Verwerkersovereenkomst
Inleiding
Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst tussen Social Monsters (Hierna: “Social Monsters” of “Verwerker”) en de natuurlijke persoon of rechtspersoon met wie Social Monsters een overeenkomst tot levering en gebruik van de Social Monsters dienstverlening aangaat (Hierna: “Klant” of “Verwerkingsverantwoordelijke”). Samen worden Verwerkings-verantwoordelijke en Verwerker de “Partijen” genoemd.
Voor het gebruik van de Social Monsters dienstverlening hebben Partijen een overeenkomst gesloten waar tevens de Leveringsvoorwaarden van Social Monsters op van toepassing zijn (gezamenlijk: “Hoofdovereenkomst”).
Voor de uitvoering van de Hoofdovereenkomst worden door Social Monsters, namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Conform de Toepasselijke Wetgeving gaan Partijen deze overeenkomst aan, die hun respectievelijke rechten en plichten uiteenzet met betrekking tot de verwerking van persoonsgegevens (de “Verwerkersovereenkomst”). De Hoofdovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking van Persoonsgegevens.
1. Definities
De volgende begrippen krijgen de betekenis zoals hieronder aangeduid:
Betrokkene of Betrokken Personen: de identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden.
Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Social Monsters in het kader van de Hoofdovereenkomst ten behoeve van Verwerkingsverantwoordelijke verwerkt.
Medewerker(s): de personen die door de Partijen worden gemachtigd voor de uitvoering van deze Verwerkingsovereenkomst en die onder hun verantwoordelijkheid werken.
Subverwerker: iedere derde partij die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
Toepasselijke Wetgeving: wetten of andere (lokale) voorschriften, verordeningen, richtlijnen of beleidslijnen, instructies of aanbevelingen van overheidsinstanties die van toepassing zijn op de verwerking van de persoonlijke gegevens, inclusief eventuele wijzigingen, vervangingen, updates of andere latere versies daarvan;
Verwerking: iedere bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
2. Toegestane verwerkingen
Social Monsters verbindt zich ertoe enkel Persoonsgegevens te verwerken voor rekening van Verwerkingsverantwoordelijke in het kader van de activiteiten, zoals omschreven in de Hoofdovereenkomst. De Hoofdovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking.
Voor de uitvoering van de Hoofdovereenkomst en voor ondersteuning van de Verwerkingsverantwoordelijke kan Social Monsters voor de volledige duur van de overeenkomst de Persoonsgegevens aan de volgende Verwerkingen onderwerpen:
Opslaan, bijwerken of wijzigen, raadplegen, gebruiken, afschermen, wissen of vernietigen van gegevens.
Social Monsters verwerkt de volgende soorten Persoonsgegevens:
Namen, adressen, woonplaatsen, e-mail, telefoonnummers, bankgegevens, IP-adressen, locatiegegevens, apparaattypes.
3. Rechten en plichten van verwerkingsverantwoordelijke
Verwerkingsverantwoordelijke stelt de Persoonsgegevens ter beschikking aan Social Monsters. Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de Verwerking. Verwerkingsverantwoordelijke garandeert dat de Verwerking van de Persoonsgegevens, waaronder de verzameling, gebeurt overeenkomstig de relevante Toepasselijke Wetgeving.
Indien de Medewerkers van Verwerkingsverantwoordelijke zelf Persoonsgegevens verwerken valt de verantwoordelijkheid voor de naleving van de Toepasselijke Wetgeving onder de verantwoordelijkheid van Verwerkingsverantwoordelijke.
4. Gegevensverwerking
Social Monsters mag enkel de Persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de Hoofdovereenkomst. Social Monsters heeft geen zeggenschap over het doel van de Verwerking van Persoonsgegevens.
Social Monsters zal de persoonsgegevens uitsluitend bekendmaken aan medewerkers en/of subverwerkers die (noodzakelijkerwijs) toegang hebben tot de persoonsgegevens voor de uitvoering van de verplichtingen onder de Hoofdovereenkomst, tenzij anders vereist door de Toepasselijke Wet
Social Monsters verwerkt geen Persoonsgegevens op een locatie buiten de Europese Economische Ruimte.
De Persoonsgegevens op back-ups genieten dezelfde bescherming als de originele Persoonsgegevens.
Social Monsters garandeert dat haar Medewerkers uitsluitend toegang hebben tot de Persoonsgegevens voor zover dit nodig is om hun taken in het kader van de opdracht tot Verwerking uit te voeren. Social Monsters zal zijn Medewerkers informeren over de verplichtingen van deze Verwerkersovereenkomst.
5. Subverwerkers
Social Monsters is gerechtigd om bij de uitvoering van de dienstverlening gebruik te maken van subverwerkers. Op aanvraag kan informatie over subverwerkers worden opgevraagd door Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan enkel weigeren mits gegronde redenen. Social Monsters blijft te allen tijde het aanspreekpunt voor Verwerkingsverantwoordelijke.
Social Monsters waarborgt dat met ingeschakelde subverwerkers een overeenkomst wordt gesloten, waarin dezelfde waarborgen inzake gegevensbescherming worden overeengekomen als uiteengezet in deze Overeenkomst. Verwerker blijft volledig verantwoordelijk ten aanzien van de Verwerkingsverantwoordelijke voor de naleving door de Subverwerker van haar verplichtingen.
Daarnaast kunnen, na expliciete toestemming van de Verwerkinsgsverantwoordelijke, persoonsgegevens met subverwerkers gedeeld worden indien van aanvullende diensten gebruik wordt gemaakt.
6. Vertrouwelijkheid
Social Monsters is gehouden tot een vertrouwelijkheidsplicht ten aanzien van de Persoonsgegevens die in opdracht van Verwerkingsverantwoordelijke worden verwerkt. Deze geheimhoudingsplicht geldt onverkort voor de Medewerkers van Social Monsters en voor eventuele Subverwerkers. Ook na het beëindigen van de verwerkersovereenkomst blijft de vertrouwelijkheidsplicht voortduren.
Deze vertrouwelijkheidsplicht geldt niet wanneer Verwerker door de Toezichthoudende Autoriteit, een wettelijke bepaling of een rechterlijk bevel verplicht wordt deze Persoonsgegevens mede te delen, wanneer de informatie openbaar bekend is en wanneer de gegevensverstrekking plaatsvindt in opdracht van Verwerkingsverantwoordelijke.
7. Veiligheidsmaatregelen
Social Monsters neemt de vereiste passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen zodat de Verwerking aan de Toepasselijke Wetgeving voldoet en de rechten van Betrokkenen zijn gewaarborgd.
Social Monsters hanteert een passend beschermingsniveau, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking. Social Monsters is verantwoordelijk voor het aanbrengen en / of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht of vereist door de wet.
Social Monsters is verantwoordelijk voor het aanbrengen en/of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht onder de Toepasselijke Wetgeving of wordt verzocht door Opdrachtgever. Eventuele extra kosten komen voor rekening van Opdrachtgever, tenzij anders is overeengekomen.
8. Melding van een datalek
Indien Social Monsters een Datalek vaststelt, meldt hij dit onverwijld en ten laatste binnen de 48 uur aan Verwerkingsverantwoordelijke na de vaststelling. Deze melding wordt ten minste het volgende omschreven of meegedeeld:
De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van Betrokkenen en de Persoonsgegevens in kwestie;
De waarschijnlijke gevolgen van het Datalek in verband met Persoonsgegevens;
De maatregelen die Social Monsters neemt om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen om de eventuele nadelige gevolgen daarvan te beperken.
Social Monsters informeert Verwerkingsverantwoordelijke ook na een melding op basis van het vorige artikel over de ontwikkelingen betreffende het vastgestelde Datalek.
Verwerkingsverantwoordelijke dient te beoordelen of zij de Toezichthoudende Autoriteit en/of de betrokkenen daarover informeert.
Partijen dragen beiden de door henzelf gemaakte kosten in verband met een melding aan de toezichthoudende autoriteit en/of Betrokkene.
9. Verzoeken van betrokkenen of overheidsinstanties
Social Monsters zal Verwerkingsverantwoordelijke in de mate van het mogelijke assisteren bij verzoeken van Betrokken. In het geval dat een betrokkene een dergelijk verzoek richt aan Social Monsters, zal Social Monsters het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen, tenzij expliciet anders overeengekomen.
Social Monsters staat Verwerkingsverantwoordelijke in de mate van het mogelijke bij om verzoeken van overheidsinstanties te beantwoorden.
Voor de uitvoering van artikel 9.1 en 9.2 worden de door Social Monsters gemaakte kosten vergoed door Verwerkingsverantwoordelijke, tenzij anders is overeengekomen.
10. Informatieverplichting en audit
Social Monsters stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
Verwerkingsverantwoordelijke heeft de mogelijkheid om maximaal eenmaal per jaar op eigen kosten een audit of gegevensbeschermingseffectbeoordeling uit te (laten) voeren. Social Monsters verleent alle benodigde medewerking aan audits van Verwerkingsverantwoordelijke.
11. Intellectuele eigendomsrechten
Alle intellectuele eigendomsrechten op de Persoonsgegevens en op de databanken met deze Persoonsgegevens komen toe aan Verwerkingsverantwoordelijke. Deze intellectuele eigendomsrechten zijn onder andere het auteursrecht en het sui generis Social Monsters ontvangt slechts een beperkt gebruiksrecht voor zover nodig om de overeengekomen Verwerkingen uit te voeren.
12. Duur en einde van de overeenkosmt
De Verwerkersovereenkomst treedt in werking op het moment dat Partijen de Hoofdovereenkomst sluiten en wordt aangegaan voor de duur van de Hoofdovereenkomst.
Partijen kunnen de Verwerkersovereenkomst niet tussentijds opzeggen.
De Verwerkersovereenkomst eindigt nadat en voor zover Social Monsters alle Persoonsgegevens overeenkomstig artikel 12.4 heeft gewist. Social Monsters verwijdert back-ups en kopieën, behoudens afwijkende wettelijke voorschriften.
Bij beëindiging van de Hoofdovereenkomst blijven alle verwerkte Persoonsgegevens drie (3) maanden beschikbaar.
13. Algemene bepalingen
Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst. De rechten en verplichtingen die voortvloeien uit de Hoofdovereenkomst en de Leveringsvoorwaarden van Social Monsters zijn daarom ook van toepassing op de Verwerkersovereenkomst.
Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst voor zover de bepalingen specifiek betrekking hebben op de Verwerking van Persoonsgegevens.
Deze overeenkomst vervangt alle voorgaande of bestaande afspraken tussen de partijen met betrekking tot de verwerking van Persoonsgegevens. Deze overeenkomst kan enkel schriftelijk gewijzigd worden, na gezamenlijke ondertekening door de Partijen.
Overeenkomstig de Leveringsvoorwaarden van Social Monsters is ook op de Verwerkersovereenkomst het Nederlandse recht van toepassing en geschillen worden aanhangig gemaakt bij de bevoegde rechter te Amsterdam; dan wel, ter keuze van Social Monsters, bij de bevoegde rechter van de woonplaats van Verwerkingsverantwoordelijke.
14. Persoonlijke wensen
Social Monsters voldoet graag aan de wensen van zijn klanten. Wij gaan te allen tijde zorgvuldig om met persoonsgegevens. Het is echter mogelijk om een persoonlijke overeenkomst met betrekking tot de samenwerking tussen Social Monsters en de afnemer.