1. PREAMBULE
1.1 Onder de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en de Servische wet op de gegevensbescherming (DPL), heeft YOUNIFY DOO NIŠ, Vozda Karadjordja nr. 5/14, Servië, registratienummer 20657367 (Younify) de positie van een ‘Verwerker’ en hebben de klanten van Younify de positie van een ‘Verwerkingsverantwoordelijke’ met betrekking tot de persoonsgegevens die namens de klant worden verwerkt via het gebruik van de diensten van Younify.
1.2 Deze Verwerkersovereenkomst vormt een addendum en een integraal onderdeel van de overeenkomst voor diensten die is gesloten tussen Younify en haar klanten.
2. DEFINITIES
2.1 De volgende definities verklaren een deel van de terminologie en afkortingen die in deze Verwerkersovereenkomst worden gebruikt:
‘DPA’ verwijst naar deze Verwerkersovereenkomst.
‘Voorwaarden’ verwijst naar de algemene voorwaarden van de samenwerking tussen Younify en haar klanten, ongeacht of dergelijke voorwaarden zijn opgenomen in één enkel document of op andere wijze zijn uitgewisseld tussen Younify en haar klanten.
‘Verwerker’ verwijst naar YOUNIFY DOO NIŠ, Vozda Karadjordja nr. 5/14, Servië, registratienummer 20657367.
‘Verwerkingsverantwoordelijke’ verwijst naar de klanten van de Verwerker.
‘Verwerking’ verwijst naar elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
‘Gegevens’ verwijst naar informatie die door de Verwerkingsverantwoordelijke aan de Verwerker is verstrekt, of door de Verwerker namens de Verwerkingsverantwoordelijke is verzameld, met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
‘Betrokkene’ verwijst naar een geïdentificeerde of identificeerbare natuurlijke persoon op wie de Gegevens betrekking hebben.
‘Datalek’ verwijst naar een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Gegevens.
3. VERWERKING
3.1 De Verwerker verbindt zich ertoe alle Gegevens te verwerken in overeenstemming met de AVG, DPL en andere toepasselijke wetten, statuten en voorschriften. De aard en het doel van de verwerking, de soorten verwerkte Gegevens en de categorieën Betrokkenen wiens Gegevens worden verwerkt, zijn uiteengezet in de Bijlage bij deze DPA.
3.2 De Verwerker mag de Gegevens uitsluitend verwerken in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. De hierin bedoelde instructies zijn opgenomen in de Voorwaarden, deze DPA, of kunnen zijn vervat in een ander schriftelijk document dat is gesloten of uitgewisseld tussen de Verwerkingsverantwoordelijke en de Verwerker.
3.3 Tijdens de looptijd van deze DPA blijft de Verwerkingsverantwoordelijke de eigenaar van de Gegevens die aan de Verwerker zijn overgedragen, evenals van de Gegevens die door de Verwerker namens de Verwerkingsverantwoordelijke zijn verzameld. Niets in deze DPA mag worden opgevat als een overdracht van de eigendom van de Gegevens aan de Verwerker of enige andere derde partij.
3.4 De Verwerkingsverantwoordelijke garandeert dat de Gegevens zijn verkregen in overeenstemming met de toepasselijke wetten, statuten en voorschriften en dat de verwerking waarom de Verwerkingsverantwoordelijke verzoekt geen inbreuk maakt op enige toepasselijke wet, statuut of voorschrift.
3.5 Gegevens die de Verwerker zal verwerken, omvatten de Gegevens waarom de Verwerkingsverantwoordelijke van geval tot geval verzoekt.
3.6 Gegevens kunnen worden verwerkt binnen de duur van deze DPA.
4. PERSONEEL
4.1 De Verwerker zorgt ervoor dat alle werknemers, contractanten en andere personen die onder het gezag van de Verwerker handelen, gebonden zijn aan een strikte geheimhoudingsovereenkomst voordat zij toegang krijgen tot de Gegevens.
4.2 De Verwerker neemt maatregelen om ervoor te zorgen dat elke persoon die onder het gezag van de Verwerker handelt en toegang heeft tot de Gegevens, deze niet verwerkt, tenzij op instructie van de Verwerkingsverantwoordelijke.
5. BEVEILIGING
5.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en de doeleinden van de verwerking, evenals de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen, treft de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder, waar passend, onder meer:
• de pseudonimisering en versleuteling van de Gegevens;
• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Gegevens tijdig te herstellen;
• een procedure voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
5.2 Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de risico’s die de verwerking met zich meebrengt, met name als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Gegevens, hetzij per ongeluk, hetzij onrechtmatig.
6. SUBVERWERKER
6.1 De Verwerkingsverantwoordelijke gaat ermee akkoord dat de Verwerker subverwerkers kan inschakelen wanneer dit passend is in verband met de diensten die door de Verwerker aan de Verwerkingsverantwoordelijke worden geleverd (algemene toestemming). De Verwerkingsverantwoordelijke kan contact opnemen met de Verwerker via office@younify.nl om de op dat moment actuele lijst van subverwerkers te ontvangen. De Verwerkingsverantwoordelijke kan zich ook aanmelden door een e-mail te sturen naar office@younify.nl om meldingen te ontvangen over de voorgenomen wijziging van subverwerkers, waardoor de Verwerkingsverantwoordelijke de mogelijkheid krijgt om binnen vijftien (15) dagen na ontvangst van de kennisgeving over wijzigingen schriftelijk bezwaar te maken tegen dergelijke wijzigingen.
6.2 Wanneer de Verwerker een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Verwerkingsverantwoordelijke, worden aan die andere verwerker bij overeenkomst of een andere rechtshandeling dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze DPA zijn vastgelegd, waarbij voldoende garanties worden geboden dat passende technische en organisatorische maatregelen zo worden toegepast dat de verwerking voldoet aan de vereisten van de toepasselijke wetten, statuten en voorschriften. Wanneer die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van die andere verwerker.
7. RECHTEN VAN BETROKKENEN
7.1 Rekening houdend met de aard van de verwerking verleent de Verwerker de Verwerkingsverantwoordelijke voor zover mogelijk bijstand door middel van passende technische en organisatorische maatregelen, bij het vervullen van de plicht van de Verwerkingsverantwoordelijke om verzoeken om uitoefening van de in de AVG vastgestelde rechten van de Betrokkene te beantwoorden.
7.2 De Verwerker zal:
• de Verwerkingsverantwoordelijke onverwijld op de hoogte stellen indien de Verwerker of Subverwerker een verzoek ontvangt van een Betrokkene op grond van de AVG of andere toepasselijke wetten, statuten of voorschriften met betrekking tot de Gegevens; en
• ervoor zorgen dat de Verwerker of Subverwerker niet op dat verzoek reageert, behalve op gedocumenteerde instructies van de Verwerkingsverantwoordelijke of zoals vereist door toepasselijke wetgeving waaraan de Verwerker of Subverwerker is onderworpen, in welk geval de Verwerker de Verwerkingsverantwoordelijke, voor zover toegestaan door de toepasselijke wetgeving, op de hoogte stelt van dat wettelijke vereiste voordat de Verwerker of Subverwerker op het verzoek reageert.
8. DATALEK
8.1 De Verwerker stelt de Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte nadat hij kennis heeft genomen van een Datalek dat de Gegevens treft, waarbij de Verwerkingsverantwoordelijke wordt voorzien van voldoende informatie om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan eventuele verplichtingen om het Datalek te melden aan of informatie te verstrekken aan bevoegde autoriteiten en Betrokkenen waar nodig.
8.2 De Verwerker werkt samen met de Verwerkingsverantwoordelijke en neemt de redelijke commerciële stappen die door de Verwerkingsverantwoordelijke worden opgedragen om te helpen bij het onderzoek, de beperking en het herstel van elk dergelijk Datalek.
9. GEGEVENSBESCHERMINGSEFFECTBEOORDELING EN VOORAFGAANDE RAADPLEGING
9.1 De Verwerker verleent de Verwerkingsverantwoordelijke redelijke bijstand bij eventuele gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen van bevoegde gegevensbeschermingsautoriteiten, die de Verwerkingsverantwoordelijke redelijkerwijs noodzakelijk acht op grond van de AVG of gelijkwaardige bepalingen van enige andere toepasselijke wet, in elk geval uitsluitend met betrekking tot de verwerking van de Gegevens door de Verwerker, en rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.
10. VERWIJDERING OF TERUGZENDING VAN DE GEGEVENS
10.1 Onverminderd de artikelen 10.2 en 10.3 zullen de Verwerker en elke eventuele Subverwerker onverwijld en in ieder geval binnen dertig (30) dagen na de datum van beëindiging van alle diensten waarbij de verwerking van de Gegevens betrokken is (de “Beëindigingsdatum”), alle kopieën van die Gegevens verwijderen en de verwijdering ervan bewerkstelligen.
10.2 Onverminderd artikel 10.3 kan de Verwerkingsverantwoordelijke naar eigen goeddunken door middel van een schriftelijke kennisgeving aan de Verwerker binnen zeven (7) dagen na de Beëindigingsdatum eisen dat de Verwerker en elke eventuele Subverwerker een volledige kopie van alle Gegevens aan de Verwerkingsverantwoordelijke terugsturen via een beveiligde bestandsoverdracht in een formaat dat redelijkerwijs door de Verwerkingsverantwoordelijke aan de Verwerker wordt meegedeeld; en
10.3 De Verwerker mag de Gegevens bewaren voor zover vereist door de toepasselijke wetgeving en uitsluitend voor zover en voor de periode die vereist is door de toepasselijke wetgeving, en altijd op voorwaarde dat de Verwerker de vertrouwelijkheid van al deze Gegevens waarborgt en ervoor zorgt dat deze Gegevens uitsluitend worden verwerkt voor zover noodzakelijk voor het doel of de doeleinden gespecificeerd in de toepasselijke wetgeving die de opslag ervan vereist en voor geen enkel ander doel.
10.4 De Verwerker verstrekt een schriftelijke bevestiging aan de Verwerkingsverantwoordelijke dat de Verwerker volledig heeft voldaan aan dit artikel 10 op schriftelijk verzoek van de Verwerkingsverantwoordelijke, ingediend na het verstrijken van de termijn uit artikel 10.1.
11. AUDITRECHTEN
11.1 Onverminderd de bepalingen van dit artikel 11, en uitsluitend op kosten van de Verwerkingsverantwoordelijke, stelt de Verwerker op verzoek alle informatie aan de Verwerkingsverantwoordelijke ter beschikking die nodig is om de naleving van deze DPA aan te tonen, en staat hij audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde auditor met betrekking tot de verwerking van de Gegevens toe en draagt hij daaraan bij. Alle kosten van de audit komen voor rekening van de Verwerkingsverantwoordelijke en de audit moet ten minste één maand van tevoren worden gepland. De Verwerkingsverantwoordelijke mag de audit pas starten als deze een borgsom of zekerheid heeft gesteld die dient ter vergoeding van enig verlies of schade die door de audit kan worden veroorzaakt, zoals het staken van de dienstverlening of de aan de audit bestede werkuren van werknemers. Het bedrag van de borgsom of zekerheid wordt vooraf overeengekomen met de Verwerker.
11.2 Informatie- en auditrechten van de Verwerkingsverantwoordelijke ontstaan op grond van artikel 11.1 uitsluitend voor zover de Voorwaarden hen niet op andere wijze informatie- en auditrechten verlenen die voldoen aan de relevante vereisten van de AVG.
12. SLOTBEPALINGEN
12.1 Elke aangelegenheid die niet door deze DPA wordt geregeld, wordt beheerst door de Voorwaarden of enige Statement of Work of Order die tussen de partijen bij deze DPA is gesloten of uitgewisseld.
12.2 Indien een deel van deze DPA in enig opzicht ongeldig, onwettig of onuitvoerbaar wordt bevonden, heeft dit geen invloed op de geldigheid of uitvoerbaarheid van de rest van de Voorwaarden.
12.3 Het niet uitoefenen of afdwingen van enig recht of enige bepaling van deze DPA vormt geen afstand van een dergelijk recht of een dergelijke bepaling.
12.4 De titels van de artikelen in de DPA dienen uitsluitend voor het gemak en hebben geen wettelijke of contractuele gevolgen.
12.5 Deze DPA kan in andere talen worden verstrekt, maar in elk dergelijk geval wordt de Engelse versie als de authentieke versie beschouwd.
Bijlage – Reikwijdte van de verwerking
Het doel van de verwerking van Gegevens door de Verwerker namens de Verwerkingsverantwoordelijke is:
• dat de Verwerkingsverantwoordelijke gebruik kan maken van de Younify-diensten die eigendom zijn van en worden beheerd door de Verwerker om gegevens over de gebruikers en klanten van de Verwerkingsverantwoordelijke te verzamelen en te verwerken.
De verwerking van Gegevens door de Verwerker namens de Verwerkingsverantwoordelijke heeft hoofdzakelijk betrekking op (de aard van de verwerking):
het verwerken van klantgegevens van de Verwerkingsverantwoordelijke, het opslaan van inhoud op de servers van de Verwerker of servers van een derde partij waarmee de Verwerker een overeenkomst heeft, en het verzamelen en verwerken van statistische informatie over de klanten van de Verwerkingsverantwoordelijke.
De verwerking omvat de volgende soorten persoonsgegevens over betrokkenen:
• Naam, e-mailadres, adres, betalingsinformatie en andere informatie over de klanten zoals gespecificeerd door de Verwerkingsverantwoordelijke en door de aard van de van de Verwerker gevraagde diensten
De verwerking omvat de volgende categorieën betrokkenen:
• Personen die gebruikmaken van de diensten van de Verwerkingsverantwoordelijke, personen die deel uitmaken van de doelmarkt van de Verwerkingsverantwoordelijke en andere personen die van belang zijn voor de Verwerkingsverantwoordelijke.
De verwerking van Gegevens door de Verwerker namens de Verwerkingsverantwoordelijke kan worden uitgevoerd zodra deze Verwerkersovereenkomst ingaat. De verwerking heeft de volgende duur:
• De verwerking is niet in tijd beperkt en wordt uitgevoerd totdat deze Verwerkersovereenkomst door een van de Partijen wordt beëindigd of opgezegd.
