Neem deel aan dagelijkse live webinars om op de hoogte te blijven van automatiseringen, facturering en teamsamenwerking

Amendement Gegevensverwerking

Inleiding tot dit amendement

Het op een veilige, eerlijke en transparante manier verwerken van persoonsgegevens is uiterst belangrijk voor ons bij TaxDome. Als onderdeel van deze inspanning verwerken wij persoonsgegevens in overeenstemming met de EU-wetgeving inzake gegevensbescherming, waaronder de Algemene Verordening Gegevensbescherming (“GDPR”) van de EU, en de Britse Data Protection Act 2018, voor zover van toepassing. Wij verwerken ook persoonsgegevens in overeenstemming met niet-EU-wetten inzake gegevensbescherming die de behandeling van verschillende soorten persoonsgegevens regelen, waaronder de California Consumer Privacy Act (“CCPA”), Health Insurance Portability and Accountability Act (“HIPAA”), en naleving van de betaalkaartindustrie (“PCI”).

Om de persoonsgegevens van personen beter te beschermen, stellen wij deze voorwaarden op om de verwerking van persoonsgegevens door TaxDome en door u te regelen (de ” Amendement Gegevensverwerking” of “DPA”). Deze DPA maakt deel uit van en wijzigt de Servicevoorwaarden (“ToS”) en vereist geen verdere actie van uw kant.

Indien u niet akkoord gaat met deze DPA, kunt u het gebruik van de TaxDome-service staken en uw account annuleren.

Definities

Het is belangrijk dat alle partijen begrijpen welke gegevens en wiens gegevens worden beschermd onder deze DPA. Elke partij heeft respectieve verplichtingen om persoonsgegevens te beschermen; daarom leggen de volgende definities de reikwijdte van deze DPA en de wederzijdse verplichtingen om persoonsgegevens te beschermen uit.

«TaxDome»«wij»,  «ons», of  «onze» verwijst naar de aanbieder van de TaxDome website en diensten, (gezamenlijk aangeduid als de «TaxDome Service. »).

«U» of «Klant» verwijst naar het bedrijf of organisatie die zich aanmeldt om de TaxDome Service te gebruiken om de relaties met uw consumenten of servicegebruikers te beheren.

«Partij» verwijst naar TaxDome en/of de klant, afhankelijk van de context .

«Personeel» verwijst naar die individuen die in dienst zijn van of onder contract staan om een dienst uit te voeren namens één van de partijen. Personeel kan rechten hebben op hun persoonsgegevens (inclusief zakelijke contactgegevens) als zij in de EU wonen. Het is belangrijk om duidelijk te zijn over hoe de rechten van het personeel worden beschermd.

«Subverwerker» is een Derde partij, onafhankelijke contractanten, verkopers en leveranciers die specifieke diensten en producten leveren met betrekking tot  de TaxDome website en onze diensten, zoals hosting, creditcardverwerking en fraudescreening, en mailing list hosting («derde partij» of «externe contractant» hebben soortgelijke betekenissen).

«Incident» betekent: (a) een klacht of een verzoek met betrekking tot de uitoefening van de rechten van een persoon onder de GDPR; (b) een onderzoek naar of inbeslagname van de persoonsgegevens door overheidsfunctionarissen, of een specifieke aanwijzing dat een dergelijk onderzoek of een dergelijke inbeslagname op handen is; of elke inbreuk op de beveiliging en/of vertrouwelijkheid zoals uiteengezet in deze DPA die leidt tot de accidentele of onwettige vernietiging, het verlies, de wijziging, de niet-geautoriseerde bekendmaking van of de toegang tot de persoonsgegevens, of elke aanwijzing dat een dergelijke inbreuk heeft plaatsgevonden of op het punt staat plaats te vinden.

De termen, « Datasubject»«Persoonsgegevens»«Lidstaat», «Controller» , «Processor», en «Processing» hebben dezelfde betekenis als in de AVG, en hun overeenkomstige termen worden dienovereenkomstig uitgelegd.

Gegevensbeschermingswet betekent alle toepasselijke wetgeving met betrekking tot gegevensbescherming en privacy, inclusief maar niet beperkt tot de AVG, samen met alle nationale uitvoeringswetten in  elke lidstaat van de Europese Unie of, voor zover van toepassing, in elk ander land, zoals van tijd tot tijd gewijzigd, ingetrokken, geconsolideerd of vervangen

«SCC’s» verwijst naar de standaard contractbepalingen voor verwerkers als goedgekeurd door de Europese Commissie of Zwitserse Federale Gegevensbeschermingsautoriteit (zoals van toepassing).

Omwille van de leesbaarheid gebruiken wij in deze DPA geen beginhoofdletters voor gedefinieerde termen. Gedefinieerde termen zijn gedefinieerde termen, ongeacht hun formaat.

1. Verbintenissen betreffende persoonsgegevens

1.1      Elke partij stemt ermee in dat persoonsgegevens als vertrouwelijke informatie worden behandeld in het kader van deze DPA. Bovendien zal elke partij te allen tijde de toepasselijke wetgeving inzake gegevensbescherming in het relevante rechtsgebied naleven met betrekking tot elkaars persoonsgegevens.

1.2     De persoonsgegevens blijven eigendom van de verstrekkende partij. TaxDome erkent dat de klant de controleur is en de controle behoudt over de persoonsgegevens van de betrokkene.

1.3     TaxDome zal de persoonsgegevens van de klant alleen verwerken voor zover dit strikt noodzakelijk is voor het leveren van de diensten in overeenstemming met de Servicevoorwaarden en eventuele nadere schriftelijke instructies van de klant die wederzijds zijn overeengekomen. De details van de verwerking van persoonsgegevens zoals vereist door artikel 28, lid 3 AVG (GDPR) zijn opgenomen in bijlage B. TaxDome stemt ermee in dat:

1.3.1  het zal een redelijk en passend beveiligingsprogramma uitvoeren en handhaven dat passende beveiligings-, technische en organisatorische maatregelen omvat ter bescherming tegen ongeoorloofde, onwettige of toevallige verwerking, gebruik, wissing, verlies of vernietiging van, of schade aan, persoonsgegevens van de klant;

1.3.2 het zal geen persoonsgegevens van klanten wijzigen, veranderen, wissen, publiceren of bekendmaken aan derden, noch toestaan dat derden dergelijke persoonsgegevens verwerken namens TaxDome, tenzij de derde partij gebonden is aan soortgelijke bepalingen inzake vertrouwelijkheid en gegevensverwerking;

1.3.3 Zij zorgt ervoor dat de toegang tot persoonsgegevens wordt beperkt tot het personeel dat deze toegang nodig heeft om haar verplichtingen op grond van de Servicevoorwaarden na te komen, en dat haar personeel dat betrokken is bij de verwerking van persoonsgegevens op de hoogte is van de vertrouwelijke aard van de persoonsgegevens, een passende opleiding over hun verantwoordelijkheden heeft gekregen en schriftelijke geheimhoudingsovereenkomsten heeft ondertekend. TaxDome zorgt ervoor dat dergelijke geheimhoudingsverplichtingen ook na beëindiging van de arbeidsovereenkomst blijven gelden; en

1.3.4 zij zal persoonsgegevens van klanten alleen verwerken voor zover dat nodig is om haar verplichtingen uit hoofde van de ToS na te komen, op schriftelijke instructies van de klant (alleen zoals wederzijds overeengekomen), en in overeenstemming met de toepasselijke wetgeving.

1.4  Bij beëindiging van uw account zal TaxDome alle persoonsgegevens verwijderen of, op verzoek van de klant, retourneren in overeenstemming met ons standaard back-up- en bewaarbeleid volgens de Servicevoorwaarden, normaliter niet later dan 90 dagen, tenzij wij verplicht zijn persoonsgegevens te bewaren op grond van wetgeving van de Unie, een lidstaat of de Verenigde Staten; in dat geval behoudt TaxDome zich het recht voor persoonsgegevens te bewaren.

1.5  De partijen erkennen dat klanten van tijd tot tijd in het bezit kunnen zijn van persoonsgegevens van TaxDome’s personeel in verband met het gebruik van de TaxDome Service. TaxDome garandeert dat het aan dergelijk personeel alle noodzakelijke kennisgevingen heeft verstrekt en alle noodzakelijke toestemmingen, vergunningen, goedkeuringen en/of overeenkomsten heeft verkregen zoals vereist onder enig toepasselijk recht om: (i) de openbaarmaking van persoonsgegevens van TaxDome’s personeel aan klant in verband met het gebruik van de TaxDome Service door klant mogelijk te maken; en (ii) de verdere verwerking van dergelijke persoonsgegevens van TaxDome door klant ten behoeve van het gebruik van de TaxDome Service.

2. Verbintenissen met betrekking tot subverwerkers

2.1  De partijen erkennen dat TaxDome derde subverwerkers kan inschakelen in verband met de verplichtingen van de Servicevoorwaarden. Met elke subverwerker die TaxDome in de arm neemt, sluiten wij een schriftelijke overeenkomst die gegevensbeschermingsverplichtingen bevat die niet minder beschermend zijn dan die in deze wijziging en die vereist zijn om de persoonsgegevens van de klant te beschermen volgens de door de AVG vereiste norm

2.2    TaxDome stelt de huidige lijst van subverwerkers beschikbaar aan klanten door deze lijst online te plaatsen op: https://www.taxdome.com/nl-nl/policies/sub-processors/

2.3   Voor alle duidelijkheid: de bovenstaande toestemming voor het inschakelen van subverwerkers vormt de voorafgaande schriftelijke toestemming van de klant voor de subverwerking door TaxDome in de zin van clausule 9 van de modelcontractbepalingen.

3. Verbintenissen van klanten en TaxDome’s ondersteuning

3.1   Klant garandeert dat hij alle noodzakelijke rechten heeft om de persoonsgegevens aan TaxDome te verstrekken voor verwerking in verband met de levering van de TaxDome Diensten.

3.2     Voor zover vereist door de toepasselijke wetgeving, is de klant er verantwoordelijk voor dat alle toestemmingen van betrokkenen die nodig kunnen zijn voor deze verwerking, worden verkregen en dat een register van deze toestemmingen wordt bijgehouden, met inbegrip van toestemming voor het gebruik van persoonsgegevens die van derden is verkregen. Indien deze toestemming door een betrokkene wordt ingetrokken, is de klant verantwoordelijk voor het meedelen van deze intrekking aan TaxDome, en blijft TaxDome verantwoordelijk voor de uitvoering van instructies van de klant met betrekking tot de verdere verwerking van deze persoonsgegevens, of in overeenstemming met wettelijke verplichtingen van TaxDome.

3.3     Klant begrijpt dat hij/zij als verantwoordelijke voor de verwerking verantwoordelijk is (tussen klant en TaxDome) voor:

3.3.1  het bepalen van de rechtmatigheid van elke verwerking, het uitvoeren van alle vereiste effectbeoordelingen op het gebied van gegevensbescherming en het afleggen van verantwoording aan regelgevers en personen, indien nodig;

3.3.2  redelijke inspanningen leveren om de toestemming van de ouders te verifiëren wanneer gegevens worden verzameld over een betrokkene jonger dan 16 jaar;

3.3.3  verstrekken van relevante privacyverklaringen aan betrokkenen zoals in uw rechtsgebied kan worden vereist, met inbegrip van kennisgeving van hun rechten en voorzien in de mechanismen voor personen om die rechten uit te oefenen;

3.3.4  het beantwoorden van verzoeken van personen over hun gegevens en de verwerking daarvan, met inbegrip van verzoeken tot wijziging, correctie of verwijdering van persoonsgegevens, en het verstrekken van kopieën van de feitelijk verwerkte gegevens;

3.3.5  het implementeren van uw eigen passende technische en organisatorische maatregelen om de verwerking in overeenstemming met deze DPA te waarborgen en aan te tonen;

3.3.6  het informeren van personen en relevante regelgevers of autoriteiten over elk incident, zoals wettelijk vereist in uw rechtsgebied.

3.4     TaxDome zal de klant bijstaan door passende technische en organisatorische maatregelen te nemen, voor zover dit redelijkerwijs en commercieel mogelijk is, om te voldoen aan de verplichtingen van de klant om te reageren op verzoeken van individuen om rechten uit te oefenen onder de AVG.

3.5   TaxDome zal de klant bijstaan door passende technische en organisatorische maatregelen te nemen, voor zover dit redelijkerwijs en commercieel mogelijk is, om de naleving van de artikelen 32 tot en met 36 van de AVG te waarborgen.

3.6     TaxDome zal jaarlijks een onafhankelijke audit van haar code base en systemen laten uitvoeren door onafhankelijke derden om aan te tonen dat zij haar verplichtingen onder deze DPA nakomt. Op verzoek van de klant en onder voorbehoud van geheimhoudingsverplichtingen zal TaxDome aan de klant informatie ter beschikking stellen die redelijkerwijs nodig is om aan te tonen dat TaxDome voldoet aan haar verplichtingen onder deze DPA. Op schriftelijk verzoek zal TaxDome ten minste een samenvatting van alle auditrapporten van derden betreffende de toereikendheid van TaxDome’s technische beveiligingsmaatregelen, zoals beschreven in de Veiligheidsbeleid, aan klant overleggen.

4. Incidentenbeheer

4.1     Wanneer een partij zich bewust wordt van een incident dat gevolgen heeft voor de verwerking van persoonsgegevens, stelt zij de andere partij onverwijld in kennis van het incident en verleent zij redelijke medewerking om de andere partij in staat te stellen een grondig onderzoek naar het incident uit te voeren, een correcte reactie te formuleren en passende verdere stappen met betrekking tot het incident te ondernemen.

4.2     Beide partijen beschikken te allen tijde over schriftelijke procedures die hen in staat stellen de ander onverwijld van een incident in kennis te stellen. Wanneer het redelijkerwijs waarschijnlijk is dat het incident krachtens de toepasselijke wetgeving een melding van een datalek vereist, stelt de voor het incident verantwoordelijke partij de andere partij zonder onnodige vertraging in kennis van het feit dat zij van een dergelijk incident kennis heeft gekregen.

4.3     Alle meldingen krachtens deze sectie worden gedaan aan help@taxdome.com (indien gedaan aan TaxDome) en aan ons contactpunt met u (indien gedaan aan de klant), en bevatten: (i) een beschrijving van de aard van het incident, inclusief, waar mogelijk, de categorieën en bij benadering het aantal betrokken personen en de categorieën en bij benadering het aantal betrokken records; (ii) de naam en contactgegevens van het contactpunt waar meer informatie kan worden verkregen; (iii) een beschrijving van de waarschijnlijke gevolgen van het incident; en (iv) een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om het incident aan te pakken, inclusief, waar nodig, maatregelen om de mogelijke negatieve gevolgen ervan te beperken.

5. Aansprakelijkheid en vrijwaring

5.1     De aansprakelijkheid van elke partij jegens de andere partij onder of in verband met deze DPA wordt beperkt in overeenstemming met de bepalingen van de Servicevoorwaarden.

5.2     De klant erkent dat TaxDome afhankelijk is van de klant voor aanwijzingen over de mate waarin TaxDome gerechtigd is persoonsgegevens van de klant te verwerken namens de klant bij de uitvoering van de Diensten. Bijgevolg zal TaxDome niet aansprakelijk zijn onder de Servicevoorwaarden voor een vordering ingesteld door een betrokkene als gevolg van een handelen of nalaten van TaxDome, voor zover dit handelen of nalaten voortvloeit uit de instructies van de klant of uit het niet naleven door de klant van zijn verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming.

6. Duur en Beëindiging

6.1     Deze DPA treedt in werking op 1 januari 2022 en blijft van kracht totdat deze wordt gewijzigd of beëindigd in overeenstemming met de ToS.

6.2    Beëindiging of afloop van deze DPA ontslaat de partijen niet van de vertrouwelijkheidsverplichtingen hierin.

7. Internationale Gegevensoverdracht

7.1       Locaties van datacentra. Klant erkent dat TaxDome persoonsgegevens mag overdragen en verwerken naar en in de Verenigde Staten en elders in de wereld waar TaxDome, zijn gelieerde ondernemingen of zijn subverwerkers gegevensverwerkingsactiviteiten onderhouden. TaxDome zal er te allen tijde voor zorgen dat dergelijke overdrachten plaatsvinden in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming.

7.2        Overdracht van Europese gegevens. Voor zover TaxDome een ontvanger is van persoonsgegevens die worden beschermd door de EU-wetgeving inzake gegevensbescherming (“EU-gegevens”), komen de partijen overeen dat TaxDome de onderstaande mechanismen beschikbaar stelt:

7.2.1  SCC’s: TaxDome stemt ermee in zich te houden aan en EU-gegevens te verwerken in overeenstemming met de SCC’s, die volledig door middel van verwijzing zijn opgenomen en integraal deel uitmaken van deze DPA. Voor de toepassing van de SCC’s:

7.2.1.1 TaxDome stemt ermee in dat zij de “gegevensimporteur” is en de klant de “gegevensexporteur” krachtens de SCC’s (niettegenstaande het feit dat de klant zelf een buiten de EU gevestigde entiteit kan zijn);

7.2.1.2 Bijlage B bevat de SCC’s en bijbehorende bijlagen De partijen komen verder overeen dat de SCC’s van toepassing zijn op persoonsgegevens die via de Dienst worden doorgegeven van Europa naar buiten Europa, hetzij rechtstreeks, hetzij via verdere doorgifte, naar een land of ontvanger: (a) die door de Europese Commissie niet is erkend als een land dat een passend niveau van bescherming van persoonsgegevens biedt (zoals beschreven in de EU-wetgeving inzake gegevensbescherming)

7.2.2   Indien en voor zover de modelcontractbepalingen (voor zover van toepassing) in strijd zijn met enige bepaling van deze DPA, prevaleren de modelcontractbepalingen voor zover van toepassing.

Jurisdictiespecifieke Termen

1. Voor zover TaxDome persoonsgegevens verwerkt die afkomstig zijn uit en beschermd worden door de wetgeving inzake gegevensbescherming in een van de in bijlage A vermelde rechtsgebieden, dan gelden naast de termen van deze DPA de in bijlage A vermelde termen met betrekking tot het/de toepasselijke rechtsgebied(en) (“Jurisdictiespecifieke Termen”). In het geval van een conflict of onduidelijkheid tussen de Jurisdictiespecifieke Termen en andere termen van deze DPA, zullen de toepasselijke Jurisdictiespecifieke Termen voorrang krijgen, maar alleen voor zover de Jurisdictiespecifieke Termen van toepassing zijn op TaxDome.

Bijlage A – Jurisdictiespecifieke Termen

Brazilië

1. Na de inwerkingtreding van de Braziliaanse algemene wet inzake gegevensbescherming, Lei Geral de Proteção de Dados (“LGPD”), geldt het volgende: elke partij is verantwoordelijk voor het nakomen van haar respectieve verplichtingen die zijn vastgelegd in de LGPD, en de Klant zal alleen Verwerkingsinstructies geven, zoals uiteengezet in Sectie 1 (Verbintenissen met betrekking tot persoonsgegevens) van de DPA, die TaxDome in staat stellen haar LGPD-verplichtingen na te komen. Voor de toepassing van Sectie 7 (Internationale gegevensoverdrachten) zullen de Standaard Contractuele Clausules worden gebruikt voor overdrachten naar niet-adequate landen volgens de GDPR.

Californië

1. De definities van: “controller” omvat “Bedrijf”; “verwerker” omvat “Dienstverlener”; “betrokkene” omvat “Consument”; “persoonlijke gegevens” omvat “Persoonlijke informatie”; in elk geval zoals gedefinieerd onder de CCPA.

2. “Verwerken”, “Verwerkt” of “Verwerking” betekent elke bewerking of set van bewerkingen die wordt uitgevoerd op Persoonlijke Informatie of op reeksen van Persoonlijke informatie al dan niet via geautomatiseerde middelen.

3. De verplichtingen van TaxDome met betrekking tot verzoeken van betrokkenen, zoals beschreven in Sectie 3(d) en 3(e) (rechten van betrokkenen en samenwerking) van deze DPA, zijn van toepassing op de rechten van consumenten onder de CCPA.

4. Niettegenstaande het tegendeel is Persoonlijke Informatie van de Klant de Persoonlijke Informatie die TaxDome namens de Klant verwerkt krachtens de Overeenkomst. TaxDome mag de Persoonlijke Informatie van de Klant uitsluitend verwerken om haar verplichtingen onder de Overeenkomst na te komen en zal de Persoonlijke Informatie van de Klant niet voor andere doeleinden gebruiken zonder de uitdrukkelijke schriftelijke toestemming van de Klant. In het bijzonder zal TaxDome niet: (i) Persoonlijke informatie van Klanten verkopen, zoals gedefinieerd in de CCPA, of Persoonlijke informatie van Klanten delen met een derde partij zonder toestemming van de Klant; (ii) Persoonlijke informatie van Klanten bewaren, gebruiken of bekendmaken voor enig ander doel dan de in deze Overeenkomst genoemde doeleinden, waaronder het bewaren, gebruiken of bekendmaken van Persoonlijke informatie van Klanten voor een commercieel doel anders dan het verlenen van haar diensten aan de Klant; en (iii) Persoonlijke informatie van Klanten bewaren, gebruiken of bekendmaken buiten de zakelijke relatie van TaxDome met de Klant. De partijen erkennen dat elke openbaarmaking van Persoonlijke Informatie van de Klant krachtens de Overeenkomst geen waarde verleent krachtens de Overeenkomst.

5. TaxDome zal voldoen aan alle toepasselijke vereisten van de CCPA bij de uitvoering van haar verplichtingen uit hoofde van de Overeenkomst, met inbegrip van het implementeren en handhaven van redelijke veiligheidsmaatregelen die passen bij de aard van de Persoonlijke Informatie, teneinde de Persoonlijke Informatie van de Klant te beschermen tegen ongeoorloofde toegang, vernietiging, gebruik, wijziging of openbaarmaking. TaxDome verbindt zich ertoe alle schade te herstellen die een persoon kan lijden als gevolg van Verwerkingen die zijn uitgevoerd in strijd met zijn wettelijke, reglementaire en contractuele verplichtingen, behalve indien TaxDome bewijst dat zij niet aansprakelijk is voor dergelijke schade.

6. TaxDome kan persoonsgegevens de-identificeren of samenvoegen als onderdeel van de uitvoering van de Dienst die in deze DPA en de Overeenkomst is gespecificeerd.

7. Wanneer subverwerkers de persoonsgegevens van onze klanten verwerken, neemt TaxDome maatregelen om ervoor te zorgen dat deze subverwerkers Dienstverleners zijn in de zin van de CCPA met wie TaxDome een schriftelijk contract heeft gesloten dat voorwaarden bevat die in wezen gelijk zijn aan deze DPA of die anderszins zijn vrijgesteld van de definitie van verkoop. TaxDome voert passende due diligence uit op haar subverwerkers.

Canada

1. TaxDome neemt maatregelen om ervoor te zorgen dat TaxDome subverwerkers, zoals beschreven in Sectie 2 van de DPA, derden zijn onder PIPEDA, met wie TaxDome een schriftelijk contract heeft gesloten dat voorwaarden bevat die substantieel overeenkomen met deze DPA. TaxDome voert passende due diligence uit op haar subverwerkers.

2. TaxDome zal redelijke veiligheidsmaatregelen implementeren en handhaven die passen bij de aard van de Persoonlijke Informatie zoals uiteengezet in Sectie 1 van de DPA.

Servië

1. Wet op de Bescherming Van Persoonsgegevens (Zakon o zaštiti podataka o ličnosti; Staatsblad van de Republiek Servië, nr. 87/2018).

Verenigd Koninkrijk

1. De Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019, zoals gewijzigd, achterhaald of vervangen, na inwerkingtreding, en de UK Data Protection Act 2018.

Bijlage B – Standaard Contractuele Clausules (Verwerkers)

Sectie 1

Clausule 1

Doel en reikwijdte

1. Het doel van deze modelcontractbepalingen is om de naleving te waarborgen van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming) voor de doorgifte van persoonsgegevens naar een derde land.

2. De Partijen:

a. de in Bijlage I.A vermelde natuurlijke persoon of rechtspersoon, overheidsinstantie(s), agentschap(pen) of ander orgaan (hierna “entiteit(en)” genoemd) die de persoonsgegevens doorgeeft (hierna “gegevensexporteur” genoemd), en

b. de entiteit(en) in een derde land die de persoonsgegevens van de gegevensexporteur ontvangt, direct of indirect via een andere entiteit die ook partij is bij deze bepalingen, zoals vermeld in Bijlage I.A (hierna “gegevensimporteur” genoemd)

3. hebben ingestemd met deze modelcontractbepalingen (hierna: ” Clausules”).

4. Deze Clausules zijn van toepassing op de overdracht van persoonsgegevens zoals gespecificeerd in Bijlage I.B.

5. De Bijlage bij deze Clausules met de daarin genoemde Bijlagen maakt integraal deel uit van deze Clausules.

Clausule 2

Werking en onveranderlijkheid van de Clausules

1. Deze clausules bevatten passende waarborgen, waaronder afdwingbare rechten voor betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, © van Verordening (EU) 2016/679 en, met betrekking tot gegevensdoorgiften van voor de verwerking verantwoordelijken naar verwerkers en/of verwerkers naar verwerkers, modelcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits deze niet worden gewijzigd, behalve om de passende module(s) te selecteren of om informatie in het aanhangsel toe te voegen of bij te werken. Dit belet de partijen niet om de in deze bepalingen neergelegde modelcontractbepalingen op te nemen in een ruimer contract en/of andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met deze bepalingen of afbreuk doen aan de fundamentele rechten of vrijheden van betrokkenen.

2. Deze bepalingen doen geen afbreuk aan de verplichtingen waaraan de gegevensexporteur is onderworpen krachtens Verordening (EU) 2016/679.

Clausule 3

Derde begunstigden

1. Betrokkenen kunnen deze clausules inroepen en afdwingen, als derde begunstigden, tegen de gegevensexporteur en/of gegevensimporteur, met de volgende uitzonderingen:

a. Clausule 1, Clausule 2, Clausule 3, Clausule 6, Clausule 7;

b. Clausule 8.1(b), 8.9(a), ©, (d) en (e);

c. Clausule 9(a), ©, (d) en (e);

d. Clausule 12(a), (d) en (f);

e. Clausule 13;

f. Clausule 15.1©, (d) en (e);

g. Clausule 16(e);

h. Clausule 18, onder a) en b).

2. Paragraaf (a) is onverminderd de rechten van gegevens onderwerpen onder Verordening (EU)2016/679.

Clausule 4

Interpretatie

1.  Wanneer in deze clausules termen worden gebruikt die zijn gedefinieerd in Verordening (EU) 2016/679, hebben deze termen dezelfde betekenis als in die verordening.

2. Deze clausules worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

3. Deze clausules worden niet uitgelegd op een wijze die in strijd is met rechten en verplichtingen uit Verordening (EU) 2016/679.

Clausule 5

Hiërarchie

In geval van tegenstrijdigheid tussen deze bepalingen en de bepalingen van verwante overeenkomsten tussen de Partijen, die bestaan op het tijdstip waarop deze bepalingen worden overeengekomen of daarna worden gesloten, prevaleren deze bepalingen.

Clausule 6

Beschrijving van de overdracht(en)

De bijzonderheden van de doorgifte(s), en met name de categorieën persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor zij worden doorgegeven, staan in Bijlage I.B.

Clausule 7 – Optioneel

Docking clausule

1. Een entiteit die geen partij is bij deze bepalingen kan, met instemming van de partijen, te allen tijde tot deze bepalingen toetreden, hetzij als gegevensexporteur, hetzij als gegevensimporteur, door het aanhangsel in te vullen en Bijlage I.A. te ondertekenen.

2. Zodra de toetredende entiteit het aanhangsel heeft ingevuld en Bijlage I.A heeft ondertekend, wordt zij partij bij deze Clausules en heeft zij de rechten en verplichtingen van een gegevensexporteur of gegevensimporteur overeenkomstig haar benaming in Bijlage I.A.

3. De toetredende entiteit heeft geen uit deze bepalingen voortvloeiende rechten of verplichtingen uit de periode voordat zij partij werd.

Sectie 2- Verplichtingen van de Partijen

Clausule 8

Gegevensbeschermingswaarborgen

De gegevensexporteur garandeert dat hij redelijke inspanningen heeft geleverd om vast te stellen dat de gegevensimporteur door de toepassing van passende technische en organisatorische maatregelen in staat is aan zijn verplichtingen krachtens deze Clausules te voldoen.

8.1 Instructies

1. De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op grond van gedocumenteerde instructies van de gegevensexporteur. De gegevensexporteur kan deze instructies gedurende de gehele looptijd van het contract geven.

2. De gegevensimporteur informeert de gegevensexporteur onmiddellijk indien hij niet in staat is deze instructies op te volgen.

8.2 Doel beperking

De gegevensimporteur verwerkt de persoonsgegevens uitsluitend voor de specifieke doeleinde(n) van de doorgifte, zoals uiteengezet in Bijlage I.B, tenzij de gegevensexporteur nadere instructies geeft.

8.3 Transparantie

Op verzoek stelt de gegevensexporteur een afschrift van deze bepalingen, met inbegrip van het door de partijen aangevulde aanhangsel, kosteloos ter beschikking van de betrokkene. Voor zover nodig om bedrijfsgeheimen of andere vertrouwelijke informatie te beschermen, met inbegrip van de in Bijlage II beschreven maatregelen en persoonsgegevens, mag de gegevensexporteur de tekst van het aanhangsel bij deze bepalingen gedeeltelijk redigeren alvorens een kopie ervan te verstrekken, maar verstrekt hij een zinvolle samenvatting wanneer de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn rechten niet zou kunnen uitoefenen. Op verzoek verstrekken de partijen de betrokkene de redenen voor de bewerkingen, voor zover mogelijk zonder de bewerkte informatie te onthullen. Deze Clausule laat de verplichtingen van de gegevensexporteur krachtens de artikelen 13 en 14 van Verordening (EU) 2016/679 onverlet.

8.4 Accuraatheid

Indien de gegevensimporteur vaststelt dat de ontvangen persoonsgegevens onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dat geval werkt de gegevensimporteur met de gegevensexporteur samen om de gegevens te wissen of te corrigeren.

8.5 Duur van de verwerking en verwijdering of teruggave van gegevens

De gegevensimporteur mag de gegevens slechts verwerken voor de in bijlage I.B gespecificeerde duur. Na afloop van de verwerkingsdiensten verwijdert de gegevensimporteur, naar keuze van de gegevensexporteur, alle namens de gegevensexporteur verwerkte persoonsgegevens en verklaart hij aan de gegevensexporteur dat hij dit heeft gedaan, of stuurt hij alle namens hem verwerkte persoonsgegevens terug naar de gegevensexporteur en verwijdert hij de bestaande kopieën. Totdat de gegevens zijn gewist of teruggegeven, blijft de gegevensimporteur ervoor zorgen dat deze bepalingen worden nageleefd. In geval van lokale wetgeving die van toepassing is op de gegevensimporteur en die teruggave of verwijdering van de persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij ervoor zal blijven zorgen dat deze bepalingen worden nageleefd en de gegevens alleen zal verwerken in de mate en voor de duur die door die lokale wetgeving worden vereist. Dit laat Clausule 14 onverlet, met name de verplichting voor de gegevensimporteur krachtens Clausule 14, onder e), om de gegevensexporteur gedurende de gehele looptijd van het contract in kennis te stellen indien hij redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de vereisten van Clausule 14, onder a).

8.6 Beveiliging van de verwerking

1. De gegevensimporteur en, tijdens de overdracht, ook de gegevensexporteur treffen passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde bekendmaking of toegang tot die gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de doelstelling(en) van de verwerking en de risico’s van de verwerking voor de betrokkenen. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens de overdracht, wanneer het doel van de verwerking op die manier kan worden bereikt. In geval van pseudonimisering blijft de aanvullende informatie voor het toeschrijven van de persoonsgegevens aan een specifieke betrokkene, waar mogelijk, onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichtingen uit hoofde van dit lid past de gegevensimporteur ten minste de in Bijlage II vermelde technische en organisatorische maatregelen toe. De gegevensimporteur controleert regelmatig of deze maatregelen nog steeds een passend beveiligingsniveau bieden.

2. De gegevensimporteur verleent leden van zijn personeel alleen toegang tot de persoonsgegevens voor zover dat strikt noodzakelijk is voor de uitvoering en het beheer van en het toezicht op het contract. Hij ziet erop toe dat de personen die gemachtigd zijn de persoonsgegevens te verwerken, zich tot geheimhouding verplichten of een passende wettelijke geheimhoudingsplicht hebben.

3. In geval van een inbreuk in verband met persoonsgegevens die krachtens deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, met inbegrip van maatregelen om de nadelige gevolgen ervan te beperken. De gegevensimporteur stelt ook de gegevensexporteur onverwijld na kennis te hebben genomen van de inbreuk in kennis. Deze kennisgeving bevat de gegevens van een contactpunt waar meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk (met zo mogelijk de betrokken categorieën en bij benadering het aantal betrokkenen en persoonsgegevens), de vermoedelijke gevolgen ervan en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de eventuele negatieve gevolgen ervan te beperken. Indien en voor zover het niet mogelijk is alle informatie tegelijkertijd te verstrekken, bevat de eerste kennisgeving de op dat ogenblik beschikbare informatie en wordt vervolgens zonder onnodige vertraging nadere informatie verstrekt naarmate deze beschikbaar komt.

4. De gegevensimporteur werkt samen met en verleent bijstand aan de gegevensexporteur zodat deze zijn verplichtingen uit hoofde van Verordening (EU) 2016/679 kan nakomen, met name om de bevoegde toezichthoudende autoriteit en de betrokken betrokkenen in kennis te stellen, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensimporteur beschikt.

8.7 Gevoelige data

Wanneer de gegevensoverdracht betrekking heeft op persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijkt, op genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, op gegevens die de gezondheid of het seksuele leven of de seksuele gerichtheid van een persoon betreffen, of op gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna “gevoelige gegevens” genoemd), past de gegevensimporteur de in Bijlage I.B beschreven specifieke beperkingen en/of aanvullende waarborgen toe.

8.8 Verdere doorgifte

De gegevensimporteur verstrekt de persoonsgegevens alleen aan een derde op gedocumenteerde instructie van de gegevensexporteur. Bovendien mogen de gegevens alleen aan een derde buiten de Europese Unie worden verstrekt (in hetzelfde land als de gegevensimporteur of in een ander derde land, hierna “verdere doorgifte” genoemd) indien de derde gebonden is of ermee instemt gebonden te zijn door deze bepalingen, onder de passende Module, of indien:

1. de verdere doorgifte geschiedt naar een land dat in aanmerking komt voor een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 dat betrekking heeft op de verdere doorgifte;

2. de derde partij anderszins zorgt voor passende waarborgen op grond van artikel 46 of 47 Verordening van (EU) 2016/679 met betrekking tot de betrokken verwerking

3. de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in het kader van een specifieke administratieve, regelgevende of gerechtelijke procedure; of

4. de verdere doorgifte noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon.

Voor elke verdere doorgifte moet de gegevensimporteur voldoen aan alle andere waarborgen van deze bepalingen, met name doelbinding.

8.9 Documentatie en naleving

1. De gegevensimporteur behandelt vragen van de gegevensexporteur over de verwerking krachtens deze bepalingen onverwijld en adequaat.

2. De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur bewaart met name passende documentatie over de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht.

3. De gegevensimporteur stelt aan de gegevensexporteur alle informatie ter beschikking die nodig is om aan te tonen dat de in deze bepalingen omschreven verplichtingen worden nagekomen en staat op verzoek van de gegevensexporteur toe dat met redelijke tussenpozen of indien er aanwijzingen zijn dat de bepalingen niet worden nageleefd, audits van de onder deze bepalingen vallende verwerkingsactiviteiten worden verricht en draagt daartoe bij. Bij zijn besluit over een controle of audit kan de gegevensexporteur rekening houden met relevante certificeringen van de gegevensimporteur.

4. De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke auditor opdracht te geven. De audits kunnen inspecties ter plaatse of in de fysieke faciliteiten van de gegevensimporteur omvatten en worden, waar nodig, met een redelijke aankondiging uitgevoerd.

5. De Partijen stellen de onder (b) en  ©, bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

Clausule 9

Gebruik van subverwerkers

1. ALGEMENE SCHRIFTELIJKE TOESTEMMING De gegevensimporteur beschikt over de algemene toestemming van de gegevensexporteur om subverwerkers van een overeengekomen lijst in te schakelen. De gegevensimporteur stelt de gegevensexporteur ten minste tien (10) dagen van tevoren uitdrukkelijk schriftelijk in kennis van alle voorgenomen wijzigingen in die lijst door toevoeging of vervanging van subverwerkers, zodat de gegevensexporteur voldoende tijd heeft om bezwaar te maken tegen die wijzigingen voordat de subverwerker(s) wordt/worden ingeschakeld. De gegevensimporteur verstrekt de gegevensexporteur de informatie die nodig is om de gegevensexporteur in staat te stellen zijn recht van bezwaar uit te oefenen.

2. Indien de gegevensimporteur een subverwerker inhuurt om (namens de gegevensexporteur) specifieke verwerkingsactiviteiten uit te voeren, doet hij dat door middel van een schriftelijk contract dat in wezen dezelfde gegevensbeschermingsverplichtingen bevat als die welke de gegevensimporteur krachtens deze ACTIVE/110240378.1 7 Clausules zijn opgelegd, met inbegrip van de rechten van de betrokkenen als derde-begunstigde. 1 De partijen komen overeen dat de gegevensimporteur, door aan deze bepaling te voldoen, zijn verplichtingen uit hoofde van bepaling 8.8 nakomt. De gegevensimporteur zorgt ervoor dat de subverwerker voldoet aan de verplichtingen waaraan de gegevensimporteur krachtens deze Clausules is onderworpen.

3. De gegevensimporteur verstrekt de gegevensexporteur op diens verzoek een afschrift van een dergelijke overeenkomst voor subverwerkers en alle latere wijzigingen. Voor zover nodig om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, kan de gegevensimporteur de tekst van de overeenkomst redigeren alvorens een kopie te verstrekken.

4. De gegevensimporteur blijft jegens de gegevensexporteur volledig verantwoordelijk voor de nakoming van de verplichtingen van de subverwerker uit hoofde van zijn contract met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elk verzuim van de subverwerker om zijn verplichtingen uit hoofde van dat contract na te komen.

5. De gegevensimporteur komt met de subverwerker een derdenbeding overeen op grond waarvan – indien de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden – de gegevensexporteur het recht heeft het subverwerkerscontract te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

Clausule 10

Rechten van betrokkenen

1. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van elk verzoek dat hij van een betrokkene heeft ontvangen. Hij beantwoordt dat verzoek niet zelf, tenzij hij daartoe toestemming heeft gekregen van de gegevensexporteur.

2. De gegevensimporteur verleent de gegevensexporteur bijstand bij het nakomen van zijn verplichtingen om te reageren op verzoeken van betrokkenen om de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de partijen in Bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking, waarmee de bijstand wordt verleend, alsmede de reikwijdte en de omvang van de vereiste bijstand.

3. Bij het vervullen van zijn verplichtingen krachtens de punten a) en b) houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.

Clausule 11

Verhaal

1. De gegevensimporteur informeert de betrokkenen in een transparante en gemakkelijk toegankelijke vorm, via een individuele kennisgeving of op zijn website, over een contactpunt dat bevoegd is om klachten te behandelen. Hij behandelt klachten van betrokkenen onverwijld.

2. In geval van een geschil tussen een betrokkene en een van de Partijen over de naleving van deze bepalingen, stelt deze Partij alles in het werk om de kwestie tijdig in der minne te schikken. De Partijen houden elkaar op de hoogte van dergelijke geschillen en werken, waar nodig, samen om deze op te lossen.

a. een klacht indienen bij de toezichthoudende autoriteit in de Lidstaat van zijn/haar gewone verblijfplaats of werkplek, of bij de bevoegde toezichthoudende autoriteit overeenkomstig Clausule 13;

b. het geschil voorleggen aan de bevoegde rechter in de zin van Clausule 18.

3. Wanneer de betrokkene zich beroept op een recht van een derde-begunstigde overeenkomstig Clausule 3, aanvaardt de gegevensimporteur het besluit van de betrokkene om:

4. De Partijen aanvaarden dat de betrokkene kan worden vertegenwoordigd door een instelling, organisatie of vereniging zonder winstoogmerk onder de voorwaarden van artikel 80, lid 1, van Verordening (EU) 2016/679.

5. De gegevensimporteur zal zich houden aan een besluit dat volgens het toepasselijke recht van de EU of de lidstaat bindend is.

6. De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn materiële en procedurele rechten om rechtsmiddelen aan te wenden overeenkomstig de toepasselijke wetgeving.

Clausule 12

Aansprakelijkheid

1. Elke partij is jegens de andere partij aansprakelijk voor alle schade die zij door een schending van deze Clausules aan de andere partij toebrengt.

2. De gegevensimporteur is aansprakelijk jegens de betrokkene, en de betrokkene heeft recht op vergoeding, voor alle materiële of immateriële schade die de gegevensimporteur of zijn subverwerker de betrokkene berokkent door inbreuk te maken op de rechten van de derdebegunstigde krachtens deze Clausules.

3. Niettegenstaande punt b) is de gegevensexporteur aansprakelijk jegens de betrokkene, en heeft de betrokkene recht op vergoeding, voor alle materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of diens subverwerker) de betrokkene berokkent door inbreuk te maken op de rechten van de derdebegunstigde krachtens deze bepalingen. Dit laat onverlet de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een verwerkingsverantwoordelijke optreedt, de aansprakelijkheid van de verwerkingsverantwoordelijke krachtens Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, naargelang het geval.

4. De partijen komen overeen dat indien de gegevensexporteur krachtens paragraaf © aansprakelijk wordt gesteld voor door de gegevensimporteur (of diens subverwerker) veroorzaakte schade, hij gerechtigd is van de gegevensimporteur het deel van de vergoeding terug te vorderen dat overeenstemt met de verantwoordelijkheid van de gegevensimporteur voor de schade.

5. Wanneer meer dan één partij verantwoordelijk is voor schade die aan de betrokkene is toegebracht als gevolg van een schending van deze bepalingen, zijn alle verantwoordelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht een rechtszaak aan te spannen tegen elk van deze partijen.

6. De partijen komen overeen dat, indien een partij aansprakelijk wordt gesteld krachtens punt (e), zij het recht heeft van de andere partij(en) het deel van de schadevergoeding terug te vorderen dat overeenkomt met haar/hun verantwoordelijkheid voor de schade.

7. De gegevensimporteur kan zich niet beroepen op het gedrag van een subverwerker om zijn eigen aansprakelijkheid te ontlopen.

Clausule 13

Toezicht

1. Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd: De toezichthoudende autoriteit die verantwoordelijk is voor de naleving door de gegevensexporteur van Verordening (EU) 2016/679 ten aanzien van de gegevensdoorgifte, zoals aangegeven in Bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in Bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit. De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden doorgegeven in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zijn gevestigd, zoals aangegeven in bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.

2. De gegevensimporteur stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in alle procedures die tot doel hebben de naleving van deze bepalingen te waarborgen. De gegevensimporteur stemt er met name mee in te reageren op vragen, zich te onderwerpen aan audits en zich te houden aan de door de toezichthoudende autoriteit vastgestelde maatregelen, met inbegrip van corrigerende en compenserende maatregelen. Hij verstrekt de toezichthoudende autoriteit een schriftelijke bevestiging dat de nodige maatregelen zijn genomen.

Sectie 3- Plaatselijke Wetten En Verplichtingen in geval van toegang door overheidsinstanties

Clausule 14

Lokale wetten en praktijken die van invloed zijn op de naleving van de clausules

1.De partijen garanderen dat zij geen redenen hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van vereisten om persoonsgegevens bekend te maken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur beletten zijn verplichtingen uit hoofde van deze bepalingen na te komen. Dit is gebaseerd op het inzicht dat wetten en praktijken die de essentie van de fundamentele rechten en vrijheden respecteren en niet verder gaan dan wat in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in strijd zijn met deze bepalingen.

2. Partijen verklaren dat zij bij het verstrekken van de garantie in lid (a), terdege rekening hebben gehouden met het specifiek van de volgende elementen:

a. de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte transmissiekanalen; de voorgenomen verdere doorgiften; het soort ontvanger; het doel van de verwerking; de categorieën en het formaat van de doorgegeven persoonsgegevens; de economische sector waarin de doorgifte plaatsvindt; de opslaglocatie van de doorgegeven gegevens;

b. de wetten en praktijken van het derde land van bestemming – met inbegrip van die welke de openbaarmaking van gegevens aan overheidsinstanties voorschrijven of toegang door die instanties toestaan – die relevant zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen;

c. alle relevante contractuele, technische of organisatorische waarborgen die zijn ingesteld ter aanvulling van de waarborgen uit hoofde van deze bepalingen, met inbegrip van maatregelen die worden toegepast tijdens de overdracht en op de verwerking van de persoonsgegevens in het land van bestemming.

3. De gegevensimporteur garandeert dat hij bij de beoordeling overeenkomstig punt b) alles in het werk heeft gesteld om de gegevensexporteur relevante informatie te verstrekken en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om de naleving van deze bepalingen te waarborgen

4. De partijen komen overeen de onder b) bedoelde beoordeling te documenteren en deze op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.

5. De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, nadat hij met deze bepalingen heeft ingestemd en gedurende de looptijd van het contract, redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de vereisten van punt a), met inbegrip van een wijziging in de wetgeving van het derde land of een maatregel (zoals een verzoek om openbaarmaking) die wijst op een toepassing van die wetgeving in de praktijk die niet in overeenstemming is met de vereisten van punt a).

6. Na een kennisgeving overeenkomstig punt e), of indien de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur niet langer aan zijn verplichtingen krachtens deze bepalingen kan voldoen, stelt de gegevensexporteur onverwijld passende maatregelen vast (bv. technische of organisatorische maatregelen om de veiligheid en vertrouwelijkheid te waarborgen) die door de gegevensexporteur en/of de gegevensimporteur moeten worden genomen om de situatie aan te pakken. De gegevensexporteur schort de gegevensdoorgifte op indien hij van oordeel is dat geen passende waarborgen voor deze doorgifte kunnen worden geboden, of indien de bevoegde toezichthoudende autoriteit hem daartoe opdracht geeft. In dat geval heeft de gegevensexporteur het recht het contract te beëindigen, voor zover het de verwerking van persoonsgegevens krachtens deze bepalingen betreft. Indien er meer dan twee partijen bij het contract betrokken zijn, kan de gegevensexporteur dit recht op beëindiging alleen ten aanzien van de betrokken partij uitoefenen, tenzij de partijen anders zijn overeengekomen. Indien het contract krachtens deze bepaling wordt beëindigd, is bepaling 16, onder d) en e), van toepassing.

Clausule 15

Verplichtingen van de gegevensimporteur in geval van toegang door overheidsinstanties

15.1 Kennisgeving

1. De gegevensimporteur verbindt zich ertoe de gegevensexporteur en, indien mogelijk, de betrokkene onverwijld (zo nodig met de hulp van de gegevensexporteur) in kennis te stellen indien hij:

a. een wettelijk bindend verzoek ontvangt van een overheidsinstantie, met inbegrip van gerechtelijke autoriteiten, krachtens de wetgeving van het land van bestemming om openbaarmaking van persoonsgegevens die overeenkomstig deze Clausules zijn doorgegeven; deze kennisgeving omvat informatie over de gevraagde persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het verstrekte antwoord; of

b. zich bewust wordt van rechtstreekse toegang door overheidsinstanties tot ingevolge deze bepalingen doorgegeven persoonsgegevens in overeenstemming met de wetgeving van het land van bestemming; deze kennisgeving omvat alle informatie waarover de importeur beschikt.

2. Indien het de gegevensimporteur krachtens de wetgeving van het land van bestemming verboden is de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in alles in het werk te stellen om een ontheffing van het verbod te verkrijgen, teneinde zo spoedig mogelijk zoveel mogelijk informatie te verstrekken. De gegevensimporteur stemt ermee in zijn uiterste best te documenteren, zodat hij deze op verzoek van de gegevensexporteur kan aantonen

3. Indien de wetgeving van het land van bestemming dit toestaat, stemt de gegevensimporteur ermee in de gegevensexporteur gedurende de looptijd van het contract met regelmatige tussenpozen zoveel mogelijk relevante informatie te verstrekken over de ontvangen verzoeken (met name het aantal verzoeken, het soort gevraagde gegevens, de verzoekende autoriteit(en), of verzoeken zijn aangevochten en het resultaat daarvan, enz.

4. De gegevensimporteur verbindt zich ertoe de in de punten a) tot en met © bedoelde informatie gedurende de looptijd van het contract te bewaren en op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.

5. De punten a) tot en met © doen geen afbreuk aan de verplichting van de gegevensimporteur uit hoofde van Clausule 14, onder e), en Clausule 16 om de gegevensexporteur onverwijld te informeren wanneer hij niet aan deze bepalingen kan voldoen.

15.2 Controle van de wettigheid en minimalisering van gegevens

1. De gegevensimporteur stemt ermee in de wettigheid van het verzoek om openbaarmaking te toetsen, met name of het binnen de aan de verzoekende overheidsinstantie verleende bevoegdheden blijft, en het verzoek aan te vechten indien hij, na zorgvuldige beoordeling, tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onrechtmatig is krachtens het recht van het land van bestemming, de toepasselijke verplichtingen krachtens het internationale recht en de beginselen van internationale hoffelijkheid. De gegevensimporteur maakt onder dezelfde voorwaarden gebruik van de beroepsmogelijkheden. Wanneer hij een verzoek aanvecht, tracht de gegevensimporteur voorlopige maatregelen te treffen om de gevolgen van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid ervan heeft beslist. Hij geeft de gevraagde persoonsgegevens pas vrij wanneer hij daartoe op grond van de toepasselijke procedurevoorschriften verplicht is. Deze vereisten laten onverlet de verplichtingen van de gegevensimporteur uit hoofde van bepaling 14, onder e).

2. De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele bezwaren tegen het verzoek om openbaarmaking te documenteren en, voor zover dit volgens de wetgeving van het land van bestemming is toegestaan, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documentatie op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit.

3. De gegevensimporteur stemt ermee in om in antwoord op een verzoek om openbaarmaking de minimaal toegestane informatie te verstrekken, op basis van een redelijke interpretatie van het verzoek.

Sectie 4 – Slotbepalingen

Clausule 16

Niet-naleving van de clausules en beëindiging

1. De gegevensimporteur informeert de gegevensexporteur onmiddellijk indien hij om welke reden dan ook niet in staat is aan deze bepalingen te voldoen.

2. Indien de gegevensimporteur deze bepalingen niet naleeft of niet in staat is deze bepalingen na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving opnieuw is gewaarborgd of het contract wordt beëindigd. Dit laat clausule 14, onder f), onverlet

3. De gegevensexporteur heeft het recht het contract te beëindigen, voor zover het de verwerking van persoonsgegevens krachtens deze bepalingen betreft, wanneer:

a. de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur overeenkomstig punt b) heeft opgeschort en de naleving van deze bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting wordt hersteld;

b. de gegevensimporteur ernstig of voortdurend inbreuk maakt op deze bepalingen; of

c. de gegevensimporteur een bindende beslissing van een bevoegde rechtbank of toezichthoudende autoriteit met betrekking tot zijn verplichtingen krachtens deze bepalingen niet naleeft.

4. In die gevallen stelt hij de bevoegde toezichthoudende autoriteit in kennis van deze niet-naleving. Indien er meer dan twee partijen bij het contract betrokken zijn, kan de gegevensexporteur dit recht op beëindiging alleen ten aanzien van de betrokken partij uitoefenen, tenzij de partijen anders zijn overeengekomen.

5. Persoonsgegevens die vóór de beëindiging van het contract overeenkomstig punt c) zijn doorgegeven, worden naar keuze van de gegevensexporteur onverwijld aan de gegevensexporteur geretourneerd of in hun geheel gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens. De gegevensimporteur certificeert de verwijdering van de gegevens aan de gegevensexporteur. Totdat de gegevens zijn gewist of teruggegeven, blijft de gegevensimporteur toezien op de naleving van deze bepalingen. Indien de op de gegevensimporteur toepasselijke plaatselijke wetgeving de teruggave of verwijdering van de doorgegeven persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de gegevens alleen zal verwerken in de mate en voor de duur die door die plaatselijke wetgeving worden vereist.

6. Elke partij kan haar instemming om door deze clausules gebonden te zijn herroepen wanneer (i) de Europese Commissie een besluit neemt overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze clausules van toepassing zijn; of (ii) Verordening (EU) 2016/679 deel gaat uitmaken van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die krachtens Verordening (EU) 2016/679 op de betrokken verwerking van toepassing zijn.

Clausule 17

Toepasselijk recht

Op deze clausules is het recht van een van de EU-lidstaten van toepassing, mits dit recht rechten van derden toestaat. De partijen komen overeen dat dit het recht van Ierland is.

Clausule 18

Keuze van forum en jurisdictie

1. Elk geschil dat uit deze bepalingen voortvloeit, wordt beslecht door de rechtbanken van een EU-lidstaat

2. De partijen komen overeen dat dit de rechtbanken van Ierland zijn.

3. Een betrokkene kan de gegevensexporteur en/of gegevensimporteur ook voor de rechter dagen in de lidstaat waar hij zijn gewone verblijfplaats heeft.

4. De partijen komen overeen zich te onderwerpen aan de jurisdictie van deze rechtbanken

Bijlage

Bijlage I

A. Lijst met partijen

 

GEGEVENSEXPORTEUR (KLANT) GEGEVENSIMPORTEUR (TAXDOME)
BEDRIJFSNAAM TaxDome, LLC
ADRES 1178 Broadway, New York, NY 10001
NAAM CONTACTPERSOON,
POSITIE EN CONTACTGEGEVENS
Victor Radzinsky, CEO

dpo@taxdome.com

HANDTEKENING EN DATUM:
ROL: Controller Verwerker

 

Activiteiten die relevant zijn voor de gegevens die onder deze clausules worden overgedragen: Zie Bijlage I.B

B. BESCHRIJVING VAN DE OVERDRACHT

Categorieën van betrokkenen wier persoonsgegevens worden doorgegeven

De persoonsgegevens betreffen de eindgebruikers van onze klanten.

Categorieën van overgedragen persoonlijke gegevens

Het TaxDome platform richt zich op een breed klanten- en eindgebruikersbestand dat zich uitstrekt over het hele spectrum van bedrijfstakken. TaxDome controleert noch beperkt het onderwerp dat de eindgebruikers van onze klanten via onze tool indienen. Gezien de aard van het product en TaxDome’s rol als verwerker, is het niet mogelijk om een absolute lijst van opgenomen en verwerkte gegevenscategorieën op te stellen. TaxDome verwerkt gegevens die kunnen bestaan uit, maar niet beperkt zijn tot: naam, leeftijd, geslacht, gezinssituatie, adres, opleidingsniveau, levensstijl en gewoonten, IP-adres en locatiegegevens, klanttevredenheid, beroep, arbeidsstatus, gebruiksgegevens en beeldopnames (digitale foto of video).

Doorgegeven gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de betrokken risico’s, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (waaronder toegang voor personeel dat een gespecialiseerde opleiding heeft gevolgd), registratie van de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen.

TaxDome verwerkt gegevens die de volgende bijzondere categorieën van gegevens kunnen omvatten, maar daartoe niet zijn beperkt: gezondheidsgegevens, genetische gegevens, ras en etnische afkomst, seksuele geaardheid en/of gewoonten, politieke opvattingen, religieuze banden of overtuigingen, niet-politieke of niet-vakbondslidmaatschappen, strafrechtelijke veroordelingen en overtredingen.

De frequentie van de doorgifte (bijvoorbeeld of de gegevens eenmalig of continu worden doorgegeven).

Persoonsgegevens worden continu opgenomen.

Aard van de verwerking

Persoonsgegevens worden opgenomen door het dagelijkse gebruik van het platform. Gegevens kunnen worden opgenomen door handmatige invoer door de klanten van TaxDome of op een geautomatiseerde manier via de logboekverzamelingen op het platform. De gegevens worden opgeslagen in de productiedatabase van TaxDome.

Doel(en) van de gegevensoverdracht en verdere verwerking

Persoonsgegevens worden verwerkt om de TaxDome-dienst te leveren en de TaxDome-website en de platformdiensten te ondersteunen.

De periode gedurende welke de persoonsgegevens zullen worden bewaard of, indien dat niet mogelijk is, de criteria die zijn gebruikt om die periode te bepalen

Het onderwerp en de duur van de verwerking van de persoonsgegevens staan vermeld in het Servicevoorwaarden.

Voor overdrachten naar (sub-)verwerkers, specificeer ook onderwerp, aard en duur van de verwerking

TTaxDome maakt bij het leveren van diensten aan haar klanten gebruik van de subverwerkers die online te vinden zijn op https://www.taxdome.com/policies/sub-processors/. De lijst specificeert het onderwerp en de aard van de verwerkingsactiviteiten die door de subverwerkers van TaxDome worden uitgevoerd en het toepasselijke mechanisme voor gegevensoverdracht.

C.  BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

De bevoegde toezichthoudende autoriteit(en) identificeren overeenkomstig Clausule 13

Locatie van de Gegevensexporteur/Vertegenwoordiger van de Gegevensexporteur in de EU/Locatie van het grootste klantenbestand van de Gegevensexporteur

Bijlage II

TECHNISCHE EN ORGANISATORISCHE MAATREGELEN, WAARONDER TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE BEVEILIGING VAN DE GEGEVENS TE WAARBORGEN

Beschrijving van de door de gegevensimporteur(s) getroffen technische en organisatorische maatregelen (met inbegrip van relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en de risico’s voor de rechten en vrijheden van natuurlijke personen.

TaxDome’s technische en organisatorische maatregelen ter bescherming van de persoonsgegevens die buiten de EER naar een niet-adequaat land worden doorgegeven, zijn gepubliceerd en beschikbaar op: https://www.taxdome.com/policies/security/

 

Laatst geüpdatet November 6, 2023