Beleid voor gegevensverwerking en -overdracht voor partners, april 2021

Versie: 1.1, Ingangsdatum: 9 oktober 2019

Dit Addendum Gegevensverwerking ("Addendum") vormt een integraal onderdeel van de samenwerkingsovereenkomst, Algemene Voorwaarden beschikbaar op https://www.mews.com/nl/terms-conditions/partners-july-2020 ("Algemene Voorwaarden") of een andere overeenkomst (Algemene Voorwaarden of een dergelijke andere overeenkomst hierna ook te noemen de "Overeenkomst") gesloten tussen Mews' Affiliate zoals gedefinieerd in de betreffende Overeenkomst ("Mews") en u ("Partner"). Dit Addendum is een aanvulling op de termijnen van de Overeenkomst tussen Mews en Partner; in geval van tegenstrijdige termijnen tussen de Overeenkomst en dit Addendum, prevaleert dit Addendum, tenzij Partijen in de Overeenkomst uitdrukkelijk schriftelijk overeenkomen dat van dit Addendum wordt afgeweken.

In dit Addendum hebben termen met een hoofdletter de volgende betekenis.  Termen met een hoofdletter die hierin niet anders zijn gedefinieerd, hebben de betekenis die daaraan wordt gegeven in de Overeenkomst of Algemene Voorwaarden.

"Filiaal(s)" betekent met betrekking tot een entiteit dat de "Filiaal" elke andere entiteit is die direct of indirect onder zeggenschap staat van, gecontroleerd wordt door, of onder directe of indirecte gezamenlijke zeggenschap staat van de initiële entiteit. Een entiteit oefent zeggenschap uit over een andere entiteit als deze entiteit, direct of indirect, (i) 20% of meer van de aandelen met gewoon stemrecht voor de verkiezing van bestuurders van een dergelijke entiteit bezit; of (ii) de macht heeft om de leiding of het beleid van de andere entiteit te sturen of te doen sturen, hetzij door het bezit van stemrechtverlenende effecten, hetzij contractueel of anderszins;

"Geautoriseerde gebruiker" betekent een persoon die door Partner is gemachtigd om toegang te hebben tot het Mews Platform en/of Mews Account en om instructies te geven aan en communicatie te ontvangen van Mews, ongeacht of dit via het Mews Platform, Mews Account, via e-mail of anderszins gebeurt;

"Verwerker" betekent een persoon of entiteit die het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt;

"Wetgeving inzake gegevensbescherming" betekent AVG, en/of enige andere toepasselijke wetgeving inzake gegevensprivacy van het land van registratie van Mews Affiliate zoals gedefinieerd in de Overeenkomst;

"Betrokkene" betekent de geïdentificeerde of identificeerbare persoon op wie Persoonsgegevens betrekking hebben;

"AVG" betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

"Persoonsgegevens" betekent alle informatie met betrekking tot (i) een geïdentificeerde of identificeerbare natuurlijke persoon en/of (ii) een geïdentificeerde of identificeerbare rechtspersoon (waar dergelijke informatie wordt beschermd door de wetgeving inzake gegevensbescherming op dezelfde manier als gegevens die een levend individu identificeren); die, voor de toepassing van dit Addendum, persoonlijke gegevens van Gasten bevatten, dat wil zeggen gegevens in de contactformulieren, contact- en identificatiegegevens, waaronder naam, aanspreektitel, e-mailadres en adres, identiteitsdocumenten en/of paspoortnummers, betaalgegevens, voorkeuren van Gasten en gegevens over diensten van Partner en beperkte verbindings- en locatiegegevens (stad). Persoonsgegevens bevatten geen speciale categorieën data.

"Verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, combineren, beperken, wissen of vernietigen; om twijfel te voorkomen: de verwerking van andere informatie dan Persoonsgegevens (bijv. geanonimiseerde gegevens) met als doel de Mews diensten te verbeteren, valt niet onder dit Addendum;

"Verwerker" of "Subverwerker" betekent een persoon of entiteit die Persoonsgegevens verwerkt namens een Gegevensverwerker en/of Verwerker, al naar gelang van toepassing;

"Diensten" betekent voor de toepassing van dit Addendum de diensten die Mews op grond van de Overeenkomst aan de Partner levert;

"modelcontractbepalingen" : de modelcontractbepalingen (gegevensverwerkers) voor de doorgifte van persoonsgegevens die zijn opgenomen in het besluit van de Europese Commissie van 5 februari 2010 (2010/87/EG), zoals opgenomen in bijlage nr. 1 hierbij, of andere modelcontractbepalingen die in de toekomst door de Europese Commissie zullen worden vastgesteld (indien van toepassing);

"Toezichthoudende autoriteit" betekent een onafhankelijke overheidsinstantie die is opgericht door een EU-lidstaat of ander land op grond van de AVG of een overeenkomstige wet.

2.1 Verwerking van persoonlijke data

Mews en Partner erkennen dat Partner de gegevensverantwoordelijke of primaire verwerker is met betrekking tot de Verwerking van relevante Persoonsgegevens. Mews zal Persoonlijke Gegevens uitsluitend verwerken als Verwerker of Subverwerker (zoals van toepassing op het gebruik van de Diensten door Partner) namens Partner en uitsluitend voor zover en op een wijze die noodzakelijk is voor de doeleinden die zijn gespecificeerd in en in overeenstemming met dit Addendum, de Overeenkomst of zoals van tijd tot tijd anderszins geïnstrueerd door de Partner. Wanneer Mews redelijkerwijs van mening is dat een instructie van een Partner in strijd is met: (i) de toepasselijke wet- en regelgeving of (ii) de bepalingen van de Overeenkomst of het Addendum, zal Mews zich naar alle redelijkheid inspannen om de Partner hiervan op de hoogte te stellen en is zij gerechtigd om de uitvoering van de betreffende instructie op te schorten totdat deze door Partner is gewijzigd in de mate die Mews vereist om haar ervan te overtuigen dat een dergelijke instructie rechtmatig is, of door zowel Partner als Mews wederzijds is overeengekomen dat deze rechtmatig is.

3.1 Mews' Verwerking van persoonlijke gegevens

Mews zal Persoonlijke Gegevens behandelen als Vertrouwelijke Informatie en zal Persoonlijke Gegevens uitsluitend verwerken namens en in overeenstemming met de gedocumenteerde instructies van Partner voor de volgende doeleinden: (i) Verwerking in overeenstemming met de Overeenkomst; (ii) Verwerking geïnitieerd door Geautoriseerde Gebruikers bij hun gebruik van de Diensten; en (iii) Verwerking om te voldoen aan andere gedocumenteerde redelijke instructies die door Partner worden verstrekt (bijvoorbeeld via e-mail) voor zover dergelijke instructies in overeenstemming zijn met de termijn van de Overeenkomst. De Partner geeft hierbij opdracht aan Mews om betrokkenen via e-mail te informeren over de Verwerking van hun Persoonsgegevens namens Partner en over de mogelijkheid om gebruik te maken van de diensten Mews om de gegevens, boekingen en bijbehorende diensten van betrokkenen te beheren. Mews houdt een logboek bij van de daadwerkelijk uitgevoerde Verwerkingswerkzaamheden.

3.2 Technische en organisatorische maatregelen

Mews handhaaft en implementeert redelijke en passende technische en organisatorische maatregelen gericht op het beschermen van Persoonsgegevens tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging onbevoegde openbaarmaking of toegang, en met betrekking tot de beveiliging van Persoonsgegevens en de platforms die worden gebruikt om de Diensten te leveren, zoals beschreven in de Wetgeving inzake gegevensbescherming. Bij de implementatie van dergelijke maatregelen heeft Mews het recht om rekening te houden met de huidige standaardpraktijk bij het bepalen van wat redelijk is, evenals met de evenredigheid van de kosten van de implementatie van dergelijke maatregelen wanneer deze worden afgewogen tegen de potentiële schade voor de betrokkene waartegen de implementatie van deze maatregelen bescherming moet bieden.

3.3 Personeel

Mews zorgt ervoor dat haar Personeel dat betrokken is bij de Verwerking van Persoonsgegevens op de hoogte is van haar verplichting en verantwoordelijkheden hieronder, de juiste training heeft ontvangen en op de hoogte is van de vertrouwelijke aard van de Persoonsgegevens.  Onder "Personeel" wordt verstaan de medewerkers en/of agenten, consultants, onderaannemers of andere derde partijen: (i) die door Mews worden ingeschakeld zodat zij haar verplichtingen jegens Partner uit hoofde van de Overeenkomst of het Addendum kan nakomen, en (ii) die onderworpen zijn aan geheimhoudingsverplichtingen in in wezen dezelfde mate als uiteengezet in de Overeenkomst en het Addendum. Mews zorgt ervoor dat de toegang van het Personeel tot Persoonsgegevens beperkt blijft tot degenen die Diensten verlenen in overeenstemming met de Overeenkomst, en de geheimhoudingsverplichtingen van het Personeel blijven ook na beëindiging van het engagement van het Personeel gelden.

3.4 Kennisgevingen.

Mews zal de Partner zo snel als commercieel redelijk is schriftelijk op de hoogte stellen:

3.4.1 van een persoon ontvangen communicatie met betrekking tot (i) het recht van een persoon op toegang tot, wijziging, correctie, verwijdering of afscherming van zijn Persoonsgegevens; (ii) het recht van een persoon op rectificatie, restrictie of wissing van zijn Persoonsgegevens, op dataportabiliteit, op bezwaar tegen de Verwerking en om niet te worden onderworpen aan geautomatiseerde besluitvorming; en (iii) een klacht over de Verwerking van Persoonsgegevens door Partner; voor zover niet bij wet verboden, van een dagvaarding of ander gerechtelijk of administratief bevel of procedure waarin toegang tot of openbaarmaking van Persoonsgegevens wordt gevraagd; 3. Verwerking van Persoonsgegevens.4.2 voor zover niet bij wet verboden, klachten, kennisgevingen of andere mededelingen met betrekking tot de compliance van Partner met de wetgeving inzake gegevensbescherming en privacy en de Verwerking van Persoonsgegevens. Mews zal de Partner commercieel gezien redelijke medewerking en assistentie verlenen (op kosten van de Partner) met betrekking tot een dergelijke klacht, kennisgeving of communicatie; en 3.4.3 van een wezenlijke inbreuk op de beveiliging van de Diensten die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot Persoonsgegevens waarvan wij ons bewust worden, in overeenstemming met de toepasselijke wetgeving ("Inbreuk op de beveiliging"). Mews zal zich redelijkerwijs inspannen om de oorzaak van een dergelijke inbreuk op de beveiliging vast te stellen en die stappen te ondernemen die noodzakelijk en redelijk zijn en die acceptabel zijn voor Partner, om de oorzaak van een dergelijke inbreuk op de beveiliging te herstellen, voor zover herstel binnen de redelijke controle van Mewsvalt. De verplichtingen hierin gelden niet voor incidenten die door Partner zijn veroorzaakt.

3.5Geen bevestiging

De Partner stemt ermee in dat de verplichting van Mewsom het Beveiligingslek te melden niet is en niet zal worden opgevat als een erkenning door Mews van enige fout of aansprakelijkheid van Mews met betrekking tot een dergelijk Beveiligingslek.

3.6 Terugzenden en verwijderen van data

Behoudens de beperkingen die zijn vastgelegd in de toepasselijke wetgeving, zal Mews alle persistente Persoonsgegevens (indien deze niet reeds zijn verwijderd in overeenstemming met de toepasselijke wetgeving) retourneren aan Partner volgens gestandaardiseerde procedures en binnen commercieel redelijke termijnen.

3.7 Mews Compliance

Mews zal voldoen aan de wetgeving inzake gegevensbescherming die van toepassing is op zijn eigen werkzaamheden en levering van de diensten op grond van de Overeenkomst en zijn verplichtingen op grond van dit Addendum.

3.8 Gegevensuitwisseling

Door gegevensuitwisseling binnen Mews Account met een derde partij mogelijk te maken of te accepteren, instrueert de Partner Mews conform Art. 28 (3)a) AVG toegang te verlenen tot alle Persoonlijke gegevens en alle andere gegevens die worden verwerkt binnen het account van Partner op Mews aan deze derde partij. De Partner is verantwoordelijk voor het verkrijgen van alle noodzakelijke toestemmingen van de Betrokkenen of andere derde partijen voor de gegevensuitwisseling zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming. De Partner zal Mews en de aan haar Gelieerde Partijen volledig vrijwaren, verdedigen en schadeloos stellen van en tegen alle claims die worden ingediend door de Betrokkene of een derde partij, voortvloeiend uit de schending van deze clausule, met inbegrip van alle aansprakelijkheden, schade, verliezen, kosten en uitgaven.

3.9 Integraties

Mews Het platform biedt verschillende integraties. Door verbinding te maken met of zich te abonneren op de betreffende integratie via Mews Account geeft de Partner opdracht aan Mews op grond van Art. 28 (3)a) AVG om toegang te verlenen tot Persoonlijke Gegevens die zijn verwerkt binnen het Mews Account van Partner aan de respectieve integratiepartner zoals vereist voor de interoperatie van de diensten of het product van de integratiepartner met Mews Diensten.

3.10 Controle

De Partner heeft het recht om een audit uit te voeren om te controleren of Mewsvoldoet aan zijn verplichtingen zoals vastgelegd in artikel. 28 AVG en in dit Addendum. Mews staat de partner toe om de audit onder de volgende voorwaarden uit te voeren:

1. de Partner vraagt Mews om de audit uit te voeren via een schriftelijke kennisgeving ten minste 30 (dertig) dagen van tevoren;
2. specificeert de Partner de agenda voor deze audit in de kennisgeving onder (i);
3. de audit vindt niet vaker dan eenmaal per jaar plaats;
4. alle bijbehorende kosten en uitgaven komen voor rekening van de Partner en worden op verzoek terugbetaald aan Mews ; en
5. de audit duurt niet langer dan het equivalent van 1 werkdag (8 uur) van de Mews vertegenwoordiger.

In het geval dat de Partner om de audit verzoekt via een derde onafhankelijke partij - externe gelicentieerde auditor, kan Mews bezwaar maken tegen een externe gelicentieerde auditor die door de Partner is aangesteld om de audit uit te voeren als de auditor naar de redelijke mening van Mewsniet voldoende gekwalificeerd of onafhankelijk is, een concurrent is van Mewsof anderszins duidelijk ongeschikt is. Bij een dergelijk bezwaar zal Partner een andere accountant moeten benoemen. In het geval dat de Partner meer dan één audit binnen één kalenderjaar vereist, dient de Partner vooraf schriftelijke toestemming te verkrijgen van Mews en zal hij de aan dergelijke audits verbonden kosten dragen en Mews alle redelijkerwijs gemaakte kosten van dergelijke audits vergoeden. Op verzoek van de Partner zal Mews aan de Partner de geschatte kosten verstrekken die zij verwacht te zullen maken tijdens een dergelijke audit, in de mate zoals gespecificeerd in de door de Partner verstrekte agenda.

4.1 Verwerking van persoonlijke data door de partner

Partner zal bij het gebruik van de diensten Persoonsgegevens verwerken in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming. Om twijfel te voorkomen, garandeert Partner dat zijn instructies voor de Verwerking van Persoonlijke Gegevens in overeenstemming zijn met de Wetgeving inzake Gegevensbescherming en dat hij geen instructies of opdrachten zal geven die Mew opdragen om acties of handelingen te ondernemen die onwettig zijn of anderszins niet in overeenstemming zijn met de Wetgeving inzake Gegevensbescherming. Partner is als enige verantwoordelijk voor de juistheid, kwaliteit en wettigheid van Persoonlijke gegevens en de wijze waarop Partner Persoonlijke gegevens heeft verkregen.

4.2 Compliance van de partner

Naast de verplichtingen van Partner die in de Overeenkomst worden vermeld, is Partner verantwoordelijk voor (i) de integriteit, beveiliging, het onderhoud en de juiste bescherming van Persoonlijke gegevens, en (ii) de compliance met alle toepasselijke wet- en regelgeving op het gebied van privacy, gegevensbescherming en beveiliging met betrekking tot: (a) de Verwerking van de Persoonsgegevens; (b) het gebruik van de Services; en (c) alle vereisten inzake registratie of kennisgeving van gegevensverwerking waaraan Partner is onderworpen onder de toepasselijke wetgeving.

4.3 Meldingen

Partner stemt ermee in alle vereiste kennisgevingen te doen aan, en de vereiste toestemmingen en rechten te verkrijgen van, individuen met betrekking tot Mews' levering van diensten aan Partner. Wanneer Mews een communicatie ontvangt die wordt beschreven in subgedeelte 3.4.1 of 3.4.3 en Partner van een dergelijke communicatie op de hoogte stelt, is het de verantwoordelijkheid van Partner om op de communicatie te reageren en alle andere passende actie te ondernemen met betrekking tot de communicatie. Partner stemt ermee in Mews onmiddellijk op de hoogte te stellen van ongeautoriseerd gebruik van de diensten of het account van Partner of van enige andere inbreuk op de beveiliging van de diensten.

4.4 Technische en organisatorische maatregelen

Partner is als enige verantwoordelijk voor de implementatie en handhaving van beveiligingsmaatregelen en andere technische en organisatorische maatregelen die zijn afgestemd op de aard en de omvang van de Persoonlijke Data die Partner opslaat of anderszins verwerkt met behulp van de Diensten. Partner is ook verantwoordelijk voor het gebruik van de diensten door medewerkers, personen die Partner toestemming heeft gegeven voor toegang tot of gebruik van de diensten en personen die toegang krijgen tot de Persoonlijke gegevens of de diensten als gevolg van het niet toepassen van redelijke veiligheidsmaatregelen, zelfs als dit gebruik niet door Partner is geautoriseerd.

5.1 Samenwerking met partners en Mews

Partner en Mews komen overeen om op commercieel redelijke wijze samen te werken zoals redelijkerwijs vereist is om de Persoonsgegevens te beschermen krachtens de toepasselijke wetgeving, artikel 35 en 36 van de AVG om een beoordeling van de gevolgen voor de gegevensbescherming uit te voeren gerelateerd aan het gebruik van de Diensten door Partner, voor zover Partner niet anderszins toegang heeft tot de relevante informatie en voor zover dergelijke informatie beschikbaar is voor Mews. Partner moet meewerken aan Mews' redelijk onderzoek naar storingen in de diensten, beveiligingsproblemen en vermoedelijke inbreuken op de beveiliging. Partner zal redelijke bijstand verlenen aan Mews bij de samenwerking of voorafgaand overleg met de Toezichthoudende Autoriteit bij de uitvoering van haar taken met betrekking tot dit gedeelte, voor zover vereist onder de AVG of toepasselijke wetgeving.

5.2Mews' Hulp bij compliance vereisten van partner

Gedurende de termijn van de Partnerovereenkomst met Mewskan Partner Mews verzoeken om Partner te helpen bij de naleving van de verplichtingen van Partner op grond van toepasselijke wet- en regelgeving inzake gegevensbescherming of privacy, mits (i) de gevraagde assistentie relevant is voor Services die de Verwerking van Persoonlijke Gegevens ondersteunen, (ii) deze gevraagde assistentie commercieel redelijk is en in verhouding staat tot het doel van de activiteit waarmee Mews wordt verzocht te assisteren, en (iii) als MEWS Systems ermee instemt te assisteren, dat alle bijbehorende kosten en uitgaven (inclusief de kosten van de tijd van zijn personeel) door de Partner worden gedragen en op verzoek worden terugbetaald aan Mews.

6.1 Met betrekking tot derden of het uitbesteden van de Verwerking van Persoonsgegevens kan Mews een derde partij (Sub-verwerker) alleen machtigen om de Persoonsgegevens te Verwerken met voorafgaande toestemming van de Partner en op voorwaarde dat de bepalingen met betrekking tot gegevensverwerking en gegevensbescherming in het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens in wezen dezelfde zijn als de bepalingen in dit Addendum, op voorwaarde dat het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens automatisch eindigt bij beëindiging van de Overeenkomst om welke reden dan ook. Ten behoeve hiervan worden de volgende personen door de Partner goedgekeurd door ondertekening van dit Addendum: (i) Subverwerkers die worden genoemd in Bijlage 2 van dit Addendum, (ii) Mews' Filialen en (iii) elke Subverwerker die door Partner is geautoriseerd via zijn geautoriseerde gebruiker door een integratie met Mews Diensten te autoriseren via MEWS Account of anderszins. Mews kan gedurende de termijn van de overeenkomst nieuwe Subverwerkers betrekken bij de Verwerking, mits deze Subverwerkers alleen toegang hebben tot en gebruik maken van Persoonsgegevens voor zover dit vereist is om de aan hen uitbestede verplichtingen uit te voeren.

6.2 Recht van bezwaar voor nieuwe subverwerkers

MewsDe Partner kan bezwaar maken tegen het gebruik van een nieuwe Subverwerker door Mews binnen tien (10) werkdagen na ontvangst van de kennisgeving van Mewshiervan schriftelijk op de hoogte te stellen onder vermelding van de tekortkomingen. In het geval dat Partner bezwaar maakt tegen een nieuwe Sub-verwerker, zal Mews zich inspannen om aanvullende beveiligingen toe te voegen (ter dekking van de gespecificeerde tekortkomingen) of de Sub-verwerker te wijzigen (ten opzichte van de Sub-verwerker); mocht Mews Systems hiertoe niet in staat zijn, dan zal Mews zich redelijkerwijs inspannen om Partner een wijziging in de Diensten beschikbaar te stellen of een commercieel redelijke wijziging in de configuratie of het gebruik van de Diensten door Partner aan te bevelen om Verwerking van Persoonsgegevens door de nieuwe Sub-verwerker waartegen bezwaar is gemaakt, te voorkomen zonder Partner onredelijk te belasten. Als Mews niet in staat is een dergelijke wijziging binnen een redelijke periode, die niet langer is dan dertig (30) dagen, beschikbaar te stellen, kan Partner alleen dat deel van de Diensten beëindigen dat niet door Mews kan worden geleverd zonder gebruikmaking van de nieuwe Subverwerker waartegen bezwaar is gemaakt door schriftelijke kennisgeving aan Mews. Mews zal Partner vooruitbetaalde kosten terugbetalen voor de rest van de termijn van de Overeenkomst na de ingangsdatum van de beëindiging met betrekking tot het beëindigde deel van de Diensten, wat het enige en exclusieve rechtsmiddel van de Partner is in verband met de introductie van een nieuwe Subverwerker.

6.3 Aansprakelijkheid

Mews is aansprakelijk voor de handelingen en nalatigheden van haar Subverwerkers in dezelfde mate als Mews aansprakelijk zou zijn als zij de diensten van elke Subverwerker rechtstreeks zou uitvoeren onder de termijnen van dit Addendum, tenzij anders uiteengezet in de Overeenkomst.

7.1 Overdracht van data

De Partijen komen overeen dat Persoonsgegevens alleen vanuit de Europese Unie/Europese Economische Ruimte naar een derde land mogen worden doorgegeven als een van de volgende voorwaarden van toepassing is: (a) er is een toepasselijk besluit van de Europese Commissie waarin staat dat het derde land een passend beschermingsniveau waarborgt; of (b) de doorgifte kan plaatsvinden omdat Mews passende waarborgen heeft geboden volgens Art. 46 van de AVG, en op voorwaarde dat afdwingbare rechten van betrokkenen en effectieve rechtsmiddelen voor betrokkenen beschikbaar zijn; of (c) de afwijkingen voor specifieke situatie onder de Art. 49 van de AVG van toepassing. Voor de toepassing van Art. 7.1 van dit Addendum, worden de Standaard Contractuele Clausules, die Bijlage Nr. 1 (Standaard Contractuele Clausules) van dit Addendum vormen, beschouwd als passende waarborgen. Partner geeft hierbij toestemming aan Mews om de Standaard Contractuele Clausules aan te gaan voor het overdragen van Persoonsgegevens naar derde landen.

7.2 Standaard contractbepalingen

Om de overdracht van data van/naar derde landen naar/van de Europese Unie/Europese Economische Ruimte mogelijk te maken, worden de Standaard Contractuele Clausules (Bijlage Nr. 1 bij dit Addendum) hierbij opgenomen in dit Addendum en vormen zij een onlosmakelijk onderdeel van dit Addendum.

8.1 Partner stemt ermee in dat elke geautoriseerde gebruiker van Partner kan worden gecontacteerd en gerechtigd is alle communicatie met betrekking tot dit Addendum te ontvangen.

9.1 Mews erkent dat zij optreedt als dienstverlener met betrekking tot Persoonsgegevens van Partner die door haar hieronder worden verwerkt.

9.2 Tenzij voorgeschreven door de toepasselijke wetgeving of uitdrukkelijk overeengekomen tussen de Partijen, zal Mews niet:

• Persoonlijke gegevens van partners verkopen;
• Persoonlijke gegevens van Partners bewaren, gebruiken of bekendmaken voor andere doeleinden dan het specifieke doel om de diensten uit te voeren in overeenstemming met de Overeenkomst;
• Persoonlijke gegevens van Partners bewaren, gebruiken of bekendmaken voor andere commerciële doeleinden dan die welke in de Overeenkomst zijn vermeld; of
• de Persoonlijke informatie van de Partner bewaren, gebruiken of bekendmaken buiten de directe zakelijke relatie tussen Mews en Partner.

9.3 Mews verklaart de verantwoordelijkheden en restricties opgelegd door dit Addendum, de CCPA en andere toepasselijke wet- en regelgeving inzake gegevensbescherming te begrijpen en na te leven.

9.4 In dit artikel 9:

9.4.1 "CCPA" betekent de California Consumer Privacy Act, California Civil Code §§1798.100 e.v., inclusief alle amendementen en implementatievoorschriften die van kracht worden op of na de ingangsdatum van dit Addendum; en

9.4.2 "Persoonlijke informatie van Partner": alle data van Partner die "persoonlijke informatie" omvat zoals gedefinieerd in de CCPA;

9.4.3 "Dienstverlener" heeft de betekenis zoals uiteengezet in gedeelte 1798.140(v) van de CCPA.

10.1 Dit Artikel 10 is alleen van toepassing indien de contracterende Partij bij de Overeenkomst Mews is met haar statutaire zetel in de Verenigde Staten van Amerika.

10.2 COPPA

Vooral de bescherming van de privacy van kinderen is belangrijk. De Children's Online Privacy and Protection Act ("COPPA") vereist dat aanbieders van online diensten toestemming van hun overkoepelende ouders krijgen voordat ze bewust online persoonlijk identificeerbare informatie verzamelen van kinderen in de Verenigde Staten van Amerika die jonger zijn dan 13 jaar. Mews respecteert de functie van overkoepelende ouders of voogden bij het toezicht op de online activiteiten van hun kinderen. Daarom beperkt Mews het verzamelen van persoonlijke informatie van kinderen tot niet meer dan wat redelijkerwijs nodig is om deel te nemen aan de diensten en om deze in de toekomst te verbeteren. Mews verzamelt geen Persoonsgegevens van kinderen anders dan zoals uiteengezet in de Overeenkomst. Mews behoudt zich het recht voor om te weigeren data te verwerken die door Partner zijn aangeleverd en die in strijd zijn met deze Clausule 10.2.

10.3 Gebruik van data van Partner door derde partijen

Tenzij anders overeengekomen zijn alle door Partner aan Mews verstrekte gegevens vertrouwelijke informatie en zal Mews geen data gebruiken voor andere doeleinden dan het uitoefenen van haar rechten en het nakomen van haar verplichtingen in verband met het uitvoeren van de Diensten. Partner erkent dat, om de Diensten naar behoren te kunnen uitvoeren, door Partner aan Mews verstrekte informatie beschikbaar wordt gesteld aan derde partijen om de uitvoering van de Diensten mogelijk te maken. Partner erkent dat dergelijke derde partijen geen vertegenwoordigers zijn van Mews en dat Mews niet verantwoordelijk is voor het handelen en nalaten van deze derde partijen. Mews vereist van derde partijen waaraan Persoonlijke gegevens van Partner ter beschikking worden gesteld, dat zij hetzelfde niveau van privacybescherming toepassen als uiteengezet in dit Addendum en zoals vereist door de toepasselijke wetgeving. De manier waarop de gegevens van Partners worden gebruikt, wordt gecoupeerd in het privacybeleid van Mews , te vinden op https://Mews Systems.com/privacy-policy/.

11.1 Derden Begunstigden

De betrokkene is de enige derde partij die recht heeft op de modelcontractbepalingen en er zijn geen andere derde partijen die recht hebben op de overeenkomst en dit addendum. Niettegenstaande het voorgaande zijn de Overeenkomst en de bepalingen van dit Addendum uitsluitend van toepassing op de partijen en verlenen zij geen rechten aan aan Partner gelieerde ondernemingen, eindgebruikers van Partner of derde partijen Betrokkenen.

11.2 Toepasselijk recht

Niets in dit Addendum wijzigt het gedeelte Toepasselijk Recht van de Overeenkomst, dat, om twijfel te voorkomen, van toepassing is op alle vorderingen die onder de Overeenkomst en dit Addendum worden ingesteld. Voor zover de Standaardcontractbepalingen van toepassing zijn en voor zover een Betrokkene een vordering instelt op grond van artikel 3.2 van de Standaardcontractbepalingen met betrekking tot de verwerking van Persoonsgegevens door Mews , worden de Standaardcontractbepalingen beheerst door en geïnterpreteerd in overeenstemming met artikel 9 (Toepasselijk recht) van de Standaardcontractbepalingen.

11.3 Beperking van aansprakelijkheid

De rechtsmiddelen van Partner, met inbegrip van die van zijn Gelieerde Ondernemingen, en de aansprakelijkheid van Mews, die voortvloeien uit of gerelateerd zijn aan dit Addendum en de Standaard Contractuele Bepalingen, zijn onderworpen aan de aansprakelijkheidsbeperkingen en disclaimers zoals uiteengezet in de Overeenkomst of, indien er geen aansprakelijkheidsbeperkingen zijn opgenomen in de Overeenkomst, komen de Partijen overeen en verklaren zij dat de totale schade die kan voortvloeien uit de schending van dit Addendum en/of de Standaard Contractuele Bepalingen niet hoger zal zijn dan tienduizend euro.

11.4 Termijn

Na beëindiging van de Overeenkomst blijft dit Addendum van kracht totdat Mews stopt met het verwerken van Persoonsgegevens namens de Partner.

11.5 Terminals

Mews kan dit Addendum beëindigen als Mews aan Partner alternatieve mechanismen aanbiedt die voldoen aan de verplichtingen van de toepasselijke wetgeving inzake gegevensprivacy.

11.6 Tegenhangers

Dit Addendum kan in meerdere exemplaren worden ondertekend, die samen als één origineel worden beschouwd.

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG voor de doorgifte van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen die geen passend niveau van gegevensbescherming waarborgen

De Partnerentiteit die partij is bij het Addendum waaraan deze Standaard Contractuele Bepalingen zijn gehecht. 

Naam van de organisatie die data exporteert:

Adres:

Tel. …Fax …E-mail: …

Andere informatie die nodig is om de organisatie te identificeren

…

(de data exporteur)

En

Naam van de organisatie die data importeert: …

Adres: …

Tel. …Fax …E-mail: …

Andere informatie die nodig is om de organisatie te identificeren:

…

(de importeur of subverwerker van data (indien van toepassing))

elk een "partij"; samen "de partijen",

HEBBEN OVEREENSTEMMING BEREIKT omtrent de volgende contractuele bepalingen (de bepalingen) teneinde passende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen voor de doorgifte door de gegevensexporteur aan de gegevensimporteur van de in aanhangsel 1 gespecificeerde persoonsgegevens.

Definities

Voor de toepassing van de Clausules:

1. "persoonsgegevens", "bijzondere categorieën gegevens", "verwerking", "verwerker", "betrokkene" en "toezichthoudende autoriteit" hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
2. "de gegevensexporteur": de verwerker die de persoonsgegevens doorgeeft;
3. "de gegevensimporteur": de verwerker die ermee instemt van de gegevensexporteur persoonsgegevens te ontvangen die bestemd zijn om na doorgifte namens hem te worden verwerkt in overeenstemming met zijn instructies en de bepalingen van de bepalingen, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
4. "de subverwerker": een door de gegevensimporteur of door een andere subverwerker van de gegevensimporteur ingeschakelde verwerker die ermee instemt om van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor verwerkingsactiviteiten die namens de gegevensexporteur moeten worden uitgevoerd na de doorgifte in overeenstemming met zijn instructies, de bepalingen van de bepalingen en de bepalingen van het schriftelijke subcontract;
5. "de toepasselijke wetgeving inzake gegevensbescherming' betekent de wetgeving ter bescherming van de fundamentele rechten en vrijheden van personen en, in het bijzonder, hun recht op privacy met betrekking tot de verwerking van persoonsgegevens die van toepassing is op een gegevensverantwoordelijke in de lidstaat waar de gegevensexporteur is gevestigd;
6. "technische en organisatorische beveiligingsmaatregelen": maatregelen ter bescherming van persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Details van de overdracht

De details van de doorgifte en in het bijzonder de speciale categorieën van persoonsgegevens waar van toepassing, worden gespecificeerd in Bijlage 1, die een integraal onderdeel van de Clausules vormt.

1. De betrokkene kan deze bepaling, bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde partij afdwingen tegenover de gegevensexporteur.
2. De betrokkene kan deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensexporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur overneemt; in dat geval kan de betrokkene deze tegenover deze rechtsopvolger afdwingen.
3. De betrokkene kan dit artikel, artikel 5, onder a) tot en met e) en onder g), artikel 6, artikel 7, artikel 8, lid 2, en de artikelen 9 tot en met 12 tegenover de subverwerker afdwingen in gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, waardoor deze de rechten en verplichtingen van de gegevensexporteur overneemt; in dat geval kan de betrokkene deze rechten en verplichtingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingswerkzaamheden onder de Clausules.
4. De partijen hebben er geen bezwaar tegen dat een betrokkene wordt vertegenwoordigd door een vereniging of een andere instantie als de betrokkene dat uitdrukkelijk wenst en als de nationale wetgeving dat toestaat.

Verplichtingen van de data exporteur

De exporteur van data stemt ermee in en garandeert het volgende:

1. dat de verwerking, met inbegrip van de doorgifte zelf, van de persoonsgegevens is uitgevoerd en zal doorgaan in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, is gemeld aan de relevante autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd) en niet in strijd is met de relevante bepalingen van die staat;
2. dat hij de gegevensimporteur heeft geïnstrueerd en gedurende de hele looptijd van de diensten voor de verwerking van persoonsgegevens zal instrueren om de doorgegeven persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de Clausules te verwerken;
3. dat de importeur van data voldoende garanties biedt met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Appendix 2 van dit contract;
4. dat de beveiligingsmaatregelen, na beoordeling van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, geschikt zijn om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en dat deze maatregelen een passend beveiligingsniveau waarborgen gelet op de risico's die de verwerking en de aard van de te beschermen data met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van implementatie ervan;
5. dat het zal zorgen voor compliance met de beveiligingsmaatregelen;
6. dat, indien de doorgifte bijzondere categorieën gegevens betreft, de betrokkene vóór of zo spoedig mogelijk na de doorgifte ervan in kennis is gesteld of zal worden gesteld dat zijn gegevens kunnen worden doorgegeven aan een derde land dat geen passende bescherming biedt in de zin van Richtlijn 95/46/EG;
7. elke van de gegevensimporteur of subverwerker ontvangen kennisgeving overeenkomstig clausule 5(b) en clausule 8(3) door te sturen naar de toezichthoudende autoriteit voor gegevensbescherming indien de gegevensexporteur besluit door te gaan met de doorgifte of de opschorting op te heffen;
8. de betrokkenen op verzoek een kopie van de bepalingen, met uitzondering van aanhangsel 2, en een samenvatting van de beveiligingsmaatregelen ter beschikking te stellen, alsmede een kopie van elk contract voor subverwerkingsdiensten dat in overeenstemming met de bepalingen moet worden opgesteld, tenzij de bepalingen of het contract commerciële informatie bevatten, in welk geval zij deze commerciële informatie kan verwijderen;
9. dat, in het geval van subverwerking, de verwerkingsactiviteit wordt uitgevoerd in overeenstemming met Clausule 11 door een subverwerker die ten minste hetzelfde niveau van bescherming van de persoonsgegevens en de rechten van het betrokkene biedt als de importeur van de data volgens de Clausules; en j) dat hij zal zorgen voor compliance met Clausule 4, onder a) tot en met i).

Verplichtingen van de importeur van data

De importeur van data stemt ermee in en garandeert het volgende:

1. de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en de bepalingen te verwerken; indien hij om welke reden dan ook niet in staat is deze compliance te bieden, stemt hij ermee in de gegevensexporteur onverwijld in kennis te stellen van zijn onvermogen tot compliance, in welk geval de gegevensexporteur het recht heeft de doorgifte van gegevens op te schorten en/of het contract te beëindigen;
2. dat hij geen reden heeft om aan te nemen dat de op hem van toepassing zijnde wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen uit hoofde van het contract na te komen en dat hij, in geval van een wijziging in deze wetgeving die waarschijnlijk een wezenlijk nadelig effect zal hebben op de door de clausules geboden garanties en verplichtingen, de gegevensexporteur onverwijld van de wijziging in kennis zal stellen zodra hij daarvan op de hoogte is, in welk geval de gegevensexporteur het recht heeft de doorgifte van gegevens op te schorten en/of het contract te beëindigen;
3. dat hij de in aanhangsel 2 gespecificeerde technische en organisatorische beveiligingsmaatregelen heeft geïmplementeerd voordat hij de doorgegeven persoonsgegevens verwerkt; d) dat hij de gegevensexporteur onverwijld zal informeren over:
4. 1. elk wettelijk bindend verzoek tot openbaarmaking van de persoonlijke data door een wetshandhavingsautoriteit, tenzij anders verboden, zoals een verbod onder strafrecht om de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren,
   2. onopzettelijke of onbevoegde toegang, en
   3. elk verzoek dat rechtstreeks van de betrokkenen wordt ontvangen zonder op dat verzoek in te gaan, tenzij zij daartoe anderszins gemachtigd is;
5. alle aanvragen van de gegevensexporteur met betrekking tot zijn verwerking van de betrokkene persoonsgegevens snel en correct af te handelen en zich te houden aan het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de doorgegeven gegevens;
6. op verzoek van de gegevensexporteur zijn gegevensverwerkingsfaciliteiten ter beschikking te stellen voor controle van de verwerkingsactiviteiten die onder de bepalingen vallen; deze controle wordt uitgevoerd door de gegevensexporteur of door een controle-instantie die is samengesteld uit onafhankelijke leden en in het bezit is van de vereiste beroepskwalificaties, gebonden is door een geheimhoudingsplicht en wordt geselecteerd door de gegevensexporteur, indien van toepassing, in overeenstemming met de toezichthoudende autoriteit;
7. de betrokkene op verzoek een afschrift van de bepalingen of een bestaand contract voor subverwerking ter beschikking te stellen, tenzij de bepalingen of het contract commerciële informatie bevatten, in welk geval de betrokkene deze commerciële informatie mag verwijderen, met uitzondering van aanhangsel 2, dat door een samenvatting van de beveiligingsmaatregelen wordt vervangen wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen;
8. dat zij, in het geval van subverwerking, de gegevensexporteur vooraf heeft geïnformeerd en diens voorafgaande schriftelijke toestemming heeft verkregen;
9. dat de verwerkingsdiensten door de subverwerker worden uitgevoerd in overeenstemming met Clausule 11;
10. onverwijld een afschrift van elke subverwerkersovereenkomst die zij krachtens de Clausules sluit, aan de data-exporteur te zenden.

Aansprakelijkheid

1. De partijen komen overeen dat een betrokkene die schade heeft geleden als gevolg van een schending van de verplichtingen waarnaar wordt verwezen in Clausule 3 of in Clausule 11 door een partij of subverwerker, recht heeft op vergoeding van de geleden schade door de gegevensexporteur.
2. Indien een betrokkene geen vordering tot schadevergoeding kan instellen overeenkomstig lid 1 tegen de gegevensexporteur wegens een schending door de gegevensimporteur of zijn subverwerker van een van hun verplichtingen als bedoeld in bepaling 3 of bepaling 11, omdat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensexporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover een dergelijke rechtsopvolger kan doen gelden. De importeur van data kan zich niet beroepen op een schending van zijn verplichtingen door een subverwerker om zijn eigen aansprakelijkheid te ontlopen.
3. Indien een betrokkene geen vordering kan instellen tegen de gegevensexporteur of de gegevensimporteur als bedoeld in de leden 1 en 2, wegens een schending door de subverwerker van een van hun verplichtingen als bedoeld in bepaling 3 of bepaling 11, omdat zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de subverwerker ermee in dat het betrokkene een vordering kan instellen tegen de subverwerker met betrekking tot diens eigen verwerkingswerkzaamheden krachtens de bepalingen alsof hij de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur heeft overgenomen, in welk geval het betrokkene zijn rechten tegenover een dergelijke rechtsopvolger kan doen gelden. De aansprakelijkheid van de subverwerker is beperkt tot zijn eigen verwerkingswerkzaamheden onder de Clausules.

Bemiddeling en jurisdictie

1. De gegevensimporteur stemt ermee in dat als het betrokkene zich jegens hem beroept op rechten van derde partijen en/of schadevergoeding eist op grond van de bepalingen, de gegevensimporteur de beslissing van het betrokkene accepteert:
2. 1. om het geschil door te verwijzen naar bemiddeling, door een onafhankelijke persoon of, indien van toepassing, door de toezichthoudende autoriteit;
   2. het geschil voor te leggen aan de rechter in de lidstaat waar de gegevensexporteur is gevestigd.
3. De partijen komen overeen dat de keuze van de betrokkene geen afbreuk doet aan zijn materiële of procedurele rechten om rechtsmiddelen aan te wenden in overeenstemming met andere bepalingen van nationaal of internationaal recht.

Samenwerking met toezichthoudende autoriteiten

1. De gegevensexporteur stemt ermee in een kopie van dit contract te deponeren bij de toezichthoudende autoriteit indien deze daarom verzoekt of indien een dergelijke aanbetaling vereist is volgens de toepasselijke wetgeving inzake gegevensbescherming.
2. De partijen komen overeen dat de toezichthoudende autoriteit het recht heeft om een audit uit te voeren van de gegevensimporteur en van elke subverwerker, die dezelfde reikwijdte heeft en onderworpen is aan dezelfde voorwaarden die van toepassing zouden zijn op een audit van de gegevensexporteur onder de toepasselijke wetgeving inzake gegevensbescherming.
3. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van het bestaan van wetgeving die op hem of een subverwerker van toepassing is en die de uitvoering van een audit van de gegevensimporteur of een subverwerker overeenkomstig lid 2 verhindert. In dat geval heeft de exporteur van data het recht om de maatregelen te nemen waarin Clausule 5(b) voorziet.

Toepasselijk recht

De bepalingen worden beheerst door het recht van de lidstaat waarin de Data Exporteur is gevestigd.

Variatie van het contract

De partijen verbinden zich ertoe de Clausules niet te wijzigen of aan te passen. Dit belet de partijen niet om, waar nodig, clausules over bedrijfsgerelateerde kwesties toe te voegen, zolang deze niet in strijd zijn met de clausule.

Subverwerking

1. De gegevensimporteur mag geen van zijn verwerkingswerkzaamheden die hij namens de gegevensexporteur krachtens de bepalingen uitvoert, uitbesteden zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur zijn verplichtingen uit hoofde van de bepalingen, met toestemming van de gegevensexporteur, uitbesteedt, mag hij dit uitsluitend doen door middel van een schriftelijke overeenkomst met de subverwerker die aan de subverwerker dezelfde verplichtingen oplegt als die welke krachtens de bepalingen gelden voor de gegevensimporteur. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming uit hoofde van een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de nakoming van de verplichtingen van de subverwerker uit hoofde van die overeenkomst.
2. Het voorafgaande schriftelijke contract tussen de gegevensimporteur en de subverwerker dient tevens te voorzien in een derdenbeding als bedoeld in bepaling 3 voor gevallen waarin de betrokkene de in bepaling 6, lid 1, bedoelde vordering tot schadevergoeding niet kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden en geen rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden is beperkt tot zijn eigen verwerkingswerkzaamheden onder de Clausules.
3. De bepalingen betreffende de gegevensbeschermingsaspecten voor subverwerking van het in lid 1 bedoelde contract worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.
4. De gegevensexporteur houdt een lijst bij van subverwerkingsovereenkomsten die krachtens de bepalingen zijn gesloten en door de gegevensimporteur zijn aangemeld overeenkomstig bepaling 5, onder j), die ten minste eenmaal per jaar wordt bijgewerkt. De lijst is beschikbaar voor de toezichthoudende autoriteit voor gegevensbescherming van de data-exporteur.

Verplichting na beëindiging van diensten voor verwerking van persoonsgegevens

• De partijen komen overeen dat de gegevensimporteur en de subverwerker bij de beëindiging van de levering van diensten op het gebied van gegevensverwerking, naar keuze van de gegevensexporteur, alle doorgegeven persoonsgegevens en de kopieën daarvan aan de gegevensexporteur zullen retourneren of alle persoonsgegevens zullen vernietigen en aan de gegevensexporteur zullen verklaren dat zij dit hebben gedaan, tenzij wetgeving die aan de gegevensimporteur is opgelegd, hem belet alle of een deel van de doorgegeven persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert de importeur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens waarborgt en de doorgegeven persoonsgegevens niet meer actief zal verwerken.
• De data-importeur en de subverwerker garanderen dat zij op verzoek van de data-exporteur en/of de toezichthoudende autoriteit hun faciliteiten voor dataverwerking zullen onderwerpen aan een audit van de in lid 1 bedoelde maatregelen.

Namens de exporteur van data:

Naam (voluit geschreven):

Functie: Adres:

Eventuele andere informatie die nodig is om het contract bindend te maken:

Handtekening……………………………………….

(stempel van organisatie)

Namens de importeur van data:

Naam (voluit geschreven):

Functie: Adres:

Eventuele andere informatie die nodig is om het contract bindend te maken:

Handtekening……………………………………….

(stempel van organisatie)

Exporteer data

De exporteur van data is Mews, een leverancier van diensten zoals gespecificeerd in de Overeenkomst (indien van toepassing).

Data importeren

De gegevensimporteur is de entiteit (een subverwerker) die Persoonsgegevens buiten de EER ontvangt en bepaalde diensten levert aan Mews in verband met Diensten aan de Partner.

Betrokkenen

De overgedragen persoonlijke gegevens kunnen betrekking hebben op personen over wie persoonlijke gegevens worden verzonden of opgeslagen door de gegevensexporteur via het door Mews gehoste systeem en/of diensten, waaronder doorgaans personen (gasten of potentiële klanten) die gebruikmaken van de diensten van Partner.

Categorieën data

De overgedragen persoonlijke gegevens betreffen de volgende categorieën data: Gegevens van gasten die zijn opgenomen in de contactformulieren, contact- en identificatiegegevens, waaronder naam, aanspreektitel, identiteitsdocument en adres, identiteits- en/of paspoortnummers, betalingsgegevens, voorkeuren van gasten en gegevens over diensten van Partner en beperkte verbindings- en locatiegegevens (stad) in elektronische vorm die worden doorgegeven aan gegevensverwerker in het kader van Mews' Diensten (geleverd door de relevante subverwerker/importeur).

Verwerkende werkzaamheden

De overgedragen persoonsgegevens zijn onderworpen aan de volgende basisverwerkingsactiviteiten: Verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiden of op andere wijze beschikbaar stellen, samenbrengen of combineren, restrictie, wissen of vernietigen.Partner moet redelijke veiligheidsmaatregelen gebruiken in verband met zijn gebruik van de diensten, waaronder het op passende wijze versleutelen van persoonlijke gegevens die zijn opgeslagen op of verzonden door het gehoste systeem.

Deze Bijlage maakt deel uit van de Clausules en moet door de partijen worden ingevuld en ondertekend.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen geïmplementeerd door de importeur van data in overeenstemming met clausule 4(d) en clausule 5(c) (of bijgevoegd document/wetgeving):

De importeur van data implementeert beveiligingsmaatregelen die gelijkwaardig zijn aan de maatregelen die vereist zijn op grond van de Overeenkomst, het Addendum en eventuele aanvullende documenten die op grond van de Overeenkomst worden aangegaan.

De lijst met goedgekeurde subverwerkers van Mews is beschikbaar op https://www.mews.com/nl/platform-documentation#subprocessors