Mews Addendum voor dataverwerking

Versie: 1.1, Ingangsdatum: 9 oktober 2019

Versie 2.1, Ingangsdatum: 1 april 2021

Deze versie 2.2. van Data Processing Addendum ("Addendum") is van toepassing op alle Overeenkomsten die worden aangegaan op en na 27 september 2021.

Dit Addendum vormt een integraal onderdeel van de samenwerkingsovereenkomst, Algemene Voorwaarden beschikbaar op https://www.mews.com/nl/terms-conditions/master ("Algemene Voorwaarden") of een andere overeenkomst (Algemene Voorwaarden of een dergelijke andere overeenkomst hierna ook te noemen de "Overeenkomst") gesloten tussen Mews' Affiliate zoals gedefinieerd in de betreffende Overeenkomst ("Mews") en u ("Partner"). Dit Addendum is een aanvulling op de termijnen van de Overeenkomst tussen Mews en Partner; in geval van tegenstrijdige termijnen tussen de Overeenkomst en dit Addendum, prevaleert dit Addendum, tenzij Partijen in de Overeenkomst uitdrukkelijk schriftelijk overeenkomen dat van dit Addendum wordt afgeweken.

In dit Addendum hebben termen met een hoofdletter de volgende betekenis.  Termen met een hoofdletter die hierin niet anders zijn gedefinieerd, hebben de betekenis die daaraan wordt gegeven in de Overeenkomst of Algemene Voorwaarden.

"Filiaal(s)" betekent met betrekking tot een entiteit dat de "Filiaal" elke andere entiteit is die direct of indirect onder zeggenschap staat van, gecontroleerd wordt door, of onder directe of indirecte gezamenlijke zeggenschap staat van de initiële entiteit. Een entiteit oefent zeggenschap uit over een andere entiteit als deze entiteit, direct of indirect, (i) 20% of meer van de aandelen met gewoon stemrecht voor de verkiezing van bestuurders van een dergelijke entiteit bezit; of (ii) de macht heeft om de leiding of het beleid van de andere entiteit te sturen of te doen sturen, hetzij door het bezit van stemrechtverlenende effecten, hetzij contractueel of anderszins;

"Geautoriseerde gebruiker" betekent een persoon die door Partner is gemachtigd om toegang te hebben tot het Mews Platform en/of Mews Account en om instructies te geven aan en communicatie te ontvangen van Mews, ongeacht of dit via het Mews Platform, Mews Account, via e-mail of anderszins gebeurt;

"Verwerker" betekent een persoon of entiteit die het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt;

"Gegevensbeschermingswetgeving" betekent EU-wetgeving inzake gegevensbescherming, UK-wetgeving inzake gegevensbescherming, CCPA en/of enige andere toepasselijke wetgeving inzake gegevensprivacy van het land van registratie van Mews Affiliate zoals gedefinieerd in de Overeenkomst;

"Betrokkene" betekent de geïdentificeerde of identificeerbare persoon op wie Persoonsgegevens betrekking hebben;

"EU-wetgeving inzake gegevensbescherming" betekent de AVG en de e-privacyrichtlijn van de EU (Richtlijn 2002/58/EG);

"AVG" betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

"Persoonsgegevens" betekent alle informatie met betrekking tot (i) een geïdentificeerde of identificeerbare natuurlijke persoon en/of (ii) een geïdentificeerde of identificeerbare rechtspersoon (waar dergelijke informatie wordt beschermd door de wetgeving inzake gegevensbescherming op dezelfde manier als gegevens die een levend individu identificeren); die, voor de toepassing van dit Addendum, persoonlijke gegevens van Gasten bevatten, dat wil zeggen gegevens in de contactformulieren, contact- en identificatiegegevens, waaronder naam, aanspreektitel, e-mailadres en adres, identiteitsdocumenten en/of paspoortnummers, betaalgegevens, voorkeuren van Gasten en gegevens over diensten van Partner en beperkte verbindings- en locatiegegevens (stad). Persoonsgegevens bevatten geen speciale categorieën data.

"Verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, combineren, beperken, wissen of vernietigen; om twijfel te voorkomen: de verwerking van andere informatie dan Persoonsgegevens (bijv. geanonimiseerde gegevens) met als doel de Mews diensten te verbeteren, valt niet onder dit Addendum;

"Verwerker" of "Subverwerker" betekent een persoon of entiteit die Persoonsgegevens verwerkt namens een Gegevensverwerker en/of Verwerker, al naar gelang van toepassing;

"Diensten" betekent voor de toepassing van dit Addendum de diensten die Mews op grond van de Overeenkomst aan de Partner levert;

"modelcontractbepalingen" : de modelcontractbepalingen in de bijlage bij Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021

"Toezichthoudende autoriteit" betekent een onafhankelijke overheidsinstantie die is opgericht door een EU-lidstaat of ander land op grond van de AVG of een overeenkomstige wet;

"UK Data Protection Laws" betekent alle wetten gerelateerd aan gegevensbescherming, de verwerking van persoonsgegevens, privacy en/of elektronische communicatie die van tijd tot tijd van kracht zijn in het Verenigd Koninkrijk, inclusief de UK AVG en de Data Protection Act 2018.

"UK AVG" betekent de AVG zoals opgeslagen in de wetgeving van het Verenigd Koninkrijk krachtens gedeelte 3 van de European Union (Withdrawal) Act 2018 van het Verenigd Koninkrijk.

2.1 Verwerking van persoonlijke data

Mews en Partner erkennen dat Partner de gegevensverantwoordelijke of primaire verwerker is met betrekking tot de Verwerking van relevante Persoonsgegevens. Mews zal Persoonlijke Gegevens uitsluitend verwerken als Verwerker of Subverwerker (zoals van toepassing op het gebruik van de Diensten door Partner) namens Partner en uitsluitend voor zover en op een wijze die noodzakelijk is voor de doeleinden die zijn gespecificeerd in en in overeenstemming met dit Addendum, de Overeenkomst of zoals van tijd tot tijd anderszins geïnstrueerd door de Partner. Wanneer Mews redelijkerwijs van mening is dat een instructie van een Partner in strijd is met: (i) de toepasselijke wet- en regelgeving of (ii) de bepalingen van de Overeenkomst of het Addendum, zal Mews zich naar alle redelijkheid inspannen om de Partner hiervan op de hoogte te stellen en is zij gerechtigd om de uitvoering van de betreffende instructie op te schorten totdat deze door Partner is gewijzigd in de mate die Mews vereist om haar ervan te overtuigen dat een dergelijke instructie rechtmatig is, of door zowel Partner als Mews wederzijds is overeengekomen dat deze rechtmatig is.

3.1 Mews' Verwerking van persoonlijke gegevens

Mews zal Persoonlijke Gegevens behandelen als Vertrouwelijke Informatie en zal Persoonlijke Gegevens uitsluitend verwerken namens en in overeenstemming met de gedocumenteerde instructies van Partner voor de volgende doeleinden: (i) Verwerking in overeenstemming met de Overeenkomst; (ii) Verwerking geïnitieerd door Geautoriseerde Gebruikers bij hun gebruik van de Diensten; en (iii) Verwerking om te voldoen aan andere gedocumenteerde redelijke instructies die door Partner worden verstrekt (bijvoorbeeld via e-mail) voor zover dergelijke instructies in overeenstemming zijn met de termijn van de Overeenkomst. De Partner geeft hierbij opdracht aan Mews om betrokkenen via e-mail te informeren over de Verwerking van hun Persoonsgegevens namens Partner en over de mogelijkheid om gebruik te maken van de diensten Mews om de gegevens, boekingen en bijbehorende diensten van betrokkenen te beheren. Mews houdt een logboek bij van de daadwerkelijk uitgevoerde Verwerkingswerkzaamheden.

3.2 Technische en organisatorische maatregelen

Mews handhaaft en implementeert redelijke en passende technische en organisatorische maatregelen gericht op het beschermen van Persoonsgegevens tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging onbevoegde openbaarmaking of toegang, en met betrekking tot de beveiliging van Persoonsgegevens en de platforms die worden gebruikt om de Diensten te leveren, zoals beschreven in de Wetgeving inzake gegevensbescherming. Bij de implementatie van dergelijke maatregelen heeft Mews het recht om rekening te houden met de huidige standaardpraktijk bij het bepalen van wat redelijk is, evenals met de evenredigheid van de kosten van de implementatie van dergelijke maatregelen wanneer deze worden afgewogen tegen de potentiële schade voor de betrokkene waartegen de implementatie van deze maatregelen bescherming moet bieden.

3.3 Personeel

Mews zorgt ervoor dat haar Personeel dat betrokken is bij de Verwerking van Persoonsgegevens op de hoogte is van haar verplichting en verantwoordelijkheden hieronder, de juiste training heeft ontvangen en op de hoogte is van de vertrouwelijke aard van de Persoonsgegevens.  Onder "Personeel" wordt verstaan de medewerkers en/of agenten, consultants, onderaannemers of andere derde partijen: (i) die door Mews worden ingeschakeld zodat zij haar verplichtingen jegens Partner uit hoofde van de Overeenkomst of het Addendum kan nakomen, en (ii) die onderworpen zijn aan geheimhoudingsverplichtingen in in wezen dezelfde mate als uiteengezet in de Overeenkomst en het Addendum. Mews zorgt ervoor dat de toegang van het Personeel tot Persoonsgegevens beperkt blijft tot degenen die Diensten verlenen in overeenstemming met de Overeenkomst, en de geheimhoudingsverplichtingen van het Personeel blijven ook na beëindiging van het engagement van het Personeel gelden.

3.4 Kennisgevingen.

Mews zal de Partner zo snel als commercieel redelijk is schriftelijk op de hoogte stellen:

3.4.1 van een persoon ontvangen communicatie met betrekking tot (i) het recht van een persoon op toegang tot, wijziging, correctie, verwijdering of afscherming van zijn Persoonsgegevens; (ii) het recht van een persoon op rectificatie, restrictie of wissing van zijn Persoonsgegevens, op dataportabiliteit, op bezwaar tegen de Verwerking en om niet te worden onderworpen aan geautomatiseerde besluitvorming; en (iii) een klacht over de Verwerking van Persoonsgegevens door Partner; voor zover niet bij wet verboden, van een dagvaarding of ander gerechtelijk of administratief bevel of procedure waarin toegang tot of openbaarmaking van Persoonsgegevens wordt gevraagd; 3. Verwerking van Persoonsgegevens.4.2 voor zover niet bij wet verboden, klachten, kennisgevingen of andere mededelingen met betrekking tot de compliance van Partner met de wetgeving inzake gegevensbescherming en privacy en de Verwerking van Persoonsgegevens. Mews zal de Partner commercieel gezien redelijke medewerking en assistentie verlenen (op kosten van de Partner) met betrekking tot een dergelijke klacht, kennisgeving of communicatie; en 3.4.3 van een wezenlijke inbreuk op de beveiliging van de Diensten die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot Persoonsgegevens waarvan wij ons bewust worden, in overeenstemming met de toepasselijke wetgeving ("Inbreuk op de beveiliging"). Mews zal zich redelijkerwijs inspannen om de oorzaak van een dergelijke inbreuk op de beveiliging vast te stellen en die stappen te ondernemen die noodzakelijk en redelijk zijn en die acceptabel zijn voor Partner, om de oorzaak van een dergelijke inbreuk op de beveiliging te herstellen, voor zover herstel binnen de redelijke controle van Mewsvalt. De verplichtingen hierin gelden niet voor incidenten die door Partner zijn veroorzaakt.

3.5 Geen bevestiging

De Partner stemt ermee in dat de verplichting van Mewsom het Beveiligingslek te melden niet is en niet zal worden opgevat als een erkenning door Mews van enige fout of aansprakelijkheid van Mews met betrekking tot een dergelijk Beveiligingslek.

3.6 Terugzenden en verwijderen van data

Behoudens de beperkingen die zijn vastgelegd in de toepasselijke wetgeving, zal Mews alle persistente Persoonsgegevens (indien deze niet reeds zijn verwijderd in overeenstemming met de toepasselijke wetgeving) retourneren aan Partner volgens gestandaardiseerde procedures en binnen commercieel redelijke termijnen.

3.7 Mews Compliance

Mews zal voldoen aan de wetgeving inzake gegevensbescherming die van toepassing is op zijn eigen werkzaamheden en levering van de diensten op grond van de Overeenkomst en zijn verplichtingen op grond van dit Addendum.

3.8 Gegevensuitwisseling

Door gegevensuitwisseling binnen Mews Account met een derde partij mogelijk te maken of te accepteren, instrueert de Partner Mews conform Art. 28 (3)a) AVG toegang te verlenen tot alle Persoonlijke gegevens en alle andere gegevens die worden verwerkt binnen het account van Partner op Mews aan deze derde partij. De Partner is verantwoordelijk voor het verkrijgen van alle noodzakelijke toestemmingen van de Betrokkenen of andere derde partijen voor de gegevensuitwisseling zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming. De Partner zal Mews en de aan haar Gelieerde Partijen volledig vrijwaren, verdedigen en schadeloos stellen van en tegen alle claims die worden ingediend door de Betrokkene of een derde partij, voortvloeiend uit de schending van deze clausule, met inbegrip van alle aansprakelijkheden, schade, verliezen, kosten en uitgaven.

3.9 Integraties

Mews Het platform biedt verschillende integraties. Door verbinding te maken met of zich te abonneren op de betreffende integratie via Mews Account geeft de Partner opdracht aan Mews op grond van Art. 28 (3)a) AVG om toegang te verlenen tot Persoonlijke Gegevens die zijn verwerkt binnen het Mews Account van Partner aan de respectieve integratiepartner zoals vereist voor de interoperatie van de diensten of het product van de integratiepartner met Mews Diensten.

3.10 Controle

De Partner heeft het recht om een audit uit te voeren om te controleren of Mewsvoldoet aan zijn verplichtingen zoals vastgelegd in artikel. 28 AVG en in dit Addendum. Mews staat de partner toe om de audit onder de volgende voorwaarden uit te voeren:

1. de Partner vraagt Mews om de audit uit te voeren via een schriftelijke kennisgeving ten minste 30 (dertig) dagen van tevoren;
2. specificeert de Partner de agenda voor deze audit in de kennisgeving onder (i);
3. de audit vindt niet vaker dan eenmaal per jaar plaats;
4. alle bijbehorende kosten en uitgaven komen voor rekening van de Partner en worden op verzoek terugbetaald aan Mews ; en
5. de audit duurt niet langer dan het equivalent van 1 werkdag (8 uur) van de Mews vertegenwoordiger.

In het geval dat de Partner om de audit verzoekt via een derde onafhankelijke partij - externe gelicentieerde auditor, kan Mews bezwaar maken tegen een externe gelicentieerde auditor die door de Partner is aangesteld om de audit uit te voeren als de auditor naar de redelijke mening van Mewsniet voldoende gekwalificeerd of onafhankelijk is, een concurrent is van Mewsof anderszins duidelijk ongeschikt is. Bij een dergelijk bezwaar zal Partner een andere accountant moeten benoemen. In het geval dat de Partner meer dan één audit binnen één kalenderjaar vereist, dient de Partner vooraf schriftelijke toestemming te verkrijgen van Mews en zal hij de aan dergelijke audits verbonden kosten dragen en Mews alle redelijkerwijs gemaakte kosten van dergelijke audits vergoeden. Op verzoek van de Partner zal Mews aan de Partner de geschatte kosten verstrekken die zij verwacht te zullen maken tijdens een dergelijke audit, in de mate zoals gespecificeerd in de door de Partner verstrekte agenda.

4.1 Verwerking van persoonlijke data door de partner

Partner zal bij het gebruik van de diensten Persoonsgegevens verwerken in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming. Om twijfel te voorkomen, garandeert Partner dat zijn instructies voor de Verwerking van Persoonlijke Gegevens in overeenstemming zijn met de Wet Bescherming Persoonsgegevens en dat hij geen instructies of opdrachten zal geven die Mews opdragen een actie of actie te ondernemen die onwettig is of anderszins niet in overeenstemming met de Wet Bescherming Persoonsgegevens. Partner is als enige verantwoordelijk voor de juistheid, kwaliteit en wettigheid van Persoonlijke gegevens en de wijze waarop Partner Persoonlijke gegevens heeft verkregen.

4.2 Compliance van de partner

Naast de verplichtingen van Partner die in de Overeenkomst worden vermeld, is Partner verantwoordelijk voor (i) de integriteit, beveiliging, het onderhoud en de juiste bescherming van Persoonlijke gegevens, en (ii) de compliance met alle toepasselijke wet- en regelgeving op het gebied van privacy, gegevensbescherming en beveiliging met betrekking tot: (a) de Verwerking van de Persoonsgegevens; (b) het gebruik van de Services; en (c) alle vereisten inzake registratie of kennisgeving van gegevensverwerking waaraan Partner is onderworpen onder de toepasselijke wetgeving.

4.3 Meldingen

Partner stemt ermee in alle vereiste kennisgevingen te doen aan, en de vereiste toestemmingen en rechten te verkrijgen van, individuen met betrekking tot Mews' levering van diensten aan Partner. Wanneer Mews een communicatie ontvangt die wordt beschreven in subgedeelte 3.4.1 of 3.4.3 en Partner van een dergelijke communicatie op de hoogte stelt, is het de verantwoordelijkheid van Partner om op de communicatie te reageren en alle andere passende actie te ondernemen met betrekking tot de communicatie. Partner stemt ermee in Mews onmiddellijk op de hoogte te stellen van ongeautoriseerd gebruik van de diensten of het account van Partner of van enige andere inbreuk op de beveiliging van de diensten.

4.4 Technische en organisatorische maatregelen

Partner is als enige verantwoordelijk voor de implementatie en handhaving van beveiligingsmaatregelen en andere technische en organisatorische maatregelen die zijn afgestemd op de aard en de omvang van de Persoonlijke Data die Partner opslaat of anderszins verwerkt met behulp van de Diensten. Partner is ook verantwoordelijk voor het gebruik van de diensten door medewerkers, personen die Partner toestemming heeft gegeven voor toegang tot of gebruik van de diensten en personen die toegang krijgen tot de Persoonlijke gegevens of de diensten als gevolg van het niet toepassen van redelijke veiligheidsmaatregelen, zelfs als dit gebruik niet door Partner is geautoriseerd.

5.1 Samenwerking met partners en Mews

Partner en Mews komen overeen om op commercieel redelijke wijze samen te werken zoals redelijkerwijs vereist is om de Persoonsgegevens te beschermen krachtens de toepasselijke wetgeving, artikel 35 en 36 van de AVG om een beoordeling van de gevolgen voor de gegevensbescherming uit te voeren gerelateerd aan het gebruik van de Diensten door Partner, voor zover Partner niet anderszins toegang heeft tot de relevante informatie en voor zover dergelijke informatie beschikbaar is voor Mews. Partner moet meewerken aan Mews' redelijk onderzoek naar storingen in de diensten, beveiligingsproblemen en vermoedelijke inbreuken op de beveiliging. Partner zal redelijke bijstand verlenen aan Mews bij de samenwerking of voorafgaand overleg met de Toezichthoudende Autoriteit bij de uitvoering van haar taken met betrekking tot dit gedeelte, voor zover vereist onder de AVG of toepasselijke wetgeving.

5.2Mews' Hulp bij compliance vereisten van partner

Gedurende de termijn van de Partnerovereenkomst met Mewskan Partner Mews verzoeken om Partner te helpen bij de naleving van de verplichtingen van Partner op grond van toepasselijke wet- en regelgeving inzake gegevensbescherming of privacy, mits (i) de gevraagde assistentie relevant is voor Services die de Verwerking van Persoonlijke Gegevens ondersteunen, (ii) deze gevraagde assistentie commercieel redelijk is en in verhouding staat tot het doel van de activiteit waarmee Mews wordt verzocht te assisteren, en (iii) als MEWS Systems ermee instemt te assisteren, dat alle bijbehorende kosten en uitgaven (inclusief de kosten van de tijd van zijn personeel) door de Partner worden gedragen en op verzoek worden terugbetaald aan Mews.

6.1 Met betrekking tot derden of het uitbesteden van de Verwerking van Persoonsgegevens kan Mews een derde partij (Sub-verwerker) alleen machtigen om de Persoonsgegevens te Verwerken met voorafgaande toestemming van de Partner en op voorwaarde dat de bepalingen met betrekking tot gegevensverwerking en gegevensbescherming in het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens in wezen dezelfde zijn als de bepalingen in dit Addendum, op voorwaarde dat het contract van de Sub-verwerker met betrekking tot de Persoonsgegevens automatisch eindigt bij beëindiging van de Overeenkomst om welke reden dan ook. Ten behoeve hiervan worden de volgende personen door de Partner goedgekeurd door ondertekening van dit Addendum: (i) Subverwerkers vermeld in Bijlage III van dit Addendum, (ii) Mews' Filialen en (iii) elke Subverwerker die door Partner is goedgekeurd via zijn Geautoriseerde Gebruiker door een integratie met Mews Diensten te autoriseren via MEWS Account of anderszins. Mews kan gedurende de termijn van de overeenkomst nieuwe Subverwerkers betrekken bij de Verwerking, mits deze Subverwerkers alleen toegang hebben tot en gebruik maken van Persoonsgegevens voor zover dit vereist is om de aan hen uitbestede verplichtingen uit te voeren.

6.2 Recht van bezwaar voor nieuwe subverwerkers

MewsDe Partner kan bezwaar maken tegen het gebruik van een nieuwe Subverwerker door Mews binnen tien (10) werkdagen na ontvangst van de kennisgeving van Mewshiervan schriftelijk op de hoogte te stellen onder vermelding van de tekortkomingen. In het geval dat Partner bezwaar maakt tegen een nieuwe Sub-verwerker, zal Mews zich inspannen om aanvullende beveiligingen toe te voegen (ter dekking van de gespecificeerde tekortkomingen) of de Sub-verwerker te wijzigen (ten opzichte van de Sub-verwerker); mocht Mews Systems hiertoe niet in staat zijn, dan zal Mews zich redelijkerwijs inspannen om Partner een wijziging in de Diensten beschikbaar te stellen of een commercieel redelijke wijziging in de configuratie of het gebruik van de Diensten door Partner aan te bevelen om Verwerking van Persoonsgegevens door de nieuwe Sub-verwerker waartegen bezwaar is gemaakt, te voorkomen zonder Partner onredelijk te belasten. Als Mews niet in staat is een dergelijke wijziging binnen een redelijke periode, die niet langer is dan dertig (30) dagen, beschikbaar te stellen, kan Partner alleen dat deel van de Diensten beëindigen dat niet door Mews kan worden geleverd zonder gebruikmaking van de nieuwe Subverwerker waartegen bezwaar is gemaakt door schriftelijke kennisgeving aan Mews. Mews zal Partner vooruitbetaalde kosten terugbetalen voor de rest van de termijn van de Overeenkomst na de ingangsdatum van de beëindiging met betrekking tot het beëindigde deel van de Diensten, wat het enige en exclusieve rechtsmiddel van de Partner is in verband met de introductie van een nieuwe Subverwerker.

6.3 Aansprakelijkheid

Mews is aansprakelijk voor de handelingen en nalatigheden van haar Subverwerkers in dezelfde mate als Mews aansprakelijk zou zijn als zij de diensten van elke Subverwerker rechtstreeks zou uitvoeren onder de termijnen van dit Addendum, tenzij anders uiteengezet in de Overeenkomst.

Voor de toepassing van Art. 7.1 (b) van dit Addendum komen de Partijen overeen dat Standaard Contractuele Clausules worden beschouwd als passende waarborgen.

Om de overdracht van data van/naar derde landen naar/van de Europese Unie/Europese Economische Ruimte mogelijk te maken, worden de Standaard Contractuele Clausules ("SCC's") als volgt door middel van verwijzing in dit Addendum opgenomen en vormen zij een integraal onderdeel van dit Addendum:

7.2.1.Ten behoeve van Persoonsgegevens waarop de EU-wetgeving inzake gegevensbescherming van toepassing is ("EU-gegevens"):

(i) Wanneer de partner verwerker is, is module twee (verwerker naar verwerker) van de SCC's van toepassing, wanneer de partner processor is, is module drie (verwerker naar subverwerker) van de SCC's van toepassing;

(ii) in Clausule 9 is optie 2 van toepassing en is de periode voor voorafgaande kennisgeving van wijzigingen van subverwerkers zoals uiteengezet in Clausule 6 (Subverwerking) van dit Addendum;

(iii) In clausule 11 is de optionele taal niet van toepassing;

(iv) in Clausule 17 is optie 1 van toepassing en is Nederlands recht van toepassing op de SCC's van de EU;

(v) in Clausule 18(b) worden geschillen beslecht voor de Nederlandse rechter;

Bijlage I van de VCA's wordt geacht te zijn aangevuld met de informatie in Bijlage I bij dit Addendum; vii) Bijlage II van de VCA's wordt geacht te zijn aangevuld met de informatie in Bijlage II bij dit Addendum;

7.2.2. Op de doorgifte van Persoonsgegevens die vallen onder de UK Data Protection Laws ("UK Data") is Bijlage IV - UK Addendum bij de SCC's van toepassing.

8.1 Partner stemt ermee in dat elke geautoriseerde gebruiker van Partner kan worden gecontacteerd en gerechtigd is alle communicatie met betrekking tot dit Addendum te ontvangen.

9.1 Mews erkent dat zij optreedt als dienstverlener met betrekking tot Persoonsgegevens van Partner die door haar hieronder worden verwerkt.

9.2 Tenzij voorgeschreven door de toepasselijke wetgeving of uitdrukkelijk overeengekomen tussen de Partijen, zal Mews niet:

1. Persoonlijke gegevens van partners verkopen;
2. Persoonlijke gegevens van Partners bewaren, gebruiken of bekendmaken voor andere doeleinden dan het specifieke doel om de diensten uit te voeren in overeenstemming met de Overeenkomst;
3. Persoonlijke gegevens van Partners bewaren, gebruiken of bekendmaken voor andere commerciële doeleinden dan die welke in de Overeenkomst zijn vermeld; of
4. de Persoonlijke informatie van de Partner bewaren, gebruiken of bekendmaken buiten de directe zakelijke relatie tussen Mews en Partner.

9.3 Mews verklaart de verantwoordelijkheden en restricties opgelegd door dit Addendum, de CCPA en andere toepasselijke wet- en regelgeving inzake gegevensbescherming te begrijpen en na te leven.

9.4 In dit artikel 9:

9.4.1 "CCPA" betekent de California Consumer Privacy Act, California Civil Code §§1798.100 e.v., inclusief alle amendementen en implementatievoorschriften die van kracht worden op of na de ingangsdatum van dit Addendum; en

9.4.2 "Persoonlijke informatie van Partner": alle data van Partner die "persoonlijke informatie" omvat zoals gedefinieerd in de CCPA;

9.4.3 "Dienstverlener" heeft de betekenis zoals uiteengezet in gedeelte 1798.140(v) van de CCPA.

10.1 Dit Artikel 10 is alleen van toepassing indien de contracterende Partij bij de Overeenkomst Mews is met haar statutaire zetel in de Verenigde Staten van Amerika.

10.2 COPPA

Vooral de bescherming van de privacy van kinderen is belangrijk. De Children's Online Privacy and Protection Act ("COPPA") vereist dat aanbieders van online diensten toestemming van hun overkoepelende ouders krijgen voordat ze bewust online persoonlijk identificeerbare informatie verzamelen van kinderen in de Verenigde Staten van Amerika die jonger zijn dan 13 jaar. Mews respecteert de functie van overkoepelende ouders of voogden bij het toezicht op de online activiteiten van hun kinderen. Daarom beperkt Mews het verzamelen van persoonlijke informatie van kinderen tot niet meer dan wat redelijkerwijs nodig is om deel te nemen aan de diensten en om deze in de toekomst te verbeteren. Mews verzamelt geen Persoonsgegevens van kinderen anders dan zoals uiteengezet in de Overeenkomst. Mews behoudt zich het recht voor om te weigeren data te verwerken die door Partner zijn aangeleverd en die in strijd zijn met deze Clausule 10.2.

10.3 Gebruik van data van Partner door derde partijen

Tenzij anders overeengekomen zijn alle door Partner aan Mews verstrekte gegevens vertrouwelijke informatie en zal Mews geen data gebruiken voor andere doeleinden dan het uitoefenen van haar rechten en het nakomen van haar verplichtingen in verband met het uitvoeren van de Diensten. Partner erkent dat, om de Diensten naar behoren te kunnen uitvoeren, door Partner aan Mews verstrekte informatie beschikbaar wordt gesteld aan derde partijen om de uitvoering van de Diensten mogelijk te maken. Partner erkent dat dergelijke derde partijen geen vertegenwoordigers zijn van Mews en dat Mews niet verantwoordelijk is voor het handelen en nalaten van deze derde partijen. Mews vereist van derde partijen waaraan Persoonlijke gegevens van Partner ter beschikking worden gesteld, dat zij hetzelfde niveau van privacybescherming toepassen als uiteengezet in dit Addendum en zoals vereist door de toepasselijke wetgeving. De manier waarop de gegevens van Partners worden gebruikt, wordt gecoupeerd in het privacybeleid van Mews , te vinden op https://Mews Systems.com/privacy-policy/.

11.1 Derden Begunstigden

Betrokkenen zijn de enige derde partijen die begunstigden zijn van de VCA's en er zijn geen andere derde partijen die begunstigden zijn van de Overeenkomst en dit Addendum. Niettegenstaande het voorgaande zijn de Overeenkomst en de bepalingen van dit Addendum uitsluitend van toepassing op de partijen en verlenen zij geen rechten aan aan Partner gelieerde ondernemingen, eindgebruikers van Partner of derde partijen Betrokkenen.

11.2 Toepasselijk recht

Niets in dit Addendum wijzigt het gedeelte Toepasselijk Recht van de Overeenkomst, dat, om twijfel te voorkomen, van toepassing is op alle vorderingen die onder de Overeenkomst en dit Addendum worden ingesteld.

11.3 Beperking van aansprakelijkheid

De rechtsmiddelen van Partner, met inbegrip van die van zijn Gelieerde Ondernemingen, en de aansprakelijkheid van Mews, die voortvloeien uit of gerelateerd zijn aan dit Addendum en de Interne gegevens, zijn onderworpen aan de aansprakelijkheidsbeperkingen en disclaimers zoals uiteengezet in de Overeenkomst of, indien er geen aansprakelijkheidsbeperkingen zijn opgenomen in de Overeenkomst, komen de Partijen overeen en verklaren zij dat de totale schade die kan voortvloeien uit de schending van dit Addendum en/of de Interne gegevens niet meer zal bedragen dan tienduizend euro.

11.4 Termijn

Na beëindiging van de Overeenkomst blijft dit Addendum van kracht totdat Mews stopt met het verwerken van Persoonsgegevens namens de Partner.

11.5 Terminals

Mews kan dit Addendum beëindigen als Mews aan Partner alternatieve mechanismen aanbiedt die voldoen aan de verplichtingen van de toepasselijke wetgeving inzake gegevensprivacy.

11.6 Tegenhangers

Dit Addendum kan in meerdere exemplaren worden ondertekend, die samen als één origineel worden beschouwd.

A.- Lijst van partijen

Exporteer data

De data exporteren is Partner

Data importeren

De data importeur is Mews.

B.  - Beschrijving van overdracht

Categorieën van betrokkene gegevens

De overgedragen persoonlijke gegevens kunnen betrekking hebben op personen over wie persoonlijke gegevens worden verzonden of opgeslagen door de gegevensexporteur via het door Mews gehoste systeem en/of diensten, waaronder doorgaans personen (gasten of potentiële klanten) die gebruikmaken van de diensten van Partner.

Categorieën data

De overgedragen persoonlijke gegevens betreffen de volgende categorieën data: Gegevens van gasten die zijn opgenomen in de contactformulieren, contact- en identificatiegegevens, waaronder naam, aanspreektitel, identiteitsdocument en adres, identiteits- en/of paspoortnummers, betalingsgegevens, voorkeuren van gasten en gegevens over diensten van Partner en beperkte verbindings- en locatiegegevens (stad) in elektronische vorm die worden doorgegeven aan gegevensverwerker in het kader van Mews' Diensten (geleverd door de relevante subverwerker/importeur).

Gevoelige data

Gevoelige gegevens, zoals vereisten met betrekking tot handicaps en dieetwensen, kunnen worden doorgegeven als betrokkenen besluiten om dergelijke informatie te delen. Technische en organisatorische maatregelen zoals beschreven in Bijlage II zijn van toepassing.

Verwerkende werkzaamheden

De overgedragen persoonsgegevens zijn onderworpen aan de volgende basisverwerkingsactiviteiten: Verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, samenbrengen of combineren, restrictie, wissen of vernietigen. Partner moet redelijke veiligheidsmaatregelen treffen in verband met het gebruik van de diensten, waaronder het adequaat versleutelen van persoonlijke data die zijn opgeslagen op of verzonden door het gehoste systeem.

Frequentie van overdracht

Doorgaan

Aard en onderwerp van de verwerking

1. opslag (hosting) en andere verwerkingen die nodig zijn voor het leveren, onderhouden en verbeteren van de diensten die op grond van de Overeenkomst aan Partner worden geleverd,
2. Customer support die per geval aan de Partner wordt verleend,
3. openbaarmakingen in overeenstemming met de Overeenkomst, zoals wettelijk verplicht, en
4. verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiding of op andere wijze beschikbaar maken, samenbrengen of combineren, restrictie, wissen of vernietigen.

Duur van de verwerking

Termijn

Doel(en) van de overdracht en verdere verwerking van data

(i) Verwerking voor het leveren, onderhouden, ondersteunen en verbeteren van diensten die aan Partner worden geleverd in overeenstemming met de Overeenkomst;

(ii) Verwerking geïnitieerd door Gebruikers bij hun gebruik van de Diensten; en

(iii) Verwerking om te voldoen aan andere gedocumenteerde redelijke instructies die door Partner worden gegeven (bijvoorbeeld via e-mail), voor zover dergelijke instructies in overeenstemming zijn met de termijnen van de Overeenkomst (inclusief dit Addendum).

C. - Bevoegde toezichthoudende autoriteit

Met betrekking tot EU-data is de bevoegde toezichthoudende autoriteit het College Bescherming Persoonsgegevens (het"CBP").

Beschrijving van de technische en organisatorische maatregelen die door de gegevensimporteur(s) zijn geïmplementeerd (inclusief relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en de risico's voor de rechten en vrijheden van natuurlijke personen. De importeur van data implementeert beveiligingsmaatregelen die gelijkwaardig zijn aan de maatregelen die vereist zijn op grond van de Overeenkomst, het Addendum en eventuele aanvullende documenten die op grond van de Overeenkomst worden aangegaan. De geïmplementeerde beveiligingsmaatregelen zijn hier beschikbaar: https: //www.mews.com/nl/platform-documentation#security

De lijst met goedgekeurde subverwerkers van Mews is beschikbaar op https://www.mews.com/nl/platform-documentation#subprocessors

Datum van dit addendum

1. Dit UK Addendum is van kracht vanaf: Dezelfde datum als de Overeenkomst.

Achtergrond

2. De Information Commissioner is van mening dat dit Britse addendum passende waarborgen biedt voor de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie met een beroep op artikel 46 van de AVG in het Verenigd Koninkrijk en, met betrekking tot gegevensoverdrachten van gegevensverwerkers naar verwerkers en/of gegevensverwerkers naar verwerkers.

Interpretatie van dit UK Addendum

3. Waar in dit VK-addendum termen worden gebruikt die in de VCA's zijn gedefinieerd, hebben deze termen dezelfde betekenis als in de VCA's.

4. Dit Britse addendum moet worden gelezen en geïnterpreteerd in het licht van de bepalingen van de Britse wetgeving inzake gegevensbescherming, en zodanig dat het voldoet aan de intentie om de passende waarborgen te bieden zoals vereist door artikel 46 AVG.

5. Dit addendum voor het VK mag niet worden geïnterpreteerd op een manier die in strijd is met de rechten en plichten die zijn vastgelegd in de Britse wetgeving inzake gegevensbescherming.

6. Elke verwijzing naar wetgeving (of specifieke bepalingen van wetgeving) betekent die wetgeving (of specifieke bepaling) zoals die in de loop der tijd kan veranderen. Dit geldt ook wanneer die wetgeving (of specifieke bepaling) is geconsolideerd, opnieuw vastgesteld en/of vervangen nadat dit UK Addendum is ingegaan.

Hiërarchie

7. In het geval van een conflict of tegenstrijdigheid tussen dit UK Addendum en de bepalingen van de SCC's of andere gerelateerde overeenkomsten tussen de Partijen, die bestaan op het moment dat dit UK Addendum wordt overeengekomen of daarna wordt aangegaan, prevaleren de bepalingen die de betrokkenen de meeste bescherming bieden.

Opname van de SCC's

8. In dit VK-addendum zijn de VCA's opgenomen die worden geacht te zijn gewijzigd voor zover dat nodig is voor hun werkzaamheden:

1. voor doorgiften door de gegevensexporteur aan de gegevensimporteur, voor zover de Britse wetten inzake gegevensbescherming van toepassing zijn op de verwerking door de gegevensexporteur bij die doorgifte; en
2. passende waarborgen te bieden voor de overdrachten in overeenstemming met artikel 46 van de AVG-wetgeving in het Verenigd Koninkrijk.
3. waarbij Partner verwerker is Module Twee (Verwerker naar processor) van de SCC's is van toepassing, waarbij Partner processor is Module Drie (Verwerker naar subverwerker) van de SCC's is van toepassing;
4. in artikel 9 van de SCC's, is optie 2 van toepassing en is de periode voor voorafgaande kennisgeving van wijzigingen van subverwerkers zoals uiteengezet in artikel 6 (Subverwerking) van deze DPA;
5. in clausule 11 van de SCC's is de optionele taal niet van toepassing;

9. De vereiste wijzigingen in Sectie 7 hierboven omvatten (zonder beperking):

1. Verwijzingen naar de "SCC's" betekenen dit UK Addendum zoals het de SCC's bevat.
2. Clausule 6 Beschrijving van de doorgifte(s) wordt vervangen door: "De bijzonderheden van de doorgifte(s) en in het bijzonder de categorieën persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor ze worden doorgegeven) zijn die welke zijn gespecificeerd in bijlage I.B van het addendum wanneer de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij het uitvoeren van die doorgifte."
3. Bijlage II van de VCA's wordt geacht te zijn aangevuld met de informatie in bijlage II van het addendum;
4. Verwijzingen naar "Verordening (EU) 2016/679" of "die Verordening" worden vervangen door "UK Data Protection Laws" en verwijzingen naar specifieke artikel(en) van "Verordening (EU) 2016/679" worden vervangen door het equivalente artikel of gedeelte van de UK Data Protection Laws.
5. Verwijzingen naar Verordening (EU) 2018/1725 worden verwijderd.
6. Verwijzingen naar de "Unie", "EU" en "EU-lidstaat" worden allemaal vervangen door "VK".
7. Clausule 13(a) en deel C van bijlage II worden niet gebruikt; de "bevoegde toezichthoudende autoriteit" is de Information Commissioner;
8. Clausule 17 wordt vervangen door "Op deze SCC's is het recht van Engeland en Wales van toepassing".
9. Clausule 18 wordt vervangen door de volgende tekst "Alle geschillen die voortvloeien uit deze VCA's worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan ook een rechtszaak aanspannen tegen de exporteur en/of importeur van data voor de rechtbank van elk land in het Verenigd Koninkrijk. De partijen komen overeen zich te onderwerpen aan de jurisdictie van deze rechtbanken."
10. De voetnoten bij de SCC's maken geen deel uit van het Addendum.