Uitstekend
22.974 reviews on

Verwerkersovereenkomst

Deze versie is een vertaling van de Engelse versie, uitsluitend ter informatie. In geval van discrepanties prevaleert de Engelse versie.

Verwerkingsverantwoordelijke: Klant gevestigd binnen de EU (de “Verwerkingsverantwoordelijke“) en

Bedrijf:Reg.nr.Stad:Land van inschrijving:

(de “Verwerker“)(afzonderlijk aangeduid als een “Partij” en gezamenlijk de “Partijen”)

zijn het volgende overeengekomen:

Verwerkersovereenkomst

(De “Overeenkomst“)met betrekking tot de verwerking van persoonsgegevens door de Verwerker namens deVerwerkingsverantwoordelijke.

1. De verwerkte persoonsgegevens

1.1 Deze overeenkomst (de “Overeenkomst“) is aangegaan in verband met het gebruik door de Verwerkingsverantwoordelijke van de diensten van de Verwerker als onderdeel van het abonnement en aanvullende diensten zoals beschreven in de algemene voorwaarden van One.com (de “Hoofdovereenkomst”).

1.2 De Verwerker verwerkt de soorten persoonsgegevens namens de Verwerkingsverantwoordelijke met betrekking tot de relevante betrokkenen zoals gespecificeerd in Bijlage 1. De persoonsgegevens hebben betrekking op de betrokkenen die worden vermeld in Bijlage 1.

1.3 De Verwerker kan na de inwerkingtreding van de Hoofdovereenkomst de verwerking van persoonsgegevens namens de Verwerkingsverantwoordelijke initiëren. Bij beëindiging van de Overeenkomst wordt de verwerking gestaakt en worden de persoonsgegevens gewist in overeenstemming met de instructies in Bijlage 1van de Overeenkomst.

1.4 De Overeenkomst en de Hoofdovereenkomst zijn onderling afhankelijk en kunnen niet afzonderlijk worden beëindigd. De Overeenkomst kan echter worden vervangen door een andere geldige Verwerkersovereenkomst zonder de Hoofdovereenkomst te beëindigen.

2. Doel

2.1 De Gegevensverwerker mag persoonsgegevens uitsluitend verwerken voor doeleinden die noodzakelijk zijn om aan de verplichtingen van Gegevensverwerker te voldoen en daarbij de diensten te verlenen die zijn vastgelegd in de Hoofdovereenkomst.

3. Verplichtingen van de Verwerkingsverantwoordelijke

3.1 De Verwerkingsverantwoordelijke garandeert dat de persoonsgegevens worden verwerkt voor legitieme en objectieve doeleinden en dat Gegevensverwerker niet meer persoonsgegevens verwerkt dan nodig is voor het vervullen van dergelijke doeleinden.

3.2 De Verwerkingsverantwoordelijke is verantwoordelijk om ervoor te zorgen dat er een geldige wettelijke basis voor de verwerking bestaat op het moment van de overdracht van de persoonsgegevens aan de Gegevensverwerker. Op verzoek van Gegevensverwerker verbindt Verwerkingsverantwoordelijke zich er schriftelijk toe de grondslag voor de verwerking te verantwoorden en/of te documenteren.

3.3 Daarnaast garandeert de Verwerkingsverantwoordelijke dat de betrokkenen waarop de persoonsgegevens betrekking hebben voldoende informatie hebben ontvangen over de verwerking van hun persoonsgegevens.

4. Verplichtingen van de Gegevensverwerker

4.1 Alle verwerking door Gegevensverwerker van de door Verwerkingsverantwoordelijke verstrekte persoonsgegevens dient in overeenstemming te zijn met de door Verwerkingsverantwoordelijke opgestelde instructies, en Gegevensverwerker is bovendien verplicht om alle van tijd tot tijd geldende wetgeving inzake gegevensbescherming na te leven. Indien het Unierecht of het recht van een EU-lidstaat waaraan de Gegevensverwerker onderworpen is, bepaalt dat de Gegevensverwerker verplicht is de in Bijlage 1 vermelde persoonsgegevens te verwerken, dient de Gegevensverwerker de Verwerkingsverantwoordelijke vóór de verwerking in kennis te stellen van die wettelijke verplichting. Dit geldt echter niet indien deze wetgeving dergelijke informatie om gewichtige redenen van algemeen belang verbiedt. De Gegevensverwerker dient de Verwerkingsverantwoordelijke onmiddellijk op de te hoogte brengen indien een instructie naar het oordeel van de Gegevensverwerker in strijd is met de Algemene Verordening Gegevensbescherming van de EU of de bepalingen inzake gegevensbescherming van een EUlidstaat.

4.2 De Gegevensverwerker dient alle noodzakelijke technische en organisatorische veiligheidsmaatregelen te nemen, waaronder eventuele aanvullende maatregelen, die nodig zijn om te voorkomen dat de persoonsgegevens per ongeluk of onrechtmatig worden vernietigd, verloren gaan of worden aangetast of ter kennis van onbevoegde derden worden gebracht, misbruikt of anderszins verwerkt op een wijze die in strijd is met de op enig moment geldende wetgeving inzake gegevensbescherming. Deze maatregelen worden nader beschreven in Bijlage 2.

4.3 De gegevensverwerker dient ervoor zorg te dragen dat medewerkers die bevoegd zijn om de persoonsgegevens te verwerken zich tot geheimhouding hebben verbonden of onderhevig zijn aan de wettelijke geheimhoudingsplicht.

4.4 Op verzoek van de Verwerkingsverantwoordelijke dient de Gegevensverwerker te verklaren en/of te documenteren dat de Gegevensverwerker voldoet aan de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, inclusief documentatie met betrekking tot de gegevensstromen van de Gegevensverwerker en procedures/beleid voor de verwerking van persoonsgegevens.

4.5 Rekening houdend met de aard van de verwerking dient de Gegevensverwerker de verwerkingsverantwoordelijke zoveel mogelijk bij te staan door middel van passende technische en organisatorische maatregelen, om te voldoen aan de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene, zoals vastgelegd in hoofdstuk 3 van de Algemene Verordening Gegevensbescherming.

4.6 De Gegevensverwerker, of een andere Gegevensverwerker (sub-gegevensverwerker), dient verzoeken en bezwaren van betrokkenen aan Verwerkingsverantwoordelijke te sturen, ten behoeve van de verdere verwerking daarvan door Verwerkingsverantwoordelijke, tenzij de Gegevensverwerker het recht heeft om een dergelijk verzoek zelf te behandelen. Op verzoek van de Verwerkingsverantwoordelijke dient de Gegevensverwerker de Verwerkingsverantwoordelijke bij te staan bij het beantwoorden van dergelijke verzoeken en/of bezwaren.

4.7 Indien de Gegevensverwerker persoonsgegevens verwerkt in een ander EU-lidstaat, dient de Gegevensverwerker zich te houden aan de wetgeving betreffende veiligheidsmaatregelen in die lidstaat.

4.8 De Verwerker moet de Verwerkingsverantwoordelijke op de hoogte stellen wanneer er sprake is van een onderbreking van de werking, een vermoeden van schending van de gegevensbeschermingsregels of andere onregelmatigheden in verband met de verwerking van de persoonsgegevens. De termijn waarbinnen de Verwerker de Verwerkingsverantwoordelijke op de hoogte moet stellen van een beveiligingsinbreuk is 48 uur vanaf het moment waarop de Verwerker kennis krijgt van de inbreuk. Op verzoek van de Verwerkingsverantwoordelijke moet de Verwerker de Verwerkingsverantwoordelijke bijstaan bij het verduidelijken van de omvang van de beveiligingsinbreuk, waaronder het opstellen van een melding aan de relevante toezichthoudende autoriteit en/of de betrokkenen.

4.9 De Verwerker dient aan Verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om aan te tonen dat aan artikel 28 van de Algemene Verordening Gegevensbescherming en de Overeenkomst is voldaan. In dit verband staat de Verwerker toe dat audits, met inbegrip van inspecties, worden uitgevoerd door de Verwerkingsverantwoordelijke of een andere auditor die door de Verwerkingsverantwoordelijke is gemachtigd. De Verwerkingsverantwoordelijke draagt de kosten van elke audit of inspectie.

4.10 In aanvulling op het voorgaande dient Gegevensverwerker Verwerkingsverantwoordelijke bij te staan in het doen naleven van de verplichtingen van Verwerkingsverantwoordelijke uit hoofde van artikel 32-36 van de Algemene Verordening Gegevensbescherming. Bij deze bijstand wordt rekening gehouden met de aard van de verwerking en de informatie waarover de Gegevensverwerker beschikt.

5. Doorgifte van gegevens aan sub-gegevensverwerkers of derden

5.1 De Gegevensverwerker dient te voldoen aan de voorwaarden zoals gesteld in artikel 28 lid 2 en 4 van de Algemene Verordening Gegevensbescherming om een andere Gegevensverwerker (sub-gegevensverwerker) in te schakelen. Dit impliceert dat de Gegevensverwerker geen andere Gegevensverwerker (sub-gegevensverwerker) inschakelt voor de uitvoering van de Overeenkomst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke.

5.2 Verwerkingsverantwoordelijke verleent hierbij aan de Gegevensverwerker een algemene volmacht tot het aangaan van overeenkomsten met sub-gegevensverwerkers. De Gegevensverwerker dient Verwerkingsverantwoordelijke uiterlijk 30 dagen voordat een nieuwe sub-gegevensverwerker met de verwerking van de persoonsgegevens begint, op de hoogte te stellen van eventuele wijzigingen met betrekking tot de toevoeging of vervanging van subgegevensverwerkers. De Verwerkingsverantwoordelijke kan binnen 14 dagen na ontvangst van de kennisgeving redelijke en relevante bezwaren maken tegen dergelijke wijzigingen. Indien de Gegevensverwerker gebruik blijft maken van een sub-gegevensverwerker waar Verwerkingsverantwoordelijke bezwaar tegen heeft gemaakt, hebben Partijen het recht de Overeenkomst te beëindigen, cf. clausule 7.

5.3 Wanneer de Verwerkingsverantwoordelijke ermee heeft ingestemd dat de Gegevensverwerker een sub-gegevensverwerker kan gebruiken, dient de Gegevensverwerker dezelfde verplichtingen op te leggen aan de sub-gegevensverwerker als uiteengezet in de Overeenkomst. Dit gebeurt door middel van een overeenkomst of een andere rechtshandeling krachtens het EU-recht of het recht van een lidstaat. Er dient bijvoorbeeld voor te worden gezorgd dat de sub-gegevensverwerker voldoende garanties biedt om passende technische en organisatorische maatregelen te nemen zodat de verwerking voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (“back-to-back”-voorwaarden).

5.4 Indien de sub-gegevensverwerker zijn gegevensbeschermingsverplichtingen niet nakomt, blijft de Gegevensverwerker volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de uitvoering van de verplichtingen van de sub-gegevensverwerker.

5.5 Openbaarmaking, doorgifte en intern gebruik van de persoonsgegevens van de Verwerkingsverantwoordelijke aan derde landen of internationale organisaties mag alleen plaatsvinden in overeenstemming met gedocumenteerde instructies van de Verwerkingsverantwoordelijke – tenzij bepaald door het EU-recht of het recht van een lidstaat waaraan de Gegevensverwerker onderworpen is. Als dat het geval is, dient de Gegevensverwerker de Verwerkingsverantwoordelijke vóór verwerking in kennis stellen van deze wettelijke vereiste, tenzij de wet een dergelijke kennisgeving om gewichtige redenen van algemeen belang verbiedt.

5.6 Indien de in Bijlage 1 vermelde persoonsgegevens worden overgedragen aan subgegevensverwerkers buiten de EU/EER, dient in de genoemde overeenkomst te worden vermeld dat de gegevensbeschermingswetgeving die van toepassing is in het land van de Verwerkingsverantwoordelijke van toepassing is op sub-gegevensverwerkers. Indien de ontvangende sub-gegevensverwerker in de EU/EER is gevestigd, dient bovendien in de genoemde verwerkersovereenkomst te worden vermeld dat voldaan dient te worden aan de specifieke wettelijke vereisten van het ontvangende EU-land met betrekking tot gegevensverwerkers, bijvoorbeeld met betrekking tot verzoeken om kennisgeving aan nationale autoriteiten.

5.7 De Verwerker is verplicht om schriftelijke verwerkersovereenkomsten af te sluiten met subverwerkers binnen de EU/EER. Wat betreft subverwerkers buiten de EU/EER, moet de Verwerker passende waarborgen treffen, bijvoorbeeld door gebruik te maken van de meest recente versie van de Standaardcontractbepalingen van de Europese Commissie, en een verwerkersovereenkomst aangaan.

6. Aansprakelijkheid

6.1 De aansprakelijkheid van Partijen wordt beheerst door de Hoofdovereenkomst.

6.2 De aansprakelijkheid van Partijen voor schade uit hoofde van deze Overeenkomst wordt beheerst door de Hoofdovereenkomst.

7. Ingangsdatum en beëindiging

7.1 Deze Overeenkomst treedt in werking op hetzelfde moment als de Hoofdovereenkomst. Bij beëindiging van de Hoofdovereenkomst eindigt ook deze Overeenkomst. De Gegevensverwerker blijft echter wel onderworpen aan de verplichtingen zoals vastgelegd in deze Overeenkomst, zolang de Gegevensverwerker persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke.

7.2 Bij beëindiging van de verwerkingsdiensten is de Gegevensverwerker verplicht om op verzoek van Verwerkingsverantwoordelijke alle persoonsgegevens te verwijderen of terug te geven aan Verwerkingsverantwoordelijke, alsmede om bestaande kopieën te verwijderen, tenzij bewaring van de persoonsgegevens is voorgeschreven door EU- of nationale wetgeving.

8. Toepasselijk recht en jurisdictie

8.1 Alle vorderingen of geschillen die voortvloeien uit of verband houden met deze Overeenkomst dienen te worden beslecht door een bevoegde rechtbank van eerste aanleg in dezelfde jurisdictie en met dezelfde rechtskeuze als vermeld in de Hoofdovereenkomst.

9. Handtekeningen

Bijlage 1

Categorieën van betrokkenen, soorten persoonsgegevens en instructies

1. Categorieën betrokkenen:

  • De Verwerker verwerkt de contactgegevens van de websitebezoekers van de Verwerkingsverantwoordelijke en feitelijke, potentiële of voormalige klanten en/of leden, werknemers, leveranciers, zakelijke en samenwerkingspartners en gelieerde ondernemingen.
  • De Verwerker stelt zijn systeem ter beschikking van de Verwerkingsverantwoordelijke als een gehoste dienst, en het is voor de Verwerker niet mogelijk om alle categorieën van betrokkenen te bepalen. Indien de Verwerkingsverantwoordelijke gegevens over andere categorieën van betrokkenen bij de Verwerker host, is het de verplichting van de Verwerkingsverantwoordelijke om deze informatie te registreren.

2. Soorten persoonsgegevens:

  • Contact- en identificatiegegevens, inclusief e-mail
  • IP-adressen
  • Domeinnamen
  • Gebruikersnamen
  • Lidmaatschap informatie
  • Analyse- en gebruiksgegevens
  • Orderhistorie en informatie
  • Contracten
  • Communicatie
  • Support
  • Foto ‘s
  • Status van marketingtoestemming
  • Persoonsgegevens in e-mails
  • Er kunnen andere soorten persoonsgegevens voorkomen

3. Instructies

Service

De Verwerker kan persoonsgegevens van de betrokkenen verwerken met het oog op het leveren, ontwikkelen, beheren, administreren en beheren van de diensten van de Hoofdovereenkomst, inclusief het waarborgen van de stabiliteit en uptime van onze servers en het voldoen aan wettelijke vereisten.

Bewaarperiode

De persoonsgegevens die in onze systemen zijn opgeslagen/gehost, worden binnen een redelijke termijn nadat de Verwerkingsverantwoordelijke de Hoofdvereenkomst volledig heeft beëindigd, verwijderd of geanonimiseerd.

Plaats van verwerking

De verwerking van persoonsgegevens die onder de Overeenkomst vallen, mag niet plaatsvinden zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke op andere locaties dan het datacenter van de Verwerker in Kopenhagen en de locatie van de subverwerkers zoals vermeld in Bijlage 3.

Bijlage 2

Beveiligingsmaatregelen

Bijlage 3

Lijst van subverwerkers

Masshosting product

Unmanaged VPS

Managed VPS

Website Builder

Premium Care

WP.one

*Entiteiten gemarkeerd met * maken deel uit van Group.one

Verwerkersovereenkomst | one.com