Base7 Data Verwerkingsovereenkomst

Om de rechten en plichten te specificeren die voortvloeien uit de contractuele gegevensverwerkingsrelatie in overeenstemming met de wettelijke verplichting volgens Art. 28 van de AVG sluiten de contracterende partijen de volgende overeenkomst.

• het onderwerp van de verwerking vloeit voort uit de Algemene Voorwaarden (hierna te noemen "Hoofdovereenkomst"), waarnaar hierin wordt verwezen. Een aanvullende verwerking van persoonsgegevens van de Gegevensverantwoordelijke door de Verwerker is niet beoogd.
• De verwerking van persoonsgegevens vindt uitsluitend plaats op het grondgebied van de Bondsrepubliek Duitsland, in een lidstaat van de Europese Unie, in Zwitserland of in een andere contracterende staat van de Overeenkomst betreffende de Europese Economische Ruimte. Voor elke overdracht naar een derde land is de voorafgaande gedocumenteerde instructie van de verwerker vereist (Art. 28 para. 3 lit. a AVG) en mag alleen plaatsvinden als aan de bijzondere vereisten van Art. 44 - 49 AVG wordt voldaan.

• Persoonlijke stamgegevens
• Communicatie data (bijv. telefoon, e-mail)
• Data over contracten (contractuele relatie, product of contractuele interesses)
• Geschiedenis klant
• Informatie over facturering en betaling voor contracten
• Informatie verstrekt door derde partijen (bijv. kredietbureaus of openbare registers)

• Klanten (zakelijke gast)
• Gasten (consument)
• Potentiële klanten
• Medewerkers
• Leveranciers
• De duur van deze commissie ("Termijn") komt overeen met de duur van de Hoofdovereenkomst.
• Ongeacht de bepalingen van de Hoofdovereenkomst kan de Verwerker deze Overeenkomst te allen tijde zonder opzegtermijn beëindigen indien de Verwerker de bepalingen van deze Overeenkomst ernstig heeft geschonden, indien de Verwerker instructies van de Verwerkingsverantwoordelijke niet kan of wil uitvoeren, of indien de Verwerker in strijd met het contract weigert informatie te verstrekken of de Verwerker toegang te verlenen in het kader van inspecties. Na beëindiging mag de Verwerker geen persoonsgegevens van de Verwerker meer verwerken.

• De Gegevensverantwoordelijke is verantwoordelijk voor de compliance met de regelgeving inzake gegevensbescherming, in het bijzonder voor de rechtmatigheid van de gegevensoverdracht aan de Gegevensverwerker en voor de rechtmatigheid van de gegevensverwerking (Art. 4 nr. 7 AVG). De Verwerker zal de data voor geen enkel ander doel gebruiken en is in het bijzonder niet gerechtigd om ze door te geven aan derde partijen. Kopieën en gedupliceerde exemplaren worden niet gemaakt zonder medeweten van de verwerker. Uitzonderingen zijn alleen van toepassing voor zover gespecificeerd in paragraaf 2 van deze clausule.
• De Verwerker verwerkt persoonsgegevens alleen op gedocumenteerde instructie van de Verwerker, tenzij anders vereist volgens het Unierecht of het recht van de lidstaat waaronder de Verwerker valt. In het geval van een andersluidende verplichting zal de Verwerker de Verwerker onmiddellijk op de hoogte stellen van de overeenkomstige wettelijke verplichtingen alvorens tot verwerking over te gaan.
• Indien de Verwerker van mening is dat een instructie in strijd is met de regelgeving inzake gegevensbescherming, informeert de Verwerker de Verwerker onverwijld overeenkomstig artikel 28 lid. 3 zin 3 AVG. De processor heeft het recht om de uitvoering van de instructie op te schorten totdat een dergelijke instructie is bevestigd of gewijzigd.

De Verwerker zal voor de uitvoering van de werkzaamheden alleen personen in dienst nemen die zich conform Art. 28 para. 3 zin 2 lit. b AVG en die eerder kennis hebben genomen van de voor hen relevante bepalingen inzake gegevensbescherming. De Verwerker en elke persoon onder controle van de Verwerker die toegang heeft tot persoonsgegevens mag deze gegevens uitsluitend verwerken in overeenstemming met de instructies van de Verwerker, met inbegrip van de bevoegdheden die in deze Overeenkomst zijn toegekend, tenzij zij onder een wettelijke verplichting vallen om de gegevens te verwerken.

• De processor neemt passende technische en organisatorische maatregelen voor een passende bescherming van persoonsgegevens, in overeenstemming met art. 28 para. 3 lit. c AVG in combinatie met Art. 32 para. 1 AVG, om de veiligheid van de verwerking door de Verwerker te waarborgen. Hiertoe moet de processor
• de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen en diensten in verband met de verwerking op lange termijn te waarborgen,
• ervoor zorgen dat de beschikbaarheid van en toegang tot persoonlijke data snel kan worden hersteld in het geval van een fysiek of technisch incident; en
• een procedure bijhouden voor het regelmatig herzien, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

De stand van de techniek, de kosten van implementatie en de aard, de omvang en het doel van de verwerking, alsmede het risico van wisselende waarschijnlijkheid en ernst van het risico voor de rechten en vrijheden van natuurlijke personen in de zin van Art. 32 para. 1 Er moet rekening worden gehouden met AVG.

• De contracterende partijen komen de maatregelen voor de beveiliging van data overeen die zijn vastgelegd in bijlage 1 "Technische en organisatorische maatregelen" bij deze overeenkomst.
• De technische en organisatorische maatregelen zijn onderwerp van technische vooruitgang en verdere ontwikkeling. In dit opzicht is het de Processor toegestaan om alternatieve adequate maatregelen te implementeren. Het veiligheidsniveau mag niet onder de gespecificeerde maatregelen komen. Belangrijke wijzigingen moeten worden gedocumenteerd en schriftelijk worden doorgegeven aan de verwerker.

• Voor de toepassing van deze bepaling zijn onderaannemers door de Verwerker in opdracht gegeven verwerkers wier diensten rechtstreeks verband houden met de verlening van de hoofddienst. Dit omvat geen ondersteunende diensten die door de Verwerker worden gebruikt, bijvoorbeeld telecommunicatiediensten, post/transportdiensten en schoonmaak. De Verwerker is echter verplicht om passende en wettelijk conforme contractuele afspraken en controlemaatregelen te nemen om de gegevensbescherming en -beveiliging van de diensten van de Verwerker te garanderen, zelfs in het geval van uitbestede nevendiensten.
• Het uitbesteden aan onderaannemers of het veranderen van de bestaande onderaannemer is toegestaan, voor zover:
• • de Verwerker de Verwerker vooraf met een redelijke periode schriftelijk of in tekstvorm op de hoogte stelt van een dergelijke uitbesteding aan onderaannemers, en
  • de Gegevensverantwoordelijke maakt geen bezwaar tegen de geplande uitbesteding in schriftelijke of tekstvorm tot de datum van overdracht van de gegevens aan de Verwerker.
• Er moet een contractuele overeenkomst worden gesloten met de onderaannemer in overeenstemming met Art. 28 para. 3 en 4 AVG, die voldoet aan de vereisten voor vertrouwelijkheid, gegevensbescherming en gegevensbeveiliging van deze Overeenkomst. De Verwerker heeft het recht om de contracten van de Verwerker met onderaannemers in te zien en te eisen dat de Verwerker een kopie van deze contracten stuurt.
• Als de onderaannemer de overeengekomen dienst buiten de EU/EER levert, zal de Verwerker de toelaatbaarheid met betrekking tot de wetgeving inzake gegevensbescherming waarborgen door middel van passende maatregelen.
• Voor verdere uitbesteding door de onderaannemer is de uitdrukkelijke toestemming van de verwerker vereist (ten minste in tekstvorm). Alle contractuele bepalingen in de keten van contracten moeten ook worden opgelegd aan de andere onderaannemers.

• De Verwerker is verplicht de Verwerkingsverantwoordelijke te ondersteunen met passende technische en organisatorische maatregelen om de rechten van de betrokkenen te beschermen, zoals gespecificeerd in Art. 12 tot 22 AVG (Art. 28 para. 3 zin 2 lit. e AVG). In het bijzonder ondersteunt de Verwerker de Verwerkingsverantwoordelijke bij het inwilligen van de aanspraken van betrokkenen op verwijdering van hun persoonsgegevens in overeenstemming met artikel 17 AVG.
• Als betrokkenen tegenover de verwerker het recht op gegevensoverdraagbaarheid kunnen uitoefenen, zorgt de verwerker ervoor dat zij de gegevens, die zij aan de verwerker hebben verstrekt, in een gestructureerd, algemeen gebruikt en machineleesbaar formaat kunnen ontvangen.
• De Verwerker mag de verwerking van persoonsgegevens alleen corrigeren, verwijderen of restricties opleggen in overeenstemming met gedocumenteerde instructies van de Gegevensverantwoordelijke (Art. 28 para. 3 zin 2 lit. g AVG). Opdrachtnemer mag informatie alleen aan derde partijen of de betrokken personen verstrekken na voorafgaande schriftelijke toestemming van de Verwerker.
• Als een betrokkene rechtstreeks contact opneemt met de Verwerker om zijn rechten te doen gelden in overeenstemming met de artikelen 12 tot en met 22 van de AVG, zal de Verwerker het verzoek onverwijld doorsturen naar de Verwerker.

• Als volgens Art. 37 AVG, gedeelte 37 BDSG-nieuw, is de Verwerker wettelijk verplicht om een Functionaris Gegevensbescherming aan te stellen, de Verwerker informeert de Verwerkingsverantwoordelijke over de contactgegevens van de Functionaris Gegevensbescherming ten behoeve van direct contact. Een wijziging van de functionaris voor gegevensbescherming moet onmiddellijk worden gerapporteerd aan de verwerker.

Als Functionaris Gegevensbescherming voor de Verwerker,

De heer Felix Hudy, intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg, Telefoon: +49 40 790 235 - 278 | Mobiel: +49 151 619 419 76 | E-mail: FHudy@intersoft-consulting.de

is benoemd. De contactpersoon voor gegevensbeschermingskwesties moet op verzoek van de Verwerker kunnen aantonen dat de Verwerker voldoet aan de vereisten van de internationale en nationale wetgeving inzake gegevensbescherming.

• Als de Verwerker bewustzijn krijgt van een schending van de bescherming van persoonsgegevens, zal hij de Verwerker onmiddellijk op de hoogte stellen van deze schending op grond van Art. 28 para. 3 lit. f, Art. 33 para. 2 AVG. Hetzelfde geldt als personen in dienst van de aannemer deze overeenkomst schenden.
• Na overleg met de gegevensverantwoordelijke neemt de verwerker onmiddellijk de nodige maatregelen om de gegevens te beveiligen en eventuele nadelige gevolgen voor de betrokkenen tot een minimum te beperken.
• De Verwerker ondersteunt de Verwerker met alle informatie waarover hij beschikt bij het voldoen aan de informatieverplichtingen met betrekking tot de bevoegde toezichthoudende autoriteit in overeenstemming met Art. 33 AVG en, indien van toepassing, met betrekking tot de betrokkenen die worden getroffen door de schending van de bescherming van persoonsgegevens in overeenstemming met Art. 34 AVG.
• De Verwerker ondersteunt de Verwerkingsverantwoordelijke met alle informatie waarover hij beschikt in de gegevensbeschermingseffectbeoordeling overeenkomstig Art. 35 AVG en, indien nodig, in een voorafgaand overleg met de bevoegde toezichthoudende autoriteit op grond van Art. 36 AVG.
• De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte van alle controles en maatregelen van de toezichthoudende autoriteit voor zover deze betrekking hebben op deze Overeenkomst.

• Naar keuze van de verwerker verwijdert of retourneert de verwerker alle persoonsgegevens aan de verwerkingsverantwoordelijke na vertrek van de dienstverlening met betrekking tot de verwerking en verwijdert hij bestaande kopieën, tenzij de wetgeving van de Unie of de lidstaat opslag van de persoonsgegevens vereist;
• De Verwerker zal, zonder uitdrukkelijk verzoek, aan de Verwerkingsverantwoordelijke in tekstvorm met datums aantonen dat hij alle gegevensdragers en andere documenten aan de Verwerkingsverantwoordelijke heeft geretourneerd of dat hij deze heeft vernietigd of verwijderd in overeenstemming met de regelgeving inzake gegevensbescherming en derhalve geen gegevens van de Verwerkingsverantwoordelijke heeft bewaard.
• De Verwerker bewaart alle documentatie die dient als bewijs van de ordelijke en rechtmatige gegevensverwerking voor de Verwerker na afloop van het contract. De Verwerker kan ze aan het einde van het contract teruggeven aan de Verwerker voor zijn kwijting.

• De verwerker heeft het recht om de technische en organisatorische maatregelen en de compliance met deze overeenkomst en de regelgeving op het gebied van gegevensbescherming regelmatig te controleren voor en tijdens het verlenen van diensten met betrekking tot de verwerking. Hiertoe kan de Gegevensverwerker of een geautoriseerde controleur de gegevensverwerkende apparatuur en de gegevensverwerkende systemen van de Verwerker inspecteren.
• Daartoe is de Verwerker verplicht de Gegevensverantwoordelijke tijdens de normale kantooruren en met inachtneming van een redelijke voorafgaande kennisgevingsperiode toegang te verlenen tot de bedrijfsruimten waar de gegevens van de Verwerker fysiek of elektronisch worden verwerkt. De Verwerker coördineert de inspecties zodanig met de Processor dat de werkzaamheden van de Processor zo min mogelijk worden beïnvloed.
• De Verwerker zal de Verwerker alle informatie verstrekken die nodig is om de technische en organisatorische maatregelen en de compliance met deze Overeenkomst en de regelgeving op het gebied van gegevensbescherming aan te tonen. Deze informatie omvat met name actuele attesten, rapporten of rapportuittreksels van onafhankelijke instanties (bijv. financiële auditors, externe deskundigen, IT-beveiligingsauditors of auditors voor gegevensbescherming) en geschikte certificering (bijv. volgens de Basisbeveiliging van het BSI (Duitse Federale Bureau voor Informatiebeveiliging). De aannemer verstrekt de verwerker onmiddellijk specifieke informatie per geval.

• Krachtens Art. 82 para. 1 AVG zijn de verwerker en de processor in hun externe relatie aansprakelijk voor materiële en immateriële schade die een persoon lijdt door een inbreuk op de AVG. Als zowel de Verwerker als de Verwerker verantwoordelijk zijn voor dergelijke schade in overeenstemming met Art. 82 para. 2 AVG, zijn de Partijen intern aansprakelijk voor dergelijke schade naar rato van hun aandeel in de verantwoordelijkheid. Als een persoon in een dergelijk geval een schadeclaim geheel of gedeeltelijk tegen een van de partijen indient, kan de andere partij een schadeloosstelling of vrijwaring van de andere partij eisen voor zover dit in verhouding staat tot hun aandeel in de verantwoordelijkheid.
• De Verwerker is ook aansprakelijk tegenover de Verwerker voor compliance met de regelgeving voor gegevensbescherming door de onderaannemers die hij gebruikt om zijn taken uit te voeren. De schuld van onderaannemers wordt toegerekend aan de processor alsof het zijn eigen schuld is.
• De Verwerker zal de Verwerkingsverantwoordelijke bijstaan met alle informatie waarover hij beschikt indien de Verwerkingsverantwoordelijke onderworpen is aan administratieve of strafrechtelijke procedures, aan de aansprakelijkheid van een betrokkene of een derde partij of aan enige andere vordering in verband met de verwerking van gegevens door de Verwerker.

• Gegevensdragers en gegevensrecords die aan de Verwerker worden verstrekt, blijven de accommodatie van de Verwerker.
• Als afzonderlijke of meerdere clausules van deze Overeenkomst onwerkzaam zijn, blijft de geldigheid van de resterende overeenkomst onverminderd van kracht. In het geval dat individuele of meerdere bepalingen van het contract ongeldig zijn, zullen de partijen de ongeldige bepaling onmiddellijk vervangen door een bepaling die de ongeldige bepaling het meest benadert in termen van commerciële interesses en data bescherming.
• In geval van tegenstrijdigheid tussen de Hoofdovereenkomst en deze Overeenkomst, heeft deze Overeenkomst voorrang voor zover de tegenstrijdigheid betrekking heeft op de verwerking van persoonsgegevens.
• Alle diensten die de Verwerker verricht in verband met de nakoming van zijn verplichtingen uit hoofde van deze Overeenkomst worden verrekend met de vergoeding uit de Hoofdovereenkomst.
• De volgende Bijlagen vormen een integraal onderdeel van deze Overeenkomst
• Bijlage 1 "Technische en organisatorische maatregelen".
• Bijlage 2 "Goedgekeurde onderaannemers".