Overeenkomst inzake gegevensverwerking

EMA-standaardcontractuele clausules (SCC):SCC (klik hier)

Deze overeenkomst inzake gegevensverwerking ("overeenkomst") vormt een juridisch bindend contract tussen u en Zenevo SRL (in Roemenië gevestigd), en is van toepassing voor zover Zenevo SRL Persoonsgegevens van uw klanten verwerkt namens u wanneer u de gegevensbeheerder bent.

OVERWEGENDE dat

(A) Het bedrijf treedt op als een Data Controller.

(B) Het bedrijf wil bepaalde diensten, die de verwerking van persoonsgegevens omvatten, uitbesteden aan de gegevensverwerker.

(C) De partijen streven ernaar een overeenkomst inzake gegevensverwerking uit te voeren die voldoet aan de eisen van het huidige rechtskader inzake gegevensverwerking en Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming).

(D) De partijen wensen hun rechten en plichten vast te stellen.

Momenteel is het als volgt overeengekomen:

1. Definities en interpretatie

1.1 Tenzij hierin anders is bepaald, hebben de in deze Overeenkomst gebruikte gekapitaliseerde termen de volgende betekenis:

1.1.1 "overeenkomst": deze overeenkomst inzake gegevensverwerking en alle bijlagen;

1.1.2 "Bedrijfspersoonsgegevens": alle persoonsgegevens die door een subverlener namens de Vennootschap worden verwerkt overeenkomstig of in verband met de hoofdovereenkomst;

1.1.3 "gecontracteerde verwerker": een subverwerker;

1.1.4 "wetgeving inzake gegevensbescherming": de EU-wetgeving inzake gegevensbescherming en, voor zover van toepassing, de wetgeving inzake gegevensbescherming of privacy van enig ander land;

1.1.5 "EER": de Europese Economische Ruimte;

1.1.6 "EU-gegevensbeschermingswetgeving": EU-richtlijn 95/46/EG zoals omgezet in nationale wetgeving van elke lidstaat en zoals gewijzigd, vervangen of van tijd tot tijd vervangen, met inbegrip van de AVG en de wetgeving ter uitvoering of aanvulling van de AVG;

1.1.7 "AVG": de Algemene Verordening Gegevensbescherming van de EU, Verordening 2016/679;

1.1.8 "gegevensoverdracht":

1.1.8.1 een overdracht van bedrijfspersoonsgegevens van de onderneming aan een contractuele verwerker; of

1.1.8.2 een verdere overdracht van bedrijfspersoonsgegevens van een contractuele verwerker aan een subverwerker, of tussen twee vestigingen van een contractuele verwerker, in elk geval wanneer een dergelijke overdracht zou worden verboden door de wetgeving inzake gegevensbescherming (of door de bepalingen van overeenkomsten inzake gegevensoverdracht die zijn gesloten om de beperkingen op gegevensoverdracht van de wetgeving inzake gegevensbescherming aan te pakken);

1.1.9 "Diensten": het online SaaS-platform dat door het bedrijf wordt aangeboden.

1.1.10 "Sub-Processor": een persoon die door of namens een Verwerker is aangesteld om namens de Onderneming Persoonsgegevens te verwerken in verband met de Overeenkomst.

1.2 De termen "Commissie," "Controller," "Gegevensonderwerp," "Lidstaat," "Persoonlijke gegevens," "Persoonlijke gegevensovertreding," "Verwerking" en "Toepassingsautoriteit" hebben dezelfde betekenis als in de AVG, en aanverwante termen worden dienovereenkomstig geïnterpreteerd.

2. Verwerking van bedrijfspersoonsgegevens

2.1 De verwerker moet:

2.1.1 voldoen aan alle toepasselijke wetgeving inzake gegevensbescherming bij de verwerking van bedrijfspersoonsgegevens; en

2.1.2 geen Persoonsgegevens van Process Company anders dan op de relevante gedocumenteerde instructies van het bedrijf.

2.2 Het bedrijf geeft de verwerker opdracht persoonsgegevens van bedrijven te verwerken.

3. Verwerker Personeel

De verwerker neemt redelijke maatregelen om de betrouwbaarheid te waarborgen van elke werknemer, agent of contractant van een contractuele verwerker die toegang kan hebben tot persoonsgegevens van de onderneming, waarbij hij er in elk geval voor zorgt dat de toegang strikt beperkt is tot de personen die de relevante persoonsgegevens van de onderneming moeten kennen/toegang hebben, zo strikt noodzakelijk voor de toepassing van de hoofdovereenkomst en dat de toepasselijke wetten in het kader van de verplichtingen van die persoon aan de contractverwerker worden nageleefd, waarbij hij ervoor zorgt dat al deze personen onderworpen zijn aan vertrouwelijke ondernemingen of professionele of wettelijke geheimhoudingsverplichtingen.

4. Veiligheid

4.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met het risico van uiteenlopende waarschijnlijkheid en ernst van de rechten en vrijheden van natuurlijke personen, voert de verwerker passende technische en organisatorische maatregelen uit om te zorgen voor een niveau van veiligheid dat aangepast is aan het risico, met inbegrip, in voorkomend geval, van de in artikel 32, lid 1, van de AVG bedoelde maatregelen.

4.2 Bij de beoordeling van het passende beveiligingsniveau houdt de verwerker met name rekening met de risico's van verwerking, met name van een inbreuk op persoonsgegevens.

5. Subverwerking

5.1 De verwerker mag geen persoonsgegevens van de onderneming aan) een Sub-Processor betrekken (of bekendmaken), tenzij vereist of toegestaan door de Onderneming.

6. Rechten van betrokkenen

6.1 Rekening houdend met de aard van de verwerking zal de verwerker de onderneming bijstaan door passende technische en organisatorische maatregelen uit te voeren, voor zover mogelijk, om de verplichtingen van de onderneming na te komen, zoals redelijkerwijs begrepen door de onderneming, om te reageren op verzoeken om de rechten van de betrokkene uit te oefenen krachtens de wetgeving inzake gegevensbescherming.

6.2 De verwerker moet:

6.2.1 stelt de onderneming onmiddellijk in kennis van een verzoek van een betrokkene krachtens een wetgeving inzake gegevensbescherming met betrekking tot persoonsgegevens van de vennootschap; en

6.2.2 zorgt ervoor dat zij niet op dat verzoek reageert, behalve op de gedocumenteerde instructies van de Vennootschap of zoals vereist door toepasselijke wetten waaraan de Verwerker onderworpen is, in welk geval de Verwerker, voor zover toegestaan door toepasselijke wetten, de Onderneming van die wettelijke verplichting in kennis moet stellen alvorens op het verzoek te reageren.

7. Inbreuk op persoonsgegevens

7.1 De Verwerker zal de Onderneming onverwijld op de hoogte stellen van een inbreuk op persoonsgegevens die van invloed is op de persoonsgegevens van de Vennootschap, waarbij hij de Bedrijf voldoende informatie verstrekt om het bedrijf in staat te stellen alle verplichtingen na te komen om personen die persoonsgegevens overtreden krachtens de wetgeving inzake gegevensbescherming te rapporteren of te informeren.

7.2 De Verwerker zal met de Onderneming samenwerken en redelijke commerciële stappen ondernemen, zoals door de Onderneming is voorgeschreven om te helpen bij het onderzoek, de mitigatie en de sanering van elk van deze Persoonsgegevens.

8. Effectbeoordeling gegevensbescherming en voorafgaand overleg

De verwerker zal de onderneming redelijke bijstand verlenen bij eventuele effectbeoordelingen van gegevensbescherming en voorafgaand overleg met de toezichthoudende autoriteiten of andere bevoegde autoriteiten op het gebied van gegevensbescherming die de onderneming redelijkerwijs op grond van artikel 35 of 36 van de AVG of gelijkwaardige bepalingen van enige andere wet inzake gegevensbescherming vereist acht, in elk geval uitsluitend met betrekking tot de verwerking van persoonsgegevens door en rekening houdend met de aard van de verwerking en de informatie waarover de contracterende verwerkers beschikken.

9. Verwijdering of teruggave van bedrijfspersoonsgegevens

9.1 Behoudens deze paragraaf 9, zal de Processor onverwijld en in ieder geval binnen 10 werkdagen na de datum van beëindiging van een Diensten waarbij de verwerking van bedrijfspersoonsgegevens (de "Terminatiedatum") betrokken is, alle kopieën van dergelijke bedrijfspersoonsgegevens verwijderen en verkrijgen.

10. Auditrechten

10.1 Behoudens deze paragraaf 10 stelt de Verwerker op verzoek alle informatie ter beschikking van de Onderneming die nodig is om de naleving van deze Overeenkomst aan te tonen en zal hij toestaan en bijdragen aan audits, met inbegrip van inspecties, uitgevoerd door de Onderneming of een auditor die door de Onderneming is belast met de verwerking van persoonsgegevens door de Gecontracteerde Verwerkers.

10.2 De informatie- en auditrechten van de onderneming komen uitsluitend voort uit punt 10.1 voor zover de overeenkomst hen anders geen informatie- en controlerechten verleent die voldoen aan de relevante eisen van de wetgeving inzake gegevensbescherming.

11. Gegevensoverdracht

11.1 De verwerker mag de overdracht van gegevens naar landen buiten de EU en/of de EER niet overdragen of toestaan zonder voorafgaande schriftelijke toestemming van de onderneming. Indien de krachtens deze overeenkomst verwerkte persoonsgegevens van een land binnen de Europese Economische Ruimte naar een land buiten de Europese Economische Ruimte worden overgebracht, zorgen de partijen ervoor dat de persoonsgegevens adequaat worden beschermd. Daartoe vertrouwen de partijen zich, tenzij anders overeengekomen, op door de EU goedgekeurde standaardcontractbepalingen voor de doorgifte van persoonsgegevens.

12. Algemene voorwaarden

12.1 Vertrouwelijkheid. Elke partij moet deze overeenkomst en informatie die zij over de andere partij en haar activiteiten ontvangt in verband met deze overeenkomst vertrouwelijk houden en mag die vertrouwelijke informatie niet gebruiken of openbaar maken zonder voorafgaande schriftelijke toestemming van de andere partij, tenzij:

a) openbaarmaking wettelijk verplicht is;

b) de relevante informatie reeds in het publieke domein is.

12.2 Kennisgevingen. Alle mededelingen en mededelingen die krachtens deze overeenkomst worden gedaan, moeten schriftelijk worden gedaan en persoonlijk worden toegezonden, per post of per e-mail aan het adres of e-mailadres dat is vermeld in de koptekst van deze overeenkomst en aan elk ander adres dat de partijen van tijd tot tijd meedelen.

13. Toepasselijk recht en jurisdictie

13.1 Deze overeenkomst is onderworpen aan het recht van Roemenië.

13.2 Elk geschil in verband met deze overeenkomst dat de partijen niet in minnelijke schikking kunnen brengen, valt onder de exclusieve bevoegdheid van de rechtbanken van Brașov.