrokkene worden ontvangen (bijv. met betrekking tot toegang, rectificatie, verwijdering, beperking van de verwerking, gegevensportabiliteit, bezwaar tegen gegevensverwerking, geautomatiseerde besluitvorming) zonder op dat verzoek te reageren, tenzij de gegevensimporteur gemachtigd is om doen
3. c. indien de gegevensimporteur of gegevensverwerker volgens de wetgeving van de Europese Unie of van de lidstaat waaraan de gegevensimporteur of gegevensverwerker is onderworpen, verplicht is om de persoonsgegevens buiten de instructies van de gegevensexporteur te verwerken, alvorens een dergelijke verwerking buiten de instructies van de gegevensexporteur uit te voeren. de instructies, tenzij wetten van de Europese Unie of van de lidstaat een dergelijke verwerking om vitale redenen van algemeen belang verbieden, in welk geval in de kennisgeving aan de gegevensexporteur de wettelijke vereisten van dat recht van de Europese Unie of van de lidstaat worden gespecificeerd; of
4. d. als de gegevensimporteur een inbreuk op persoonsgegevens beseft, uitsluitend vanwege hemzelf of zijn onderaannemer, die gevolgen zou hebben voor de persoonsgegevens van de gegevensexporteur die onder dit contract vallen, in welk geval de gegevensimporteur de gegevensexporteur zal bijstaan in zijn verplichting, met betrekking tot de toepasselijke wetgeving inzake gegevensbescherming, om de betrokkenen en, indien van toepassing, de toezichthoudende autoriteiten te informeren door de informatie te verstrekken waarover zij beschikt, in overeenstemming met artikel 33 (3) van de AVG.
5. (v) Op verzoek van de gegevensexporteur is de gegevensimporteur verplicht de gegevensexporteur bij te staan bij zijn verplichting om een gegevensbeschermingseffectbeoordeling uit te voeren die mogelijk vereist is op grond van artikel 35 van de AVG en een voorafgaande raadpleging die mogelijk vereist is door artikel 36 van de AVG met betrekking tot de diensten die door de Gegevensimporteur aan de Gegevensexporteur worden geleverd onder deze Bijlage, waarbij de nodige informatie en informatie aan de Gegevensexporteur wordt verstrekt. De gegevensimporteur is alleen verplicht om dergelijke hulp te verlenen als de gegevensexporteur zijn verplichting op een andere manier niet kan nakomen. De gegevensimporteur zal de gegevensexporteur informeren over de kosten van dergelijke hulp. Zodra de gegevensexporteur heeft bevestigd dat hij deze kosten kan dragen, zal de gegevensimporteur de gegevensexporteur deze hulp bieden..
6. (vi) Aan het einde van de levering van de diensten kan de gegevensexporteur verzoeken om teruggave van de persoonsgegevens die zijn verwerkt door de gegevensimporteur onder deze bijlage binnen een maand na de diensten. Tenzij de wetgeving van de lidstaat of van de Europese Unie vereist dat de gegevensimporteur dergelijke persoonlijke gegevens opslaat of bewaart, zal de gegevensimporteur al deze persoonlijke of niet-persoonlijke gegevens verwijderen na de periode van een maand, ongeacht of ze zijn teruggestuurd naar de gegevensexporteur op zijn verzoek of niet.

3.3 Rechten van betrokken personen

1. (i) De gegevensexporteur beheert en reageert op verzoeken van betrokkenen. Gegevensimporteur is niet verplicht om rechtstreeks naar de betrokkenen te reageren.
2. (ii) Als de Gegevensexporteur de hulp van de Gegevensimporteur nodig heeft bij het verwerken en beantwoorden van de verzoeken van de Betrokkene, zal de Gegevensexporteur een verdere instructie geven in overeenstemming met Clausule 3.1 (ii) van Deel 1. De Gegevensimporteur zal de Gegevensexporteur assisteren met de volgende passende en technische organisatorische maatregelen om als volgt te reageren op de verzoeken om de rechten van betrokkenen uit te oefenen zoals uiteengezet in hoofdstuk III van de AVG:
3. a. Met betrekking tot verzoeken om informatie zal de gegevensimporteur de gegevensexporteur alleen de informatie verstrekken die vereist is door artikel 13 en 14 van de PGRD waarover hij kan beschikken als de gegevensexporteur deze niet zelf kan vinden.
4. b. Met betrekking tot verzoeken om toegang (artikel 15 van de AVG), zal de gegevensimporteur de gegevensexporteur alleen de informatie verstrekken die aan een betrokkene zou moeten worden verstrekt voor het genoemde verzoek om toegang, waarover hij kan beschikken als de laatsten kunnen het niet alleen vinden.
5. c. Met betrekking tot verzoeken om rectificatie (artikel 16 van de AVG), verzoeken om verwijdering (artikel 17 van de AVG), beperking van verzoeken om verwerking (artikel 18 van de AVG) of verzoeken om overdraagbaarheid (artikel 20 van de AVG), en alleen als de gegevensexporteur de persoonsgegevens niet zelf kan corrigeren of wissen, beperken of doorgeven aan een andere derde partij, zal de gegevensimporteur de gegevensexporteur de mogelijkheid bieden om de betreffende persoonsgegevens te corrigeren of te wissen, te beperken of door te geven aan de andere derde, of als dit niet mogelijk is, zal het de hulp bieden om de betrokken persoonsgegevens te corrigeren of te wissen, te beperken of aan de andere derde partij over te dragen.
6. d.Met betrekking tot de kennisgeving met betrekking tot rectificatie, wissing of beperking van de verwerking (artikel 19 van de AVG), zal de gegevensimporteur de gegevensexporteur helpen door alle ontvangers van persoonsgegevens die door de gegevensimporteur als verwerkers zijn ingeschakeld, op de hoogte te stellen indien de gegevensexporteur daarom verzoekt en als de gegevensexporteur de situatie niet zelf kan verhelpen.
7. e. Met betrekking tot het recht op verzet dat wordt uitgeoefend door een betrokkene (artikel 21 en 22 van de AVG), zal de gegevensexporteur bepalen of de oppositie legitiem is en hoe hiermee om te gaan.
8. (iii) De assistentieverplichtingen van de gegevensimporteur zijn beperkt tot persoonsgegevens die worden verwerkt binnen zijn infrastructuur (bijv. databases, systemen, applicaties die eigendom zijn van of geleverd worden door de gegevensimporteur).
9. (iv) De Gegevensexporteur zal bepalen of een Betrokkene de rechten van Betrokkenen zoals uiteengezet in Clausule 3.1 van dit Deel 1 mag uitoefenen en zal de Gegevensimporteur informeren over de mate waarin de assistentie gespecificeerd in Clausules 3.3 (ii), ( iii) van deel 1 is noodzakelijk.
10. (v) Als de Gegevensexporteur om aanvullende of gewijzigde technische en organisatorische maatregelen vraagt om te voldoen aan de rechten van betrokkenen die verder gaan dan de hulp die de Gegevensimporteur biedt op grond van Subclausule 3.3 (ii), (iii) van Deel 1, de Gegevens De importeur stelt de gegevensexporteur op de hoogte van de kosten van het implementeren van dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen. Zodra de gegevensexporteur heeft bevestigd dat hij deze kosten kan dragen, zal de gegevensimporteur dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen implementeren om de gegevensexporteur te helpen bij het beantwoorden van de verzoeken van de betrokkenen.
11. (vi) Zonder de reikwijdte van Clausule 3.3 (v) van Deel 1 te beperken, is de gegevensexporteur verplicht de gegevensimporteur de redelijke kosten die hij heeft gemaakt om te reageren op de verzoeken van de betrokkenen, te vergoeden.

3.4 Subverwerking

1. (i) De gegevensexporteur geeft de gegevensimporteur toestemming om onderaannemers te gebruiken voor het verlenen van diensten onder deze bijlage. De gegevensimporteur zal deze gegevensverwerker (s) zorgvuldig selecteren. De gegevensexporteur keurt de gegevensverwerker (s) die worden vermeld in bijlage 1.1 aan het einde van deel 2 goed.
2. (ii) De gegevensimporteur draagt zijn verplichtingen onder deze bijlage over aan de gegevensverwerker (s) voor zover van toepassing op de uitbestede diensten.
3. (iii) De gegevensimporteur kan naar eigen goeddunken een andere geschikte en betrouwbare gegevensverwerker (s) ontslaan, vervangen of aanwijzen. Indien de gegevensexporteur hier schriftelijk om heeft verzocht, moet de gegevensimporteur de onderstaande procedure volgen:
1. a. De gegevensimporteur stelt de gegevensexporteur op de hoogte voordat er wijzigingen worden aangebracht in de lijst van gegevensverwerkers waarnaar wordt verwezen in clausule 3.4 (i) van deel 1. Als de gegevensexporteur geen bezwaar maakt onder clausule 3.4. (b) van Deel 1 dertig dagen na ontvangst van de kennisgeving van de gegevensimporteur, worden de aanvullende gegevensverwerkers geacht te zijn geaccepteerd.
2. b.Als de gegevensexporteur een legitieme reden heeft om bezwaar te maken tegen een extra gegevensverwerker, zal hij de gegevensimporteur hiervan vooraf schriftelijk op de hoogte stellen binnen dertig dagen na ontvangst van de melding van de gegevensimporteur en voordat de dienst van de gegevensimporteur in gebruik wordt genomen. Als de gegevensexporteur bezwaar maakt tegen het gebruik van een extra gegevensverwerker, kan de gegevensimporteur het bezwaar opheffen door een van de volgende opties (naar eigen goeddunken gekozen): (A) de gegevensimporteur annuleert zijn plannen om een extra verwerker te gebruiken met betrekking tot de persoonsgegevens van de gegevensexporteur; (B) de gegevensimporteur de corrigerende maatregelen zal nemen waarom de gegevensexporteur in zijn bezwaar heeft verzocht (het bezwaar annuleren) en de extra verwerker zal gebruiken met betrekking tot de persoonsgegevens van de gegevensexporteur; (C) de gegevensimporteur kan de levering stopzetten of de gegevensexporteur kan ermee instemmen om geen (tijdelijk of permanent) gebruik te maken van een bepaald aspect van de dienst dat het gebruik van de verdere verwerker van de gegevensexporteur van de gegevens zou inhouden.
1. (iv) als de gegevensverwerker buiten de EU-EER is gevestigd in een land waarvan niet wordt erkend dat het een adequaat niveau van gegevensbescherming biedt op grond van een besluit van de Europese Commissie, zal de gegevensimporteur de maatregelen nemen om te voldoen aan een adequaat niveau van gegevensbescherming in overeenstemming met de AVG (dergelijke maatregelen kunnen onder meer het gebruik van gegevensverwerkingsovereenkomsten omvatten op basis van de clausules van het EU-model, doorgifte aan zelfgecertificeerde gegevensverwerkers in het kader van het EU-US Protection Shield , of een vergelijkbaar programma).

3.5 Vervaldatum

De vervaldatum van deze bijlage is identiek aan de vervaldatum van het overeenkomstige contract. Tenzij anders bepaald in deze bijlage, zijn de rechten en plichten met betrekking tot beëindiging dezelfde als die in het contract.

4. Beperking van aansprakelijkheid

4.1 Elke partij handelt zijn verplichtingen onder deze bijlage en de toepasselijke wetgeving inzake gegevensbescherming.

4.2 Elke aansprakelijkheid met betrekking tot een schending van de verplichtingen onder deze Bijlage of toepasselijke wetgeving inzake gegevensbescherming is onderworpen aan en wordt beheerst door de aansprakelijkheidsbepalingen uiteengezet in, of van toepassing op, het Contract, tenzij anders bepaald in deze Bijlage. Als de aansprakelijkheid wordt geregeld door de aansprakelijkheidsbepalingen die zijn uiteengezet in of van toepassing zijn op het Contract, voor het berekenen van aansprakelijkheidslimieten of het bepalen van de toepassing van andere aansprakelijkheidsbeperkingen, wordt elke aansprakelijkheid die voortvloeit uit deze Bijlage geacht te zijn ontstaan onder het Contract.

5. Algemene bepalingen

5.1 Als er inconsistenties of discrepanties zijn tussen deel 1 en 2 van deze bijlage, heeft deel 2 voorrang. Specifiek, zelfs in een dergelijk geval, blijft Deel 1, dat gewoon verder gaat dan Deel 2 (d.w.z. de voorwaarden van standaardclausules) zonder het tegen te spreken, geldig.

5.2 Indien er een discrepantie ontstaat tussen de bepalingen van deze bijlage en die van andere contracten die de partijen binden, heeft deze bijlage voorrang wat betreft de verplichtingen inzake gegevensbescherming van de partijen. In geval van twijfel of clausules in andere contracten betrekking hebben op de gegevensbeschermingsverplichtingen van de partijen, prevaleert deze bijlage.

5.3 Indien enige bepaling van deze bijlage ongeldig of niet-afdwingbaar is, blijft de rest van deze bijlage volledig van kracht. De ongeldige of niet-afdwingbare bepaling zal (i) gewijzigd worden om de geldigheid en afdwingbaarheid ervan te waarborgen, waarbij de bedoeling van de partijen zoveel mogelijk behouden blijft, of - indien dit niet mogelijk is - (ii) geïnterpreteerd alsof het ongeldige of niet-afdwingbare deel nooit deel uitgemaakt van het contract. Het voorgaande is ook van toepassing indien er een omissie in deze bijlage staat.

5.5 Voor zover nodig kunnen de partijen verzoeken om wijzigingen in deel 1, clausule 3 (naleving van de lokale wetgeving) of andere delen van de bijlage om te voldoen aan interpretaties, richtlijnen of bevelen die zijn uitgevaardigd door de bevoegde autoriteiten van de Unie of de Lidstaten, nationale handhavingsbepalingen of andere juridische ontwikkelingen met betrekking tot de AVG of andere delegatievoorwaarden aan entiteiten die betrokken zijn bij gegevensverwerking en specifiek met betrekking tot het gebruik van de modelcontractbepalingen in de AVG. De voorwaarden van de modelcontractbepalingen mogen niet worden gewijzigd of vervangen, tenzij de Europese Commissie deze uitdrukkelijk goedkeurt (bijv. Door nieuwe adequate clausules en gegevensbeschermingsnormen).

5.6 Elke verwijzing in deze bijlage naar de "clausules" wordt geacht te verwijzen naar alle bepalingen van deze bijlage, tenzij anders vermeld.

5.7 De rechtskeuze in Deel 2, Artikel 9 is van toepassing op de gehele Overeenkomst.

6. Persoonsgegevens die door de partijen voor persoonlijke doeleinden worden verzonden en verwerkt (overdracht van de gegevensbeheerder naar de gegevensbeheerder)

6.1 De partijen weten volledig dat bepaalde persoonsgegevens zullen worden overgedragen van de gegevensexporteur naar de gegevensimporteur en vice versa, en dat dergelijke gegevens door elke partij voor haar eigen doeleinden worden verwerkt. Met betrekking tot dergelijke persoonlijke gegevens heeft het geen invloed op de andere bepalingen van deze bijlage (behalve deze clausule 6).

6.2 De Gegevensexporteur mag persoonsgegevens met betrekking tot het personeel van de Gegevensimporteur doorgeven aan de Gegevensimporteur, inclusief informatie over beveiligingsincidenten, of andere documenten of bestanden die door de Gegevensexporteur zijn gemaakt of opgesteld in verband met de Diensten die worden geleverd door het personeel van de gegevensimporteur. De gegevensimporteur kan dergelijke persoonsgegevens voor zijn eigen doeleinden verwerken, in het bijzonder in zijn professionele relaties met het personeel van de gegevensimporteur, voor kwaliteitscontrole en opleiding, of voor zakelijke doeleinden.

6.3. De gegevensimporteur kan persoonlijke gegevens aan de gegevensexporteur overdragen, inclusief de naam en contactgegevens van het personeel van de gegevensimporteur. De gegevensexporteur kan dergelijke persoonsgegevens voor zijn eigen doeleinden verwerken.

6.4 Beide partijen zullen alle toepasselijke gegevensbeschermingswetten naleven, inclusief de AVG, bij het verzamelen, verwerken en gebruiken van dergelijke persoonsgegevens die zij van de andere partij hebben ontvangen op grond van clausule 1 van deel 1. In het bijzonder zullen beide partijen passende veiligheidsmaatregelen nemen, mits een beschermingsniveau dat vergelijkbaar is met de beveiligingsmaatregelen die zijn uiteengezet in aanhangsel 2 van deel 2. Elke toegang tot dergelijke persoonsgegevens is beperkt tot de noodzaak om ze te kennen.

6.5 Both Parties must delete such personal data as soon as possible after the objectives have been achieved.

Deel 2

BESLUIT VAN DE COMMISSIE

op 5 februari 2010

betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan gegevensverwerkers die zijn gevestigd in derde landen krachtens Richtlijn 95/46 / EG van het Europees Parlement en de Raad

Artikel 1

Definities

In de zin van de clausules:

a) 'persoonsgegevens', 'bijzondere gegevenscategorieën', 'verwerking / verwerking', 'verantwoordelijke', 'verwerker', 'betrokkene' en 'toezichthoudende autoriteit' hebben dezelfde betekenis als in de richtlijn 95/46 / EG Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1);

b) de 'Gegevensexporteur' is de verantwoordelijke voor de verwerking van de persoonsgegevens;

c) de 'Gegevensimporteur' is de Gegevensverwerker die ermee instemt om van de Gegevensexporteur persoonlijke gegevens te ontvangen die bedoeld zijn om namens de Gegevensexporteur te worden verwerkt na de overdracht in overeenstemming met zijn instructies en onder de voorwaarden van deze clausules en die niet op voorwaarde dat het mechanisme van een derde land zorgt voor voldoende bescherming in de zin van artikel 25, lid 1, van Richtlijn 95/46 / EG; (d) 'Gegevensverwerker' betekent de gegevensverwerker die is ingeschakeld door de gegevensimporteur of door een andere gegevensverwerker van de gegevensimporteur die ermee instemt om van de gegevensimporteur of een andere gegevensverwerker van de gegevensimporteur persoonsgegevens te ontvangen, uitsluitend voor de verwerking van worden uitgevoerd namens de Gegevensexporteur na de overdracht in overeenstemming met de instructies van de Gegevensexporteur, onder de voorwaarden uiteengezet in deze Clausules en onder de voorwaarden van de schriftelijke onderaanneming van het gegevensverwerkingscontract;

e) "toepasselijke wetgeving inzake gegevensbescherming": de wetgeving ter bescherming van de fundamentele rechten en vrijheden van personen, met inbegrip van het recht op privacy met betrekking tot de verwerking van persoonsgegevens, en die van toepassing is op een verantwoordelijke in de lidstaat waar de gegevensexporteur is gevestigd;

f) "technische en organisatorische maatregelen met betrekking tot beveiliging": maatregelen die bedoeld zijn om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, in het bijzonder wanneer de verwerking de overdracht van gegevens via netwerken omvat, en tegen alle andere onwettige vormen van verwerking.

Artikel 2

Details van de overdracht

De details van de doorgifte, inclusief, indien van toepassing, speciale categorieën persoonsgegevens, worden gespecificeerd in Bijlage 1, die een integraal onderdeel vormt van deze clausules.

Artikel 3

Clausule derde-begunstigde

1. De betrokkene kan deze clausule, clausule 4 (b) tot (i), clausule 5 (a) tot (e) en (g) tot (j), clausule 6 (1) en (2) tegen de gegevensexporteur afdwingen. ), Clausule 7, clausule 8 (2) en clausules 9 tot 12 als derde begunstigde

2. De betrokkene kan deze clausule, clausule 5 (a) tot (e) en (g), clausule 6, clausule 7, clausule 8 (2) en clausules 9 tot 12 afdwingen tegen de gegevensimporteur wanneer de gegevensexporteur fysiek is verdwenen of wettelijk heeft opgehouden te bestaan, tenzij al zijn wettelijke verplichtingen contractueel of van rechtswege zijn overgedragen aan de opvolger, waarop de rechten en plichten van de gegevensexporteur dus vervallen, en waartegen de betrokkene kan dwingen daarom de genoemde clausules af.

De betrokkene kan deze clausule, clausule 5 (a) tot (e) en (g), clausule 6, clausule 7, clausule 8 (2) en clausules 9 tot 12 jegens de gegevensverwerker afdwingen, maar alleen in gevallen waarin de gegevens Exporteur en gegevensimporteur zijn fysiek verdwenen, wettelijk opgehouden te bestaan of insolvent geworden, tenzij alle wettelijke verplichtingen van de gegevensexporteur contractueel of van rechtswege zijn overgedragen aan de rechtsopvolger, aan wie de rechten en de verplichtingen van de gegevensexporteur rusten dus op en jegens wie de betrokkene dergelijke clausules kan afdwingen. Een dergelijke aansprakelijkheid van de gegevensverwerker moet worden beperkt tot zijn eigen verwerkingsactiviteiten onder deze clausules.

4. De partijen hebben er geen bezwaar tegen dat de betrokkene wordt vertegenwoordigd door een vereniging of ander orgaan als hij of zij dat wenst en als de nationale wetgeving dat toelaat.

Artikel 4

Verplichtingen van de gegevensexporteur

De gegevensexporteur accepteert en garandeert het volgende:

a) de verwerking, inclusief de feitelijke overdracht van persoonsgegevens, is en zal worden voortgezet in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, is gemeld aan de bevoegde autoriteiten van de lidstaat waarin de gegevensexporteur is gevestigd) en geen inbreuk maakt op de relevante bepalingen van die staat;

b) zij hebben de gegevensimporteur geïnstrueerd en zullen instructies geven voor de duur van de verwerkingsdiensten voor persoonsgegevens om de overgedragen persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en deze clausules te verwerken;

c) de gegevensimporteur zorgt voor voldoende waarborgen met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in bijlage 2 bij dit contract;

d) na evaluatie van de vereisten van de toepasselijke gegevensbeschermingswet, zijn de veiligheidsmaatregelen toereikend om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, in het bijzonder wanneer de verwerking de overdracht van gegevens omvat via een netwerk, en tegen alle andere onwettige vormen van verwerking, en zorgen voor een beveiligingsniveau dat past bij de risico's van de verwerking en de aard van de te beschermen gegevens, rekening houdend met het technologieniveau en de implementatiekosten;

e) zij zorgen ervoor dat de veiligheidsmaatregelen worden nageleefd;

f) indien de doorgifte betrekking heeft op bijzondere categorieën gegevens, is de betrokkene vóór de doorgifte of zo spoedig mogelijk na de doorgifte geïnformeerd dat zijn of haar gegevens kunnen worden overgedragen naar een derde land dat geen een passend beschermingsniveau in de zin van Richtlijn 95/46 / EG;

g) ze zullen elke kennisgeving ontvangen van de gegevensimporteur of een gegevensverwerker op grond van clausules 5 (b) en 8 (3) doorsturen naar de toezichthoudende autoriteit voor gegevensbescherming als deze besluit de overdracht voort te zetten of de opschorting ervan op te heffen;

h) zij stellen aan betrokkenen, indien zij daarom verzoeken, een kopie van deze clausules ter beschikking, met uitzondering van bijlage 2, en een beknopte beschrijving van de beveiligingsmaatregelen, en een kopie van elke verdere onderaannemingsovereenkomst, gesloten onder deze clausules, tenzij de Clausules of de overeenkomst bevatten commerciële informatie, in welk geval hij deze informatie kan intrekken;

i) in het geval van uitbesteding van het gegevensverwerkingsproces, wordt de verwerkingsactiviteit uitgevoerd in overeenstemming met clausule 11 door een gegevensverwerker die ten minste hetzelfde niveau van bescherming van persoonsgegevens en de rechten van de betrokkene biedt als de gegevensimporteur onder deze clausules ; en

j) het zorgt voor naleving van clausule 4 (a) tot (i).

Artikel 5

Verplichtingen van de gegevensimporteur

De gegevensimporteur accepteert en garandeert het volgende:

a) zij zullen de persoonsgegevens alleen verwerken namens de gegevensexporteur en volgens de instructies van de gegevensexporteur en deze clausules; als het om welke reden dan ook niet kan voldoen, komen ze overeen om de gegevensexporteur zo snel mogelijk op de hoogte te stellen van zijn onvermogen, in welk geval de gegevensexporteur de gegevensoverdracht kan opschorten en / of het contract kan beëindigen;

b) ze hebben geen reden om aan te nemen dat de wet die op hen van toepassing is, hem belet de instructies van de gegevensexporteur en de verplichtingen die op hem rusten uit hoofde van het contract na te leven, en als die wet onderhevig is aan een wijziging die een wezenlijk nadelig effect kan hebben effect op de garanties en verplichtingen onder de clausules, stelt hij de gegevensexporteur onverwijld op de hoogte van de wijziging nadat hij er kennis van heeft genomen, in welk geval de gegevensexporteur de gegevensoverdracht kan opschorten en / of het contract kan beëindigen;

(c) ze de technische en organisatorische beveiligingsmaatregelen hebben geïmplementeerd die zijn gespecificeerd in bijlage 2 voordat ze de overgedragen persoonsgegevens verwerken;

d) zij zullen de gegevensexporteur onverwijld op de hoogte stellen:

i) elk bindend verzoek om openbaarmaking van persoonsgegevens van een wetshandhavingsautoriteit, tenzij anders aangegeven, zoals een strafrechtelijk verbod gericht op het bewaren van de geheimhouding van een politieonderzoek;

ii) incidentele of ongeoorloofde toegang; en

iii) elk verzoek dat rechtstreeks van de betrokken personen wordt ontvangen zonder daarop te antwoorden, tenzij hij daartoe gemachtigd is; beheerders

e) zij behandelen alle vragen van de gegevensexporteur met betrekking tot de verwerking van de overgedragen persoonsgegevens onmiddellijk en correct en handelen onder het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de overgedragen gegevens;

f) op verzoek van de gegevensexporteur zullen zij zijn gegevensverwerkingsfaciliteiten onderwerpen aan een audit van de verwerkingsactiviteiten die onder deze clausules vallen, uit te voeren door de gegevensexporteur of een toezichthoudend orgaan bestaande uit onafhankelijke leden met de vereiste beroepskwalificaties, onderworpen aan een geheimhoudingsplicht en gekozen door de gegevensexporteur, in voorkomend geval met toestemming van de toezichthoudende autoriteit;

g) zij zullen de betrokkene, indien hij daarom verzoekt, een kopie van deze clausules of een bestaande onderaanneming van het gegevensverwerkingscontract ter beschikking stellen, tenzij de clausules of het contract commerciële informatie bevatten, in welk geval het deze kan verwijderen informatie, met uitzondering van Bijlage 2, die zal worden vervangen door een beknopte beschrijving van de beveiligingsmaatregelen, wanneer de betrokkene geen kopie kan krijgen van de Gegevensexporteur;

h) in het geval van vertrouwelijke verdere uitbesteding van de gegevensverwerking, zorgt hij ervoor dat hij de gegevensexporteur vooraf op de hoogte stelt en de schriftelijke toestemming van de gegevensexporteur verkrijgt;

i) de verwerkingsdiensten die door de gegevensverwerker worden geleverd, voldoen aan clausule 11;

j) zij zullen onmiddellijk een kopie sturen van elke onderaanneming van de gegevensverwerkingsovereenkomst die door deze overeenkomst is aangegaan onder deze clausules naar de gegevensexporteur.

Artikel 6

Verantwoordelijkheid

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden als gevolg van een schending van de verplichtingen waarnaar wordt verwezen in clausule 3 of clausule 11 door een partij of door een gegevensverwerker een vergoeding kan krijgen van de gegevensexporteur voor de geleden schade.

2. Indien een betrokkene verhinderd is om een schadevordering als bedoeld in lid 1 in te stellen tegen de gegevensexporteur omdat de gegevensimporteur of diens gegevensverwerker niet heeft voldaan aan een van zijn verplichtingen onder clausule 3 of 11 omdat de gegevens Exporteur fysiek is verdwenen, wettelijk opgehouden te bestaan of insolvent is geworden, gaat de gegevensimporteur ermee akkoord dat de betrokkene een klacht tegen hem kan indienen alsof het de gegevensexporteur was, tenzij alle wettelijke verplichtingen van de gegevensexporteur contractueel zijn overgedragen of van rechtswege aan zijn opvolger, waartegen de betrokkene zijn rechten kan afdwingen. De gegevensimporteur mag niet vertrouwen op een schending van zijn verplichtingen door een gegevensverwerker om zijn eigen aansprakelijkheid te vermijden.

3. Als een betrokkene verhinderd is de in de leden 1 en 2 bedoelde vordering in te stellen tegen de gegevensexporteur of de gegevensimporteur wegens schending door de gegevensverwerker van zijn verplichtingen onder clausule 3 of clausule 11 omdat de gegevensexporteur en de gegevensimporteur fysiek verdwenen, wettelijk opgehouden te bestaan of insolvent zijn geworden, stemt de gegevensverwerker ermee in dat de betrokkene een klacht tegen hem kan indienen over zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules alsof het de gegevensexporteur of gegevensimporteur was, tenzij alle wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur zijn contractueel of van rechtswege overgedragen aan de rechtsopvolger, tegen wie de betrokkene vervolgens zijn rechten kan doen gelden. De aansprakelijkheid van de gegevensverwerker moet worden beperkt tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules.

Artikel 7

Bemiddeling en jurisdictie

1. De gegevensimporteur gaat ermee akkoord dat als de betrokkene op grond van de clausules het recht van de derde begunstigde tegen hem inroept en / of een vergoeding vraagt voor de geleden schade, hij de beslissing van de betrokkene zal accepteren:

a) het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, in voorkomend geval, de toezichthoudende autoriteit;

b) om het geschil voor te leggen aan de rechtbanken van de lidstaat waar de gegevensexporteur is gevestigd.

2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan het procedurele of materiële recht van de betrokkene om verhaal te halen in overeenstemming met andere bepalingen van nationaal of internationaal recht.

Artikel 8

Samenwerking met toezichthoudende autoriteiten

1. De gegevensexporteur stemt ermee in een kopie van het huidige contract bij de toezichthoudende autoriteit neer te leggen indien deze dit vereist of indien een dergelijke neerlegging is voorzien door de toepasselijke wetgeving inzake gegevensbescherming.

2. De partijen komen overeen dat de toezichthoudende autoriteit controles mag uitvoeren bij de gegevensimporteur en elke gegevensverwerker in dezelfde mate en onder dezelfde voorwaarden als controles die worden uitgevoerd bij de gegevensexporteur in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

3. De gegevensimporteur stelt de gegevensexporteur zo snel mogelijk op de hoogte van het bestaan van wetgeving met betrekking tot de gegevensimporteur of enige gegevensverwerker die verificatie bij de gegevensimporteur of een gegevensverwerker verhindert in overeenstemming met paragraaf 2. In dat geval zal de De gegevensexporteur kan de maatregelen nemen die zijn voorzien in clausule 5 (b).

Artikel 9

Toepasselijk recht

De clausules zijn van toepassing en worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.

Artikel 10

Wijziging van het contract

De partijen verbinden zich ertoe de huidige clausules niet te wijzigen. Het staat de partijen vrij om andere commerciële clausules op te nemen die zij nodig achten, op voorwaarde dat deze niet in strijd zijn met de huidige clausules.

Artikel 11

Latere onderaanneming

1. De gegevensimporteur besteedt geen van zijn verwerkingsactiviteiten uit namens de gegevensexporteur op grond van deze clausules zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. De gegevensimporteur zal zijn verplichtingen uit hoofde van deze clausules alleen uitbesteden met toestemming van de gegevensexporteur door middel van een schriftelijke overeenkomst met de gegevensverwerker die de gegevensverwerker dezelfde verplichtingen oplegt als die welke op grond van deze clausules aan de gegevensimporteur worden opgelegd.) Gegevensverwerker kan zijn verplichtingen inzake gegevensbescherming onder die schriftelijke overeenkomst niet nakomen, de gegevensimporteur blijft volledig verantwoordelijk jegens de gegevensexporteur voor de nakoming van die verplichtingen.

2. De voorafgaande schriftelijke overeenkomst tussen de gegevensimporteur en de gegevensverwerker zal ook een derde-begunstigde clausule bevatten zoals uiteengezet in clausule 3 voor gevallen waarin de betrokkene verhinderd is om de claim tot schadevergoeding in te dienen als bedoeld in clausule 6, lid 1 ), tegen de gegevensexporteur of gegevensimporteur omdat de gegevensexporteur of gegevensimporteur fysiek is verdwenen, wettelijk is opgehouden te bestaan of insolvent is geworden en alle wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur niet zijn overgedragen, contractueel of operationeel van de wet, aan een andere opvolger. De aansprakelijkheid van de gegevensverwerker moet worden beperkt tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules.

3. De bepalingen met betrekking tot de gegevensbeschermingsaspecten van het uitbesteden van de gegevensverwerking van het contract als bedoeld in lid 1 worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.

4. De gegevensexporteur houdt een lijst bij van de onderaannemers van de gegevensverwerkingsovereenkomsten die op grond van deze clausules zijn gesloten en die door de gegevensimporteur zijn aangemeld in overeenstemming met clausule 5 (j), die ten minste eenmaal per jaar wordt bijgewerkt. Deze lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming van de gegevensexporteur.

Artikel 12

Verplichting na beëindiging van de verwerking van persoonsgegevens

1. De partijen komen overeen dat na voltooiing van de gegevensverwerkingsdiensten de gegevensimporteur en de gegevensverwerker, naar het gemak van de gegevensexporteur, alle overgedragen persoonsgegevens en kopieën daarvan aan de gegevensexporteur zullen retourneren, of al deze gegevens vernietigen en bewijs leveren. de vernietiging aan de gegevensexporteur, tenzij wetgeving opgelegd aan de gegevensimporteur verhindert dat de overgedragen persoonsgegevens geheel of gedeeltelijk worden teruggegeven of vernietigd. In dat geval garandeert de Gegevensimporteur dat hij de vertrouwelijkheid van de overgedragen persoonsgegevens zal waarborgen en dat hij de gegevens niet langer actief zal verwerken.

2. De gegevensimporteur en de gegevensverwerker zorgen ervoor dat zij, indien daarom wordt verzocht door de gegevensexporteur en / of de toezichthoudende autoriteit, hun middelen voor gegevensverwerking zullen onderwerpen aan verificatie van de in lid 1 bedoelde maatregelen.

Bijlage 1.1 bij deel 2

Details van de overdracht

Gegevensexporteur

De gegevensexporteur is de klant zoals gedefinieerd in de contractuele overeenkomst.

Gegevensimporteur

De gegevensimporteur is IQUALIF en is toegewezen om de gegevens te verwerken en diensten te verlenen aan de gegevensexporteur.

Onderwerpen van de gegevens

De overgedragen persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen:

☒ telefoonabonnees vermeld in het universele telefoonboek

☐ Anderen, waaronder:

Categories of data

The personal data transferred concern the following categories of data:

Categorieën van persoonsgegevens van de betrokkenen van de gegevensexporteur in het bijzonder,

☒ Volledige naam

☒ Postadres

☒ Contactgegevens (e-mail, telefoon, IP-adres, etc.)

☒ Details van marketingactiviteiten met betrekking tot de telefoonabonnees

☒ Andere, waaronder het type huisvesting, het inkomen en de gemiddelde leeftijd van de stad, anoniem gemaakt

Speciale gegevenscategorieën (indien van toepassing)

De overgedragen persoonsgegevens hebben betrekking op de volgende bijzondere gegevenscategorieën:

☒ De overdracht van speciale categorieën gegevens is niet voorzien

☐ Ras of etnische afkomst

☐ Religieuze of filosofische overtuigingen

☐ Vakbondslidmaatschap

☐ Politieke opvattingen

☐ Genetische informatie

☐ Biometrische informatie

☐ Informatie over seksuele geaardheid of seksleven

☐ Gezondheidsgegevens

Verwerkingsactiviteiten

De overgedragen persoonsgegevens zijn onderworpen aan de volgende basisverwerkingsactiviteiten:

- • Doel van de verwerking

De verwerking die namens de gegevensexporteur wordt uitgevoerd, is gebaseerd op de volgende onderwerpen, in het bijzonder:

☒ De leiding nemen over de producten of diensten die door de gegevensexporteur worden aangeboden

☒ Het aanbod van een product of dienst waar de gebelde persoon om kan vragen

☒ Bestellingen van de opgeroepen personen en verdere verwerking van deze bestellingen

☒ Bestudeer vragenlijsten en analyses

☒ Telemarketing

☐ Anderen, waaronder:

- • Award en doel van de verwerking

De gegevensimporteur verwerkt de persoonsgegevens van de betrokkenen namens de gegevensexporteur om de volgende diensten te verlenen, en met name:

☒ Verkoop en marketing

☒ Andere, waaronder het bijwerken van databases van gemeentehuizen en politieke partijen

- •Dienstverlening en tewerkstelling van dienstverleners

IQUALIF combineert, centraliseert en levert voornamelijk diensten aan de gegevensexporteur. De diensten die door de genoemde serviceprovider worden geleverd, kunnen (onder andere naargelang het geval) worden gestructureerd rond de volgende ondersteunende diensten: (i) levering van applicaties, tools, systemen en IT-infrastructuur met betrekking tot de gebruikte gegevensverwerkingscentra om en het ondersteunen van de diensten, inclusief de verwerking van de persoonsgegevens van de betrokkenen zoals hierboven beschreven, via dergelijke applicaties, tools en systemen, (ii) het leveren van IT-ondersteuning, onderhoud en andere diensten met betrekking tot dergelijke applicaties, tools, systemen en IT-infrastructuur, inclusief mogelijke toegang tot persoonsgegevens die zijn opgeslagen in dergelijke applicaties, tools en systemen, en (iii) het verstrekken van gegevensbeschermingsdiensten, beschermingscontrole en incidentresponsdiensten, inclusief mogelijke toegang tot persoonsgegevens bij het verstrekken van dergelijke beschermingsdiensten . IQUALIF kan gegevensverwerkers inschakelen, zoals hieronder uiteengezet, om de diensten te leveren, inclusief ondersteunende diensten.

- •Externe externe serviceproviders als subentiteiten die zijn toegewezen aan gegevensverwerking

IQUALIF schakelt externe en externe dienstverleners in, die geen dochterondernemingen van IQUALIF zijn, om de levering van diensten aan de gegevensexporteur te ondersteunen. De gegevensexporteur keurt dergelijke externe externe dienstverleners goed als subentiteiten die zijn toegewezen aan gegevensverwerking.

Als een subentiteit die betrokken is bij gegevensverwerking zich buiten de EU / EER bevindt, in een land dat volgens een besluit van de Europese Commissie niet over een adequaat niveau van gegevensbescherming beschikt, zal de gegevensimporteur stappen ondernemen om een adequaat niveau van gegevensbescherming te verkrijgen. gegevensbescherming in overeenstemming met de AVG en sectie 3.4 (iv) van deel 1.

Bijlage 2, deel 2

Technische en organisatorische beschermingsmaatregelen

De gegevensimporteur zal de volgende technische en organisatorische beschermingsmaatregelen nemen die zijn bevestigd door de gegevensexporteur, om een passend niveau van beveiliging voor de rechten en vrijheden van individuen te garanderen, afhankelijk van de risico's. Bij het beoordelen van het betreffende beschermingsniveau heeft de gegevensexporteur in het bijzonder rekening gehouden met de risico's van de verwerking, met inbegrip van onbedoelde of onrechtmatige vernietiging, wijziging, ongeoorloofde openbaarmaking of toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens. Ter verduidelijking: deze technische en organisatorische beschermingsmaatregelen zijn niet van toepassing op de applicaties, tools, systemen en / of IT-infrastructuur die door de gegevensexporteur worden geleverd.

1 1 Algemene technische en organisatorische beschermingsmaatregelen

1.1 1.1 Algemene informatie en strategieën voor gegevensbescherming

De volgende stappen moeten worden genomen om de algemene strategieën voor gegevens- en informatiebescherming te volgen:

a) maatregelen nemen om de genomen maatregelen op het gebied van technische en organisatorische bescherming te evalueren;

b) training geven om het bewustzijn onder werknemers te vergroten;

c) beschikken over een beschrijving van de betrokken systemen en toegang verlenen aan medewerkers;

d) een formeel documentatieproces opzetten telkens wanneer systemen worden geïmplementeerd of gewijzigd;

e) het documenteren van de organisatiestructuur, processen, verantwoordelijkheden en respectievelijke evaluaties;

1.2 Organisatie van informatiebescherming

De volgende maatregelen moeten worden genomen om de gegevens- en informatiebeschermingsactiviteiten te coördineren:

a) gedefinieerde verantwoordelijkheden voor de bescherming van informatie en gegevens (bijv. via het gegevensbeschermingsbeheerbeleid);

b) de nodige deskundigheid inzake het beschermen van informatie en gegevens die beschikbaar blijven;

c) alle medewerkers zijn vastbesloten ervoor te zorgen dat persoonlijke gegevens vertrouwelijk worden behandeld en zijn geïnformeerd over de mogelijke gevolgen van het schenden van deze verplichting.

1.3 Toegangscontrole tot verwerkingsruimten

De volgende maatregelen moeten worden genomen om te voorkomen dat onbevoegde personen toegang krijgen tot gegevensverwerkingssystemen (in het bijzonder software en hardware) wanneer persoonsgegevens worden verwerkt, opgeslagen of verzonden:

a) veilige gebieden instellen;

b) de toegang tot gegevensverwerkingssystemen beschermen en beperken;

c) toegangsautorisaties vast te stellen voor werknemers en derden, inclusief de respectieve documenten;

d) elke toegang tot gegevensverwerkingscentra waar persoonsgegevens worden opgeslagen, wordt geregistreerd.

1.4 Toegangscontrole tot gegevensverwerkingssystemen

De volgende maatregelen moeten worden genomen om ongeautoriseerde toegang tot gegevensverwerkingssystemen te voorkomen:

a) gebruikersauthenticatiebeleid en -procedures;

b) het gebruik van wachtwoorden op alle computersystemen;

c) toegang op afstand tot het netwerk vereist multifactorauthenticatie en wordt aan de betrokken persoon verleend overeenkomstig zijn verantwoordelijkheden en na autorisatie;

d) toegang tot specifieke functies is gebaseerd op taakfuncties en / of attributen die individueel aan een gebruikersaccount zijn toegewezen;

e) toegangsrechten met betrekking tot persoonlijke gegevens worden regelmatig herzien;

f) gegevens over wijzigingen in toegangsrechten worden up-to-date gehouden.

1.5 Controle van de toegang tot bepaalde gebruiksgebieden van gegevensverwerkingssystemen

De volgende maatregelen moeten worden genomen om ervoor te zorgen dat bevoegde personen met het recht om het gegevensverwerkingssysteem te gebruiken alleen toegang hebben tot gegevens binnen hun respectieve verantwoordelijkheden en toegangsautorisaties en dat persoonlijke gegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd:

1. a)beleid, instructies en opleiding van werknemers met betrekking tot de verplichtingen van elk van hen met betrekking tot vertrouwelijkheid, rechten op toegang tot persoonsgegevens en de reikwijdte van de verwerking van persoonsgegevens;

b) disciplinaire maatregelen tegen personen die zonder toestemming toegang hebben tot persoonsgegevens;

c) toegang tot persoonsgegevens wordt alleen verleend aan bevoegde personen, op basis van need-to-know;

d) een lijst met systeembeheerders bijhouden en passende maatregelen nemen om systeembeheerders te controleren;

e) geen persoonlijke gegevens op een opslagsysteem te kopiëren of te reproduceren om onbevoegde personen in staat te stellen de informatie van de afzender te verwijderen;

f) gecontroleerde en gedocumenteerde verwijdering of vernietiging van gegevens;

g) om alle persoonlijke gegevens die om wettelijke of regelgevende redenen moeten worden bewaard (bijv.verplichtingen om gegevens te bewaren) veilig op te slaan, en alleen zo lang als wettelijk vereist.

1.6 Transmissiecontrole

De volgende maatregelen moeten worden genomen om te voorkomen dat persoonsgegevens worden gelezen, gekopieerd, gewijzigd of verwijderd door onbevoegde derden tijdens de verzending of het transport van gegevensopslagapparaten (afhankelijk van de uitgevoerde verwerking van persoonsgegevens):

1. a) gebruik van firewalls;

b) het vermijden van opslag van persoonlijke gegevens op mobiele opslagapparaten voor transportdoeleinden, of het versleutelen van de apparaten;
c)alleen gebruiken op laptops en andere mobiele apparaten nadat de coderingsbeveiliging is geactiveerd;

d) loggen van transmissies van persoonlijke gegevens.

1.7 Controle van gegevensinvoer

Om ervoor te zorgen dat kan worden nagegaan en vastgesteld of persoonsgegevens zijn ingevoerd in of verwijderd uit gegevensverwerkingssystemen en door wie, moeten de volgende maatregelen worden genomen:

1. a)een beleid voor het autoriseren van het lezen, wijzigen en verwijderen van opgeslagen gegevens;

b) beschermingsmaatregelen met betrekking tot het lezen, wijzigen en verwijderen van opgeslagen gegevens.

1.8 Werkcontrole

In het geval van gedelegeerde verwerking van persoonsgegevens moeten de volgende maatregelen worden genomen om ervoor te zorgen dat deze gegevens worden verwerkt in overeenstemming met de instructies van de toezichthouder:

1. a) entiteiten of sub-entiteiten die zijn toegewezen aan gegevensverwerking, met zorg gekozen (dienstverleners die persoonsgegevens verwerken namens de controller);

b) instructies met betrekking tot de reikwijdte van elke verwerking van persoonsgegevens aan de werknemers, entiteiten of subentiteiten die zijn toegewezen aan de gegevensverwerking;

c) auditrechten die zijn overeengekomen met de entiteiten of subentiteiten die aan de gegevensverwerking zijn toegewezen;

d) overeenkomsten met de entiteiten of subentiteiten die zijn toegewezen om de gegevens te verwerken.

1.9 Scheiding van verwerking voor andere doeleinden

Om ervoor te zorgen dat gegevens die voor andere doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt, moeten de volgende maatregelen worden genomen:

1. a) afzonderlijke toegang tot persoonsgegevens in overeenstemming met de bestaande rechten van gebruikers;

b) interfaces, batchverwerking en rapportage zijn voor andere doeleinden en functies, zodat gegevens die voor andere doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt.

1.10 Pseudonimisering

De volgende maatregelen moeten worden genomen met betrekking tot het pseudonimiseren van persoonsgegevens:

1. a) Indien de Gegevensexporteur opdracht geeft tot een specifieke verwerking of indien dit door de Gegevensimporteur passend wordt geacht in overeenstemming met de geldende wetgeving inzake gegevensbescherming met betrekking tot bepaalde verwerkingsactiviteiten, zal de verwerking van persoonsgegevens op een zodanige manier plaatsvinden dat de gegevens kunnen niet langer worden toegeschreven aan een specifieke persoon zonder het gebruik van aanvullende informatie. Deze aanvullende informatie wordt apart bewaard;

b) gebruik van pseudonimiseringstechnieken, inclusief randomisatie van toewijzingslijsten; het creëren van waarden in de vorm van scherpe voorwerpen.

1.11 Versleuteling

De volgende stappen moeten worden genomen om persoonlijke gegevens te versleutelen in applicaties en transmissies die versleuteling ondersteunen:

1. a) gebruik van versleutelingstechnieken;

b) het opzetten van versleutelingsbeheer ter ondersteuning van de versleutelingstechnieken die mogen worden gebruikt;

c) ondersteuning van het gebruik van cryptografie door middel van procedures en protocollen voor het genereren, wijzigen, intrekken, vernietigen, distribueren, certificeren, opslaan, vastleggen, gebruiken en archiveren van cryptografische sleutels ter bescherming tegen ongeoorloofde wijziging en openbaarmaking.

1.12 Volledigheid van gegevensverwerkingssystemen en -diensten

De volgende maatregelen moeten worden genomen om de volledigheid van gegevensverwerkingssystemen en -diensten te waarborgen:

a) bescherming van gegevensverwerkingssystemen tegen manipulatie of vernietiging met passende middelen (bijv. antivirussoftware, software om gegevensverlies te voorkomen en software tegen malware, softwarepatches, firewalls en bescherming van beheerde desktopcomputers);

b)de installatie verbieden van enige service of software die schadelijk is voor gegevensverwerkingssystemen, -diensten of de manipulatie van persoonlijke gegevens;

c) gebruik van een netwerkinbraakdetectie- en -preventiesysteem in de structuur van het netwerk zelf.

1.13 Beschikbaarheid van gegevensverwerkings systemen en -diensten en de mogelijkheid om de toegang tot en het gebruik van persoonsgegevens te herstellen in geval van een materieel of technisch incident

De volgende maatregelen moeten worden genomen om de beschikbaarheid van gegevensverwerkingssystemen te waarborgen en om de beschikbaarheid van en toegang tot persoonsgegevens snel te kunnen herstellen in geval van een materieel of technisch incident (met name door ervoor te zorgen dat persoonlijke gegevens zijn beschermd tegen onbedoelde vernietiging of verlies):

a) beschikken over controlemiddelen voor het bewaren van back-upkopieën en het herstellen van verloren of verwijderde gegevens;

b) infrastructurele redundantie en prestatietests;

c) fysieke bescherming van computerbronnen;

d) gebruik van tools om de status en beschikbaarheid van het interne netwerk te monitoren;

e) incidentrapportage en responsbeleid dat de incidentbeheerprocedure regelt, en herhaling van naleving van dit beleid als onderdeel van de reguliere training;

f) back-ups (soms off-site) om het systeem te herstellen zodat het zijn functies weer kan uitvoeren;

g) plannen voor bedrijfscontinuïteit / noodherstel

1.14 Veerkracht van gegevensverwerkingssystemen en -diensten

De volgende maatregelen moeten worden genomen om de veerkracht van gegevensverwerkingssystemen en -diensten te waarborgen:

a)systemen en harmonieus geconfigureerd met behulp van goedgekeurde beveiligingsparameters;

b)netwerk redundantie;

c) inperkingsbescherming van kritische systemen.

1.15 Procedure voor het regelmatig testen, evalueren en beoordelen van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van gegevensverwerking te waarborgen

Procedure voor het regelmatig testen, evalueren en beoordelen van de effectiviteit van technische en organisatorische maatregelen ter bescherming van gegevensverwerking.

a) de nodige stappen ondernemen om risico's en risicobeperkende strategieën te beoordelen;

b) serviceanalysebijeenkomsten van de IT-afdeling om actuele problemen aan te pakken;

c) plannen voor bedrijfscontinuïteit / noodherstel worden regelmatig bijgewerkt.

Deel 3

Handtekeningen van de partijen en lijst van gegevensimporteurs

Wanneer u het online bestelformulier invult en valideert door het vakje aan te vinken waarmee u de algemene gebruiksvoorwaarden accepteert, komt het contract tot stand dat de relatie tussen de klant en IQUALIF regelt.

Door de betaling naar IQUALIF te sturen, wordt rekening gehouden met het overeengekomen en tot stand gekomen contract.

Let op: deze tekst is vertaald uit het Frans. De originele Franse versie, die geldig en wettelijk beperkend is, is hier beschikbaar.