RILA Link // Februari 23-26, 2020Voordelig voor ons

De voorwaarden in deze GDPR-verwerkingsschema's zijn opgenomen in elke overeenkomst waarin specifiek naar deze GDPR-verwerkingsschema's wordt verwezen en waarin deze zijn opgenomen ("Overeenkomst"). Voor zover de Data Protection Laws (zoals hieronder gedefinieerd) van toepassing zijn op de Overeenkomst, komen de partijen overeen dat dit schema van toepassing is. Voor het doel van dit GDPR Verwerkingsschema is de Klant een Gegevensverwerker (soms aangeduid als "Gegevensverwerker") en Logistyx is een Gegevensverwerker (soms aangeduid als "Gegevensverwerker"):

"Gegevensverwerker", "Gegevensverwerker", "Betrokkene", "Persoonsgegevens", "Inbreuk op persoonsgegevens", "Processen/verwerking/verwerking", "Speciale categorieën persoonsgegevens" en "Toezichthoudende Autoriteit" hebben dezelfde betekenis als in de gegevensbeschermingswetten;

"Data Protection Laws" betekent de Algemene Verordening (EU) 2016/679 inzake gegevensbescherming ("GDPR") zoals die van tijd tot tijd wordt gewijzigd en vervangen, en/of alle toepasselijke wetten, regels, voorschriften, richtsnoeren en reglementaire vereisten die van tijd tot tijd gelden, in elk geval in elk rechtsgebied waar de diensten worden geleverd met betrekking tot de privacy van gegevens;

1. ONDERWERP EN DUUR. Het onderwerp en de duur van de verwerking zijn zoals uiteengezet in de overeenkomst.

2. DOEL EN AARD. Het doel, de aard en het onderwerp van de verwerking van Persoonsgegevens kan als volgt zijn:

(a) Logistyx kan, op aanwijzing en onder toezicht van de Klant, toegang hebben tot Persoonsgegevens bij het uitvoeren van Professionele Diensten en/of Softwareonderhoud en -ondersteuning voor de Klant. Het is niet te verwachten dat Logistyx bij het uitvoeren van deze diensten Persoonlijke Gegevens zal verwerken.

b) Persoonsgegevens kunnen worden verwerkt voor het afdrukken van verzendetiketten voor de verzending van de door de betrokkenen bestelde goederen. De gegevens kunnen de naam en het adres van de betrokkenen bevatten. De Persoonsgegevens worden door middel van een beveiligde verzending van de Klant naar Logistyx verzonden en door Logistyx doorgestuurd naar door de Klant aangewezen vervoerders op een beveiligde manier (met inachtneming van de vereisten van elke aangewezen vervoerder.) Na verzending van de Persoonsgegevens naar de aangewezen vervoerder worden alle persoonlijk identificeerbare gegevens binnen ________ dagen gewist.

De verplichtingen en rechten van de partijen met betrekking tot de Verwerking van Persoonsgegevens zijn vastgelegd in de Overeenkomst.

3. SOORTEN PERSOONLIJKE GEGEVENS. De soorten Persoonsgegevens die in het kader van deze overeenkomst worden verwerkt, zijn de volgende: naam en adres zoals vermeld op het verzendingslabel van een vervoerder. Er zijn geen speciale categorieën van Persoonlijke Gegevens die door de Klant worden gedeeld met Logistyx. In het geval dat de Klant speciale categorieën van Persoonlijke Gegevens met Logistyx deelt, gaat de Klant ermee akkoord om Logistyx schriftelijk op de hoogte te stellen met een voorafgaande kennisgeving van ten minste 30 dagen. Logistyx heeft het recht om dergelijke speciale categorieën van Persoonsgegevens te weigeren.

4. VERPLICHTINGEN VAN DE GEGEVENSBEHEERDER. In het kader van de Overeenkomst en bij het gebruik van de diensten van Logistyx is de Klant als verantwoordelijke voor de verwerking van gegevens uitsluitend verantwoordelijk voor de naleving van de wettelijke voorschriften inzake gegevensbescherming en privacy, in het bijzonder met betrekking tot de openbaarmaking en overdracht van persoonsgegevens aan de gegevensverwerker en de verwerking van persoonsgegevens. Om twijfel te voorkomen, dienen de instructies van de verantwoordelijke voor de verwerking van persoonsgegevens in overeenstemming te zijn met de wetten inzake gegevensbescherming. De Overeenkomst en deze Bijlage is de volledige en definitieve instructie van de Klant aan Logistyx met betrekking tot Persoonsgegevens. Voor aanvullende instructies die buiten het toepassingsgebied van de Overeenkomst en deze Bijlage vallen, is voorafgaande schriftelijke overeenstemming tussen de partijen vereist. Instructies worden in eerste instantie in de Overeenkomst gespecificeerd en kunnen van tijd tot tijd daarna door Opdrachtgever, als Data Controller, in afzonderlijke schriftelijke instructies (als individuele instructies) worden gewijzigd, aangevuld of vervangen. De klant zal Logistyx zonder onnodige vertraging en uitvoerig informeren over eventuele fouten of onregelmatigheden met betrekking tot de wettelijke bepalingen inzake de verwerking van persoonsgegevens.

5. VERWERKINGSINSTRUCTIES. Indien de gegevensverwerker de persoonsgegevens niet kan verwerken in overeenstemming met de instructies van de verantwoordelijke voor de verwerking als gevolg van een wettelijke verplichting krachtens de toepasselijke wetgeving van de Europese Unie of de lidstaten, zal de gegevensverwerker (i) de verantwoordelijke voor de verwerking onverwijld in kennis stellen van die wettelijke verplichting vóór de desbetreffende verwerking, voor zover de wetgeving inzake gegevensbescherming dit toestaat; en (ii) alle verwerkingen stopzetten (met uitzondering van het louter opslaan en handhaven van de veiligheid van de betrokken persoonsgegevens) totdat de verantwoordelijke voor de verwerking nieuwe instructies geeft waaraan de gegevensverwerker zich kan houden. Indien een beroep wordt gedaan op deze bepaling, is de Gegevensverwerker niet aansprakelijk jegens de Gegevensverwerker op grond van de Overeenkomst of deze Bijlage voor het niet uitvoeren van de toepasselijke diensten totdat de Gegevensverwerker nieuwe instructies geeft met betrekking tot de Verwerking.

6. VERPLICHTINGEN VAN DE GEGEVENSVERWERKER. Wanneer Logistyx als Gegevensverwerker optreedt met betrekking tot door de Klant als Gegevensverwerker verstrekte Persoonsgegevens, zal Logistyx:

(a) de persoonsgegevens niet te verwerken of openbaar te maken, anders dan in overeenstemming met de gedocumenteerde instructies van de verantwoordelijke voor de verwerking, tenzij dit wordt vereist door de wetgeving van de EU of van de lidstaat waaraan de gegevensverwerker is onderworpen;

(b) geen enkele onderaannemer te machtigen om de Persoonsgegevens te verwerken ("subverwerker") anders dan met de voorafgaande schriftelijke toestemming van de Gegevensverwerker, waarbij deze toestemming afhankelijk is van het feit of de Gegevensverwerker voldoet aan de voorwaarden die zijn vastgelegd in alle Data Protection Laws, met inbegrip van maar niet beperkt tot artikel 28, lid 2 en 4, van de GDPR; voor deze doeleinden stemt de Klant in met en geeft hij toestemming voor de opdracht als subverwerker van de aan Logistyx gelieerde bedrijven en de volgende derden: Amazon Web Services, Inc., Google, Inc., Microsoft Azure, enz;

(c) passende technische en organisatorische maatregelen nemen om een aan het risico aangepast beveiligingsniveau te waarborgen en alle maatregelen nemen die op grond van alle gegevensbeschermingswetten, met inbegrip van, maar niet beperkt tot, artikel 32 van de verordening inzake de bescherming van persoonsgegevens, vereist zijn met betrekking tot de verwerking van persoonsgegevens, rekening houdend met de risico's die de verwerking met zich meebrengt, in het bijzonder de risico's van toevallige of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens;

(d) alle redelijke maatregelen te nemen om de betrouwbaarheid van de personen die gemachtigd zijn om de persoonsgegevens te verwerken, te waarborgen en zich ervan te vergewissen dat zij zich aan de geheimhoudingsplicht hebben gecommitteerd;

e) de voor de verwerking verantwoordelijke onverwijld in kennis te stellen indien hij met betrekking tot de persoonsgegevens mededelingen ontvangt van een betrokkene of toezichthoudende autoriteit uit hoofde van de gegevensbeschermingswetten, met inbegrip van verzoeken van een betrokkene om rechten uit hoofde van hoofdstuk III van de GDPR uit te oefenen, en de voor de verwerking verantwoordelijke bij te staan in zijn verplichting om op deze mededelingen te reageren;

(f) stelt de verantwoordelijke voor de verwerking onmiddellijk op de hoogte van een inbreuk in verband met persoonsgegevens of een redelijk vermoeden daarvan en verstrekt de verantwoordelijke voor de verwerking op het moment van de oorspronkelijke kennisgeving, tenzij artikel 6, onder g), van toepassing is, voldoende informatie om de verantwoordelijke voor de verwerking in staat te stellen te voldoen aan eventuele verplichtingen om een inbreuk in verband met persoonsgegevens te melden overeenkomstig de wetgeving inzake de bescherming van persoonsgegevens. Deze kennisgeving moet ten minste plaatsvinden:

i) een beschrijving van de aard van de inbreuk in verband met persoonsgegevens, de categorieën en nummers van de betrokken betrokkenen en de categorieën en nummers van de betrokken bestanden met persoonsgegevens;

ii) de naam en de contactgegevens van de functionaris voor gegevensbescherming van de gegevensverwerker mee te delen of, indien de gegevensverwerker geen functionaris voor gegevensbescherming heeft aangewezen, de betrokken contactpersoon bij wie informatie kan worden opgevraagd;

(iii) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens te beschrijven; en

iv) een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om de inbreuk in verband met persoonsgegevens aan te pakken.

g) indien de gegevensverwerker op het tijdstip van de oorspronkelijke kennisgeving als bedoeld in punt 6, onder f), niet over alle in punt 6, onder f), i) tot en met iv), bedoelde informatie beschikt, neemt hij in de oorspronkelijke kennisgeving de informatie op waarover hij op dat tijdstip beschikt, en verstrekt hij zo spoedig mogelijk daarna de nadere informatie als bedoeld in punt 7, onder f), i) tot en met 7, onder f), iv);

h) de voor de verwerking verantwoordelijke bij te staan bij de naleving van de verplichtingen uit hoofde van alle gegevensbeschermingswetten, met inbegrip van, maar niet beperkt tot, de artikelen 35 en 36 van de verordening inzake de bescherming van persoonsgegevens, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensverwerker beschikt;

(i) naar keuze van de verantwoordelijke voor de verwerking, alle persoonsgegevens te verwijderen of terug te sturen naar de verantwoordelijke voor de verwerking na afloop van de dienstverlening met betrekking tot de verwerking;

j) de voor de verwerking verantwoordelijke alle informatie ter beschikking te stellen die nodig is om aan te tonen dat de verplichtingen van alle gegevensbeschermingswetten, met inbegrip van, maar niet beperkt tot, artikel 28 van de verordening inzake de bescherming van persoonsgegevens, worden nageleefd, en om audits, met inbegrip van inspecties, door de voor de verwerking verantwoordelijke of een andere door de voor de verwerking verantwoordelijke gemandateerde auditor mogelijk te maken en daaraan bij te dragen;

(k) geen Persoonsgegevens overdragen (en zal ervoor zorgen dat haar subverwerkers dat niet doen) buiten het land waar Logistyx is gevestigd, tenzij de verantwoordelijke voor de verwerking van de gegevens daar schriftelijk toestemming voor heeft gegeven. Indien en voor zover Logistyx en/of zijn subverwerkers zich bevinden in een land waarvan de Europese Commissie heeft vastgesteld dat het onvoldoende bescherming biedt met betrekking tot persoonsgegevens, zal Logistyx (zoals vereist door de verantwoordelijke voor de verwerking) de modelcontractbepalingen (zoals vastgelegd in Besluit 2010/87/EU van de Commissie van 5 februari 2010, of een latere versie die daarvoor in de plaats komt) sluiten.

In het geval van een conflict, inconsistentie of dubbelzinnigheid tussen de voorwaarden van deze Bijlage en de voorwaarden van de Overeenkomst met betrekking tot het onderwerp hiervan, zullen de voorwaarden van deze Bijlage prevaleren. Deze GDPR-verwerkingsschema's kunnen naar eigen goeddunken van Logistyx worden gewijzigd; wijzigingen in dit GDPR-verwerkingsschema zullen echter niet leiden tot een wijziging waarbij Logistyx niet in overeenstemming met de GDPR zal handelen.