Deze Gegevensverwerkings Overeenkomst (“Overeenkomst”) maakt deel uit van het Contract voor Diensten (“Hoofdovereenkomst”) tussen TeleRetro (de “Onderneming”) en de TeleRetro klant geïdentificeerd op het toepasselijke TeleRetro besteldocument voor TeleRetro diensten (de “Gegevensverwerker”) (samen de “Partijen”).
OVERWEGENDE DAT
(A) De Onderneming optreedt als een Gegevensbeheerder.
(B) De Onderneming bepaalde Diensten wil uitbesteden, welke de verwerking van persoonsgegevens impliceren, aan de Gegevensverwerker.
(C) De Partijen willen een gegevensverwerkings overeenkomst implementeren die voldoet aan de vereisten van het huidige wettelijke kader met betrekking tot gegevensverwerking en met de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
(D) De Partijen willen hun rechten en plichten vaststellen.
HET IS ALS VOLGT OVEREENGEKOMEN:
1. Definities en Interpretatie
1.1 Tenzij anders bepaald hierin, zullen hoofdletters en uitdrukkingen gebruikt in deze Overeenkomst de volgende betekenis hebben:
1.1.1 “Overeenkomst” betekent deze Gegevensverwerkings Overeenkomst en alle Bijlagen;
1.1.2 “Persoonsgegevens van de Onderneming” betekent alle Persoonsgegevens Verwerkt door een Gecontracteerde Processor namens de Onderneming ingevolge of in verband met de Hoofdovereenkomst;
1.1.3 “Gecontracteerde Processor” betekent een Subprocessor;
1.1.4 “Gegevensbeschermingswetten” betekent EU Gegevensbeschermingswetten en, voor zover van toepassing, de gegevensbeschermings- of privacywetten van enig ander land;
1.1.5 “EER” betekent de Europese Economische Ruimte;
1.1.6 “EU Gegevensbeschermingswetten” betekent EU Richtlijn 95/46/EG, zoals omgezet in nationale wetgeving van elke Lidstaat en zoals van tijd tot tijd gewijzigd, vervangen of ingetrokken, inclusief door de GDPR en wetten die de GDPR implementeren of aanvullen;
1.1.7 “GDPR” betekent EU Algemene Verordening Gegevensbescherming 2016/679;
1.1.8 “Gegevensoverdracht” betekent:
1.1.8.1 een overdracht van Persoonsgegevens van de Onderneming van de Onderneming naar een Gecontracteerde Processor; of
1.1.8.2 een verdere overdracht van Persoonsgegevens van de Onderneming van een Gecontracteerde Processor naar een Ondergeschikte Processor, of tussen twee vestigingen van een Gecontracteerde Processor, in elk geval, waar een dergelijke overdracht zou verboden zijn door Gegevensbeschermingswetten (of door de voorwaarden van gegevensovereenkomsten die zijn opgesteld om de beperkingen van gegevensoverdracht van Gegevensbeschermingswetten aan te pakken);
1.1.9 “Diensten” betekent de online agile retrospectieve diensten die de Onderneming levert.
1.1.10 “Subprocessor” betekent elke persoon aangesteld door of namens de Processor om Persoonsgegevens namens de Onderneming te verwerken in verband met de Overeenkomst.
1.2 De termen, “Commissie”, “Beheerder”, “Betrokkene”, “Lidstaat”, “Persoonsgegevens”, “Inbreuk in Verband met Persoonsgegevens”, “Verwerking” en “Toezichthoudende Autoriteit” zullen dezelfde betekenis hebben als in de GDPR, en hun verwante termen zullen dienovereenkomstig worden geïnterpreteerd.
2. Verwerking van Persoonsgegevens van de Onderneming
2.1 Processor zal:
2.1.1 voldoen aan alle toepasselijke Gegevensbeschermingswetten bij het Verwerken van Persoonsgegevens van de Onderneming; en
2.1.2 niet Persoonsgegevens van de Onderneming Verwerken anders dan op de gedocumenteerde instructies van de relevante Onderneming.
2.2 De Onderneming instrueert Processor om Persoonsgegevens van de Onderneming te verwerken.
3. Processor Personeel
Processor zal redelijke stappen ondernemen om de betrouwbaarheid te waarborgen van elke werknemer, agent of aannemer van enige Gecontracteerde Processor die toegang kan hebben tot de Persoonsgegevens van de Onderneming, ervoor zorgend dat toegang in elk geval strikt beperkt is tot die individuen die de relevante Persoonsgegevens van de Onderneming moeten kennen / toegang moeten hebben, strikt noodzakelijk voor de doeleinden van de Hoofdovereenkomst, en om te voldoen aan de Toepasselijke Wetten in de context van de plichten van dat individu voor de Gecontracteerde Processor, ervoor zorgend dat al dergelijke individuen onderworpen zijn aan geheimhoudingsverplichtingen of professionele of wettelijke geheimhoudingsverplichtingen.
4. Beveiliging
4.1 Met inachtneming van de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van Verwerking evenals het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal Processor met betrekking tot de Persoonsgegevens van de Onderneming passende technische en organisatorische maatregelen implementeren om een niveau van beveiliging te waarborgen dat geschikt is voor dat risico, inclusief, waar passend, de maatregelen genoemd in Artikel 32(1) van de GDPR.
4.2 Bij het beoordelen van het juiste niveau van beveiliging, zal Processor met name rekening houden met de risico's die door Verwerking worden gepresenteerd, in het bijzonder van een Inbreuk in Verband met Persoonsgegevens.
5. Subverwerking
5.1 Processor zal geen (of enige Persoonsgegevens van de Onderneming bekendmaken aan) enige Subprocessor aanstellen tenzij vereist of geautoriseerd door de Onderneming.
6. Rechten van Betrokkenen
6.1 Met inachtneming van de aard van de Verwerking, zal Processor de Onderneming assisteren door passende technische en organisatorische maatregelen te implementeren, voor zover dit mogelijk is, voor de vervulling van de verplichtingen van de Onderneming, zoals redelijkerwijs begrepen door de Onderneming, om te reageren op verzoeken om uitoefening van de rechten van Betrokkenen onder de Gegevensbeschermingswetten.
6.2 Processor zal:
6.2.1 de Onderneming onverwijld inlichten indien het een verzoek van een Betrokkene onder enige Gegevensbeschermingswet ontvangt met betrekking tot Persoonsgegevens van de Onderneming; en
6.2.2 ervoor zorgen dat het niet reageert op dat verzoek behalve op de gedocumenteerde instructies van de Onderneming of zoals vereist door Toepasselijke Wetten waaraan de Processor onderworpen is, in welk geval Processor, voor zover toegestaan door Toepasselijke Wetten, de Onderneming zal informeren over die wettelijke vereiste voordat de Gecontracteerde Processor reageert op het verzoek.
7. Inbreuk in Verband met Persoonsgegevens
7.1 Processor zal de Onderneming zonder onnodige vertraging op de hoogte stellen zodra Processor zich bewust wordt van een Inbreuk in Verband met Persoonsgegevens die Persoonsgegevens van de Onderneming beïnvloedt, waarbij de Onderneming voldoende informatie wordt verschaft om de Onderneming in staat te stellen eventuele verplichtingen om Betrokkenen te melden of te informeren over de Inbreuk in Verband met Persoonsgegevens onder de Gegevensbeschermingswetten te vervullen.
7.2 Processor zal samenwerken met de Onderneming en redelijke commerciële stappen ondernemen zoals door de Onderneming aangestuurd om te helpen bij het onderzoek naar, het beperken van en het herstellen van elke dergelijke Inbreuk in Verband met Persoonsgegevens.
8. Beoordeling van de Impact op Gegevensbescherming en Voorafgaand Overleg
8.1 Processor zal redelijke hulp bieden aan de Onderneming met eventuele beoordelingen van de impact op gegevensbescherming, en voorafgaande raadplegingen met Toezichthoudende Autoriteiten of andere bekwame gegevensprivacy autoriteiten, welke de Onderneming redelijkerwijs als vereist beschouwt door artikel 35 of 36 van de GDPR of equivalente bepalingen van enige andere Gegevensbeschermingswet, in elk geval uitsluitend met betrekking tot Verwerking van Persoonsgegevens van de Onderneming door, en rekening houdend met de aard van de Verwerking en informatie beschikbaar voor, de Gecontracteerde Processors.
9. Verwijdering of terugkeer van Persoonsgegevens van de Onderneming
9.1 Onder voorbehoud van deze sectie 9 zal Processor onverwijld en in ieder geval binnen 10 werkdagen na de datum van beëindiging van enige Diensten met betrekking tot de Verwerking van Persoonsgegevens van de Onderneming (de “Beëindigingsdatum”), alle kopieën van die Persoonsgegevens van de Onderneming verwijderen en zorgen voor de verwijdering ervan.
10. Auditrechten
10.1 Onder voorbehoud van deze sectie 10, zal Processor op verzoek alle informatie beschikbaar stellen aan de Onderneming die nodig is om naleving met deze Overeenkomst aan te tonen, en zal audits toestaan en bijdragen aan audits, inclusief inspecties, door de Onderneming of een auditor aangesteld door de Onderneming met betrekking tot de Verwerking van de Persoonsgegevens van de Onderneming door de Gecontracteerde Processors.
10.2 Informatie- en auditrechten van de Onderneming ontstaan alleen onder sectie 10.1 voor zover de Overeenkomst hen anders geen informatie- en auditrechten geeft die aan de relevante vereisten van Gegevensbeschermingswet voldoen.
11. Gegevensoverdracht
11.1 De Processor mag Gegevens niet overdragen of machtigen om over te dragen naar landen buiten de EU en/of de Europese Economische Ruimte (EER) zonder de voorafgaande schriftelijke toestemming van de Onderneming. Indien persoonsgegevens verwerkt onder deze Overeenkomst worden overgedragen van een land binnen de Europese Economische Ruimte naar een land buiten de Europese Economische Ruimte, zullen de Partijen ervoor zorgen dat de persoonsgegevens adequaat worden beschermd. Om dit te bereiken, zullen de Partijen, tenzij anders overeengekomen, vertrouwen op door de EU goedgekeurde standaard contractuele clausules voor de overdracht van persoonsgegevens.
12. Algemene Voorwaarden
12.1 Vertrouwelijkheid. Elke Partij moet deze Overeenkomst en informatie die het ontvangt over de andere Partij en zijn bedrijf in verband met deze Overeenkomst (“Vertrouwelijke Informatie”) vertrouwelijk houden en mag die Vertrouwelijke Informatie niet gebruiken of openbaar maken zonder de voorafgaande schriftelijke toestemming van de andere Partij, behalve voor zover: (a) openbaarmaking vereist is door de wet; (b) de relevante informatie reeds in het publieke domein is.
12.2 Mededelingen. Alle mededelingen en communicaties die onder deze Overeenkomst worden gegeven, moeten schriftelijk zijn en worden persoonlijk afgeleverd, per post verzonden of per e-mail naar het adres of e-mailadres gestuurd dat in de aanhef van deze Overeenkomst staat, op een ander adres zoals van tijd tot tijd door de Partijen wordt medegedeeld bij adreswijziging.
13. Toepasselijk Recht en Rechtsbevoegdheid
13.1 Deze Gegevensverwerkings Overeenkomst wordt beheerst door en geïnterpreteerd in overeenstemming met de wetten en rechtsbevoegdheid zoals hieronder vermeld:
| Land of regio | Keuze van het recht | Rechtsbevoegdheid |
|---|---|---|
| Alle andere landen en regio's waarin TeleRetro beschikbaar is | Wetten van Engeland en Wales | Exclusief |
| Verenigde Staten | Staat Californië, Verenigde Staten | Exclusief; Staats- en Federale Rechtbanken van Noord-Californië, Californië |
13.2 Elk geschil dat voortvloeit uit deze Gegevensverwerkings Overeenkomst en dat de Partijen niet in der minne kunnen oplossen, zal worden voorgelegd aan de exclusieve rechtsbevoegdheid van de rechtbanken zoals gespecificeerd in de tabel hierboven, afhankelijk van het land of de regio van de Klant.
Ervaar een betere retro
Maak binnen enkele seconden een retro en zie zelf het verschil.