STANDAARD CONTRACTUELE CLAUSULES

Aanhangsel nr. 2 - Modelcontractbepalingen

STANDAARD CONTRACTUELE CLAUSULES

SECTIE I

Clausule 1
Doel en werkingssfeer

(a) Het doel van deze modelcontractbepalingen is de naleving van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) voor de doorgifte van persoonsgegevens naar een derde land.

b) De partijen:
i) de natuurlijke perso(o)n(en) of rechtsperso(o)n(en), de overheidsinstantie(s), de dienst(en) of een andere instantie(s) (hierna "instantie(s)" genoemd) die de persoonsgegevens doorgeeft (doorgeven), zoals vermeld in bijlage I, deel A (hierna "gegevensexporteur" genoemd), en

ii) de entiteit(en) in een derde land die de persoonsgegevens ontvangt (ontvangen) van de gegevensexporteur, direct of indirect via een andere entiteit die ook partij is bij deze bepalingen, zoals vermeld in bijlage I, deel A (hierna "gegevensimporteur" genoemd), heeft (hebben) ingestemd met deze modelcontractbepalingen (hierna "bepalingen" genoemd).

c) Deze bepalingen zijn van toepassing op de doorgifte van persoonsgegevens als gespecificeerd in bijlage I.B.

d) Het aanhangsel bij deze bepalingen met de bijlagen waarnaar daarin wordt verwezen, maakt een integrerend deel uit van deze bepalingen.

Clausule 2
Werking en onveranderlijkheid van de clausules

(a) Deze clausules bevatten passende waarborgen, waaronder afdwingbare rechten van de betrokkene en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, onder c), van Verordening (EU) 2016/679 en, met betrekking tot gegevensdoorgiften van voor de verwerking verantwoordelijken naar verwerkers en/of verwerkers naar verwerkers, modelcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, op voorwaarde dat zij niet worden gewijzigd, behalve om de passende module(s) te selecteren of om informatie in het aanhangsel toe te voegen of bij te werken. Dit weerhoudt de partijen er niet van de in deze bepalingen neergelegde modelcontractbepalingen op te nemen in een ruimer contract en/of andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met deze bepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van betrokkenen.

b) Deze bepalingen doen geen afbreuk aan de verplichtingen waaraan de gegevensexporteur is onderworpen op grond van Verordening (EU) 2016/679.

Clausule 3
Derden-begunstigden

a) Betrokkenen kunnen zich als derde-begunstigden jegens de gegevensexporteur en/of gegevensimporteur op deze bepalingen beroepen en deze afdwingen, met de volgende uitzonderingen
i) Clausule 1, clausule 2, clausule 3, clausule 6, clausule 7;

ii) Clausule 8 - Module één: Clausule 8.5 (e) en Clausule 8.9 (b); Module twee: Clausule 8.1 (b), 8.9 (a), (c), (d) en (e); Module drie: Artikel 8, lid 1, onder a), c) en d), en artikel 8, lid 9, onder a), c), d), e), f) en g); Module vier: Clausule 8.1, onder b), en clausule 8.3, onder b);

iii) Clausule 9 - Module twee: Clausule 9, onder a), c), d) en e); Module drie: Clausule 9, onder a), c), d) en e);

iv) Clausule 12 - Module één: Clausule 12, onder a) en d); Modules twee en drie: Clausule 12, onder a), d) en f);

v) Clausule 13;

vi) Clausule 15.1, onder c), d) en e);

vii) Clausule 16, onder e);

viii) Clausule 18 - Modules een, twee en drie: Clausule 18, onder a) en b); module vier: Clausule 18.

b) Punt a) laat de rechten van betrokkenen op grond van Verordening (EU) 2016/679 onverlet.

Clausule 4
Interpretatie

(a) Wanneer in deze clausules termen worden gebruikt die in Verordening (EU) 2016/679 zijn gedefinieerd, hebben deze termen dezelfde betekenis als in die verordening.

b) Deze clausules moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

c) Deze clausules mogen niet worden geïnterpreteerd op een manier die in strijd is met de rechten en plichten waarin Verordening (EU) 2016/679 voorziet.

Clausule 5
Hiërarchie

In geval van tegenstrijdigheid tussen deze bepalingen en de bepalingen van daarmee verband houdende overeenkomsten tussen de Partijen, die bestaan op het moment dat deze bepalingen worden overeengekomen of nadien worden gesloten, prevaleren deze bepalingen.

Clausule 6
Beschrijving van de overdracht(en)

De details van de doorgifte(s), en in het bijzonder de categorieën persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor ze worden doorgegeven, worden gespecificeerd in bijlage I.B.

Clausule 7
Dockingclausule

a) Een entiteit die geen partij is bij deze bepalingen kan, met instemming van de partijen, te allen tijde tot deze bepalingen toetreden, hetzij als gegevensexporteur, hetzij als gegevensimporteur, door het aanhangsel in te vullen en bijlage I.A. te ondertekenen.

b) Zodra de toetredende entiteit het aanhangsel heeft ingevuld en bijlage I.A. heeft ondertekend, wordt zij partij bij deze bepalingen en heeft zij de rechten en plichten van een gegevensexporteur of gegevensimporteur overeenkomstig haar aanwijzing in bijlage I.A.

c) De toetredende entiteit heeft uit hoofde van deze bepalingen geen rechten of verplichtingen die voortvloeien uit de periode voordat zij partij werd.

SECTIE II - VERPLICHTINGEN VAN DE PARTIJEN

Clausule 8
Gegevensbeschermingswaarborgen

De gegevensexporteur garandeert dat hij zich redelijke inspanningen heeft getroost om vast te stellen dat de gegevensimporteur door de toepassing van passende technische en organisatorische maatregelen in staat is aan zijn verplichtingen krachtens deze bepalingen te voldoen.

8.1 Instructies
a) De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op gedocumenteerde instructie van de gegevensexporteur. De gegevensexporteur kan gedurende de gehele looptijd van het contract dergelijke instructies geven.

b) De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen.

8.2 Doel beperking
De gegevensimporteur verwerkt de persoonsgegevens uitsluitend voor het (de) specifieke doel(en) van de doorgifte, zoals uiteengezet in bijlage I, deel B, tenzij op nadere instructie van de gegevensexporteur.

8.3 Doorzichtigheid
Op verzoek stelt de gegevensexporteur kosteloos een afschrift van deze bepalingen, met inbegrip van het aanhangsel zoals dit door de partijen is aangevuld, ter beschikking van de betrokkene. Voor zover dit nodig is om bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van de in bijlage II beschreven maatregelen en persoonsgegevens, te beschermen, kan de gegevensexporteur een deel van de tekst van het aanhangsel bij deze bepalingen redigeren voordat hij een kopie ter beschikking stelt, maar hij verstrekt een zinvolle samenvatting wanneer de betrokkene de inhoud anders niet zou kunnen begrijpen of zijn rechten niet zou kunnen uitoefenen. Op verzoek verstrekken de partijen de betrokkene de redenen voor de bewerkingen, voor zover mogelijk zonder de bewerkte informatie openbaar te maken. Deze bepaling laat de verplichtingen van de gegevensexporteur uit hoofde van de artikelen 13 en 14 van Verordening (EU) 2016/679 onverlet.

8.4 Nauwkeurigheid
Indien de gegevensimporteur opmerkt dat de door hem ontvangen persoonsgegevens onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dat geval werkt de gegevensimporteur samen met de gegevensexporteur om de gegevens te wissen of te corrigeren.

8.5 Duur van de verwerking en wissing of teruggave van gegevens
Na beëindiging van de verwerkingsdiensten verwijdert de gegevensimporteur, naar keuze van de gegevensexporteur, alle persoonsgegevens die namens de gegevensexporteur zijn verwerkt en bevestigt hij dit aan de gegevensexporteur, of retourneert hij de gegevensexporteur alle persoonsgegevens die namens hem zijn verwerkt en verwijdert hij de bestaande kopieën. Zolang de gegevens niet zijn gewist of teruggegeven, blijft de gegevensimporteur zorgen voor de naleving van deze bepalingen. Indien lokale wetgeving van toepassing is op de gegevensimporteur die teruggave of verwijdering van de persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij zal blijven toezien op de naleving van deze bepalingen en de gegevens slechts zal verwerken in de mate en voor de duur die krachtens die lokale wetgeving vereist zijn. Dit geldt onverminderd bepaling 14, met name de eis dat de gegevensimporteur krachtens bepaling 14, onder e), de gegevensexporteur gedurende de gehele looptijd van het contract in kennis stelt indien hij redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de eisen van bepaling 14, onder a).

8.6 Beveiliging van de verwerking
a) De gegevensimporteur en, tijdens de verstrekking, ook de gegevensexporteur treffen passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging, niet-toegelaten verspreiding van of toegang tot die gegevens (hierna "inbreuk in verband met persoonsgegevens" genoemd). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en het doel of de doelen van de verwerking en de risico's die de verwerking voor de betrokkenen inhoudt. De partijen overwegen met name gebruik te maken van versleuteling of pseudonimisering, ook tijdens de doorgifte, wanneer het doel van de verwerking op die manier kan worden bereikt. In het geval van pseudonimisering blijft de aanvullende informatie voor het toeschrijven van de persoonsgegevens aan een specifieke betrokkene, waar mogelijk, onder de exclusieve controle van de gegevensexporteur. Bij het nakomen van zijn verplichtingen uit hoofde van dit lid, neemt de gegevensimporteur ten minste de in bijlage II gespecificeerde technische en organisatorische maatregelen. De gegevensimporteur controleert regelmatig of deze maatregelen een passend beveiligingsniveau blijven bieden.

b) De gegevensimporteur verleent leden van zijn personeel alleen toegang tot de persoonsgegevens voor zover dat strikt noodzakelijk is voor de uitvoering en het beheer van en het toezicht op het contract. Hij zorgt ervoor dat personen die gemachtigd zijn de persoonsgegevens te verwerken, zich tot geheimhouding verplichten of aan een passende wettelijke geheimhoudingsplicht gebonden zijn.

c) In geval van een inbreuk in verband met persoonsgegevens die door de gegevensimporteur krachtens deze bepalingen worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, met inbegrip van maatregelen om de negatieve effecten ervan te beperken. De gegevensimporteur stelt ook de gegevensexporteur onverwijld in kennis van de inbreuk, nadat hij er kennis van heeft gekregen. Deze kennisgeving bevat de gegevens van een contactpunt waar meer informatie kan worden verkregen, een omschrijving van de aard van de inbreuk (zo mogelijk met vermelding van de categorieën en bij benadering het aantal betrokkenen en persoonsgegevensrecords), de vermoedelijke gevolgen en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken, in voorkomend geval met inbegrip van maatregelen om de eventuele negatieve gevolgen te verlichten. Indien en voor zover niet alle informatie tegelijk kan worden verstrekt, bevat de eerste melding de informatie die op dat moment beschikbaar is en wordt vervolgens, zodra deze beschikbaar komt, zonder onnodige vertraging aanvullende informatie verstrekt.

d) De gegevensimporteur werkt met de gegevensexporteur samen en verleent hem bijstand om de gegevensexporteur in staat te stellen aan zijn verplichtingen uit hoofde van Verordening (EU) 2016/679 te voldoen, met name om de bevoegde toezichthoudende autoriteit en de betrokken betrokkenen in kennis te stellen, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensimporteur beschikt.

8.7 Gevoelige gegevens
Indien de doorgifte betrekking heeft op persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, op genetische gegevens of biometrische gegevens om een natuurlijke persoon eenduidig te kunnen identificeren, op gegevens die de gezondheid of het seksuele leven of de seksuele geaardheid van een persoon betreffen, of op gegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (hierna "gevoelige gegevens" genoemd), past de gegevensimporteur de specifieke beperkingen en/of aanvullende waarborgen toe die in bijlage I, deel B, zijn omschreven.

8.8 Overdrachten
De gegevensimporteur mag de persoonsgegevens alleen op gedocumenteerde instructie van de gegevensexporteur aan een derde verstrekken. Bovendien mogen de gegevens alleen aan een derde buiten de Europese Unie (4 ) (in hetzelfde land als de gegevensimporteur of in een ander derde land, hierna "verdere doorgifte" genoemd) worden doorgegeven indien de derde door deze bepalingen gebonden is of ermee instemt, volgens de passende module, of indien:
i) de verdere doorgifte is naar een land dat in aanmerking komt voor een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 dat betrekking heeft op de verdere doorgifte;

ii) de derde partij zorgt anderszins voor passende waarborgen op grond van artikel 46 of 47 Verordening (EU) 2016/679 met betrekking tot de verwerking in kwestie;

iii) de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte in het kader van een specifieke administratieve, regelgevende of gerechtelijke procedure; of

iv) de verdere doorgifte noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon.

Elke verdere doorgifte is afhankelijk van de naleving door de gegevensimporteur van alle andere waarborgen krachtens deze bepalingen, met name beperking van het doel.

8.9 Documentatie en naleving
a) De gegevensimporteur behandelt verzoeken van de gegevensexporteur die betrekking hebben op de verwerking volgens deze bepalingen, onmiddellijk en op passende wijze.

b) De partijen moeten kunnen aantonen dat deze bepalingen worden nageleefd. In het bijzonder houdt de gegevensimporteur de nodige documentatie bij over de verwerkingsactiviteiten die namens de gegevensexporteur worden uitgevoerd.

c) De gegevensimporteur stelt de gegevensexporteur alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit hoofde van deze bepalingen worden nageleefd en maakt op verzoek van de gegevensexporteur controles van de onder deze bepalingen vallende verwerkingsactiviteiten mogelijk en draagt bij tot de uitvoering ervan, met redelijke tussenpozen of indien er aanwijzingen zijn dat de bepalingen niet worden nageleefd. Bij de beslissing over een controle of audit kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.

d) De gegevensexporteur kan ervoor kiezen de controle zelf uit te voeren of een onafhankelijke controleur te belasten. De audits kunnen inspecties in de bedrijfsruimten of de fysieke voorzieningen van de gegevensimporteur omvatten en worden, waar nodig, met inachtneming van een redelijke termijn uitgevoerd.

e) De partijen stellen de onder b) en c) bedoelde informatie, inclusief de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

Clausule 9
Gebruik van sub-verwerkers

a) De gegevensimporteur heeft van de gegevensexporteur de algemene toestemming gekregen om subverwerkers van een overeengekomen lijst in te schakelen. De gegevensimporteur stelt de gegevensexporteur ten minste [termijn specificeren] van tevoren schriftelijk in kennis van voorgenomen wijzigingen in die lijst door toevoeging of vervanging van subverwerkers, zodat de gegevensexporteur voldoende tijd heeft om tegen die wijzigingen bezwaar te maken voordat de subverwerker(s) in dienst wordt (worden) genomen. De gegevensimporteur verstrekt de gegevensexporteur de informatie die de gegevensexporteur nodig heeft om zijn recht van bezwaar te kunnen uitoefenen.

b) Wanneer de gegevensimporteur een subverwerker inschakelt om (namens de gegevensexporteur) specifieke verwerkingsactiviteiten te verrichten, dient hij daarvoor een schriftelijk contract op te stellen dat in wezen dezelfde verplichtingen inzake gegevensbescherming bevat als die welke voor de gegevensimporteur uit deze bepalingen voortvloeien, ook wat de rechten van derden betreft die voor de betrokkenen gelden. (8) De partijen komen overeen dat de gegevensimporteur, door deze bepaling na te leven, aan zijn verplichtingen krachtens bepaling 8.8 voldoet. De gegevensimporteur ziet erop toe dat de subverwerker de verplichtingen nakomt waaraan de gegevensimporteur krachtens deze bepalingen is onderworpen.

c) Op verzoek van de gegevensexporteur verstrekt de gegevensimporteur de gegevensexporteur een afschrift van deze subverwerkersovereenkomst en van alle latere wijzigingen. Voor zover dit nodig is om bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat een afschrift wordt verstrekt.

d) De gegevensimporteur blijft ten opzichte van de gegevensexporteur volledig verantwoordelijk voor de nakoming van de verplichtingen van de subverwerker uit hoofde van zijn contract met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elk verzuim van de subverwerker om zijn verplichtingen uit hoofde van dat contract na te komen.

e) De gegevensimporteur komt met de subverwerker een derdenbeding overeen op grond waarvan - indien de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden - de gegevensexporteur het recht heeft het subverwerkingscontract te beëindigen en de subverwerker opdracht te geven de persoonsgegevens te wissen of terug te geven.

Clausule 10
Rechten van de betrokkene

a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van elk verzoek dat hij van een betrokkene heeft ontvangen. Hij beantwoordt dat verzoek niet zelf, tenzij hij daartoe door de gegevensexporteur is gemachtigd.

b) De gegevensimporteur helpt de gegevensexporteur bij het nakomen van zijn verplichtingen om te reageren op verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking, door middel waarvan de bijstand wordt verleend, alsmede de reikwijdte en de omvang van de vereiste bijstand.

c) Bij de vervulling van zijn verplichtingen krachtens de punten a) en b) houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.

Clausule 11
Verhaal

a) De gegevensimporteur informeert de betrokkenen op een transparante en gemakkelijk toegankelijke manier, door middel van een individuele kennisgeving of op zijn website, over een contactpunt dat bevoegd is klachten te behandelen. Klachten die hij van een betrokkene ontvangt, worden door hem onmiddellijk behandeld. De gegevensimporteur stemt ermee in dat de betrokkenen ook een klacht kunnen indienen bij een onafhankelijke instantie voor geschillenbeslechting, zonder kosten voor de betrokkene. Hij informeert de betrokkenen op de in punt a) beschreven wijze over dit verhaalsmechanisme en over het feit dat zij niet verplicht zijn daarvan gebruik te maken of een bepaalde procedure te volgen om verhaal te halen.

b) In geval van een geschil tussen een betrokkene en een van de partijen over de naleving van deze bepalingen, stelt die partij alles in het werk om het geschil zo spoedig mogelijk op minnelijke wijze op te lossen. De partijen houden elkaar op de hoogte van dergelijke geschillen en werken, waar nodig, samen om ze op te lossen.

c) Indien de betrokkene zich beroept op een recht van derden om voor de gegevensbescherming in aanmerking te komen overeenkomstig bepaling 3, aanvaardt de gegevensimporteur het besluit van de betrokkene om:
i) een klacht indienen bij de toezichthoudende autoriteit in de lidstaat waar hij zijn gewone verblijfplaats of werkplek heeft, of bij de bevoegde toezichthoudende autoriteit overeenkomstig artikel 13;

ii) het geschil voorleggen aan de bevoegde rechterlijke instanties in de zin van clausule 18.

d) De partijen aanvaarden dat de betrokkene zich kan laten vertegenwoordigen door een orgaan, organisatie of vereniging zonder winstoogmerk onder de voorwaarden van artikel 80, lid 1, van Verordening (EU) 2016/679.

e) De gegevensimporteur dient zich te houden aan een besluit dat volgens het toepasselijke recht van de EU of de lidstaat bindend is.

f) De gegevensimporteur stemt ermee in dat de door de betrokkene gemaakte keuze geen afbreuk doet aan zijn/haar materiële en procedurele rechten om beroep in te stellen overeenkomstig de toepasselijke wetgeving.

Clausule 12
Aansprakelijkheid

(a) Elke Partij is aansprakelijk jegens de andere Partij(en) voor alle schade die zij de andere Partij(en) berokkent door een schending van deze Clausules.

(b) De gegevensimporteur is jegens de betrokkene aansprakelijk voor alle materiële en immateriële schade die de gegevensimporteur of diens subverwerker de betrokkene berokkent door inbreuk te maken op de rechten van de derde-begunstigde uit hoofde van deze bepalingen, en de betrokkene heeft recht op schadevergoeding.

(c) Onverminderd punt b) is de gegevensexporteur aansprakelijk jegens de betrokkene en heeft de betrokkene recht op vergoeding van alle materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of diens subverwerker) de betrokkene berokkent door de rechten van derden-begunstigden krachtens deze bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een voor de verwerking verantwoordelijke optreedt, aan de aansprakelijkheid van de voor de verwerking verantwoordelijke op grond van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, naargelang het geval.

(d) De partijen komen overeen dat, indien de gegevensexporteur uit hoofde van punt c) aansprakelijk wordt gesteld voor schade die door de gegevensimporteur (of diens subverwerker) is veroorzaakt, hij het recht heeft van de gegevensimporteur het gedeelte van de vergoeding terug te vorderen dat overeenkomt met de verantwoordelijkheid van de gegevensimporteur voor de schade.

(e) Indien meer dan één Partij verantwoordelijk is voor schade die de betrokkene ten gevolge van een inbreuk op deze bepalingen wordt berokkend, zijn alle verantwoordelijke Partijen gezamenlijk en hoofdelijk aansprakelijk en heeft de betrokkene het recht om tegen elk van deze Partijen een rechtsvordering in te stellen.

(f) De partijen komen overeen dat, indien een partij op grond van punt e) aansprakelijk wordt gesteld, zij het recht heeft van de andere partij het gedeelte van de schadevergoeding terug te vorderen dat overeenkomt met haar verantwoordelijkheid voor de schade.

(g) De gegevensimporteur mag zich niet op het gedrag van een subverwerker beroepen om zijn eigen aansprakelijkheid te ontlopen.

Clausule 13
Toezicht

(a) [Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd:] treedt de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de naleving door de gegevensexporteur van Verordening (EU) 2016/679 ten aanzien van de gegevensdoorgifte, zoals aangegeven in bijlage I, deel C, op als bevoegde toezichthoudende autoriteit.
[Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar wel binnen het territoriale toepassingsgebied van Verordening (EU) 2016/679 valt overeenkomstig artikel 3, lid 2, daarvan en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I, deel C, treedt op als bevoegde toezichthoudende autoriteit.
[Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar wel binnen het territoriale toepassingsgebied van Verordening (EU) 2016/679 valt overeenkomstig artikel 3, lid 2, van die verordening, zonder evenwel een vertegenwoordiger te moeten aanwijzen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen van wie op grond van deze bepalingen persoonsgegevens worden doorgegeven in verband met het aanbieden van goederen of diensten aan hen, of van wie het gedrag wordt gecontroleerd, zich bevinden, zoals aangegeven in bijlage I, deel C, treedt op als bevoegde toezichthoudende autoriteit.

(b) De gegevensimporteur stemt ermee in zich aan de jurisdictie van de bevoegde toezichthoudende autoriteit te onderwerpen en met haar samen te werken in alle procedures die ertoe strekken de naleving van deze bepalingen te verzekeren. De gegevensimporteur stemt er met name mee in om op verzoeken om inlichtingen in te gaan, zich aan audits te onderwerpen en de door de toezichthoudende autoriteit vastgestelde maatregelen, met inbegrip van corrigerende en compenserende maatregelen, na te leven. Hij zal de toezichthoudende autoriteit schriftelijk bevestigen dat de nodige maatregelen zijn genomen.

DEEL III - PLAATSELIJKE WETGEVING EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR DE OVERHEID

Clausule 14
Lokale wetten en praktijken die van invloed zijn op de naleving van de clausules

(a) De partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van eventuele voorschriften inzake de bekendmaking van persoonsgegevens of maatregelen die de toegang van overheidsinstanties toestaan, de gegevensimporteur beletten zijn verplichtingen krachtens deze bepalingen na te komen. Dit is gebaseerd op het inzicht dat wetten en praktijken die de essentie van de fundamentele rechten en vrijheden eerbiedigen en niet verder gaan dan wat in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in strijd zijn met deze Bepalingen.

(b) De partijen verklaren dat zij bij het verlenen van de onder a) bedoelde garantie met name rekening hebben gehouden met de volgende elementen:
(i) de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte doorgiftekanalen; de voorgenomen verdere doorgiften; het soort ontvanger; het doel van de verwerking; de categorieën en het formaat van de doorgegeven persoonsgegevens; de economische sector waarin de doorgifte plaatsvindt; de opslaglocatie van de doorgegeven gegevens;

(ii) de wetten en praktijken van het derde land van bestemming - met inbegrip van de wetten en praktijken die openbaarmaking van gegevens aan overheidsinstanties voorschrijven of toegang door die instanties toestaan - die relevant zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen (12);

(iii) alle relevante contractuele, technische of organisatorische waarborgen die zijn ingevoerd ter aanvulling van de waarborgen uit hoofde van deze bepalingen, met inbegrip van maatregelen die tijdens de overdracht en de verwerking van de persoonsgegevens in het land van bestemming worden toegepast.

(c) De gegevensimporteur garandeert dat hij, bij het uitvoeren van de beoordeling volgens punt b), zijn uiterste best heeft gedaan om de gegevensexporteur relevante informatie te verstrekken en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om de naleving van deze bepalingen te waarborgen.

(d) De partijen komen overeen de beoordeling krachtens punt b) te documenteren en op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.

(e) De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, nadat hij met deze bepalingen heeft ingestemd en voor de duur van het contract, redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetgeving of praktijken die niet in overeenstemming zijn met de vereisten onder a), onder meer ingevolge een wijziging in de wetgeving van het derde land of een maatregel (zoals een verzoek om openbaarmaking) waaruit blijkt dat dergelijke wetgeving in de praktijk niet wordt toegepast in overeenstemming met de vereisten onder a). [Voor module drie: De gegevensexporteur zendt de kennisgeving door aan de voor de verwerking verantwoordelijke].

(f) Na een kennisgeving overeenkomstig punt e) of indien de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur niet langer aan zijn verplichtingen volgens deze bepalingen kan voldoen, stelt de gegevensexporteur onverwijld passende maatregelen vast (bijvoorbeeld technische of organisatorische maatregelen ter waarborging van de beveiliging en vertrouwelijkheid) die door de gegevensexporteur en/of gegevensimporteur moeten worden getroffen om de situatie aan te pakken [voor module drie: indien passend in overleg met de voor de verwerking verantwoordelijke]. De gegevensexporteur schort de gegevensdoorgifte op indien hij van oordeel is dat niet voor passende waarborgen voor deze doorgifte kan worden gezorgd, of indien hij daartoe opdracht krijgt van [voor module drie: de voor de verwerking verantwoordelijke of] de bevoegde toezichthoudende autoriteit. In dat geval heeft de gegevensexporteur het recht het contract te beëindigen, voor zover dit betrekking heeft op de verwerking van persoonsgegevens volgens deze bepalingen. Indien er meer dan twee partijen bij het contract betrokken zijn, kan de gegevensexporteur dit recht tot beëindiging alleen uitoefenen ten aanzien van de betrokken partij, tenzij de partijen anders zijn overeengekomen. Indien het contract op grond van deze bepaling wordt beëindigd, is artikel 16, onder d) en e), van toepassing.

Clausule 15
Verplichtingen van de gegevensimporteur in geval van toegang door overheidsinstanties

15.1 Kennisgeving
(a) De gegevensimporteur stemt ermee in de gegevensexporteur en, waar mogelijk, de betrokkene onverwijld in kennis te stellen (indien nodig met de hulp van de gegevensexporteur) indien hij
(i) van een overheidsinstantie, met inbegrip van justitiële autoriteiten, krachtens de wetgeving van het land van bestemming een juridisch bindend verzoek ontvangt tot openbaarmaking van persoonsgegevens die op grond van deze bepalingen zijn doorgegeven; deze kennisgeving omvat informatie over de gevraagde persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het verstrekte antwoord; of

(ii) kennis krijgt van elke vorm van rechtstreekse toegang van overheidsinstanties tot persoonsgegevens die overeenkomstig de wetgeving van het land van bestemming krachtens deze bepalingen zijn doorgegeven; deze kennisgeving omvat alle informatie waarover de invoerder beschikt.

[Voor module drie: De gegevensexporteur zendt de kennisgeving door aan de voor de verwerking verantwoordelijke].

(b) Indien het de gegevensimporteur krachtens de wetgeving van het land van bestemming verboden is de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in zich naar beste vermogen in te spannen om een ontheffing van het verbod te verkrijgen, teneinde zo spoedig mogelijk zo veel mogelijk informatie te verstrekken. De gegevensimporteur stemt ermee in zijn beste inspanningen te documenteren, zodat hij deze op verzoek van de gegevensexporteur kan aantonen.

c) Indien de wetgeving van het land van bestemming dit toelaat, stemt de gegevensimporteur ermee in de gegevensexporteur gedurende de looptijd van het contract met regelmatige tussenpozen zoveel mogelijk relevante informatie te verstrekken over de ontvangen verzoeken (met name het aantal verzoeken, het soort gevraagde gegevens, de verzoekende autoriteit(en), of verzoeken zijn betwist en het resultaat van dergelijke betwistingen, enz. [Voor module drie: De gegevensexporteur zendt de informatie door aan de voor de verwerking verantwoordelijke].

(d) De gegevensimporteur stemt ermee in de in de punten a) tot en met c) bedoelde informatie gedurende de looptijd van het contract te bewaren en deze op verzoek aan de bevoegde toezichthoudende autoriteit ter beschikking te stellen.

(e) De punten a) tot en met c) laten de verplichting van de gegevensimporteur krachtens bepaling 14, onder e), en bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is deze bepalingen na te leven, onverlet.

15.2 Toetsing van de wettigheid en minimalisering van de gegevens
(a) De gegevensimporteur stemt ermee in de wettigheid van het verzoek om openbaarmaking te toetsen, in het bijzonder of het binnen de aan de verzoekende overheidsinstantie toegekende bevoegdheden blijft, en het verzoek aan te vechten indien hij na zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is volgens de wetgeving van het land van bestemming, de toepasselijke verplichtingen krachtens het internationaal recht en de beginselen van internationale courtoisie. De gegevensimporteur maakt onder dezelfde voorwaarden gebruik van de beroepsmogelijkheden. Indien hij een verzoek betwist, tracht de gegevensimporteur voorlopige maatregelen te treffen om de gevolgen van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid van het verzoek heeft beslist. Hij maakt de gevraagde persoonsgegevens pas bekend wanneer hij daartoe krachtens de toepasselijke procedureregels verplicht is. Deze vereisten laten de verplichtingen van de gegevensimporteur uit hoofde van bepaling 14, onder e), onverlet.

(b) De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele betwisting van het verzoek om openbaarmaking te documenteren en, voor zover de wetgeving van het land van bestemming dit toelaat, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documentatie op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit. [Voor module drie: De gegevensexporteur stelt de beoordeling ter beschikking van de voor de verwerking verantwoordelijke].

(c) De gegevensimporteur stemt ermee in bij het beantwoorden van een verzoek om openbaarmaking de minimaal toelaatbare hoeveelheid informatie te verstrekken, gebaseerd op een redelijke interpretatie van het verzoek.

SECTIE IV - SLOTBEPALINGEN

Clausule 16
Niet-naleving van de Clausules en beëindiging

(a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis indien hij, om welke reden dan ook, niet in staat is deze bepalingen na te leven.

(b) Indien de gegevensimporteur deze bepalingen niet naleeft of niet in staat is deze na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de bepalingen opnieuw worden nageleefd of het contract wordt beëindigd. Dit geldt onverminderd bepaling 14, onder f).

(c) De gegevensexporteur heeft het recht het contract, voor zover dat betrekking heeft op de verwerking van persoonsgegevens volgens deze bepalingen, te beëindigen wanneer:
(i) de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur overeenkomstig punt b) heeft opgeschort en de naleving van deze bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting wordt hersteld;

(ii) de gegevensimporteur in aanzienlijke mate of voortdurend in strijd met deze bepalingen handelt, of

(iii) de gegevensimporteur zich niet voegt naar een bindend besluit van een bevoegde rechterlijke of toezichthoudende autoriteit betreffende zijn verplichtingen uit hoofde van deze bepalingen.

In deze gevallen stelt hij de bevoegde toezichthoudende autoriteit [voor module drie: en de voor de verwerking verantwoordelijke] van deze niet-naleving in kennis. Indien er meer dan twee partijen bij het contract betrokken zijn, kan de gegevensexporteur dit recht op beëindiging alleen ten aanzien van de betrokken partij uitoefenen, tenzij de partijen anders zijn overeengekomen.

(d) [Voor de modules één, twee en drie: Persoonsgegevens die vóór de beëindiging van het contract overeenkomstig lid (c) zijn doorgegeven, worden naar keuze van de gegevensexporteur onmiddellijk aan de gegevensexporteur teruggegeven of in hun geheel gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens]. [Voor module vier: Persoonsgegevens die door de gegevensexporteur in de EU zijn verzameld en die vóór de beëindiging van het contract krachtens punt c) zijn doorgegeven, worden onmiddellijk in hun geheel gewist, met inbegrip van kopieën daarvan]. De gegevensimporteur bevestigt het wissen van de gegevens aan de gegevensexporteur. Totdat de gegevens gewist of teruggegeven zijn, blijft de gegevensimporteur toezien op de naleving van deze bepalingen. Indien lokale wetgeving van toepassing is op de gegevensimporteur die het terugzenden of verwijderen van de doorgegeven persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij zal blijven toezien op de naleving van deze bepalingen en de gegevens slechts zal verwerken in de mate en voor de duur die krachtens die lokale wetgeving zijn vereist.

(e) Elke partij kan haar instemming om door deze bepalingen gebonden te zijn, intrekken wanneer (i) de Europese Commissie een besluit vaststelt op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze bepalingen van toepassing zijn; of (ii) Verordening (EU) 2016/679 deel gaat uitmaken van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die op grond van Verordening (EU) 2016/679 van toepassing zijn op de verwerking in kwestie.

Clausule 17
Toepasselijk recht

Deze clausules worden beheerst door het recht van een van de lidstaten van de EU, mits dat recht rechten van derden ten aanzien van de begunstigde toestaat. De partijen komen overeen dat dit het recht van Polen zal zijn.

Clausule 18
Forumkeuze en rechterlijke bevoegdheid

(a) Alle geschillen die uit deze Clausules voortvloeien, zullen worden beslecht door de rechtbanken van een EU Lidstaat.

(b) De partijen komen overeen dat dit de rechtbanken van Polen zullen zijn.

(c) Een betrokkene kan ook een rechtsvordering instellen tegen de gegevensexporteur en/of gegevensimporteur bij de rechter van de lidstaat waar hij zijn gewone verblijfplaats heeft.

(d) De partijen komen overeen zich aan de jurisdictie van deze rechtbanken te onderwerpen.

BIJLAGE
VERKLARENDE NOOT:

Het moet mogelijk zijn de informatie die op elke doorgifte of doorgiftecategorie van toepassing is, duidelijk te onderscheiden en in dit verband de respectieve rol(len) van de partijen als gegevensexporteur(s) en/of gegevensimporteur(s) vast te stellen. Dit betekent niet noodzakelijkerwijs dat voor elke doorgifte/doorgiftecategorie en/of contractuele relatie afzonderlijke aanhangsels moeten worden ingevuld en ondertekend, indien deze transparantie door middel van één aanhangsel kan worden bereikt. Waar dat nodig is om voldoende duidelijkheid te scheppen, dienen echter afzonderlijke aanhangsels te worden gebruikt.

BIJLAGE I

A. LIJST VAN PARTIJEN

  1. Gegevensuitvoerder(s):

Naam: ...
Adres: ...
Naam, functie en contactgegevens van de contactpersoon: ...
Activiteiten die relevant zijn voor de gegevens die op grond van deze bepalingen worden doorgegeven: gegevensverwerking voor de uitvoering van de basisovereenkomst
Handtekening en datum: ...
Rol: controleur

  1. Gegevensimporteur(s):

Naam: Devskiller sp. z o.o.
Adres: Al. Lindleya 16, 02-013 Warschau
Naam, functie en contactgegevens van de contactpersoon: ...
Activiteiten die relevant zijn voor de gegevens die op grond van deze bepalingen worden doorgegeven: gegevensverwerking voor de uitvoering van de basisovereenkomst
Handtekening en datum: ...
Rol: verwerker

B. BESCHRIJVING VAN DE OVERDRACHT
Categorieën van betrokkenen wier persoonsgegevens worden doorgegeven: Personen die gemachtigd zijn de verantwoordelijke voor de verwerking te vertegenwoordigen, testnemers
Categorieën van doorgegeven persoonsgegevens: voornaam, achternaam, fiscaal identificatienummer, e-mail, adres, telefoonnummer, firmanaam, functie in het bedrijf, IP-nummer, afbeelding.
Gevoelige gegevens die worden doorgegeven (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de betrokken risico's, zoals een strikte beperking van het doel, toegangsbeperkingen (waaronder toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), het bijhouden van een register van de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen: niet van toepassing
De frequentie van de doorgifte (bv. of de gegevens eenmalig of doorlopend worden doorgegeven): doorlopend

Aard van de verwerking:
Doel(en) van de doorgifte en verdere verwerking van de gegevens: uitvoering van de hoofdovereenkomst
De periode gedurende welke de persoonsgegevens zullen worden bewaard, of, indien dat niet mogelijk is, de criteria die zijn gebruikt om die periode te bepalen: de duur van de hoofdovereenkomst, de verjaringstermijn van vorderingen
In geval van doorgifte aan (sub)verwerkers, ook het onderwerp, de aard en de duur van de verwerking specificeren: de duur van de hoofdovereenkomst, de verjaringstermijn voor vorderingen.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
Identificeer de bevoegde toezichthoudende autoriteit(en) overeenkomstig Clausule 13:
De Poolse functionaris voor de bescherming van persoonsgegevens.

BIJLAGE II
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN, MET INBEGRIP VAN TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE BEVEILIGING VAN DE GEGEVENS TE WAARBORGEN

Maatregelen voor pseudonimisering en encryptie van persoonsgegevens.
Maatregelen om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen.
Maatregelen om ervoor te zorgen dat in geval van een fysiek of technisch incident de beschikbaarheid van en de toegang tot persoonsgegevens tijdig kunnen worden hersteld.
Processen voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.
Maatregelen voor de identificatie en machtiging van gebruikers.
Maatregelen ter bescherming van de gegevens tijdens de overdracht.
Maatregelen ter bescherming van de gegevens tijdens de opslag.
Maatregelen ter verzekering van de fysieke beveiliging van de locaties waar persoonsgegevens worden verwerkt.
Maatregelen voor het loggen van gebeurtenissen.
Maatregelen ter verzekering van de systeemconfiguratie, met inbegrip van de standaardconfiguratie.
Maatregelen voor intern IT- en IT-beveiligingsbeheer en -beheer.
Maatregelen voor de certificering/borging van processen en producten.
Maatregelen om de gegevens tot een minimum te beperken.
Maatregelen om de kwaliteit van de gegevens te waarborgen.
Maatregelen om de bewaring van gegevens te beperken.
Maatregelen om de verantwoordingsplicht te waarborgen.
Maatregelen om gegevensoverdraagbaarheid en het wissen van gegevens mogelijk te maken.

BIJLAGE III
LIJST VAN SUB-VERWERKERS

Volgens aanhangsel nr. 1 bij de DPA.

Beveiligingscertificeringen & naleving. Wij zorgen ervoor dat uw gegevens veilig en beveiligd zijn.

DevSkiller logo TalentBoost logo TalentScore logo