OVERWEGENDE:
A. De Klant fungeert als Gegevensbeheerder.
B. De Klant wenst bepaalde Diensten, die de verwerking van persoonsgegevens impliceren, uit te besteden aan Zonos als de Verwerker.
C. De Partijen streven ernaar een DPA te implementeren die voldoet aan de vereisten van het huidige juridische kader met betrekking tot gegevensverwerking en aan de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en inzake de vrije doorgang van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
D. De Partijen wensen hun rechten en verplichtingen vast te leggen.
Deze DPA omvat en integreert bij verwijzing de bijlagen en aanvullingen die onderaan dit document zijn vermeld. Alle met hoofdletters geschreven termen die niet in deze DPA zijn gedefinieerd, hebben de betekenis die is vastgesteld in de Hoofdovereenkomst.
De partijen komen als volgt overeen:
1. Definities
Tenzij anders hierin gedefinieerd, hebben de met hoofdletters geschreven termen en uitdrukkingen die in deze DPA worden gebruikt de volgende betekenis:
-
“Contracted Processor” betekent een Sub-processor;
-
“Data Protection Laws” betekent de EU-gegevensbeschermingswetten en, voor zover van toepassing, de gegevensbeschermings- of privacywetten van elk ander land;
-
“Data Transfer” betekent:
- Een overdracht van Persoonsgegevens van de Klant naar een Contracted Processor; of
- Een doorlopende overdracht van Persoonsgegevens van een Contracted Processor naar een Subcontracted Processor, of tussen twee vestigingen van een Contracted Processor, in elk geval waarin een dergelijke overdracht zou worden verboden door de Gegevensbeschermingswetten (of door de voorwaarden van gegevensoverdrachtsovereenkomsten die zijn opgesteld om de beperkingen van gegevensoverdracht van de Gegevensbeschermingswetten aan te pakken);
-
“DPA” betekent deze Data Processing Agreement en alle Bijlagen;
-
“EEA” betekent de Europese Economische Ruimte;
-
“EU Data Protection Laws” betekent EU-richtlijn 95/46/EG, zoals omgezet in de nationale wetgeving van elke lidstaat en zoals van tijd tot tijd gewijzigd, vervangen of opgeheven, inclusief door de GDPR en wetten die de GDPR implementeren of aanvullen;
-
“GDPR” betekent de EU Algemene Verordening Gegevensbescherming 2016/679;
-
“Persoonsgegevens” betekent alle Persoonsgegevens die door een Contracted Processor namens de Klant worden verwerkt in overeenstemming met of in verband met de Hoofdovereenkomst;
-
“Diensten” betekent elk product of elke dienst die door Zonos aan de Klant wordt geleverd in overeenstemming met en zoals meer specifiek beschreven in de Hoofdovereenkomst;
-
“Sub-processor” betekent elke Processor die door of namens Zonos is aangesteld om Persoonsgegevens namens de Klant te verwerken in verband met de DPA.
-
De termen “Controller,” “Data Subject,” “Lidstaat,” “Persoonsgegevens,” “Persoonsgegevensinbreuk” en “Verwerking” hebben dezelfde betekenis als in de GDPR en hun verwante termen zullen dienovereenkomstig worden geïnterpreteerd.
2. Verplichtingen van de Klant
-
Naleving van de Wet.
- Binnen het kader van de DPA en in het gebruik van de Diensten, stemt de Klant ermee in dat hij zal voldoen aan zijn verplichtingen als Controller onder de Gegevensbeschermingswetten in de Verwerking van Persoonsgegevens en aan alle Verwerkingsinstructies die hij aan Zonos geeft.
- De Klant heeft kennisgeving gegeven en heeft (of zal verkrijgen) alle toestemmingen en rechten die nodig zijn onder de Gegevensbeschermingswetten voor Zonos om Persoonsgegevens te verwerken en de Diensten te leveren in overeenstemming met de Hoofdovereenkomst en deze DPA.
-
Instructies van de Controller. De Partijen komen overeen dat de Hoofdovereenkomst (inclusief deze DPA), samen met het gebruik van de Diensten van Zonos door de Klant in overeenstemming met de Hoofdovereenkomst, de volledige en definitieve instructies van de Klant aan Zonos met betrekking tot de Verwerking van Persoonsgegevens vormen, en aanvullende instructies buiten het bereik van de instructies vereisen voorafgaande schriftelijke overeenstemming tussen de Klant en Zonos.
3. Verplichtingen van Zonos
-
Naleving van de Wet. Binnen het kader van de DPA en in het gebruik van de Diensten, zal Zonos:
- Verantwoordelijk zijn voor het naleven van alle toepasselijke Gegevensbeschermingswetten als Processor in de Verwerking van Persoonsgegevens; en
- De Persoonsgegevens van de Klant niet verwerken anders dan op de gedocumenteerde instructies van de Klant.
-
Zonos Personeel. Zonos zal redelijke stappen ondernemen om de betrouwbaarheid van elke werknemer, agent of aannemer die toegang kan hebben tot de Persoonsgegevens te waarborgen, waarbij in elk geval ervoor wordt gezorgd dat de toegang strikt beperkt is tot die personen die de relevante Persoonsgegevens moeten weten / toegang moeten hebben, zoals strikt noodzakelijk voor de doeleinden van de Hoofdovereenkomst, en om te voldoen aan de Toepasselijke Wetten in de context van de taken van die persoon voor de Contracted Processor, waarbij ervoor wordt gezorgd dat al deze personen onderworpen zijn aan vertrouwelijkheidsverplichtingen of professionele of wettelijke verplichtingen tot vertrouwelijkheid.
-
Beveiliging.
- Gezien de stand van de techniek, de kosten van implementatie, en de aard, reikwijdte, context en doeleinden van de Verwerking, evenals het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal Zonos, met betrekking tot de Persoonsgegevens, passende technische en organisatorische maatregelen implementeren om een niveau van beveiliging te waarborgen dat passend is voor dat risico, inclusief, waar passend, de maatregelen die worden genoemd in Artikel 32(1) van de GDPR.
- Bij het beoordelen van het passende niveau van beveiliging, zal Zonos rekening houden met de risico's die worden gepresenteerd door de Verwerking, in het bijzonder vanuit een Persoonsgegevensinbreuk.
-
Sub-verwerking. Zonos zal geen Sub-processor aanstellen (of enige Persoonsgegevens openbaar maken aan) tenzij vereist of geautoriseerd door de Klant.
-
Rechten van de Betrokkene.
-
Gezien de aard van de Verwerking, zal Zonos de Klant helpen door passende technische en organisatorische maatregelen te implementeren, voor zover dit mogelijk is, voor de vervulling van de verplichtingen van Zonos, zoals redelijk begrepen door Zonos, om te reageren op verzoeken om de rechten van de Betrokkene uit te oefenen onder de Gegevensbeschermingswetten.
-
Zonos stemt ermee in om:
- De Klant onmiddellijk te informeren als hij een verzoek van een Betrokkene ontvangt onder enige Gegevensbeschermingswet met betrekking tot Persoonsgegevens; en
- Zorgen dat hij niet op dat verzoek reageert, behalve op de gedocumenteerde instructies van de Klant of zoals vereist door Toepasselijke Wetten waaraan Zonos is onderworpen, in welk geval Zonos, voor zover toegestaan door Toepasselijke Wetten, de Klant zal informeren over die wettelijke vereiste voordat de Contracted Processor op het verzoek reageert.
-
-
Persoonsgegevensinbreuk.
- Zonos zal de Klant zonder onredelijke vertraging op de hoogte stellen zodra Zonos zich bewust wordt van een Persoonsgegevensinbreuk die Persoonsgegevens betreft, waarbij de Klant voldoende informatie wordt verstrekt om de Klant in staat te stellen te voldoen aan eventuele verplichtingen om Persoonsgegevensinbreuken te rapporteren of Betrokkenen te informeren onder de Gegevensbeschermingswetten.
- Zonos zal samenwerken met de Klant en redelijke commerciële stappen ondernemen zoals door de Klant aangegeven om te helpen bij het onderzoek, de mitigatie en de remedie van elke dergelijke Persoonsgegevensinbreuk.
-
Gegevensbeschermingseffectbeoordeling en Voorafgaande Raadpleging. Zonos zal redelijke assistentie bieden aan de Klant met betrekking tot gegevensbeschermingseffectbeoordelingen, en voorafgaande raadplegingen met Toezichthoudende Autoriteiten of andere bevoegde gegevensprivacyautoriteiten, die de Klant redelijkerwijs beschouwt als vereist door artikel 35 of 36 van de GDPR of equivalente bepalingen van enige andere Gegevensbeschermingswet, in elk geval uitsluitend met betrekking tot de Verwerking van Persoonsgegevens door, en rekening houdend met de aard van de Verwerking en de informatie die beschikbaar is voor, de Contracted Processors.
-
Terugkeer of Verwijdering van Gegevens. Bij de deactivatie of beëindiging van de Diensten, zullen alle Persoonsgegevens worden verwijderd, behoudens dat deze vereiste niet van toepassing is voor zover Zonos op grond van de toepasselijke wetgeving verplicht is om sommige of alle Persoonsgegevens te behouden, of voor Persoonsgegevens die het heeft gearchiveerd op back-upsystemen, welke Persoonsgegevens Zonos veilig zal isoleren en beschermen tegen verdere verwerking, behalve voor zover vereist door de toepasselijke wetgeving.
-
Beveiligingsrapporten. Zonos zal documenten bijhouden van zijn beveiligingsnormen. Op schriftelijk verzoek van de Klant, zal Zonos antwoorden (op vertrouwelijke basis) geven op alle redelijke verzoeken om informatie die door de Klant zijn gedaan, inclusief antwoorden op vragenlijsten over informatiebeveiliging en audits, die de Klant (redelijk handelend) noodzakelijk acht om de naleving van Zonos met deze DPA te bevestigen, op voorwaarde dat de Klant dit recht niet meer dan eenmaal per jaar uitoefent.
-
Gegevensoverdracht. De Klant erkent en stemt ermee in dat Zonos Persoonsgegevens op wereldwijde basis kan openen en verwerken zoals nodig is om de Diensten te leveren in overeenstemming met de Hoofdovereenkomst, en in het bijzonder dat Persoonsgegevens zullen worden overgedragen aan en verwerkt door Zonos in de Verenigde Staten en naar andere rechtsgebieden waar Zonos' Sub-processors operaties hebben. Zonos zal ervoor zorgen dat dergelijke overdrachten worden gedaan in overeenstemming met de vereisten van de Gegevensbeschermingswetten, inclusief naleving van door de EU goedgekeurde standaardcontractbepalingen voor de overdracht van persoonsgegevens.
-
Aanvullende Bepalingen voor Persoonlijke Informatie uit Californië.
-
Deze Sectie 11 is alleen van toepassing met betrekking tot Persoonlijke Informatie uit Californië.
-
Bij de verwerking van Persoonlijke Informatie uit Californië in overeenstemming met de instructies van de Klant, erkennen en stemmen de Partijen ermee in dat de Klant een bedrijf is en Zonos een dienstverlener is voor de doeleinden van de CCPA.
-
De Partijen komen overeen dat Zonos Persoonlijke Informatie uit Californië zal verwerken als een dienstverlener strikt voor het doel van het uitvoeren van de Diensten onder de Hoofdovereenkomst. Zonos gebruikt dienstgegevens voor zijn eigen legitieme zakelijke doeleinden zoals vermeld in het Zonos Privacybeleid. De Partijen komen overeen dat Zonos het volgende niet zal doen:
- Verkoop van Persoonlijke Informatie uit Californië (zoals gedefinieerd in de CCPA);
- Behouden, gebruiken of openbaar maken van Persoonlijke Informatie uit Californië voor een commercieel doel anders dan voor het zakelijke doel of zoals anderszins toegestaan door de CCPA; of
- iii. Behouden, gebruiken of openbaar maken van Persoonlijke Informatie uit Californië buiten de directe zakelijke relatie tussen de Klant en Zonos.
-
Zonos certificeert dat het begrijpt en zal voldoen aan de beperkingen die zijn uiteengezet in Sectie 11(c).
-
4. Algemene Voorwaarden
-
Vertrouwelijkheid. Elke Partij moet deze Overeenkomst en informatie die zij ontvangt over de andere Partij en haar bedrijf in verband met deze DPA (“Vertrouwelijke Informatie”) vertrouwelijk houden en mag die Vertrouwelijke Informatie niet gebruiken of openbaar maken zonder de voorafgaande schriftelijke toestemming van de andere Partij, behalve voor zover:
- Openbaarmaking vereist is op grond van de wet;
- De relevante informatie al in het publieke domein is.
-
Kennisgevingen. Alle kennisgevingen en communicatie die onder deze DPA worden gegeven, moeten schriftelijk zijn en zullen persoonlijk worden afgeleverd, per post worden verzonden of per e-mail worden verzonden naar het adres of e-mailadres dat in de aanhef van deze DPA is vermeld, op een ander adres zoals van tijd tot tijd door de Partijen gewijzigd.
5. Toepasselijk Recht en Jurisdictie
Deze DPA wordt beheerst door de wetten en jurisdictiebepalingen in de Hoofdovereenkomst, tenzij anders vereist door de Gegevensbeschermingswetten.\
Bijlage A. Lijst van Zonos Sub-processors
Beschikbaar op verzoek
Bijlage B. Beveiligingsmaatregelen
Beschikbaar op verzoek
Zonos Gegevensverwerkingsovereenkomst
Deze Gegevensverwerkingsovereenkomst (“DPA“) fungeert als een aanvulling op de Zonos Gebruiksvoorwaarden en Privacybeleid (“Hoofdovereenkomst”) tussen iGlobal Exports, LLC, DBA Zonos (“Zonos”) en de Klant (“Klant”), (samen de “Partijen”).