Dataprocessor overeenkomst

Voor de toepassing van artikel 28, lid 3, van Verordening 2016/679 (de GDPR)

tussen

De klant

(de voor de verwerking verantwoordelijke)


en


Relion ApS
BTW-nr.: DK38921746

(de gegevensverwerker)

elk een "partij"; samen "de partijen

HEBBEN OVEREENSTEMMING BEREIKT omtrent de volgende contractuele bepalingen (de "bepalingen") teneinde te voldoen aan de vereisten van de GDPR en de bescherming van de rechten van de betrokkene te waarborgen.

1. In deze contractuele bepalingen (de "bepalingen") worden de rechten en plichten uiteengezet van de voor de verwerking verantwoordelijke en de verwerker, wanneer zij namens de voor de verwerking verantwoordelijke persoonsgegevens verwerken.

2. De Clauses zijn ontworpen om de naleving door de partijen te waarborgen van artikel 28, lid 3, van Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

3. In het kader van de levering van Workfeed's planningsplatform of andere software zal de gegevensverwerker persoonsgegevens verwerken namens de verwerkingsverantwoordelijke in overeenstemming met de Clauses.

4. De Clauses hebben voorrang op gelijkaardige bepalingen in andere overeenkomsten tussen de partijen.

5. Drie aanhangsels zijn aan de clausules gehecht en vormen een integrerend onderdeel van de clausules.

6. Bijlage A bevat nadere gegevens over de verwerking van persoonsgegevens, waaronder het doel en de aard van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de duur van de verwerking.

7. Bijlage B bevat informatie over het gebruik van sub-verwerkers door de gegevensverwerker.

8. Bijlage C bevat de instructies van de verwerkingsverantwoordelijke met betrekking tot de verwerking van persoonsgegevens, de minimale beveiligingsmaatregelen die door de verwerker moeten worden getroffen en de wijze waarop audits van de verwerker en eventuele subverwerkers moeten worden uitgevoerd.

9. De clausules worden samen met de aanhangsels door beide partijen schriftelijk, waaronder elektronisch, bewaard.

10. De bepalingen ontslaan de gegevensverwerker niet van verplichtingen waaraan de gegevensverwerker is onderworpen op grond van de Algemene verordening gegevensbescherming (de GDPR) of andere wetgeving.

1. De verwerkingsverantwoordelijke is ervoor verantwoordelijk dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR (zie artikel 24 GDPR), de toepasselijke gegevensbeschermingsbepalingen van de EU of de lidstaten en de clausules.

2. De verwerkingsverantwoordelijke heeft het recht en de plicht om beslissingen te nemen over het doel van en de middelen voor de verwerking van persoonsgegevens.

3. De verwerkingsverantwoordelijke is er onder meer verantwoordelijk voor dat de verwerking van persoonsgegevens, waartoe de verwerkingsverantwoordelijke opdracht krijgt, een wettelijke grondslag heeft.

1. De verwerker verwerkt persoonsgegevens alleen op gedocumenteerde instructies van de voor de verwerking verantwoordelijke, tenzij de wetgeving van de Unie of van de lidstaat waaraan de verwerker onderworpen is, hem daartoe verplicht. Dergelijke instructies worden gespecificeerd in de bijlagen A en C. Latere instructies kunnen ook worden gegeven door de verwerkingsverantwoordelijke tijdens de gehele duur van de verwerking van persoonsgegevens, maar dergelijke instructies moeten altijd worden gedocumenteerd en schriftelijk worden bewaard, ook elektronisch, in verband met de clausules.

2. De gegevensverwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis indien instructies van de verwerkingsverantwoordelijke naar het oordeel van de gegevensverwerker in strijd zijn met de GDPR of de toepasselijke gegevensbeschermingsbepalingen van de EU of de lidstaten.

1. De gegevensverwerker verleent alleen toegang tot de persoonsgegevens die namens de verantwoordelijke voor de verwerking worden verwerkt aan personen die onder het gezag van de gegevensverwerker staan en die zich tot geheimhouding hebben verplicht of aan wie een passende wettelijke geheimhoudingsplicht is opgelegd, en alleen op een "need to know"-basis. De lijst van personen aan wie toegang is verleend, wordt op gezette tijden getoetst. Op basis van deze evaluatie kan deze toegang tot persoonsgegevens worden ingetrokken, indien toegang niet langer noodzakelijk is, en persoonsgegevens zullen dan ook niet langer toegankelijk zijn voor deze personen.

2. De gegevensverwerker toont op verzoek van de verantwoordelijke voor de verwerking aan dat de betrokken personen die onder het gezag van de gegevensverwerker vallen, aan de bovengenoemde geheimhouding zijn onderworpen.

1. Artikel 32 GDPR bepaalt dat, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van de verwerking en het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, de voor de verwerking verantwoordelijke en de gegevensverwerker passende technische en organisatorische maatregelen treffen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd.

De voor de verwerking verantwoordelijke evalueert de risico's voor de rechten en vrijheden van natuurlijke personen die inherent zijn aan de verwerking en treft maatregelen om deze risico's te beperken. Afhankelijk van hun relevantie kunnen de maatregelen het volgende omvatten:

a. Pseudonimisering en versleuteling van persoonsgegevens;

b. het vermogen om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen

c. het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident

d. een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

2. Overeenkomstig artikel 32 GDPR evalueert de gegevensverwerker ook - onafhankelijk van de verwerkingsverantwoordelijke - de risico's voor de rechten en vrijheden van natuurlijke personen die inherent zijn aan de verwerking en voert hij maatregelen in om die risico's te beperken. Daartoe verstrekt de verwerkingsverantwoordelijke de verwerker alle informatie die nodig is om dergelijke risico's vast te stellen en te evalueren.

3. Voorts staat de verwerkingsverantwoordelijke de verwerkingsverantwoordelijke bij in het waarborgen van de naleving van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van artikel 32 GDPR, onder meer door de verwerkingsverantwoordelijke informatie te verstrekken over de technische en organisatorische maatregelen die de verwerkingsverantwoordelijke reeds heeft uitgevoerd uit hoofde van artikel 32 GDPR, samen met alle andere informatie die de verwerkingsverantwoordelijke nodig heeft om te voldoen aan de verplichting van de verwerkingsverantwoordelijke uit hoofde van artikel 32 GDPR.

Indien vervolgens - naar het oordeel van de verwerkingsverantwoordelijke - voor de beperking van de geïdentificeerde risico's verdere maatregelen door de verwerker moeten worden getroffen dan die welke reeds door de verwerker overeenkomstig artikel 32 GDPR zijn getroffen, vermeldt de verwerkingsverantwoordelijke deze aanvullende maatregelen die moeten worden getroffen in aanhangsel C.

1. De gegevensverwerker voldoet aan de in artikel 28, leden 2 en 4, GDPR gespecificeerde vereisten om een andere verwerker (een subverwerker) in te schakelen.

2. De gegevensverwerker schakelt derhalve geen andere verwerker (subverwerker) in voor de nakoming van de bepalingen zonder de voorafgaande algemene schriftelijke toestemming van de verwerkingsverantwoordelijke.

3. De verwerker heeft de algemene machtiging van de verwerkingsverantwoordelijke voor het inschakelen van sub-verwerkers. De verwerkingsverantwoordelijke is verantwoordelijk voor het up-to-date blijven van de lijst van subverwerkers zoals beschreven in Bijlage B.

4. Wanneer de verwerkingsverantwoordelijke een subverwerker inschakelt om namens de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten uit te voeren, worden aan die subverwerker dezelfde gegevensbeschermingsverplichtingen als in de bepalingen opgenomen opgelegd door middel van een contract of een andere rechtshandeling op grond van het EU-recht of het recht van een lidstaat, met name het bieden van voldoende waarborgen om passende technische en organisatorische maatregelen te nemen op zodanige wijze dat de verwerking voldoet aan de vereisten van de bepalingen en de GDPR.

De gegevensverwerker is derhalve verantwoordelijk om te eisen dat de subverwerker ten minste voldoet aan de verplichtingen waaraan de gegevensverwerker krachtens de Clauses en de GDPR is onderworpen.

5. Een kopie van een dergelijke subverwerkersovereenkomst en latere wijzigingen worden - op verzoek van de verwerkingsverantwoordelijke - aan de verwerkingsverantwoordelijke voorgelegd, zodat de verwerkingsverantwoordelijke de mogelijkheid heeft ervoor te zorgen dat dezelfde gegevensbeschermingsverplichtingen als in de clausules zijn opgenomen, aan de subverwerker worden opgelegd. Bepalingen over bedrijfsgerelateerde kwesties die niet van invloed zijn op de wettelijke gegevensbeschermingsinhoud van de subverwerkersovereenkomst, hoeven niet aan de verantwoordelijke voor de verwerking te worden voorgelegd.

6. De verwerker komt met de subverwerker een derden-begunstigingsbeding overeen waarbij - in geval van faillissement van de verwerker - de verwerkingsverantwoordelijke als derde-begunstigde van de subverwerkersovereenkomst optreedt en het recht heeft de overeenkomst ten aanzien van de door de verwerker ingeschakelde subverwerker te doen naleven, bijvoorbeeld door de verwerkingsverantwoordelijke in staat te stellen de subverwerker opdracht te geven de persoonsgegevens te wissen of terug te geven.

7. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van de subverwerker. Dit doet geen afbreuk aan de rechten van de betrokkenen uit hoofde van de GDPR - met name die waarin de artikelen 79 en 82 van de GDPR voorzien - jegens de verantwoordelijke voor de verwerking en de gegevensverwerker, met inbegrip van de subverwerker.

1. Elke doorgifte van persoonsgegevens aan derde landen of internationale organisaties door de gegevensverwerker vindt uitsluitend plaats op basis van gedocumenteerde instructies van de verantwoordelijke voor de verwerking en geschiedt altijd in overeenstemming met hoofdstuk V GDPR.

2. Indien doorgifte aan derde landen of internationale organisaties, waartoe de verwerkingsverantwoordelijke geen opdracht heeft gegeven, verplicht is op grond van EU-wetgeving of wetgeving van een lidstaat waaraan de verwerkingsverantwoordelijke onderworpen is, stelt de verwerkingsverantwoordelijke de verwerkingsverantwoordelijke voorafgaand aan de verwerking op de hoogte van deze wettelijke verplichting, tenzij die wetgeving dergelijke informatie verbiedt op grond van zwaarwegende redenen van algemeen belang.

3. Zonder gedocumenteerde instructies van de verantwoordelijke voor de verwerking kan de gegevensverwerker derhalve binnen het kader van deze bepalingen niet:

a. persoonsgegevens doorgeven aan een voor de verwerking verantwoordelijke of een gegevensverwerker in een derde land of in een internationale organisatie

b. de verwerking van persoonsgegevens overdragen aan een subverwerker in een derde land

c. de persoonsgegevens door de gegevensverwerker in een derde land laten verwerken

4. De instructies van de verwerkingsverantwoordelijke met betrekking tot de doorgifte van persoonsgegevens naar een derde land, met inbegrip van, indien van toepassing, het doorgifte-instrument uit hoofde van hoofdstuk V van de GDPR waarop zij zijn gebaseerd, worden uiteengezet in aanhangsel C.5.

5. De clausules mogen niet worden verward met standaardclausules inzake gegevensbescherming in de zin van artikel 46, lid 2, onder c) en d), GDPR, en de partijen kunnen zich niet op de clausules beroepen als een doorgifte-instrument in het kader van hoofdstuk V GDPR.

1. Rekening houdend met de aard van de verwerking, staat de verwerker de verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, bij in de nakoming van de verplichtingen van de verwerkingsverantwoordelijke om te voldoen aan verzoeken tot uitoefening van de rechten van de betrokkene, neergelegd in hoofdstuk III GDPR.

Dit houdt in dat de verwerker, voor zover dit mogelijk is, de verwerkingsverantwoordelijke bijstaat bij de naleving door de verwerkingsverantwoordelijke van:

a. het recht om te worden geïnformeerd bij het verzamelen van persoonsgegevens van de betrokkene

b. het recht om te worden geïnformeerd wanneer persoonsgegevens niet van de betrokkene zijn verkregen

c. het recht op toegang door de betrokkene

d. het recht op rectificatie

e. het recht om gegevens te laten wissen ("het recht om te worden vergeten")

f. het recht op beperking van de verwerking

g. de verplichting tot kennisgeving van de rectificatie of wissing van persoonsgegevens of de beperking van de verwerking

h. het recht op gegevensoverdraagbaarheid

i. het recht van bezwaar

j. het recht om niet te worden onderworpen aan een besluit dat uitsluitend op geautomatiseerde verwerking berust, met inbegrip van profilering

2. Naast de verplichting van de gegevensverwerker om de verwerkingsverantwoordelijke bij te staan op grond van bepaling 6.3., dient de gegevensverwerker voorts, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensverwerker beschikt, de verwerkingsverantwoordelijke bij te staan bij het waarborgen van de naleving van:

a. De verplichting van de voor de verwerking verantwoordelijke om de inbreuk in verband met persoonsgegevens zonder onnodige vertraging en, waar mogelijk, niet later dan 72 uur nadat hij er kennis van heeft gekregen, te melden aan de bevoegde toezichthoudende autoriteit, Datatilsynet (het Deense bureau voor gegevensbescherming), tenzij de inbreuk in verband met persoonsgegevens waarschijnlijk niet zal leiden tot een risico voor de rechten en vrijheden van natuurlijke personen;

b. de verplichting van de voor de verwerking verantwoordelijke om de betrokkene zonder onnodige vertraging in kennis te stellen van de inbreuk in verband met persoonsgegevens, wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van natuurlijke personen;

c. de verplichting van de voor de verwerking verantwoordelijke om een beoordeling uit te voeren van de gevolgen van de beoogde verwerkingen voor de bescherming van persoonsgegevens (een gegevensbeschermingseffectbeoordeling);

d. de verplichting van de voor de verwerking verantwoordelijke om de bevoegde toezichthoudende autoriteit, Datatilsynet (het Deense bureau voor gegevensbescherming), vóór de verwerking te raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking tot een hoog risico zou leiden indien de voor de verwerking verantwoordelijke geen maatregelen zou nemen om het risico te beperken.

3. De partijen bepalen in aanhangsel C de passende technische en organisatorische maatregelen waarmee de gegevensverwerker de voor de verwerking verantwoordelijke moet bijstaan, alsmede de reikwijdte en de omvang van de vereiste bijstand. Dit geldt voor de verplichtingen waarin de artikelen 9.1 en 9.2 voorzien.

1. In geval van een inbreuk in verband met persoonsgegevens stelt de verwerker, zonder onnodige vertraging nadat hij er kennis van heeft gekregen, de verwerkingsverantwoordelijke in kennis van de inbreuk in verband met persoonsgegevens.

2. De kennisgeving van de verwerker aan de verwerkingsverantwoordelijke vindt, indien mogelijk, plaats binnen 72 uur nadat de verwerker kennis heeft gekregen van de inbreuk in verband met persoonsgegevens, om de verwerkingsverantwoordelijke in staat te stellen te voldoen aan de verplichting van de verwerkingsverantwoordelijke om de inbreuk in verband met persoonsgegevens te melden aan de bevoegde toezichthoudende autoriteit, cf. artikel 33 GDPR.

3. Overeenkomstig bepaling 9, lid 2, onder a), verleent de verwerker bijstand aan de verwerkingsverantwoordelijke bij de melding van de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit, hetgeen betekent dat de verwerker bijstand moet verlenen bij het verkrijgen van de hieronder genoemde informatie die, overeenkomstig artikel 33, lid 3 GDPR, moet worden vermeld in de melding van de verwerkingsverantwoordelijke aan de bevoegde toezichthoudende autoriteit:

a. de aard van de persoonsgegevens, met inbegrip van, waar mogelijk, de categorieën en het approximatieve aantal betrokkenen en de categorieën en het approximatieve aantal betrokken bestanden met persoonsgegevens;

b. de vermoedelijke gevolgen van de inbreuk in verband met persoonsgegevens

c. de maatregelen die de voor de verwerking verantwoordelijke heeft genomen of voornemens is te nemen om de inbreuk in verband met persoonsgegevens aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de mogelijke negatieve gevolgen ervan te beperken.

4. De partijen stellen in aanhangsel C alle elementen vast die de verwerker moet verstrekken wanneer hij de voor de verwerking verantwoordelijke bijstaat bij de melding van een inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit.

1. Bij beëindiging van de verrichting van diensten in verband met de verwerking van persoonsgegevens, is de verwerker verplicht alle persoonsgegevens die hij namens de voor de verwerking verantwoordelijke heeft verwerkt, te wissen en aan de voor de verwerking verantwoordelijke te verklaren dat hij dit heeft gedaan, tenzij het recht van de Unie of van de lidstaat de bewaring van de persoonsgegevens voorschrijft.

1. De gegevensverwerker stelt de verantwoordelijke voor de verwerking alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen van artikel 28 en de bepalingen worden nageleefd en om audits, met inbegrip van inspecties, door de verantwoordelijke voor de verwerking of een andere door de verantwoordelijke voor de verwerking gemandateerde auditor, mogelijk te maken en daaraan mee te werken.

2. De procedures die van toepassing zijn op de audits, met inbegrip van inspecties, die de voor de verwerking verantwoordelijke bij de gegevensverwerker en de subverwerkers uitvoert, worden nader gespecificeerd in de aanhangsels C.6. en C.7.

3. De gegevensverwerker is verplicht de toezichthoudende autoriteiten die krachtens de toepasselijke wetgeving toegang hebben tot de faciliteiten van de voor de verwerking verantwoordelijke en de gegevensverwerker, of vertegenwoordigers die namens die toezichthoudende autoriteiten optreden, toegang te verlenen tot de fysieke faciliteiten van de gegevensverwerker op vertoon van een passende identificatie.

1. De partijen kunnen andere bepalingen overeenkomen betreffende de verlening van de dienst voor de verwerking van persoonsgegevens, waarin bijvoorbeeld de aansprakelijkheid wordt geregeld, mits deze niet direct of indirect in strijd zijn met de bepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de betrokkene en de door de GDPR geboden bescherming.

1. De clausules worden van kracht op de datum van aanvaarding van deze overeenkomst door de klant. Deze aanvaarding vindt plaats binnen het platform.

2. Beide partijen hebben het recht om te eisen dat opnieuw over de Clausules wordt onderhandeld indien wetswijzigingen of de ondoelmatigheid van de Clausules daartoe aanleiding geven.

3. De bepalingen zijn van toepassing voor de duur van de verlening van de diensten in verband met de verwerking van persoonsgegevens. Voor de duur van de verlening van diensten in verband met de verwerking van persoonsgegevens kunnen de bepalingen niet worden beëindigd, tenzij tussen de partijen andere bepalingen betreffende de verlening van diensten in verband met de verwerking van persoonsgegevens zijn overeengekomen.

4. Indien de verlening van diensten op het gebied van de verwerking van persoonsgegevens wordt beëindigd, en de persoonsgegevens worden gewist of teruggegeven aan de verantwoordelijke voor de verwerking overeenkomstig bepaling 11.1. en aanhangsel C.4., kunnen de bepalingen worden beëindigd door schriftelijke kennisgeving door een van beide partijen.

5. Handtekening


Namens de verantwoordelijke voor de verwerking

Naam
Datum
Handtekening

Namens de verwerker van de gegevens

Naam
Datum
Handtekening

A.1. Het doel van de verwerking van persoonsgegevens door de gegevensverwerker ten behoeve van de verantwoordelijke voor de verwerking is:

Workfeed verwerkt ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens om aan de verwerkingsverantwoordelijke een werknemersplanningssoftware ter beschikking te stellen.

A.2. De verwerking van persoonsgegevens door de gegevensverwerker ten behoeve van de verantwoordelijke voor de verwerking heeft voornamelijk betrekking op (de aard van de verwerking):

De aard van de verwerking omvat:
Verzamelen: Workfeed verzamelt persoonsgegevens die door de verwerkingsverantwoordelijke of aan de verwerkingsverantwoordelijke verbonden werknemers worden verstrekt.

Opslag: De verzamelde gegevens worden opgeslagen met als doel de persoonsgegevens te visualiseren in het SaaS product..

Interactie met externe systemen: De persoonsgegevens kunnen worden gebruikt voor integratie met de andere systemen en diensten van de datacontroller indien de datacontroller de Workfeed's integratieservice wenst toe te passen.

A.3. De verwerking omvat de volgende soorten persoonsgegevens over betrokkenen:

Alle persoonsgegevens die door gebruikers in het systeem worden ingevoerd, waaronder:
Naam
Nationaal identificatienummer (BSN of vergelijkbaar)
Adres (fysiek, e-mail en IP)
Telefoonnummers
Salarisgegevens
Profielfoto's
Werkplekgegevens (rollen, afdelingen, enz.)
Afwezigheid
Locatiegegevens (niet opgeslagen)
Beschikbaarheid (gewenste werktijden, enz.)

A.4. De verwerking omvat de volgende categorieën betrokkenen:

Personeel van de verantwoordelijke voor de verwerking.

A.5. De verwerking van persoonsgegevens door de gegevensverwerker namens de verantwoordelijke voor de verwerking kan worden uitgevoerd wanneer de clausules ingaan. De verwerking heeft de volgende duur:

De gegevensverwerking begint bij het aangaan van deze overeenkomst en duurt voort totdat de verwerkingsverantwoordelijke schriftelijk heeft verzocht de verwerking te staken.