Overeenkomst inzake gegevensverwerking Premium Plus
Deze verwerkingsovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens uitgevoerd door Premium Plus bvba, met maatschappelijke zetel te Tweehagen 51 – 9170 Sint-Gillis-Waas en ondernemingsnummer 0844.776.562 (hierna de verwerker genoemd), ten behoeve van een andere partij aan wie diensten worden verleend (hierna de verwerkingsverantwoordelijke genoemd).
Artikel 1. Definities
- Persoonsgegevens: alle informatie aangaande een geïdentificeerde of identificeerbare natuurlijke persoon die een inwoner is van de EU, die door de verwerker in het kader van deze overeenkomst ten behoeve van de verwerkingsverantwoordelijke wordt verwerkt.
- Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben.
- Inbreuk in verband met persoonsgegevens: een inbreuk die onopzettelijk of onrechtmatig leidt tot de vernietiging, het verlies, de aanpassing, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgegeven, opgeslagen of op een andere manier verwerkte gegevens.
- Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming – AVG).
- Algemene voorwaarden: de algemene voorwaarden van de verwerker.
- Overeenkomst: de overeenkomst of overeenkomsten tussen de verwerker en de verwerkingsverantwoordelijke, met inbegrip van de toepasselijke algemene voorwaarden van de verwerker.
- Verwerkingsovereenkomst: deze overeenkomst, met inbegrip van overwegingen en bijbehorende bijlagen.
- Verwerking: een activiteit of een geheel van activiteiten in het kader van de overeenkomst met betrekking tot persoonsgegevens of een set van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, registreren, organiseren, structureren, opslaan, bijwerken of aanpassen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorsturen, verspreiden of op een enige andere wijze ter beschikking stellen, afstemmen of combineren, blokkeren, wissen of vernietigen ervan.
Artikel 2. Voorwerp van deze verwerkingsovereenkomst
- Deze verwerkingsovereenkomst regelt de verwerking van persoonsgegevens door de verwerker binnen het kader van de overeenkomst.
- De verwerker garandeert het gebruik van adequate technische en organisatorische maatregelen, zodat de verwerking overeenkomstig de vereisten van de verordening gebeurt en de rechten van de betrokkene gegarandeerd beschermd zijn.
- De verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens.
- De gegevens die door de verwerker op verzoek van de verwerkingsverantwoordelijke worden verwerkt, dienen uit de overeenkomst, de offerte, de algemene voorwaarden of de bij de aangekochte dienst(en) behorende handleiding(en) te worden gehaald.
Artikel 3. Doelen van de verwerking
- De verwerker verbindt zich ertoe persoonsgegevens te verwerken ten behoeve van de verwerkingsverantwoordelijke en in overeenstemming met deze verwerkingsovereenkomst. De verwerking gebeurt uitsluitend in het kader van de geautomatiseerde verwerking van bestel-, financiële, beheer- en logistieke processen, en voor de doeleinden die er redelijkerwijs mee verband houden of die met verdere toestemming worden bepaald.
- De verwerker verwerkt de persoonsgegevens uitsluitend voor de door de verwerkingsverantwoordelijke vooropgestelde doeleinden. De verwerkingsverantwoordelijke brengt de verwerker op de hoogte van de doeleinden van de verwerking, voor zover deze nog niet duidelijk blijken uit deze verwerkingsovereenkomst en/of de documenten waarnaar wordt verwezen in artikel 2.4.
- De persoonsgegevens die door de verwerker worden verwerkt in het kader van de activiteiten die worden genoemd in de vorige paragraaf en de categorieën van betrokkenen van wie deze afkomstig zijn, worden vermeld in de bijlagen.
- De persoonsgegevens die worden verwerkt in opdracht van de verwerkingsverantwoordelijke blijven eigendom van de verwerkingsverantwoordelijke en/of de betreffende betrokken partijen.
Artikel 4. Verplichtingen en verwerkingsbevoegdheid van de verwerker
- De verplichtingen van de verwerker die voortvloeien uit deze verwerkingsovereenkomst gelden ook voor derden die persoonsgegevens verwerken in opdracht van de verwerker, met inbegrip van maar niet beperkt tot werknemers in de ruimste zin van het woord.
- Als een instructie van de verwerkingsverantwoordelijke naar mening van de verwerker indruist tegen een wettelijk voorschrift inzake gegevensbescherming, brengt hij de verwerkingsverantwoordelijke daarvan voorafgaand aan de verwerking op de hoogte, tenzij een wettelijke bepaling een dergelijke kennisgeving verbiedt.
- De verwerker zal, voor zover mogelijk, de verwerkingsverantwoordelijke helpen met het uitvoeren van effectbeoordelingen op het gebied van gegevensbescherming, waarbij eventuele kosten en uren aan de verwerkingsverantwoordelijke zullen worden aangerekend tegen het op dat moment geldende uurtarief.
- Indien de verwerker in het kader van een wettelijke bepaling verplicht is persoonsgegevens te verstrekken, brengt hij de verwerkingsverantwoordelijke daarvan onmiddellijk en, indien mogelijk, voorafgaand aan het verstrekken van de betreffende gegevens op de hoogte.
- De verwerker heeft geen zeggenschap over het doel van en de middelen voor de verwerking van persoonsgegevens.
- De verwerker verwerkt de persoonsgegevens uitsluitend in opdracht van en op basis van de met de verwerkingsverantwoordelijke gesloten overeenkomst(en), onderhevig aan afwijkende wettelijke voorschriften die op de verwerker van toepassing zijn.
- De verwerker mag de persoonsgegevens uitsluitend verwerken binnen de lidstaten van de Europese Unie.
- De verwerkingsverantwoordelijke moet de privacyrechten van de betrokkenen met betrekking tot de gebruikte persoonsgegevens waarborgen, moet een uitgebreide privacyverklaring hebben opgesteld en gecommuniceerd, en moet voldoen aan alle wettelijke verplichtingen.
Artikel 5. Spreiding van verantwoordelijkheid
- De verwerker is als enige verantwoordelijk voor de verwerking van de persoonsgegevens in het kader van deze verwerkingsovereenkomst, overeenkomstig de met de verwerkingsverantwoordelijke gesloten overeenkomst(en) en onder de uitdrukkelijke (finale) verantwoordelijkheid van de verwerkingsverantwoordelijke.
- Voor andere verwerkingen van persoonsgegevens, in ieder geval met inbegrip van maar niet beperkt tot het verzamelen van persoonsgegevens door de verwerkingsverantwoordelijke, verwerking voor doeleinden die niet door de verwerkingsverantwoordelijke aan de verwerker werden doorgegeven en verwerking door derden en/of voor andere doeleinden, is de verwerker uitdrukkelijk niet verantwoordelijk.
- De verwerkingsverantwoordelijke garandeert dat de inhoud van, het gebruik van en de instructies voor de verwerking van de persoonsgegevens zoals beschreven in deze verwerkingsovereenkomst niet onwettig zijn en geen inbreuk vormen op rechten van derden.
Artikel 6. Subverwerker
Wanneer de verwerkingsverantwoordelijke een beroep doet op een andere verwerker om verwerkingsactiviteiten te verrichten namens de verwerker, gelden voor deze andere verwerker dezelfde verplichtingen inzake gegevensbescherming in het kader van een overeenkomst als de verplichtingen die in deze verwerkingsovereenkomst zijn opgenomen. De verwerkingsverantwoordelijke hoeft daarvoor geen aparte toestemming te vragen aan de verwerker en hoeft de verwerker ook niet te informeren. De verwerker garandeert een correcte naleving van de verplichtingen die voortvloeien uit deze verwerkingsovereenkomst door deze derden en is in geval van fouten door deze derden zelf aansprakelijk voor alle schade alsof hij de fout(en) zelf zouden hebben begaan.
Artikel 7. Beveiliging
- De verwerker doet al het mogelijke om voldoende technische en organisatorische maatregelen te nemen met betrekking tot de veilige verwerking van de persoonsgegevens, evenals tegen verlies of eender welke vorm van onrechtmatige verwerking (zoals ongeoorloofde toegang tot, misbruik van, wijziging van of verstrekking van de persoonsgegevens).
- De verwerker garandeert niet dat de beveiliging onder alle omstandigheden doeltreffend is. Als een expliciet gedefinieerde beveiligingsmaatregel ontbreekt in de verwerkingsovereenkomst, doet de verwerker al het mogelijke om ervoor te zorgen dat de beveiliging beantwoordt aan een niveau dat, gezien de stand van zaken, de gevoeligheid van de persoonsgegevens en de met de implementatie van de beveiligingsmaatregel gepaard gaande kosten, niet onredelijk is.
- De verwerkingsverantwoordelijke stelt persoonsgegevens pas ter beschikking van de verwerker voor verwerking wanneer de vereiste beveiligingsmaatregelen genomen zijn. De verwerkingsverantwoordelijke is verantwoordelijk voor het naleven van de maatregelen die door de partijen werden overeengekomen.
Artikel 8. Meldingsplicht
- De verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een inbreuk in verband met persoonsgegevens die kan leiden tot negatieve gevolgen of die negatieve gevolgen heeft voor de beveiliging van persoonsgegevens aan de regelgevende instantie en/of de betrokken partijen. Om het voor de verwerkingsverantwoordelijke mogelijk te maken aan deze wettelijke verplichting te voldoen, brengt de verwerker binnen een redelijke termijn na het vernemen van de inbreuk de verwerkingsverantwoordelijke op de hoogte.
- Alleen inbreuken die zich daadwerkelijk hebben voorgedaan en die ernstige gevolgen hebben, moeten worden gemeld.
- De meldingsplicht omvat in elk geval het melden van het feit dat er een inbreuk is geweest. Daarnaast omvat de meldingsplicht ook:
- de aard van de inbreuk in verband met persoonsgegevens, indien mogelijk met verwijzing naar de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
- de naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon van wie meer informatie kan worden verkregen;
de waarschijnlijke impact van de inbreuk in verband met persoonsgegevens; - de maatregelen die werden voorgesteld of genomen door de verwerker om de inbreuk in verband met persoonsgegevens aan te pakken, met inbegrip van, indien van toepassing, de maatregelen om eventuele nadelige gevolgen ervan te beperken.
- De partijen staan elk in voor de kosten die ze moeten maken voor de melding aan de bevoegde regelgevende instantie en aan de betrokkene.
Artikel 9. Behandeling van verzoeken van betrokkenen
- Als een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten aan de verwerker bezorgt, behandelt de verwerker het verzoek van de betrokkene zelf en brengt hij de verwerkingsverantwoordelijke op de hoogte van de verwerking.
- De verwerker factureert de kosten voor de verwerking van dergelijke verzoeken aan de verwerkingsverantwoordelijke tegen het op dat moment geldende uurtarief.
Artikel 10. Geheimhouding en vertrouwelijkheid
- Alle persoonsgegevens die de verwerkers in het kader van deze verwerkingsovereenkomst van de verwerkingsverantwoordelijke ontvangen en/of zelf verzamelen, zijn onderworpen aan een geheimhoudingsplicht tegenover derden. De verwerker gebruikt deze informatie niet voor een ander doeleinde dan waarvoor hij deze heeft gekregen, zelfs niet als de betreffende informatie in een dusdanige vorm werd verstrekt dat deze niet tot de betrokkenen kan worden herleid.
- Deze geheimhoudingsplicht is niet van toepassing als de verwerkingsverantwoordelijke expliciet toestemming heeft gegeven om de informatie aan derden te verstrekken, als de verstrekking van de informatie aan derden gezien de aard van de opdracht en de implementatie van deze verwerkingsovereenkomst logischerwijs noodzakelijk is, of als er een wettelijke verplichting is om de informatie aan een derde te verstrekken.
- De verwerkingsverantwoordelijke toont op verzoek van de verwerker aan dat zijn medewerkers zich ertoe verbinden de vertrouwelijkheid in acht te nemen of gebonden zijn door een geheimhoudingsplicht.
Artikel 11. Audit
- In geval van een concreet vermoeden van misbruik van persoonsgegevens behoudt de verwerkingsverantwoordelijke zich het recht voor om audits te laten uitvoeren door een onafhankelijke derde die tot geheimhouding verplicht is, om na te gaan of de algemene voorschriften met betrekking tot de verwerking van persoonsgegevens worden nageleefd.
- De verwerker werkt mee aan de audit en stelt alle informatie die voor de audit redelijkerwijs relevant is, met inbegrip van ondersteunende gegevens zoals systeemlogs, binnen een redelijke termijn ter beschikking.
- Eventuele aanbevelingen die voortvloeien uit de uitgevoerde audit worden gezamenlijk door de partijen geëvalueerd en worden in overleg met een van de partijen of gezamenlijk door beide partijen geïmplementeerd.
- De kosten van de audit worden gedragen door de verwerkingsverantwoordelijke. Deze kosten omvatten eveneens alle kosten voor het inzetten van medewerkers van de verwerker om deel te nemen aan deze audit, tegen het op dat moment geldende uurtarief.
Artikel 12. Aansprakelijkheid
De aansprakelijkheid van de verwerker valt onder artikel 15 van de algemene voorwaarden, zoals toegepast door de verwerker en aanvaard door de verwerkingsverantwoordelijke.
Artikel 13. Duur en beëindiging
- Deze verwerkingsovereenkomst wordt van kracht via de digitale of schriftelijke overeenkomst bij de aanbieding van de verwerkingsverantwoordelijke of bij de start van de dienstverlening.
- Deze verwerkingsovereenkomst wordt gesloten voor de duur zoals bepaald in de overeenkomst tussen de partijen en, indien er geen duidelijke einddatum vermeld is, in ieder geval voor de duur van het gebruik van de diensten die door de verwerker worden verleend.
- Zodra de verwerkingsovereenkomst om welke reden en op welke manier dan ook wordt beëindigd, verwijdert de verwerker alle persoonsgegevens en eventuele kopieën ervan, tenzij de verwerker wettelijk verplicht is deze gegevens te bewaren.
- De verwerker mag deze verwerkingsovereenkomst van tijd tot tijd herzien, met inachtneming van de wijzigingstermijn die in onze algemene voorwaarden beschreven is.
Artikel 14. Toepasselijk recht en geschillenbeslechting
- Onze algemene voorwaarden zijn van toepassing op deze verwerkingsovereenkomst.
- De verwerkingsovereenkomst en de uitvoering ervan zijn onderworpen aan het Belgische recht.
- Alle geschillen die ontstaan tussen de partijen met betrekking tot de verwerkingsovereenkomst worden voorgelegd aan de rechtbank die bevoegd is voor het arrondissement waarin de verwerker is gevestigd.
Bijlage 1: specificatie van persoonsgegevens en betrokkenen
Persoonsgegevens
De verwerker kan de volgende (bijzondere) persoonsgegevens verwerken in opdracht van de verwerkingsverantwoordelijke:
- E-mailadres als ID tijdens synchronisatie
- Telefoonnummers
- Gebruikers-ID
- Tickets die persoonsgegevens kunnen bevatten (bv. in een veld voor opmerkingen)
Categorieën van betrokkenen
De verwerker kan persoonsgegevens van de volgende categorieën van betrokkenen verwerken in opdracht van de verwerkingsverantwoordelijke:
- Medewerkers van de verwerkingsverantwoordelijke
- Potentiële klanten van de verwerkingsverantwoordelijke
- Leveranciers van de verwerkingsverantwoordelijke
- Klanten van de verwerkingsverantwoordelijke
Categorieën van ontvangers
De verwerker kan in opdracht van de verwerkingsverantwoordelijke persoonsgegevens doorsturen naar de volgende categorieën van ontvangers:
- Administratieve leveranciers van de verwerkingsverantwoordelijke
- Logistieke leveranciers van de verwerkingsverantwoordelijke
- CRM-leveranciers van de verwerkingsverantwoordelijke
- Helpdeskleveranciers van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke garandeert dat de persoonsgegevens en categorieën van betrokkenen die in deze bijlage 1 worden beschreven volledig en juist zijn, en vrijwaart de verwerker voor alle gebreken en claims die voortvloeien uit een onjuiste verklaring van de verwerkingsverantwoordelijke.
Wij verwerken gegevens uitsluitend:
- wanneer we gegevens migreren voor de Verwerkingsverantwoordelijke;
- bij integraties die wij voor de Verwerkingsverantwoordelijke ontwikkelen, is elke gegevensverwerking transactioneel. We slaan de in de Bijlage vermelde gegevens nooit op en bewaren of archiveren ze niet op onze servers of apparaten.