Overeenkomst voor Gegevensverwerking

Forward Email data processing agreement

Belangrijke Begrippen

Term Waarde
Overeenkomst Deze DPA vult de Servicevoorwaarden aan
Goedgekeurde Subverwerkers Cloudflare (VS; DNS-, netwerk- en beveiligingsprovider), DataPacket (VS/UK; hostingprovider), Digital Ocean (VS; hostingprovider), GitHub (VS; broncodehosting, CI/CD en projectbeheer), Vultr (VS; hostingprovider), Stripe (VS; betalingsverwerker), PayPal (VS; betalingsverwerker)
Provider Beveiligingscontact security@forwardemail.net
Beveiligingsbeleid Bekijk ons Beveiligingsbeleid op GitHub
Toepasselijke Staat De staat Delaware, Verenigde Staten

Wijzigingen in de Overeenkomst

Dit document is een afgeleide van de Common Paper DPA Standard Terms (Versie 1.0) en de volgende wijzigingen zijn aangebracht:

  1. Toepasselijk recht en bevoegde rechtbanken is als sectie hieronder opgenomen met Governing State hierboven vermeld.
  2. Relatie Dienstverlener is als sectie hieronder opgenomen.

1. Verwerker- en Subverwerkerrelaties

1. Dienstverlener als Verwerker

In situaties waarin Klant een Verantwoordelijke is van de Klant Persoonsgegevens, wordt Dienstverlener beschouwd als een Verwerker die Persoonsgegevens verwerkt namens Klant.

2. Dienstverlener als Subverwerker

In situaties waarin Klant een Verwerker is van de Klant Persoonsgegevens, wordt Dienstverlener beschouwd als een Subverwerker van de Klant Persoonsgegevens.

2. Verwerking

1. Verwerkingsdetails

Bijlage I(B) op de Voorpagina beschrijft het onderwerp, de aard, het doel en de duur van deze Verwerking, evenals de Categorieën Persoonsgegevens die worden verzameld en de Categorieën Betrokkenen.

2. Verwerkingsinstructies

Klant geeft Dienstverlener de instructie om Klant Persoonsgegevens te verwerken: (a) om de Dienst te leveren en te onderhouden; (b) zoals verder gespecificeerd door het gebruik van de Dienst door Klant; (c) zoals gedocumenteerd in de Overeenkomst; en (d) zoals gedocumenteerd in andere schriftelijke instructies gegeven door Klant en erkend door Dienstverlener over de verwerking van Klant Persoonsgegevens onder deze DPA. Dienstverlener zal deze instructies opvolgen tenzij dit verboden is door Toepasselijke Wetten. Dienstverlener zal Klant onmiddellijk informeren indien het niet in staat is de verwerkingsinstructies op te volgen. Klant heeft instructies gegeven en zal alleen instructies geven die voldoen aan de Toepasselijke Wetten.

3. Verwerking door Dienstverlener

Dienstverlener zal Klant Persoonsgegevens alleen verwerken in overeenstemming met deze DPA, inclusief de details op de Voorpagina. Indien Dienstverlener de Dienst bijwerkt om bestaande of nieuwe producten, functies of functionaliteiten toe te voegen, kan Dienstverlener de Categorieën Betrokkenen, Categorieën Persoonsgegevens, Bijzondere Categorieën van Gegevens, Beperkingen of Waarborgen voor Bijzondere Categorieën van Gegevens, Frequentie van Overdracht, Aard en Doel van Verwerking en Duur van Verwerking aanpassen indien nodig om de updates te weerspiegelen door Klant van de updates en wijzigingen op de hoogte te stellen.

4. Verwerking door Klant

Indien Klant een Verwerker is en Dienstverlener een Subverwerker, zal Klant voldoen aan alle Toepasselijke Wetten die van toepassing zijn op de verwerking van Klant Persoonsgegevens door Klant. De overeenkomst van Klant met zijn Verantwoordelijke zal vergelijkbaar vereisen dat Klant voldoet aan alle Toepasselijke Wetten die van toepassing zijn op Klant als Verwerker. Daarnaast zal Klant voldoen aan de Subverwerkervereisten in de overeenkomst van Klant met zijn Verantwoordelijke.

Klant heeft voldaan aan en zal blijven voldoen aan alle Toepasselijke Gegevensbeschermingswetten met betrekking tot het verstrekken van Klant Persoonsgegevens aan Dienstverlener en/of de Dienst, inclusief het doen van alle bekendmakingen, verkrijgen van alle toestemmingen, bieden van adequate keuze en implementeren van relevante waarborgen die vereist zijn onder de Toepasselijke Gegevensbeschermingswetten.

6. Subverwerkers

a. Provider zal geen Klant Persoonsgegevens verstrekken, overdragen of overhandigen aan een Subverwerker tenzij Klant de Subverwerker heeft goedgekeurd. De huidige lijst van Goedgekeurde Subverwerkers bevat de identiteit van de Subverwerkers, hun land van vestiging en hun verwachte Verwerkingstaken. Provider zal Klant ten minste 10 werkdagen van tevoren en schriftelijk informeren over voorgenomen wijzigingen in de Goedgekeurde Subverwerkers, hetzij door toevoeging of vervanging van een Subverwerker, zodat Klant voldoende tijd heeft om bezwaar te maken tegen de wijzigingen voordat Provider de nieuwe Subverwerker(s) gaat gebruiken. Provider zal Klant de benodigde informatie verstrekken om Klant in staat te stellen zijn recht uit te oefenen om bezwaar te maken tegen de wijziging van de Goedgekeurde Subverwerkers. Klant heeft 30 dagen na kennisgeving van een wijziging in de Goedgekeurde Subverwerkers om bezwaar te maken, anders wordt Klant geacht de wijzigingen te accepteren. Indien Klant binnen 30 dagen na kennisgeving bezwaar maakt tegen de wijziging, zullen Klant en Provider te goeder trouw samenwerken om het bezwaar of de zorg van Klant op te lossen.

b. Bij het inschakelen van een Subverwerker zal Provider een schriftelijke overeenkomst hebben met de Subverwerker die ervoor zorgt dat de Subverwerker alleen toegang heeft tot en gebruik maakt van Klant Persoonsgegevens (i) voor zover nodig om de aan hem uitbestede verplichtingen uit te voeren, en (ii) in overeenstemming met de voorwaarden van de Overeenkomst.

c. Indien de AVG van toepassing is op de Verwerking van Klant Persoonsgegevens, (i) worden de in deze DPA beschreven gegevensbeschermingsverplichtingen (zoals bedoeld in artikel 28, lid 3 van de AVG, indien van toepassing) ook opgelegd aan de Subverwerker, en (ii) zal de overeenkomst van Provider met de Subverwerker deze verplichtingen bevatten, inclusief details over hoe Provider en zijn Subverwerker zullen coördineren om te reageren op vragen of verzoeken over de Verwerking van Klant Persoonsgegevens. Daarnaast zal Provider op verzoek van Klant een kopie van zijn overeenkomsten (inclusief eventuele wijzigingen) met zijn Subverwerkers delen. Voor zover nodig om bedrijfsgeheimen of andere vertrouwelijke informatie, inclusief persoonsgegevens, te beschermen, mag Provider de tekst van zijn overeenkomst met zijn Subverwerker redigeren voordat een kopie wordt gedeeld.

d. Provider blijft volledig aansprakelijk voor alle verplichtingen die aan zijn Subverwerkers zijn uitbesteed, inclusief de handelingen en nalatigheden van zijn Subverwerkers bij de Verwerking van Klant Persoonsgegevens. Provider zal Klant informeren over elke tekortkoming van zijn Subverwerkers bij het nakomen van een materiële verplichting met betrekking tot Klant Persoonsgegevens onder de overeenkomst tussen Provider en de Subverwerker.

3. Beperkte Overdrachten

1. Autorisatie

Klant stemt ermee in dat Provider Klant Persoonsgegevens buiten de EER, het Verenigd Koninkrijk of ander relevant geografisch gebied mag overdragen indien nodig om de Dienst te leveren. Indien Provider Klant Persoonsgegevens overdraagt aan een gebied waarvoor de Europese Commissie of een andere relevante toezichthoudende autoriteit geen adequaatheidsbesluit heeft afgegeven, zal Provider passende waarborgen implementeren voor de overdracht van Klant Persoonsgegevens naar dat gebied in overeenstemming met de toepasselijke gegevensbeschermingswetten.

2. Overdrachten buiten de EER

Klant en Provider komen overeen dat indien de AVG de overdracht van Klant Persoonsgegevens beschermt, de overdracht plaatsvindt van Klant binnen de EER naar Provider buiten de EER, en de overdracht niet wordt geregeld door een adequaatheidsbesluit van de Europese Commissie, dat door het aangaan van deze DPA Klant en Provider geacht worden de EER SCC's en hun Bijlagen te hebben ondertekend, die hierbij door verwijzing zijn opgenomen. Elke dergelijke overdracht vindt plaats overeenkomstig de EER SCC's, die als volgt worden ingevuld: a. Module Twee (Controller naar Verwerker) van de EER SCC's is van toepassing wanneer Klant een Controller is en Provider Persoonsgegevens van de Klant verwerkt voor Klant als Verwerker.

b. Module Drie (Verwerker naar Subverwerker) van de EER SCC's is van toepassing wanneer Klant een Verwerker is en Provider Persoonsgegevens van de Klant verwerkt namens Klant als Subverwerker.

c. Voor elke module geldt het volgende (indien van toepassing):

  1. De optionele docking-clausule in Clausule 7 is niet van toepassing;

  2. In Clausule 9 geldt Optie 2 (algemene schriftelijke toestemming), en de minimale termijn voor voorafgaande kennisgeving van wijzigingen in Subverwerkers is 10 werkdagen;

  3. In Clausule 11 is de optionele taal niet van toepassing;

  4. Alle vierkante haken in Clausule 13 worden verwijderd;

  5. In Clausule 17 (Optie 1) worden de EER SCC's beheerst door de wetten van de Bevoegde Lidstaat;

  6. In Clausule 18(b) worden geschillen beslecht door de rechtbanken van de Bevoegde Lidstaat; en

  7. De Voorpagina van deze DPA bevat de informatie die vereist is in Bijlage I, Bijlage II en Bijlage III van de EER SCC's.

3. Ex-UK Transfers

Klant en Provider komen overeen dat indien de UK GDPR de overdracht van Persoonsgegevens van de Klant beschermt, de overdracht plaatsvindt van Klant binnen het Verenigd Koninkrijk naar Provider buiten het Verenigd Koninkrijk, en de overdracht niet wordt beheerst door een adequaatheidsbesluit van de Britse Secretary of State, dat door het aangaan van deze DPA Klant en Provider geacht worden de UK Addendum en hun Bijlagen te hebben ondertekend, die door verwijzing zijn opgenomen. Elke dergelijke overdracht vindt plaats overeenkomstig de UK Addendum, die als volgt wordt ingevuld:

a. Sectie 3.2 van deze DPA bevat de informatie die vereist is in Tabel 2 van de UK Addendum.

b. Tabel 4 van de UK Addendum wordt als volgt aangepast: Geen van beide partijen mag de UK Addendum beëindigen zoals uiteengezet in Sectie 19 van de UK Addendum; voor zover de ICO een herziene Goedgekeurde Addendum uitgeeft onder Sectie ‎18 van de UK Addendum, zullen de partijen te goeder trouw samenwerken om deze DPA dienovereenkomstig te herzien.

c. De Voorpagina bevat de informatie die vereist is door Bijlage 1A, Bijlage 1B, Bijlage II en Bijlage III van de UK Addendum.

4. Other International Transfers

Voor overdrachten van Persoonsgegevens waarbij de Zwitserse wetgeving (en niet de wetgeving van een EER-lidstaat of het Verenigd Koninkrijk) van toepassing is op het internationale karakter van de overdracht, worden verwijzingen naar de GDPR in Clausule 4 van de EER SCC's, voor zover wettelijk vereist, aangepast om te verwijzen naar de Zwitserse Federale Wet op de Bescherming van Persoonsgegevens of diens opvolger, en omvat het begrip toezichthoudende autoriteit de Zwitserse Federale Commissaris voor de Bescherming van Persoonsgegevens en voor de Informatieverwerking.

4. Security Incident Response

  1. Zodra Provider op de hoogte is van een Beveiligingsincident, zal Provider: (a) Klant zonder onnodige vertraging informeren wanneer dit haalbaar is, maar uiterlijk binnen 72 uur na het bekend worden van het Beveiligingsincident; (b) tijdig informatie verstrekken over het Beveiligingsincident zodra dit bekend wordt of redelijkerwijs door Klant wordt gevraagd; en (c) onmiddellijk redelijke stappen ondernemen om het Beveiligingsincident te beperken en te onderzoeken. De melding of reactie van Provider op een Beveiligingsincident zoals vereist door deze DPA zal niet worden opgevat als een erkenning door Provider van enige schuld of aansprakelijkheid voor het Beveiligingsincident.

5. Audit & Reports

1. Audit Rights

Provider zal Klant alle informatie verstrekken die redelijkerwijs nodig is om de naleving van deze DPA aan te tonen en Provider zal audits, inclusief inspecties door Klant, toestaan en daaraan bijdragen om de naleving van deze DPA door Provider te beoordelen. Provider kan echter de toegang tot gegevens of informatie beperken indien de toegang van Klant tot de informatie een negatieve invloed zou hebben op de intellectuele eigendomsrechten van Provider, vertrouwelijkheidsverplichtingen of andere verplichtingen onder toepasselijke wetgeving. Klant erkent en stemt ermee in dat het zijn auditrechten onder deze DPA en eventuele auditrechten verleend door toepasselijke gegevensbeschermingswetten alleen zal uitoefenen door Provider te instrueren te voldoen aan de onderstaande rapportage- en due diligence-vereisten. Provider zal gedurende 3 jaar na het einde van de DPA de nalevingsdocumentatie van deze DPA bewaren.

2. Beveiligingsrapporten

Klant erkent dat Provider regelmatig wordt geaudit volgens de normen die zijn vastgelegd in het Beveiligingsbeleid door onafhankelijke externe auditors. Op schriftelijk verzoek zal Provider aan Klant, op vertrouwelijke basis, een samenvattende kopie van het dan geldende Rapport verstrekken, zodat Klant de naleving van de normen zoals vastgelegd in het Beveiligingsbeleid door Provider kan verifiëren.

3. Beveiligingsdue diligence

Naast het Rapport zal Provider redelijke verzoeken om informatie van Klant beantwoorden om de naleving van deze DPA door Provider te bevestigen, inclusief antwoorden op vragenlijsten over informatiebeveiliging, due diligence en audits, of door aanvullende informatie te verstrekken over het informatiebeveiligingsprogramma. Alle dergelijke verzoeken moeten schriftelijk worden ingediend bij de Provider Security Contact en mogen slechts eenmaal per jaar worden gedaan.

6. Coördinatie & Samenwerking

1. Reactie op verzoeken

Indien Provider een verzoek of vraag ontvangt van iemand anders over de verwerking van persoonsgegevens van de klant, zal Provider Klant hierover informeren en zal Provider niet reageren op het verzoek zonder voorafgaande toestemming van Klant. Voorbeelden van dit soort verzoeken zijn een gerechtelijk, administratief of toezichthoudend bevel over persoonsgegevens van de klant waarbij het informeren van Klant niet verboden is volgens de toepasselijke wetgeving, of een verzoek van een betrokkene. Indien toegestaan door de toepasselijke wetgeving, zal Provider redelijke instructies van Klant opvolgen met betrekking tot deze verzoeken, inclusief het verstrekken van statusupdates en andere door Klant redelijk gevraagde informatie. Indien een betrokkene een geldig verzoek indient op grond van toepasselijke gegevensbeschermingswetten om persoonsgegevens van Klant te verwijderen of zich af te melden voor het verstrekken van persoonsgegevens aan Provider, zal Provider Klant assisteren bij het voldoen aan het verzoek volgens de toepasselijke gegevensbeschermingswetgeving. Provider zal samenwerken met en redelijke assistentie verlenen aan Klant, op kosten van Klant, bij elke juridische reactie of andere procedurele actie die Klant onderneemt als reactie op een verzoek van een derde partij over de verwerking van persoonsgegevens van Provider onder deze DPA.

2. DPIA's en DTIA's

Indien vereist door toepasselijke gegevensbeschermingswetten, zal Provider Klant redelijkerwijs assisteren bij het uitvoeren van verplichte gegevensbeschermingseffectbeoordelingen of gegevensoverdrachtseffectbeoordelingen en consultaties met relevante gegevensbeschermingsautoriteiten, rekening houdend met de aard van de verwerking en de persoonsgegevens van de klant.

7. Verwijdering van persoonsgegevens van de klant

1. Verwijdering door klant

Provider zal Klant in staat stellen om persoonsgegevens van de klant te verwijderen op een wijze die consistent is met de functionaliteit van de diensten. Provider zal deze instructie zo spoedig mogelijk opvolgen, behalve wanneer verdere opslag van persoonsgegevens van de klant vereist is volgens toepasselijke wetgeving.

2. Verwijdering bij afloop van de DPA

a. Na afloop van de DPA zal Provider persoonsgegevens van de klant retourneren of verwijderen op instructie van Klant, tenzij verdere opslag van persoonsgegevens van de klant vereist of toegestaan is volgens toepasselijke wetgeving. Indien retourneren of vernietigen niet uitvoerbaar of verboden is volgens toepasselijke wetgeving, zal Provider redelijke inspanningen leveren om verdere verwerking van persoonsgegevens van de klant te voorkomen en zal het de persoonsgegevens van de klant die nog in zijn bezit, bewaring of controle zijn, blijven beschermen. Bijvoorbeeld, toepasselijke wetgeving kan vereisen dat Provider blijft hosten of verwerken van persoonsgegevens van de klant. b. Als Klant en Provider de EER SCC's of de UK Addendum als onderdeel van deze DPA zijn aangegaan, zal Provider alleen de certificering van verwijdering van Persoonsgegevens zoals beschreven in Clausule 8.1(d) en Clausule 8.5 van de EER SCC's aan Klant verstrekken indien Klant hierom verzoekt.

8. Beperking van Aansprakelijkheid

1. Aansprakelijkheidsplafonds en Afstand van Schadevergoeding

Voor zover toegestaan onder de toepasselijke gegevensbeschermingswetten, is de totale cumulatieve aansprakelijkheid van elke partij jegens de andere partij voortvloeiend uit of gerelateerd aan deze DPA onderworpen aan de afstandsverklaringen, uitsluitingen en aansprakelijkheidsbeperkingen zoals vermeld in de Overeenkomst.

Eventuele claims tegen Provider of haar Gelieerde Ondernemingen voortvloeiend uit of gerelateerd aan deze DPA kunnen alleen worden ingediend door de Klant-entiteit die partij is bij de Overeenkomst.

3. Uitzonderingen

  1. Deze DPA beperkt geen aansprakelijkheid jegens een individu met betrekking tot de gegevensbeschermingsrechten van dat individu onder toepasselijke gegevensbeschermingswetten. Daarnaast beperkt deze DPA geen aansprakelijkheid tussen de partijen voor schendingen van de EER SCC's of de UK Addendum.

9. Tegenstrijdigheden tussen Documenten

  1. Deze DPA maakt deel uit van en vult de Overeenkomst aan. Indien er enige inconsistentie bestaat tussen deze DPA, de Overeenkomst of enige van hun onderdelen, heeft het eerder genoemde onderdeel voorrang op het later genoemde onderdeel voor die inconsistentie: (1) de EER SCC's of de UK Addendum, (2) deze DPA, en vervolgens (3) de Overeenkomst.

10. Looptijd van de Overeenkomst

Deze DPA gaat in wanneer Provider en Klant akkoord gaan met een Voorblad voor de DPA en de Overeenkomst ondertekenen of elektronisch accepteren en loopt door totdat de Overeenkomst verloopt of wordt beëindigd. Echter, Provider en Klant blijven elk gebonden aan de verplichtingen in deze DPA en toepasselijke gegevensbeschermingswetten totdat Klant stopt met het overdragen van Klant Persoonsgegevens aan Provider en Provider stopt met het Verwerken van Klant Persoonsgegevens.

11. Toepasselijk Recht en Gekozen Rechtbanken

Ongeacht de toepasselijkheids- of soortgelijke clausules in de Overeenkomst, worden alle interpretaties en geschillen over deze DPA beheerst door de wetten van de Toepasselijke Staat zonder rekening te houden met diens conflictenrechtelijke bepalingen. Daarnaast, en ongeacht de forumkeuze-, jurisdictie- of soortgelijke clausules in de Overeenkomst, stemmen de partijen ermee in om elke juridische procedure, actie of procedure met betrekking tot deze DPA aan te spannen bij, en elke partij onherroepelijk onderwerpt zich aan de exclusieve jurisdictie van, de rechtbanken van de Toepasselijke Staat.

12. Relatie Dienstverlener

Voor zover de California Consumer Privacy Act, Cal. Civ. Code § 1798.100 e.v. ("CCPA") van toepassing is, erkennen en stemmen de partijen ermee in dat Provider een dienstverlener is en Persoonsgegevens ontvangt van Klant om de Dienst te leveren zoals overeengekomen in de Overeenkomst, wat een zakelijk doel vormt. Provider zal geen Persoonsgegevens verkopen die door Klant zijn verstrekt onder de Overeenkomst. Daarnaast zal Provider geen Persoonsgegevens die door Klant zijn verstrekt onder de Overeenkomst bewaren, gebruiken of bekendmaken behalve voor zover noodzakelijk voor het leveren van de Dienst aan Klant, zoals vermeld in de Overeenkomst, of zoals toegestaan door toepasselijke gegevensbeschermingswetten. Provider verklaart dat zij de beperkingen van deze paragraaf begrijpt.

13. Definities

  1. "Toepasselijke Wetten" betekent de wetten, regels, voorschriften, gerechtelijke bevelen en andere bindende vereisten van een relevante overheidsinstantie die van toepassing zijn op of een partij reguleren.

  2. "Toepasselijke Gegevensbeschermingswetten" betekent de Toepasselijke Wetten die bepalen hoe de Dienst persoonsgegevens, persoonlijke gegevens, persoonlijk identificeerbare informatie of een andere soortgelijke term mag verwerken of gebruiken.

  3. "Verantwoordelijke" heeft de betekenis zoals gegeven in de Toepasselijke Gegevensbeschermingswetten voor het bedrijf dat het doel en de omvang van de verwerking van persoonsgegevens bepaalt.

  4. "Voorblad" betekent een document dat door de partijen is ondertekend of elektronisch is geaccepteerd en dat deze DPA Standaardvoorwaarden bevat en Provider, Klant en het onderwerp en de details van de gegevensverwerking identificeert.

  5. "Klant Persoonsgegevens" betekent Persoonsgegevens die Klant uploadt of aan Provider verstrekt als onderdeel van de Dienst en die onder deze DPA vallen.

  6. "DPA" betekent deze DPA Standaardvoorwaarden, het Voorblad tussen Provider en Klant, en de beleidslijnen en documenten die in het Voorblad worden genoemd of eraan zijn gehecht.

  7. "EEA SCCs" betekent de standaardcontractbepalingen die zijn bijgevoegd bij de Uitvoeringsbeslissing 2021/914 van de Europese Commissie van 4 juni 2021 over standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad.

  8. "Europese Economische Ruimte" of "EER" betekent de lidstaten van de Europese Unie, Noorwegen, IJsland en Liechtenstein.

  9. "AVG" betekent Verordening (EU) 2016/679 zoals geïmplementeerd door lokale wetgeving in de relevante EER-lidstaat.

  10. "Persoonsgegevens" heeft de betekenis zoals gegeven in de Toepasselijke Gegevensbeschermingswetten voor persoonlijke informatie, persoonsgegevens of een andere soortgelijke term.

  11. "Verwerking" of "Verwerken" heeft de betekenis zoals gegeven in de Toepasselijke Gegevensbeschermingswetten voor elk gebruik van, of het uitvoeren van een computerbewerking op, Persoonsgegevens, inclusief door automatische methoden.

  12. "Verwerker" heeft de betekenis zoals gegeven in de Toepasselijke Gegevensbeschermingswetten voor het bedrijf dat Persoonsgegevens verwerkt namens de Verantwoordelijke.

  13. "Rapport" betekent auditrapporten opgesteld door een ander bedrijf volgens de normen gedefinieerd in het Beveiligingsbeleid namens Provider.

  14. "Beperkte Doorgifte" betekent (a) waar de AVG van toepassing is, een doorgifte van persoonsgegevens vanuit de EER naar een land buiten de EER dat niet onder een adequaatheidsbesluit van de Europese Commissie valt; en (b) waar de UK AVG van toepassing is, een doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk naar elk ander land dat niet onder adequaatheidsregels valt die zijn aangenomen krachtens Sectie 17A van de United Kingdom Data Protection Act 2018.

  15. "Beveiligingsincident" betekent een Persoonsgegevensinbreuk zoals gedefinieerd in Artikel 4 van de AVG.

  16. "Dienst" betekent het product en/of de diensten beschreven in de Overeenkomst.

  17. "Bijzondere Categorieën van Gegevens" heeft de betekenis zoals gegeven in Artikel 9 van de AVG.

  18. "Subverwerker" heeft de betekenis zoals gegeven in de Toepasselijke Gegevensbeschermingswetten voor een bedrijf dat, met goedkeuring en acceptatie van de Verantwoordelijke, de Verwerker helpt bij het verwerken van Persoonsgegevens namens de Verantwoordelijke.

  19. "UK AVG" betekent Verordening (EU) 2016/679 zoals geïmplementeerd door sectie 3 van de United Kingdom's European Union (Withdrawal) Act van 2018 in het Verenigd Koninkrijk.

  20. "UK Addendum" betekent de internationale gegevensdoorgifte-addendum bij de EEA SCCs uitgegeven door de Information Commissioner voor partijen die Beperkte Doorgiften uitvoeren onder S119A(1) Data Protection Act 2018.

Credits

Dit document is een afgeleide van de Common Paper DPA Standard Terms (Versie 1.0) en is gelicenseerd onder CC BY 4.0.