Verwerkersovereenkomst

Dit document is een afgeleide van de Common Paper DPA-standaardvoorwaarden (versie 1.0) en de volgende wijzigingen zijn aangebracht:

1. Toepasselijk recht en gekozen rechtbanken is hieronder als sectie opgenomen met Governing State hierboven geïdentificeerd.
2. Relatie met dienstverlener is hieronder als sectie opgenomen.

1. Aanbieder als Verwerker

In situaties waarin Klant is een beheerder van de persoonlijke gegevens van de klant, Aanbieder wordt beschouwd als een Verwerker die namens ons Persoonsgegevens Verwerkt Klant.

2. Aanbieder als Subverwerker

In situaties waarin Klant is een Verwerker van de Persoonsgegevens van de Klant, Aanbieder wordt beschouwd als een Subverwerker van de Persoonsgegevens van de Klant.

1. Verwerkingsdetails

Bijlage I(B) op het voorblad beschrijft het onderwerp, de aard, het doel en de duur van deze verwerking, evenals de Categorieën persoonlijke gegevens verzameld en Categorieën van betrokkenen.

2. Verwerkingsinstructies

Klant instrueert Aanbieder om Persoonsgegevens van Klanten te Verwerken: (a) om de Dienst te verlenen en te onderhouden; (b) zoals verder kan worden gespecificeerd via Klanten gebruik van de Dienst; (c) zoals gedocumenteerd in de Overeenkomst; en (d) zoals gedocumenteerd in eventuele andere schriftelijke instructies gegeven door Klant en erkend door Aanbieder over de verwerking van persoonsgegevens van klanten onder deze DPA. Aanbieder zal zich aan deze instructies houden, tenzij dit op grond van de toepasselijke wetgeving verboden is. Aanbieder zal onmiddellijk informeren Klant indien zij de Verwerkingsinstructies niet kan volgen. Klant heeft instructies gegeven en zal deze alleen geven die voldoen aan de toepasselijke wetgeving.

3. Verwerking door Aanbieder

Aanbieder zal uitsluitend Persoonsgegevens van Klant Verwerken in overeenstemming met deze DPA, inclusief de details op het Voorblad. Als Aanbieder werkt de Service bij om bestaande producten, functies of functionaliteit bij te werken of toe te voegen, Aanbieder kan de Categorieën van betrokkenen, Categorieën persoonlijke gegevens, Speciale categoriegegevens, Speciale categoriegegevensbeperkingen of -waarborgen, Frequentie van overdracht, Aard en doel van de verwerking, en Duur van de verwerking indien nodig om de updates weer te geven door middel van kennisgeving Klant van de updates en wijzigingen.

4. Klantverwerking

Waar Klant is een Verwerker en Aanbieder is een Subverwerker, Klant zal voldoen aan alle toepasselijke wetten die van toepassing zijn Klanten Verwerking van persoonlijke gegevens van klanten. Klanten overeenkomst met de Verwerkingsverantwoordelijke eveneens vereist Klant om te voldoen aan alle toepasselijke wetten die van toepassing zijn Klant als Verwerker. In aanvulling, Klant zal voldoen aan de eisen van de Subverwerker in Klanten overeenkomst met de Verwerkingsverantwoordelijke.

5. Toestemming voor verwerking

Klant heeft voldaan en zal blijven voldoen aan alle toepasselijke wetten inzake gegevensbescherming met betrekking tot het verstrekken van persoonlijke gegevens van klanten aan Aanbieder en/of de Dienst, inclusief het openbaar maken van alle gegevens, het verkrijgen van alle toestemmingen, het bieden van adequate keuzemogelijkheden en het implementeren van relevante waarborgen die vereist zijn onder de Toepasselijke Wetgeving inzake Gegevensbescherming.

6. Subverwerkers

A. Aanbieder zal geen Persoonsgegevens van de Klant verstrekken, overdragen of overdragen aan een Subverwerker, tenzij Klant heeft de Subverwerker goedgekeurd. De huidige lijst van Erkende subverwerkers omvat de identiteit van de Subverwerkers, hun land van locatie en hun verwachte Verwerkingstaken. Aanbieder zal informeren Klant ten minste 10 werkdagen van tevoren schriftelijk op de hoogte te stellen van eventuele voorgenomen wijzigingen in de Erkende subverwerkers hetzij door toevoeging of vervanging van een Subverwerker, wat dit mogelijk maakt Klant om voldoende tijd te hebben om bezwaar te maken tegen de wijzigingen vóór de Aanbieder de nieuwe Subverwerker(s) in gebruik neemt. Aanbieder zal geven Klant de informatie die nodig is om dit mogelijk te maken Klant gebruik te maken van zijn recht om bezwaar te maken tegen de wijziging Erkende subverwerkers. Klant heeft 30 dagen na kennisgeving van een wijziging in de Erkende subverwerkers anders bezwaar maken Klant wordt geacht de wijzigingen te aanvaarden. Als Klant bezwaar maken tegen de wijziging binnen 30 dagen na kennisgeving, Klant en Aanbieder zal in goed vertrouwen samenwerken om het probleem op te lossen Klanten bezwaar of zorg.

B. Bij het inschakelen van een Subverwerker, Aanbieder zal een schriftelijke overeenkomst hebben met de Subverwerker die ervoor zorgt dat de Subverwerker alleen toegang heeft tot en gebruik maakt van de Persoonsgegevens van de Klant (i) voor zover dit nodig is om de verplichtingen uit te voeren die aan hem zijn uitbesteed, en (ii) in overeenstemming met de voorwaarden van Overeenkomst.

C. Indien de AVG van toepassing is op de Verwerking van Persoonsgegevens van Klanten, (i) worden de gegevensbeschermingsverplichtingen beschreven in deze DPA (zoals bedoeld in Artikel 28(3) van de AVG, indien van toepassing) ook opgelegd aan de Subverwerker, en (ii ) Van de aanbieder overeenkomst met de Subverwerker zal deze verplichtingen omvatten, inclusief details over hoe Aanbieder en zijn Subverwerker zullen coördineren om te reageren op vragen of verzoeken over de Verwerking van Persoonsgegevens van Klanten. In aanvulling, Aanbieder zal delen, op Klanten verzoeken om een kopie van haar overeenkomsten (inclusief eventuele wijzigingen) met haar Subverwerkers. Voor zover nodig om bedrijfsgeheimen of andere vertrouwelijke informatie, inclusief persoonsgegevens, te beschermen, Aanbieder kan de tekst van haar overeenkomst met haar Subverwerker redigeren voordat zij een kopie deelt.

D. Aanbieder blijft volledig aansprakelijk voor alle verplichtingen die zijn uitbesteed aan zijn Subverwerkers, inclusief het handelen en nalaten van zijn Subverwerkers bij de Verwerking van Persoonsgegevens van Klanten. Aanbieder zal de Klant op de hoogte stellen van elk verzuim van zijn Subverwerkers om te voldoen aan een materiële verplichting met betrekking tot Persoonsgegevens van de Klant op grond van de overeenkomst tussen Aanbieder en de Subverwerker.

1. Autorisatie

Klant is het daarmee eens Aanbieder kan persoonlijke gegevens van klanten overdragen buiten de EER, het Verenigd Koninkrijk of een ander relevant geografisch gebied als dit nodig is om de Dienst te verlenen. Als Aanbieder Persoonsgegevens van Klanten overdraagt naar een gebied waarvoor de Europese Commissie of een andere relevante toezichthoudende autoriteit geen adequaatheidsbesluit heeft uitgevaardigd, Aanbieder zal passende waarborgen implementeren voor de overdracht van persoonlijke gegevens van klanten naar dat gebied, in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

2. Overdrachten naar ex-EER-landen

Klant en Aanbieder ga ermee akkoord dat als de AVG de overdracht van persoonlijke gegevens van klanten beschermt, de overdracht plaatsvindt Klant van binnen de EER naar Aanbieder buiten de EER, en de overdracht valt niet onder een adequaatheidsbesluit van de Europese Commissie, dan door het aangaan van deze DPA, Klant en Aanbieder worden geacht de EER-SCC's en hun bijlagen, die door middel van verwijzing zijn opgenomen, te hebben ondertekend. Een dergelijke overdracht vindt plaats op grond van de EER-SCC's, die als volgt worden ingevuld:

A. Module Twee (Verwerkingsverantwoordelijke tot Verwerker) van de EER-SCC's is van toepassing wanneer Klant is een Verwerkingsverantwoordelijke en Aanbieder waarvoor Persoonsgegevens van klanten verwerkt Klant als Verwerker.

B. Module Drie (Verwerker tot Subverwerker) van de EER-SCC's is van toepassing wanneer Klant is een Verwerker en Aanbieder verwerkt namens Klant als Subverwerker.

C. Voor elke module geldt (indien van toepassing):

1. De optionele dockingclausule in artikel 7 is niet van toepassing;

2. In Artikel 9 is Optie 2 (algemene schriftelijke toestemming) van toepassing, en de minimale termijn voor voorafgaande kennisgeving van wijzigingen aan de Subverwerker bedraagt 10 werkdagen;

3. In artikel 11 is de optionele taal niet van toepassing;

4. Alle vierkante haken in artikel 13 zijn verwijderd;

5. In artikel 17 (Optie 1) zijn de SCC's van de EER onderworpen aan de wetten van Regerende lidstaat;

6. In artikel 18(b) worden geschillen beslecht door de rechtbanken van de Regerende lidstaat; En

7. Het voorblad van deze DPA bevat de informatie die vereist is in bijlage I, bijlage II en bijlage III van de EER-SCC's.

3. Overdrachten buiten het Verenigd Koninkrijk

Klant en Aanbieder ga ermee akkoord dat als de Britse AVG de overdracht van persoonlijke gegevens van klanten beschermt, de overdracht plaatsvindt vanaf Klant vanuit Groot-Brittannië naar Aanbieder buiten het Verenigd Koninkrijk, en de overdracht niet valt onder een adequaatheidsbesluit van de minister van Buitenlandse Zaken van het Verenigd Koninkrijk, dan door het aangaan van deze DPA, Klant en Aanbieder worden geacht het UK Addendum en de bijbehorende bijlagen, die door middel van verwijzing zijn opgenomen, te hebben ondertekend. Een dergelijke overdracht vindt plaats overeenkomstig het UK Addendum, dat als volgt wordt ingevuld:

A. Paragraaf 3.2 van deze DPA bevat de informatie die vereist is in Tabel 2 van het UK Addendum.

B. Tabel 4 van het UK Addendum wordt als volgt gewijzigd: Geen van beide partijen mag het UK Addendum beëindigen zoals uiteengezet in artikel 19 van het UK Addendum; voor zover ICO een herzien goedgekeurd addendum uitbrengt onder sectie 18 van het UK Addendum, zullen de partijen te goeder trouw werken om deze DPA dienovereenkomstig te herzien.

C. Het voorblad bevat de informatie die vereist is op grond van bijlage 1A, bijlage 1B, bijlage II en bijlage III van het UK Addendum.

4. Andere internationale overdrachten

Voor overdrachten van Persoonsgegevens waarbij de Zwitserse wet (en niet de wet in een EER-lidstaat of het Verenigd Koninkrijk) van toepassing is op het internationale karakter van de overdracht, zijn verwijzingen naar de AVG in artikel 4 van de EER-SCC's, voor zover wettelijk vereist, gewijzigd om in plaats daarvan te verwijzen naar de Zwitserse federale wet op gegevensbescherming of de opvolger ervan, en het concept van toezichthoudende autoriteit zal de Zwitserse federale commissaris voor gegevensbescherming en informatie omvatten.

1. Zodra u zich bewust wordt van een beveiligingsincident, Aanbieder zal: (a) op de hoogte stellen Klant indien mogelijk zonder onnodige vertraging, maar uiterlijk 72 uur nadat u zich bewust bent geworden van het Beveiligingsincident; (b) tijdig informatie verstrekken over het Beveiligingsincident zodra dit bekend wordt of zoals redelijkerwijs wordt gevraagd door Klant; en (c) onmiddellijk redelijke stappen ondernemen om het Beveiligingsincident in te dammen en te onderzoeken. Van de aanbieder kennisgeving van of reactie op een Beveiligingsincident zoals vereist door deze DPA zal niet worden opgevat als een erkenning door Aanbieder van enige schuld of aansprakelijkheid voor het Beveiligingsincident.

1. Auditrechten

Aanbieder zal geven Klant alle informatie die redelijkerwijs nodig is om aan te tonen dat hij deze DPA naleeft en Aanbieder zal audits mogelijk maken en eraan bijdragen, inclusief inspecties door Klant, beoordelen Van de aanbieder naleving van deze DPA. Echter, Aanbieder kan de toegang tot gegevens of informatie beperken als Klanten toegang tot de informatie zou een negatieve impact hebben Van de aanbieder intellectuele eigendomsrechten, vertrouwelijkheidsverplichtingen of andere verplichtingen onder de toepasselijke wetgeving. Klant erkent en stemt ermee in dat zij haar auditrechten onder deze DPA en eventuele auditrechten verleend door de toepasselijke wetgeving inzake gegevensbescherming alleen zal uitoefenen door opdracht te geven Aanbieder om te voldoen aan de onderstaande rapportage- en due diligence-vereisten. Aanbieder zal gedurende drie jaar na het einde van de DPA gegevens bijhouden over de naleving van deze DPA.

2. Beveiligingsrapporten

Klant erkent dat Aanbieder wordt regelmatig gecontroleerd op basis van de normen die zijn gedefinieerd in de Veiligheidsbeleid door onafhankelijke externe auditors. Op schriftelijk verzoek, Aanbieder zal geven Klant, op vertrouwelijke basis, een samenvattend exemplaar van het op dat moment geldende rapport, zodat Klant kan verifiëren Van de aanbieder naleving van de normen die zijn vastgelegd in de Veiligheidsbeleid.

3. Beveiligingsdue diligence

Naast het rapport, Aanbieder zal reageren op redelijke verzoeken om informatie van Klant bevestigen Van de aanbieder naleving van deze DPA, inclusief antwoorden op informatiebeveiliging, due diligence en auditvragenlijsten, of door aanvullende informatie te geven over het informatiebeveiligingsprogramma. Al dergelijke verzoeken moeten schriftelijk worden ingediend bij de Beveiligingscontact provider en mag slechts één keer per jaar worden gemaakt.

1. Reactie op vragen

Als Aanbieder een vraag of verzoek van iemand anders ontvangt over de verwerking van persoonsgegevens van klanten, Aanbieder zal op de hoogte stellen Klant over het verzoek en Aanbieder zal niet op het verzoek reageren zonder Klanten voorafgaande toestemming. Voorbeelden van dit soort vragen en verzoeken zijn onder meer een gerechtelijk, administratief of regelgevend bevel over de Persoonsgegevens van Klanten waarbij melding wordt gemaakt Klant is niet verboden door de toepasselijke wetgeving of op verzoek van een betrokkene. Indien toegestaan door de toepasselijke wetgeving, Aanbieder zal volgen Klanten redelijke instructies over deze verzoeken, inclusief het verstrekken van statusupdates en andere informatie die redelijkerwijs door ons wordt gevraagd Klant. Als een betrokkene een geldig verzoek indient onder de toepasselijke wetgeving inzake gegevensbescherming om te verwijderen of zich hiervoor af te melden Klanten het verstrekken van persoonlijke gegevens van klanten aan Aanbieder, Aanbieder zal helpen Klant bij het voldoen aan het verzoek in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming. Aanbieder zal samenwerken met en redelijke hulp verlenen aan Klant, bij Klanten kosten, in een juridische reactie of andere procedurele actie ondernomen door Klant in reactie op een verzoek van een derde partij over Van de aanbieder Verwerking van persoonsgegevens van klanten onder deze DPA.

2. DPIA’s en DTIA’s

Indien vereist door de toepasselijke wetgeving inzake gegevensbescherming, Aanbieder redelijkerwijs zal helpen Klant bij het uitvoeren van verplichte gegevensbeschermingseffectbeoordelingen of gegevensoverdrachteffectbeoordelingen en overleg met de relevante gegevensbeschermingsautoriteiten, waarbij rekening wordt gehouden met de aard van de verwerking en de persoonsgegevens van klanten.

1. Verwijdering door Klant

Aanbieder zal mogelijk worden Klant om Persoonsgegevens van Klant te verwijderen op een manier die consistent is met de functionaliteit van de Diensten. Aanbieder zal deze instructie zo snel als redelijkerwijs mogelijk opvolgen, behalve wanneer verdere opslag van Persoonsgegevens van de Klant vereist is door de toepasselijke wetgeving.

2. Verwijdering bij het verlopen van de DPA

A. Nadat de DPA is verlopen, Aanbieder zal persoonlijke gegevens van klanten retourneren of verwijderen op Klanten tenzij verdere opslag van persoonlijke gegevens van klanten vereist of toegestaan is door de toepasselijke wetgeving. Als teruggave of vernietiging onuitvoerbaar of verboden is op grond van de toepasselijke wetgeving, Aanbieder zal redelijke inspanningen leveren om verdere verwerking van persoonlijke gegevens van klanten te voorkomen en zal de persoonlijke gegevens van klanten die in haar bezit, bewaring of controle blijven beschermen. Toepasselijke wetten kunnen dit bijvoorbeeld vereisen Aanbieder om door te gaan met het hosten of verwerken van persoonlijke gegevens van klanten.

B. Als Klant en Aanbieder de EER-SCC's of het UK Addendum zijn binnengekomen als onderdeel van deze DPA, Aanbieder zal alleen maar geven Klant de certificering van het verwijderen van Persoonsgegevens beschreven in Artikel 8.1(d) en Artikel 8.5 van de EER-SCC’s, indien Klant vraagt er één.

1. Aansprakelijkheidslimieten en vrijstelling van schadevergoeding

Voor zover maximaal toegestaan onder de toepasselijke wetgeving inzake gegevensbescherming, zal de totale cumulatieve aansprakelijkheid van elke partij jegens de andere partij die voortvloeit uit of verband houdt met deze DPA onderworpen zijn aan de vrijstellingen, uitsluitingen en beperkingen van aansprakelijkheid zoals vermeld in de Overeenkomst.

2. Claims van verbonden partijen

Eventuele claims tegen Aanbieder of aan haar gelieerde ondernemingen die voortkomen uit of verband houden met deze DPA kunnen uitsluitend worden aanhangig gemaakt door de Klant entiteit die partij is bij de Overeenkomst.

3. Uitzonderingen

1. Deze DPA beperkt geen enkele aansprakelijkheid jegens een individu met betrekking tot de gegevensbeschermingsrechten van het individu onder de toepasselijke wetgeving inzake gegevensbescherming. Bovendien beperkt deze DPA geen enkele aansprakelijkheid tussen de partijen voor schendingen van de EER SCC's of het UK Addendum.

1. Deze DPA maakt deel uit van en vormt een aanvulling op de Overeenkomst. Als er sprake is van inconsistentie tussen deze DPA, zal de Overeenkomst, of een van hun onderdelen, zal het eerder genoemde onderdeel vanwege die inconsistentie zeggenschap hebben over het later genoemde onderdeel: (1) de EER SCC's of het UK Addendum, (2) deze DPA, en vervolgens (3) de Overeenkomst.

Deze DPA gaat in wanneer Aanbieder en Klant akkoord gaan met een voorblad voor de DPA en ondertekenen of elektronisch accepteren Overeenkomst en zal doorgaan tot de Overeenkomst verloopt of wordt beëindigd. Echter, Aanbieder en Klant zullen elk onderworpen blijven aan de verplichtingen in deze DPA en de toepasselijke wetgeving inzake gegevensbescherming tot Klant stopt met het overbrengen van persoonlijke klantgegevens naar Aanbieder en Aanbieder stopt met het verwerken van persoonsgegevens van klanten.

Niettegenstaande de toepasselijke wetgeving of soortgelijke clausules van de Overeenkomst, zullen alle interpretaties en geschillen over deze DPA worden beheerst door de wetten van de Regerende staat zonder rekening te houden met de conflicterende wettelijke bepalingen. Bovendien, en niettegenstaande de forumkeuze-, jurisdictie- of soortgelijke clausules van de Overeenkomstkomen de partijen overeen om elke rechtszaak, actie of procedure over deze DPA voor te leggen aan, en onderwerpt elke partij zich onherroepelijk aan de exclusieve jurisdictie van de rechtbanken van de Regerende staat.

Voor zover de California Consumer Privacy Act, Cal. Burgerlijk Code § 1798.100 en volgende ("CCPA") is van toepassing, de partijen erkennen en gaan ermee akkoord Aanbieder is een dienstverlener en ontvangt Persoonsgegevens van Klant om de Dienst te verlenen zoals overeengekomen in de Overeenkomst, wat een zakelijk doel vormt. Aanbieder zal geen persoonlijke gegevens verkopen die zijn verstrekt door Klant onder de Overeenkomst. In aanvulling, Aanbieder zal de door ons verstrekte persoonlijke gegevens niet bewaren, gebruiken of openbaar maken Klant onder de Overeenkomst behalve indien nodig voor het verlenen van de Dienst Klant, zoals vermeld in de Overeenkomst, of zoals toegestaan door de toepasselijke wetgeving inzake gegevensbescherming. Aanbieder verklaart dat zij de beperkingen van deze paragraaf begrijpt.

1. "Toepasbare wetten" betekent de wetten, regels, voorschriften, rechterlijke bevelen en andere bindende vereisten van een relevante overheidsinstantie die van toepassing zijn op of gelden voor een partij.

2. "Toepasselijke wetten inzake gegevensbescherming" betekent de toepasselijke wetgeving die bepaalt hoe de Service de persoonlijke informatie, persoonlijke gegevens, persoonlijk identificeerbare informatie of een andere soortgelijke term van een individu kan verwerken of gebruiken.

3. "Verwerkingsverantwoordelijke" zal de betekenis(sen) hebben die wordt gegeven in de Toepasselijke Wetgeving inzake Gegevensbescherming voor het bedrijf dat het doel en de omvang van de Verwerking van Persoonsgegevens bepaalt.

4. "Voorblad" betekent een document dat is ondertekend of elektronisch geaccepteerd door de partijen en dat deze DPA-standaardvoorwaarden bevat en identificeert Aanbieder, Klant, en het onderwerp en de details van de gegevensverwerking.

5. "Persoonlijke gegevens van klanten" betekent Persoonsgegevens die Klant uploadt of verstrekt aan Aanbieder als onderdeel van de Dienst en waarop deze DPA van toepassing is.

6. "DPA" betekent deze DPA-standaardvoorwaarden, het voorblad ertussen Aanbieder en Klanten het beleid en de documenten waarnaar wordt verwezen op of bijgevoegd zijn op het voorblad.

7. "EER-SCC's" betekent de modelcontractbepalingen die zijn gehecht aan Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende modelcontractbepalingen voor de overdracht van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Europese Raad .

8. "Europese Economische Ruimte" of "EEA" betekent de lidstaten van de Europese Unie, Noorwegen, IJsland en Liechtenstein.

9. "GDPR" betekent Verordening 2016/679 van de Europese Unie, zoals geïmplementeerd door de lokale wetgeving in de relevante EER-lidstaat.

10. "Persoonlijke gegevens" zal de betekenis(sen) hebben die wordt gegeven in de Toepasselijke Wetgeving inzake Gegevensbescherming voor persoonlijke informatie, persoonlijke gegevens of een andere soortgelijke term.

11. "Verwerken" of "Proces" zal de betekenis hebben die wordt gegeven in de Toepasselijke Wetgeving inzake Gegevensbescherming voor elk gebruik van, of uitvoering van een computerbewerking op, Persoonsgegevens, inclusief via automatische methoden.

12. "Verwerker" zal de betekenis(sen) hebben die wordt gegeven in de Toepasselijke Wetgeving inzake Gegevensbescherming voor het bedrijf dat Persoonsgegevens Verwerkt namens de Verwerkingsverantwoordelijke.

13. "Rapport" betekent auditrapporten opgesteld door een ander bedrijf volgens de normen gedefinieerd in het Beveiligingsbeleid namens de Provider.

14. "Beperkte overdracht" betekent (a) waar de AVG van toepassing is, een overdracht van persoonsgegevens van de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbepaling door de Europese Commissie; en (b) waar de Britse AVG van toepassing is, een overdracht van persoonsgegevens vanuit het Verenigd Koninkrijk naar enig ander land dat niet onderworpen is aan adequaatheidsregels die zijn aangenomen op grond van artikel 17A van de United Kingdom Data Protection Act 2018.

15. "Veiligheidsincident" betekent een Inbreuk in verband met Persoonsgegevens zoals gedefinieerd in artikel 4 van de AVG.

16. "Dienst" betekent het product en/of de diensten beschreven in de Overeenkomst.

17. "Speciale categoriegegevens" zal de betekenis hebben die daaraan wordt gegeven in artikel 9 van de AVG.

18. "Subverwerker" zal de betekenis hebben die wordt gegeven in de Toepasselijke Wetgeving inzake Gegevensbescherming voor een bedrijf dat, met goedkeuring en aanvaarding van Verwerkingsverantwoordelijke, de Verwerker assisteert bij het Verwerken van Persoonsgegevens namens de Verwerkingsverantwoordelijke.

19. "UK GDPR" betekent Verordening 2016/679 van de Europese Unie, zoals geïmplementeerd door sectie 3 van de Europese Unie (terugtrekkingswet) van 2018 in het Verenigd Koninkrijk.

20. "Brits addendum" betekent het addendum voor internationale gegevensoverdracht bij de EER-SCC's, uitgegeven door de Information Commissioner for Parties making Restricted Transfers onder S119A(1) Data Protection Act 2018.

Dit document is een afgeleide van de Common Paper DPA-standaardvoorwaarden (versie 1.0) en heeft een licentie onder CC BY 4.0.