Inzake de bescherming van persoonsgegevens, inclusief GDPR Artikel 28, gaan de Partijen de volgende overeenkomst aan:
1. DEFINITIES
Voor de toepassingen van deze Overeenkomst hebben de volgende termen de volgende betekenissen:
1.1. Persoonsgegevens – dit zijn alle Beheerdersgegevens die gerelateerd zijn aan een geïdentificeerd of een identificeerbaar natuurlijk persoon, in de mate dat deze gegevens beschermd worden als persoonsgegevens onder de toepasbare regelgeving;
1.2. NOZBE – dit is de applicatie waar gebruik van wordt gemaakt door de Beheerder gedurende de looptijd van de Overeenkomst, verstrekt door de Processor, waarbinnen de persoonsgegevens die door de Beheerder zijn toevertrouwd worden verwerkt;
1.3. Regelgeving – dit zijn de wetten voor persoonsgegevensbescherming die van kracht zijn in Polen en dan voornamelijk: de bepalingen van Verordening (EU) 679/2016 van het Europese Parlement en die van de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (OJ L 119 of 2016, p. 1) (hierna “GDPR” genoemd), en de Wet van 10 mei 2018 inzake persoonsgegevensbescherming (Journal of Laws van 2018, item 1000) (hierna “Wet” genoemd);
1.4. Servicevoorwaarden – dit zijn de gebruiksvoorwaarden voor NOZBE die beschikbaar zijn op nozbe.com/terms;
1.5. Toewijzingsovereenkomst – dit is de overeenkomst, met eventuele wijzigingen en bijlagen, die schriftelijk zijn vastgesteld en die door beide Partijen zijn ondertekend.
2. VERKLARINGEN VAN DE PARTIJEN
2.1. De Beheerder verklaard dat hij de beheerder is van de persoonsgegevens die toevertrouwd zijn aan de Processor voor verwerking en dat hij de persoonsgegevens volgens de regelgeving verzameld en verwerkt. 2.2. De Partijen verklaren dat de Toewijzingsovereenkomst werd afgesloten om de verplichtingen die in de regelgeving gespecificeerd worden, met betrekking tot het gebruik van NOZBE door de Beheerder en de acceptatie van de Gebruiksvoorwaarden door de Beheerder, te kunnen vervullen.
3. HET ONDERWERP VAN DE OVEREENKOMST
3.1. De Beheerder vertrouwt de Verwerker de verwerking van persoonsgegevens toe, en de Verwerker verbindt zich ertoe deze te verwerken in overeenstemming met de regelgeving en de Overeenkomst met als enig doel het gebruik van NOZBE door de Beheerder.
3.2. De Processor mag de persoonsgegevens alleen verwerken voor zover en voor het doel dat wordt uiteengezet in de: Overeenkomst, regelgeving en de gedocumenteerde orders van de Beheerder.
3.3. Deze overeenkomst is een gedocumenteerde opdracht van de Beheerder tot verwerking door de Verwerker van persoonsgegevens die de Beheerder hem ter uitvoering van deze overeenkomst verstrekt, met inbegrip van een opdracht tot doorgifte van persoonsgegevens buiten de EER.
4. HET DOEL, DE OMVANG EN DE AARD VAN DE VERWERKING
4.1. De Verwerker mag in NOZBE persoonsgegevens verwerken die in de definitie van persoonsgegevens zijn gespecificeerd. De Verwerker gebruikt deze gegevens om met name de volgende handelingen te verrichten: opslag of, na ontvangst van een dergelijke opdracht van de Beheerder, verwijdering. De verwerking van persoonsgegevens heeft tot doel de Beheerder in staat te stellen NOZBE te gebruiken.
4.2. De Processor verwerkt persoonsgegevens binnen NOZBE op een permanente basis.
4.3. De Beheerder verklaart dat de aard van de met deze Overeenkomst toevertrouwde persoonsgegevens geen bijzondere categorieën van persoonsgegevens omvat in de zin van Art. 9.1 van de GDPR en gegevens over strafrechtelijke veroordelingen en overtredingen in de zin van Art. 10 van de GDPR.
4.4. Persoonsgegevens worden door Verwerker in elektronische vorm in NOZBE verwerkt.
4.5. De Processor zal de persoonsgegevens van de Beheerder ontvangen.
4.6. De Beheerder zal met name de persoonsgegevens van de volgende categorieën personen toevertrouwen: beheerder, werknemers van de beheerder, contractanten van de beheerder.
5. HET VERWERKEN VAN TOEWIJZINGSREGELS
5.1. Bij de verwerking van de aan hem toevertrouwde persoonsgegevens verbindt de verwerker zich ertoe deze te beveiligen door passende technische en organisatorische maatregelen toe te passen die een passend beveiligingsniveau garanderen dat overeenstemt met de risico’s die verbonden zijn aan de verwerking van persoonsgegevens, als bedoeld in artikel 32 van de verordening. De Verwerker verklaart met name dat de serverinfrastructuur is gebaseerd op Amazon AWS en Heroku. De servers en hun kopieën bevinden zich in Ierland, Duitsland en Frankrijk. Zowel Amazon AWS als Heroku voorzien hun diensten van een hoog beveiligingsniveau - details worden beschreven in de documenten die zijn gepubliceerd op https://aws.amazon.com/compliance/gdpr-center/ en https://www.heroku.com/policy/security.
5.2. Overeenkomstig GDPR Artikel 28(3)(b) houdt de Processor de persoonsgegevens die aan hem toevertrouwd zijn door de Beheerder geheim.
5.3. De Processor zorgt ervoor dat de personen die toegang hebben tot persoonsgegevens de gegevens en de methoden waarmee ze beschermd worden geheimhouden. De verplichting tot geheimhouding blijft van toepassing na de voltooiing van de Toewijzingsovereenkomst en wanneer het werk van de Processor beëindigd wordt.
5.4. De Processor verklaard dat, in overeenstemming met de verplichting om de toevertrouwde gegevens geheim te houden, ze niet gebruikt, onthuld of beschikbaar zullen worden gemaakt zonder de geschreven toestemming van de Beheerder te hebben voor andere doeleinden dan de implementatie van de samenwerkingsovereenkomst of de doeleinden die uit de wet voorvloeien.
5.5. De Partijen stellen alles in het werk om ervoor te zorgen dat de communicatiemiddelen die zij gebruiken om persoonsgegevens te ontvangen, door te geven en op te slaan, bescherming garanderen tegen ongeoorloofde toegang van derden die niet bevoegd zijn om de inhoud ervan bekend te maken, beschikbaar te stellen en er kennis van te nemen. In het bijzonder deelt de Verwerker mee dat om een maximale beveiliging van de persoonsgegevens te garanderen, de schijven met de database en de bestanden die naar NOZBE worden gestuurd, worden gecodeerd met de AES-256. Daarnaast wordt, om het beveiligingsniveau van bestanden en gevoelige documenten te verhogen, elk bestand dat afzonderlijk naar NOZBE wordt geüpload (als commentaar of andere bijlage) versleuteld met een individuele encryptiesleutel.
5.6. De Verwerker verbindt zich ertoe regelmatig beveiligingstests uit te voeren - intern en in opdracht van gespecialiseerde externe bedrijven.
5.7. De contactpersoon voor zaken die verband houden met de uitvoering van deze overeenkomst is Tomasz Kapelak, tom@nozbe.com. Voor het wijzigen van een aangewezen persoon is geen bijlage nodig, maar hoeft alleen de beheerder per e-mail te worden geïnformeerd.
6. VERDERE VERPLICHTINGEN VAN DE PROCESSOR
6.1. De Verwerker verbindt zich ertoe de Beheerder bij te staan bij het nakomen van zijn verplichtingen uit hoofde van de artikelen 32-36 van de GDPR. De Verwerker zal de Beheerder met name bijstaan bij de beantwoording van verzoeken van betrokkenen, waaronder: het recht op informatie, toegang tot en kopie van gegevens, rectificatie, het recht op verwijdering, het recht op beperking van de verwerking, het recht op overdracht van gegevens, het recht op bezwaar tegen gegevensverwerking, het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming, met inbegrip van profilering.
6.2. De Verwerker is verplicht de Beheerder binnen 48 uur na het ontstaan of het vermoeden van het ontstaan van een incident in verband met de overtreding van de regels voor de verwerking van persoonsgegevens informatie te verstrekken over het voorval. De Verwerker zal de inbreuk niet aan de toezichthoudende autoriteit melden zonder de Beheerder te raadplegen.
6.3. In geval van een incident (inbreuk) verbindt de Verwerker zich ertoe om voor zover nodig samen te werken met de Beheerder en tevens de gevolgen van de inbreuk voor de bescherming van persoonsgegevens kenbaar te maken.
6.4. De Verwerker is verplicht ten behoeve van de beheerder een register bij te houden van categorieën van gegevensverwerkingen.
6.5. De Verwerker is verplicht de beheerder in kennis te stellen van elk geval waarin gegevensverwerking krachtens de EU-wetgeving of de wetgeving van een lidstaat vereist is, met betrekking tot de verwerking van persoonsgegevens anders dan overeenkomstig de gedocumenteerde opdracht van de beheerder, tenzij de wet het verstrekken van die informatie verbiedt wegens een zwaarwegend algemeen belang.
6.6. Rekening houdend met de stand van de technische kennis, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, alsmede het risico van inbreuk op de rechten of vrijheden van natuurlijke personen met verschillende waarschijnlijkheid en ernst, is de verwerker verplicht alle passende technische en organisatorische maatregelen te nemen om het met dit risico overeenstemmende beveiligingsniveau te waarborgen, met name: pseudonimisering en encryptie van persoonsgegevens; het vermogen om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen; het vermogen om de beschikbaarheid van en de toegang tot persoonsgegevens snel te herstellen in geval van een fysiek of technisch incident; het regelmatig testen, meten en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen. Bij de beoordeling of het beveiligingsniveau passend is, wordt rekening gehouden met het risico van de verwerking, met name als gevolg van accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking of ongeoorloofde toegang tot verstrekte, opgeslagen of anderszins verwerkte persoonsgegevens.
7. SECUNDAIRE TOEWIJZIJNG VAN VERWERKING
7.1. De Verwerker kan onder de Toewijzingsovereenkomst vallende persoonsgegevens toevertrouwen voor verdere verwerking door onderaannemers om de Toewijzingsovereenkomst na te komen, d.w.z. de veiligheid van de persoonsgegevens en/of NOZBE te waarborgen. Subverwerking mag alleen plaatsvinden op basis van een subcontract voor persoonsgegevens. De Verwerker is verplicht de Beheerder te informeren over subverwerking van persoonsgegevens. In verband met de noodzaak om de beveiliging van persoonsgegevens (back-up) te waarborgen is voor subverwerking geen voorafgaande goedkeuring van de Beheerder nodig.
7.2. De verwerking van de toevertrouwde gegevens zal overeenkomstig de algemene voorwaarden, die gespecificeerd worden in de Toewijzingsovereenkomst van de gegevens en de Servicevoorwaarden, uitgevoerd worden.
7.3. De in § 7 lid 1 van de Overeenkomst bedoelde onderaannemer moet dezelfde waarborgen bieden en dezelfde verplichtingen nakomen als die welke in de Toewijzingsovereenkomst aan de Verwerker zijn opgelegd, met name moeten zij zorgen voor de uitvoering van passende technische en organisatorische maatregelen overeenkomstig de GDPR en de bescherming van de rechten van de betrokkenen.
7.4. De Processor zal tegenover de Beheerder volledig aansprakelijk zijn wanneer de verplichtingen voor gegevensbescherming, die in de Toewijzingsovereenkomst zijn vastgelegd en die aan de onderaannemer zijn opgelegd, niet worden nagekomen.
8. AANSPRAKELIJKHEID
8.1. Met betrekking tot de implementatie van de Toewijzingsovereenkomst zal elke Partij verantwoordelijk zijn voor de schade die toegebracht wordt aan de andere Partij en de derde partijen.
8.2. De Processor zal aansprakelijk zijn voor het op een inconsistente wijze aanbieden van persoonsgegevens of het inconsistente gebruik van persoonsgegevens, conform de Toewijzingsovereenkomst, en dan voornamelijk wanneer ongeautoriseerde personen toegang verkrijgen tot de persoonsgegevens die toevertrouwd zijn voor verwerking.
9. DE AUDIT VAN DE PROCESSOR
9.1. Overeenkomstig GDPR Artikel 28(3)(h) heeft de Beheerder van de gegevens het recht om te onderzoeken of de maatregelen die door de Processor toegepast worden voor de verwerking en beveiliging van de toevertrouwde persoonsgegevens conform de bepalingen van de Toewijzingsovereenkomst zijn.
9.2. De Processor zal de Beheerder van alle mogelijke informatie voorzien om aan te tonen dat de verplichtingen die in GDPR Artikel 28 staan nageleefd worden.
9.3. De Processor zal de Beheerder gelijk informeren wanneer hij vindt dat een order die hij ontvangen heeft de regelgeving schendt.
9.4. Vanwege de omvang van de audit en de kosten die daarmee gepaard gaan kan de Processor de Beheerder om een redelijke en verantwoorde vergoeding vragen.
9.5. De Verwerker verstrekt de Beheerder alle informatie die nodig is om aan te tonen dat de verplichtingen van Art. 28 GDPR en stelt de Beheerder of een door de Beheerder gemachtigde controleur in staat audits uit te voeren, met inbegrip van inspecties, en draagt daaraan bij.
10. DE TOEWIJZING VAN DE VERWERKING STOPZETTEN
10.1. Nadat de levering van diensten, die verbonden zijn met de verwerking van persoonsgegevens, tot een eind gekomen is zal de Processor, afhankelijk van de beslissing van de Beheerder, alle persoonsgegevens verwijderen of teruggeven en alle bestaande kopieën op elk opslagmiddel verwijderen. Dat zal de rechtmatigheid betreffende de verwerking die wordt uitgevoerd door de Processor gedurende de periode van de Toewijzingsovereenkomst niet beïnvloeden.
11. SLOTBEPALINGEN
11.1. De Toewijzingsovereenkomst wordt voor onbepaalde tijd afgesloten en het begint op 25 mei 2018.
11.2. Wanneer het account binnen NOZBE verwijderd wordt zal het gebruik van NOZBE beëindigd worden, de Toewijzingsovereenkomst zal ontbonden worden en de persoonsgegevens zullen verwijderd worden.
11.3. Als bepaalde bepalingen van de Overeenkomst ongeldig of onuitvoerbaar blijken te zijn zullen de gedeeltelijke ongeldigheid, illegaliteit of onuitvoerbaarheid van een bepaling de geldigheid van de overige bepalingen van de Overeenkomst niet beïnvloeden. De Partijen zullen onderhandelingen voeren om de ongeldige of de onuitvoerbare bepalingen van de Overeenkomst te vervangen met nieuwe bepalingen.
11.4. Met betrekking tot de inhoud en de bepalingen van de Toewijzingsovereenkomst moeten alle wijzigingen en aanvullingen schriftelijk zijn vastgelegd om toepasbaar te kunnen zijn.
11.5. De Partijen zullen er alles aan doen om ervoor te zorgen dat de communicatiewijze die ze gebruiken om vertrouwelijke informatie te ontvangen, te versturen en op te slaan de informatie, en dan vooral de persoonsgegevens die toevertrouwd zijn voor verwerking, veilig houdt en beschermd tegen de ongeautoriseerde toegang van derde partijen die niet geautoriseerd zijn om met de inhoud vertrouwd te raken.
11.6. De Partijen zijn gezamenlijk de beheerders van de gegevens die gespecificeerd worden in de introductie (overwegingen) van de Toewijzingsovereenkomst.
11.7. Wanneer zaken niet onder de Overeenkomst vallen zullen de algemeen toepasbare voorschriften van de Poolse wet, inclusief de bepalingen van het Burgerlijk Wetboek, van toepassing zijn.
11.8. De Overeenkomst is opgesteld in twee identieke exemplaren, één voor elke Partij.