Verwerkersovereenkomst

Reikwijdte en rollen van de partijen

Deze Verwerkersovereenkomst (de „VWO”) maakt deel uit van de overeenkomst tussen de klant (de „Verwerkingsverantwoordelijke”) en Alpha Analytics s.r.o. (de „Verwerker”) voor het gebruik van de Carsdata.com-diensten (de „Diensten”). Zij regelt de verwerking van persoonsgegevens die de Verwerker namens de Verwerkingsverantwoordelijke uitvoert en is van toepassing wanneer een dergelijke verwerking is onderworpen aan Verordening (EU) 2016/679 (de „AVG”).

De Verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de verwerking van persoonsgegevens en is verantwoordelijk voor de rechtmatigheid van die verwerking. De Verwerker verwerkt persoonsgegevens uitsluitend namens, en op de gedocumenteerde instructies van, de Verwerkingsverantwoordelijke. Wanneer de Verwerker de doeleinden en middelen van de verwerking voor zijn eigen activiteiten bepaalt, treedt hij op als verwerkingsverantwoordelijke en wordt die verwerking geregeld door het Privacybeleid en niet door deze VWO.

In geval van enige tegenstrijdigheid tussen deze VWO en de rest van de overeenkomst tussen de partijen met betrekking tot de verwerking van persoonsgegevens, prevaleert deze VWO.

Definities

Termen zoals „persoonsgegevens”, „verwerking”, „verwerkingsverantwoordelijke”, „verwerker”, „subverwerker”, „betrokkene”, „inbreuk in verband met persoonsgegevens” en „toezichthoudende autoriteit” hebben de betekenis die daaraan in de AVG wordt gegeven. „Toepasselijk gegevensbeschermingsrecht” betekent de AVG en alle andere wetten inzake gegevensbescherming of privacy die van toepassing zijn op de verwerking van persoonsgegevens uit hoofde van de overeenkomst.

Onderwerp, duur, aard en doel van de verwerking

Het onderwerp van de verwerking is het verlenen van de Diensten. De Verwerker verwerkt persoonsgegevens gedurende de looptijd van de overeenkomst en gedurende de periode daarna die nodig is om aan zijn wettelijke verplichtingen te voldoen of zoals anderszins in deze VWO is uiteengezet.

De aard en het doel van de verwerking is de exploitatie en het verlenen van de Diensten aan de Verwerkingsverantwoordelijke, met inbegrip van hosting, opslag, analyse en de technische handelingen die nodig zijn om de Diensten beschikbaar te maken. De Verwerker verwerkt de categorieën van persoonsgegevens en betrokkenen die de Verwerkingsverantwoordelijke aan de Diensten aanlevert, of via de Diensten beschikbaar maakt — doorgaans de identificatie- en contactgegevens van de vertegenwoordigers en gemachtigde gebruikers van de Verwerkingsverantwoordelijke, en alle persoonsgegevens die zijn vervat in de gegevens die de Verwerkingsverantwoordelijke ervoor kiest via de Diensten te verwerken.

Verplichtingen van de Verwerker

De Verwerker verbindt zich ertoe:

• persoonsgegevens uitsluitend te verwerken op de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, met inbegrip van wat betreft doorgiften van persoonsgegevens aan een derde land, tenzij hij daartoe wettelijk verplicht is — in welk geval de Verwerker de Verwerkingsverantwoordelijke vóór de verwerking van die wettelijke verplichting in kennis stelt, tenzij de wet die kennisgeving om gewichtige redenen van algemeen belang verbiedt;
• de Verwerkingsverantwoordelijke onmiddellijk in kennis te stellen indien naar zijn mening een instructie inbreuk maakt op het toepasselijke gegevensbeschermingsrecht;
• te waarborgen dat de tot het verwerken van persoonsgegevens gemachtigde personen zich tot vertrouwelijkheid hebben verbonden of door een passende wettelijke geheimhoudingsplicht zijn gebonden;
• de in deze VWO beschreven technische en organisatorische beveiligingsmaatregelen te implementeren en te handhaven;
• de in deze VWO uiteengezette voorwaarden voor het inschakelen van subverwerkers in acht te nemen;
• de Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking, bij te staan bij het beantwoorden van verzoeken van betrokkenen die hun rechten uitoefenen;
• de Verwerkingsverantwoordelijke bij te staan bij het waarborgen van de naleving van zijn verplichtingen inzake de beveiliging van de verwerking, de melding van inbreuken, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging, rekening houdend met de aard van de verwerking en de aan de Verwerker beschikbare informatie;
• naar keuze van de Verwerkingsverantwoordelijke alle persoonsgegevens te wissen of terug te geven na afloop van het verlenen van de Diensten, en bestaande kopieën te wissen, tenzij bewaring wettelijk verplicht is;
• aan de Verwerkingsverantwoordelijke de informatie ter beschikking te stellen die nodig is om de naleving van de verplichtingen van een verwerker aan te tonen, en audits, zoals uiteengezet in deze VWO, mogelijk te maken en daaraan bij te dragen.

Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat hij beschikt over een geldige rechtsgrond voor de verwerking van persoonsgegevens via de Diensten, dat hij alle vereiste kennisgevingen aan betrokkenen heeft verstrekt en alle vereiste toestemmingen van betrokkenen heeft verkregen, en dat zijn instructies aan de Verwerker in overeenstemming zijn met het toepasselijke gegevensbeschermingsrecht. De Verwerkingsverantwoordelijke mag via de Diensten geen persoonsgegevens aanleveren die hij niet gerechtigd is te verwerken.

Vertrouwelijkheid

De Verwerker behandelt alle persoonsgegevens als vertrouwelijk en waarborgt dat de toegang beperkt blijft tot dat personeel dat de gegevens nodig heeft om de Diensten te verlenen. Dergelijk personeel is gebonden door schriftelijke geheimhoudingsverplichtingen en ontvangt passende opleiding inzake gegevensbescherming en beveiliging.

Beveiliging van de verwerking

Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, alsook met het risico voor de rechten en vrijheden van betrokkenen, implementeert de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, overeenkomstig artikel 32 van de AVG. Deze maatregelen worden beschreven in het Beveiligingsoverzicht en omvatten, voor zover passend, de versleuteling van persoonsgegevens, het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen te waarborgen, het vermogen om de beschikbaarheid van en de toegang tot de gegevens tijdig te herstellen na een incident, en een procedure voor het op gezette tijdstippen testen en beoordelen van de doeltreffendheid van die maatregelen.

Subverwerkers

De Verwerkingsverantwoordelijke verleent de Verwerker een algemene machtiging om subverwerkers in te schakelen ter ondersteuning van het verlenen van de Diensten (bijvoorbeeld aanbieders van cloudinfrastructuur en -opslag). De Verwerker houdt een actuele lijst van subverwerkers bij en stelt de Verwerkingsverantwoordelijke in kennis van eventuele voorgenomen wijzigingen betreffende de toevoeging of vervanging van subverwerkers, waarbij hij de Verwerkingsverantwoordelijke de gelegenheid biedt om op redelijke gegevensbeschermingsgronden bezwaar te maken.

De Verwerker legt aan elke subverwerker, door middel van een overeenkomst, gegevensbeschermingsverplichtingen op die niet minder beschermend zijn dan die welke in deze VWO zijn uiteengezet, en blijft jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van elke subverwerker.

Bijstand bij rechten van betrokkenen

Rekening houdend met de aard van de verwerking staat de Verwerker de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bij in het nakomen van de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken van betrokkenen die hun rechten op inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar uitoefenen. Wanneer de Verwerker rechtstreeks een verzoek van een betrokkene ontvangt, zal hij het verzoek zonder onnodige vertraging doorsturen naar de Verwerkingsverantwoordelijke en er niet zelf op reageren, tenzij hij daartoe door de Verwerkingsverantwoordelijke wordt geïnstrueerd.

Melding van inbreuken in verband met persoonsgegevens

De Verwerker stelt de Verwerkingsverantwoordelijke zonder onnodige vertraging in kennis nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens die gevolgen heeft voor persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt. De kennisgeving omvat, voor zover beschikbaar, een beschrijving van de aard van de inbreuk, de waarschijnlijke gevolgen, de getroffen of voorgestelde maatregelen om de inbreuk aan te pakken, en een contactpunt voor nadere informatie. De Verwerker staat de Verwerkingsverantwoordelijke bij in het nakomen van diens eigen verplichtingen inzake het melden van en communiceren over inbreuken aan toezichthoudende autoriteiten en betrokkenen.

Gegevensbeschermingseffectbeoordelingen

De Verwerker verleent de Verwerkingsverantwoordelijke redelijke bijstand bij eventuele gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen van toezichthoudende autoriteiten die de Verwerkingsverantwoordelijke redelijkerwijs vereist acht uit hoofde van artikel 35 of 36 van de AVG, in elk geval uitsluitend met betrekking tot de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke en rekening houdend met de aan de Verwerker beschikbare informatie.

Internationale doorgiften van gegevens

De Verwerker verwerkt en bewaart persoonsgegevens hoofdzakelijk binnen de Europese Unie / Europese Economische Ruimte. De Verwerker geeft geen persoonsgegevens door aan een land buiten de EER dat niet onder een adequaatheidsbesluit valt, tenzij hij een passend doorgiftemechanisme heeft ingevoerd dat onder de AVG wordt erkend, zoals de modelcontractbepalingen van de Europese Commissie, samen met alle aanvullende maatregelen die nodig zijn om een passend beschermingsniveau te waarborgen.

Audits en inspecties

De Verwerker stelt aan de Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om de naleving van deze VWO aan te tonen en maakt audits, met inbegrip van inspecties, die door de Verwerkingsverantwoordelijke of een door hem gemachtigde auditor worden uitgevoerd, mogelijk en draagt daaraan bij. Audits worden uitgevoerd op redelijke voorafgaande kennisgeving, tijdens de normale kantooruren, niet meer dan eenmaal per jaar (behalve wanneer dit door een toezichthoudende autoriteit wordt vereist of na een inbreuk in verband met persoonsgegevens), en op een wijze die de werkzaamheden van de Verwerker niet verstoort of de vertrouwelijkheid van de gegevens van andere klanten niet in gevaar brengt. De Verwerker kan aan auditverzoeken voldoen door relevante auditrapporten of certificeringen van derden te verstrekken, voor zover beschikbaar.

Teruggave en wissing van gegevens

Bij beëindiging of afloop van de Diensten zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle namens de Verwerkingsverantwoordelijke verwerkte persoonsgegevens wissen of teruggeven en bestaande kopieën wissen, tenzij toepasselijke wetgeving voortgezette opslag vereist. Standaard systeemback-ups worden gewist overeenkomstig de gedocumenteerde bewaarcyclus van de Verwerker.

Aansprakelijkheid, looptijd en toepasselijk recht

De aansprakelijkheid van elke partij uit hoofde van deze VWO is onderworpen aan de in de overeenkomst tussen de partijen uiteengezette beperkingen en uitsluitingen van aansprakelijkheid. Deze VWO treedt in werking op de datum van inwerkingtreding van de overeenkomst en blijft van kracht zolang de Verwerker persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt. Deze VWO wordt beheerst door het recht van Tsjechië, tenzij de overeenkomst tussen de partijen anders bepaalt, en onverminderd de dwingende bepalingen van de AVG.

Om een mede-ondertekend exemplaar van deze VWO aan te vragen, of om specifieke gegevensbeschermingsregelingen te bespreken, neem contact met ons op via info@carsdata.com.