Zwitserse Gegevensverwerking Addendum
Nitro Pro
DIEZE GEGEVENSVERWERKING ADDENDUM IS VAN TOEPASSING ALS U ZICH ALS ZAAKLIJK KLIËNT HEEFT AANGEMELD VOOR NITRO DIENSTEN ONDER DE NITRO GEBRUIKSVOORWAARDEN EN DE FADP IS VAN TOEPASSING OP DE VERWERKING VAN PERSOONSGEGEVENS IN DE CONTEXT VAN DE OVEREENKOMST. IN GEVAL U ZICH ALS INDIVIDU HEEFT AANGEMELD, BEZOEK DAN DE PRIVACYVERKLARING VAN NITRO VOOR MEER INFORMATIE OVER HOE NITRO UW PERSOONSGEGEVENS VERWERKT.
1. TOEPASSING; ROLLEN VAN DE PARTIJEN
Nitro zal Persoonsgegevens ontvangen en verwerken ten behoeve en in opdracht van de Klant bij het verlenen van de Diensten, volgens de instructies en doeleinden die door de Klant in de Gegevensverwerkingsdetails zijn gedefinieerd. Met dit Gegevensverwerkingsaddendum willen de Partijen hun specifieke afspraken vastleggen met betrekking tot de verwerking van Persoonsgegevens binnen het kader van de Overeenkomst.
Bij standaard zal Nitro optreden als Verwerker en de Klant als Verantwoordelijke met betrekking tot de door Nitro aan de Klant geleverde Diensten in overeenstemming met de Nitro Gebruiksvoorwaarden. Dit Gegevensverwerkingsaddendum vervangt en annuleert alle eerdere overeenkomsten die zijn gemaakt (indien van toepassing) met betrekking tot de verwerking van Persoonsgegevens en gegevensbescherming tussen de Partijen die verband houden met de door Nitro aangeboden Diensten.
Dit Gegevensverwerkingsaddendum aanvult en vormt een onderdeel van de Gebruiksvoorwaarden, en samen vormen de Gebruiksvoorwaarden en dit Gegevensverwerkingsaddendum een enkele wettelijke overeenkomst tussen de Partijen. In geval van afwijkingen of tegenstrijdigheden tussen dit Gegevensverwerkingsaddendum en de Gebruiksvoorwaarden, heeft het Gegevensverwerkingsaddendum voorrang.
2. DEFINITIES
“Bijlage” betekent elke bijlage bij dit Gegevensverwerkingsaddendum;
"CH Persoonsgegevens" betekent Persoonsgegevens waarop de FADP van toepassing is;
"CH Beperkte Overdracht" betekent een overdracht in de zin van artikelen 16(2) en 17 van de FADP van Persoonsgegevens door de Klant naar Nitro (of enige verdere overdracht van Nitro naar een Subverwerker), in elk geval, waar een dergelijke overdracht verboden zou zijn door de FADP in de afwezigheid van de bescherming voor de overgedragen Persoonsgegevens die wordt geboden door de CH Standaardcontractuele Clausules of andere waarborgen of wettelijke uitzonderingen;
"CH Standaardcontractuele Clausules" betekent met betrekking tot CH Persoonsgegevens, de standaardcontractuele clausules voor de overdracht van persoonsgegevens naar derde landen die door de Europese Commissie zijn aangenomen op grond van de Besluit van de Commissie (EU) 2021/914 (inclusief de tekst van module twee van deze standaardcontractuele clausules en niet uit enige andere module of eventuele als optioneel gemarkeerde clausules) aangepast voor Zwitserland overeenkomstig de verklaring van de FDPIC van 27 augustus 2021 zoals erkend door de FDPIC;
“Verantwoordelijke” verwijst naar de Klant zoals geïdentificeerd in de Gebruiksvoorwaarden en het toepasselijke Bestelformulier;
“Gegevensverwerkingsdetails” betekent Bijlage 1 bij deze Gegevensverwerkingsaddendum die meer details bevat over de instructies van de Klant over de verwerking van Persoonsgegevens zoals het doel, voorwerp en aard van de verwerking en het soort Persoonsgegevens dat wordt verwerkt;
"FADP" betekent de Zwitserse Federale Wet op Gegevensbescherming (zoals gewijzigd); "FODP" betekent de Zwitserse Federale Verordening op Gegevensbescherming (zoals gewijzigd); "FDPIC" betekent de Federale Gegevensbeschermings- en Informatiecommissaris;
“Persoonsgegevens” betekent persoonsgegevens zoals gedefinieerd onder de FADP die Nitro verwerkt ten behoeve en in opdracht van de Klant bij het verstrekken van de Diensten volgens de instructies en doeleinden zoals gedefinieerd door de Klant in de Gegevensverwerking;
“Verwerker” verwijst naar Nitro Software Inc., leverancier van de Diensten aan de Klant zoals geïdentificeerd in de Gebruiksvoorwaarden;
“Subverwerker” betekent elke derde verwerking die door Nitro is ingeschakeld voor de verwerking van Persoonsgegevens met betrekking tot de verstrekking van Diensten aan de Klant;
“Subverwerkerlijst” verwijst naar de lijst van Subverwerkers die online door Nitro beschikbaar is gesteld en die de ingeschakelde Subverwerkers door Nitro voor de verstrekking van de Diensten en de vervulling van de verplichtingen van Nitro onder de Overeenkomst in het algemeen omvat. Nitro kan de Subverwerkerslijst van tijd tot tijd bijwerken volgens het proces dat is uiteengezet in dit Gegevensverwerkingsaddendum;
Alle andere bepalingen en definities die met hoofdletters zijn geschreven en die niet expliciet in dit Gegevensverwerkingsaddendum zijn gedefinieerd, worden gedefinieerd zoals vastgelegd in de toepasselijke wetgeving inzake gegevensbescherming of de Gebruiksvoorwaarden van Nitro.
3. OBJECT OF THIS DATA PROCESSING ADDENDUM
3,1 Dit gegevensverwerkingsaddendum bepaalt de voorwaarden voor de verwerking door Nitro van Persoonsgegevens die door of op initiatief van de Klant in het kader van het Addendum zijn gecommuniceerd. The nature and purpose of the processing, a list and the kind of Personal Data as well as the categories of the Data Subjects are listed in the Data Processing Details (Annex 1).
3,2 De verwerking vindt uitsluitend plaats ten behoeve van de Klant en voor het doel dat door de Klant is gedefinieerd in de Gegevensverwerkingsdetails. Nitro shall immediately inform the Customer if, in its opinion, an instruction infringes the applicable (data protection) legislation. Nitro will only process the Personal Data according to the documented instructions of the Customer and will not use these Personal Data for its own purpose, unless as explicitly permitted in the Terms of Service. If Nitro is legally obliged to proceed with any processing of Personal Data, Nitro will, unless this would violate applicable mandatory rules, inform the Customer of such obligation.
4. TERM
4,1 Dit gegevensverwerkingsaddendum is van toepassing op alle verwerking van Persoonsgegevens die plaatsvinden in het kader van de levering van de Diensten aan de Klant door Nitro en is van toepassing zolang Nitro Persoonsgegevens verwerkt ten behoeve van de Klant in het kader van de Overeenkomst. This Data Processing Addendum supplements the Nitro Terms of Service and is meant to ensure the Parties’ compliance with the requirements imposed by the applicable data protection laws and regulations for Customer ́s use of the Services.
4,2 Dit gegevensverwerkingsaddendum eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). The provisions of this Data Processing Addendum that are either expressly or implicitly (given their nature) intended to have effect after termination of the Data Processing Addendum shall survive the end of the Agreement with regard to the Personal Data communicated by or at the initiative of the Customer in the context of the Agreement.
5. TECHNICAL AND ORGANIZATIONAL MEASURES
5,1 Nitro biedt adequate garanties met betrekking tot de implementatie van gepaste technische en organisatorische maatregelen (“TOMs”) om een veilige verwerking van Persoonsgegevens te waarborgen en dus de bescherming van de rechten van de Betrokkene te waarborgen. The technical and organizational measures implemented by Nitro are as set out in the Data Processing Details. The TOMs may be updated by Nitro from time to time, however Nitro will ensure not to downgrade the overall security it has implemented at the moment of the Data Processing Addendum’s execution. The Customer acknowledges the TOMs to be adequate for the processing of its Personal Data at the moment of signing or accepting this Data Processing Addendum.
5,2 Nitro zal alle passende technische en organisatorische maatregelen nemen zoals bedoeld in artikel 8 FADP en artikel 3 FODP om een adequaat veiligheidsniveau te waarborgen dat passend is voor het risico.
5,3 Als de Klant gevoelige Persoonsgegevens zoals bedoeld in de FADP aan Nitro verstrekt in het kader van de Overeenkomst, zal de Klant Nitro hiervan schriftelijk op de hoogte stellen via privacy@gonitro.com.
5,4 In het geval dat de Klant specifieke technische en organisatorische maatregelen aanvraagt die door Nitro moeten worden uitgevoerd (die Nitro niet standaard heeft geïmplementeerd), zal de Klant Nitro vergoeden voor de implementatie van dergelijke aanvullende maatregelen volgens Sectie 14 "Kosten" van dit gegevensverwerkingsaddendum.
6. RETENTION
6,1 Nitro zal Persoonsgegevens niet langer bewaren dan nodig is voor de verwerking van dergelijke Persoonsgegevens in het kader van de Overeenkomst. The Customer will not instruct Nitro to store any Personal Data longer than necessary. The applicable retention period (as defined by the Customer) is set out in the Data Processing Details.
6,2 Volgens de keuze van de Klant, zal Nitro alle Persoonsgegevens verwijderen of teruggeven aan de Klant na het einde van de levering van de Diensten en zal het bestaande kopieën verwijderen, tenzij de Zwitserse wet of enige andere toepasselijke wet vereist dat de Persoonsgegevens worden opgeslagen. The Customer acknowledges the Services might include download functionalities at the disposal of the Customer to enable Customer to download its data. To the extent such functionalities are available, the Customer shall use such functionalities to extract or delete its data.
7. CONFIDENTIALITY
7.1 Parties have agreed on a confidentiality clause in the Terms of Service which applies to the processing of Personal Data in the context of the Agreement.
7.2 Nitro acknowledges and agrees that only those employees, contractors or agents of Nitro who are involved in the processing of Personal Data may be informed about the Personal Data and only to the extent as reasonably necessary for the performance of the Agreement. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, zich bij contract of door middel van een passende wettelijke verplichting tot vertrouwelijkheid verplichten.
8. RECHTEN VAN BETROKKENEN
8,1 Rekening houdend met de aard van de verwerking, zal Nitro alle redelijke inspanningen leveren, door passende technische en organisatorische maatregelen te nemen, om de Klant te helpen bij de vervulling van zijn verplichting om te reageren op verzoeken van Betrokkenen.
8,2 Voor alle assistentie die door Nitro wordt verleend in het kader van de verwerking van dergelijke verzoeken van Betrokkenen, zal de Klant Nitro vergoeden in overeenstemming met Sectie 14 "Kosten" van dit Aanvullend Gegevensverwerkingsovereenkomst. Een dergelijke vergoeding door de Klant is niet van toepassing (i) in het geval dat de Betrokkene zijn rechten inroept vanwege een bewezen Persoonsgegevensinbreuk die aan Nitro kan worden toegeschreven, of (ii) in het geval dat een dergelijke assistentie door Nitro niet meer dan vier (4) uur werk gedurende de looptijd van de Overeenkomst overschrijdt.
9. MELDPFLICHT
9,1 Zodra Nitro op de hoogte is van een Persoonsgegevensinbreuk, zal Nitro de Klant daarvan zonder onredelijke vertraging op de hoogte stellen door contact op te nemen met de contactpersoon die in de Overeenkomst of het relevante Bestelnummer is aangegeven (of alternatieven via het E-mailadres van de Klant of (indien van toepassing) elk ander e-mailadres dat de Klant in het adminportaal als privacycontact heeft gedeeld). De contactpersoon van Nitro voor alle zaken die verband houden met gegevensbescherming kan per e-mail worden benaderd: privacy@gonitro.com.
9,2 Op verzoek van de Klant zal Nitro de Klant op de hoogte stellen van eventuele nieuwe ontwikkelingen met betrekking tot een Persoonsgegevensinbreuk en van de maatregelen die zijn genomen om de gevolgen te beperken en herhaling van een dergelijke Persoonsgegevensinbreuk te voorkomen. Het is de verantwoordelijkheid van de Klant om elke Persoonsgegevensinbreuk te melden aan de Toezichthoudende Autoriteit of de Betrokken Persoon(men), indien vereist.
10. SUB-PROCESSING
10,1 De Klant machtigt Nitro uitdrukkelijk om Subverwerkers in te schakelen voor de verwerking van Persoonsgegevens voor de uitvoering van de Overeenkomst en om de levering van de Diensten in het algemeen te faciliteren. In dit verband verleent de Klant een algemene schriftelijke machtiging aan Nitro om te beslissen met welke Subverwerker(s) Nitro samenwerkt voor de nakoming van zijn verplichtingen uit de Overeenkomst. Nitro publiceert een Subverwerkerslijst die verwijst naar de Subverwerkers die door Nitro zijn ingeschakeld.
10,2 Nitro zal de Klant op de hoogte stellen van eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers door contact op te nemen met de contactpersoon die in de Overeenkomst of het relevante Bestelnummer is aangegeven (of via het E-mailadres van de Klant of (indien van toepassing) elk ander e-mailadres dat de Klant in het adminportaal als privacycontact heeft gedeeld). De Klant heeft het recht om zich tegen de toevoeging of vervanging te verzetten door Nitro schriftelijk te benaderen. In dat geval zullen de partijen in goed geloof het toevoegen, vervangen of alternatieven bespreken, zo snel mogelijk na de schriftelijke kennisgeving van bezwaar van de Klant.
10,3 Wanneer Nitro een Subverwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten, zullen dezelfde of vergelijkbare verplichtingen inzake gegevensbescherming zoals gesteld in deze Aanvulling op de Gegevensverwerking aan die Subverwerker worden opgelegd via een schriftelijke overeenkomst, waarbij in het bijzonder voldoende waarborgen worden geboden om passende technische en organisatorische maatregelen te implementeren (en te voldoen aan de relevante technische en organisatorische maatregelen). Wanneer een Subverwerker niet aan zijn verplichtingen inzake gegevensbescherming voldoet, blijft Nitro volledig aansprakelijk jegens de Klant voor de uitvoering van die verplichtingen van de Subverwerker.
11. INTERNATIONALE GEGEVENSOVERDRACHTEN
11,1 De Klant erkent dat Nitro is gevestigd in de Verenigde Staten van Amerika, en machtigt daarbij internationale overdrachten van persoonsgegevens buiten Zwitserland voor de doeleinden van het verlenen van de Diensten. Dergelijke internationale gegevensoverdracht wordt beschouwd als een instructie van de Klant en is afhankelijk van (i) een adequaatheidsbesluit van de Zwitserse Federale Raad, (ii) de uitvoering van de CH Standaardcontractbepalingen zoals erkend door de FDPIC (zoals van tijd tot tijd kan worden gewijzigd), of (iii) elk ander geaccepteerd mechanisme voor internationale gegevensoverdrachten zoals vastgelegd in de toepasselijke (gegevensbeschermings) wetgeving (bijvoorbeeld een verdrag onder internationaal recht, bindende bedrijfsregels, enz.).
11,2 Wanneer een CH Beperkte Overdracht wordt uitgevoerd tussen de Klant en Nitro, wordt hieruit uitdrukkelijk overeengekomen tussen de Klant (als "gegevensexporteur") en Nitro (als "gegevensimporteur") dat de CH Standaardcontractbepalingen, hierbij door verwijzing opgenomen, van toepassing zullen zijn vanaf het begin van de relevante overdracht. Bijlage 1 van de CH Standaardcontractbepalingen wordt geacht vooraf ingevuld te zijn met de relevante secties van Bijlage 1 van de Gegevensverwerkingsbijlage en de verwerkingsactiviteiten worden geacht die te zijn die zijn beschreven in de Gegevensverwerkingsbijlage, en Bijlage 2 van de CH Standaardcontractbepalingen wordt geacht vooraf ingevuld te zijn met sectie 6 van Bijlage 1 van de Gegevensverwerkingsbijlage, en:
- de verwijzingen in de CH Standaardcontractbepalingen naar de EU Algemene Verordening Gegevensbescherming moeten worden begrepen als verwijzingen naar de FADP;
- in Clausule 7 – Dockingclausule van de CH Standaardcontractbepalingen is niet van toepassing;
- in Clausule 9 – Gebruik van subprocessors van de CH Standaardcontractbepalingen, is 'Optie 2' van toepassing en de 'termijn' bedraagt 30 dagen;
- in Clausule 11(a) – Rechtsbescherming van de CH Standaardcontractbepalingen is de optionele taal niet van toepassing;
- in Clausule 13(a) – Toezicht van de CH Standaardcontractbepalingen wordt het volgende ingevoegd: De FPDIC fungeert als bevoegde toezichthoudende autoriteit;
- in Clausule 17 – Toepasselijk recht van de CH Standaardcontractbepalingen wordt het volgende ingevoegd: Deze clausules zijn onderworpen aan het recht van Zwitserland;
- in Clausule 18 – Keuze van forum en rechtsgebied, wordt het volgende ingevoegd: Elk geschil dat voortvloeit uit deze clausules zal worden opgelost door de rechtbanken van Zwitserland;
- in Clausule 18(c) – Jurisdictie van de betrokkene, zal de term "Lidstaat" niet zo worden geïnterpreteerd dat hij betrokkenen in Zwitserland uitsluit van de mogelijkheid om hun rechten te eerbiedigen op hun gebruikelijke verblijfplaats (Zwitserland) in overeenstemming met Clausule 18.c en bijgevolg kunnen betrokkenen met hun gebruikelijke verblijfplaats in Zwitserland ook juridische procedures instellen bij de bevoegde rechtbanken in Zwitserland;
11,3 De Klant erkent dat subprocessors die zijn gemachtigd onder clausule 9 ook Persoonsgegevens kunnen verwerken in derde landen. De klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle noodzakelijke stappen onderneemt om ervoor te zorgen dat deze overdrachten voldoen aan de bepalingen van de FADP en andere toepasselijke gegevensbeschermingswetten.
12. GEGEVENSBESCHERMINGSIMPACTBEOORDELING EN VOORAFGAANDE CONSULTATIE
12,1 Als de Klant een Gegevensbeschermingseffectbeoordeling ("DPIA") of een voorafgaande consultatie uitvoert in verband met de verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst (artikel 22 FADP), zal Nitro de Klant redelijkerwijs helpen door bijstand te bieden op schriftelijk verzoek van de Klant. De klant vergoedt Nitro voor de verleende bijstand in overeenstemming met Sectie 14 "Kosten" van deze Gegevensverwerkingsovereenkomst. Een dergelijke kostenvergoeding is niet van toepassing in het geval (i) de hulp die van Nitro wordt gevraagd minder dan vier (4) werkuren bedraagt gedurende de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaande consultatie wordt uitgelokt door een bewezen verwijtbare schending van Persoonsgegevens die aan Nitro kan worden toegerekend.
13. AUDITRECHT
13,1 De Klant heeft het recht om audits uit te voeren met betrekking tot de naleving door Nitro van zijn verplichtingen onder deze Gegevensverwerkingsovereenkomst en de toepasselijke gegevensbeschermingswetgeving. Nitro zal redelijke inspanningen leveren om samen te werken met dergelijke audits en alle informatie beschikbaar te stellen die nodig is om de naleving van zijn verplichting aan te tonen. De Klant moet Nitro van een dergelijke audit op de hoogte stellen ten minste één (1) maand voorafgaand aan de datum waarop de audit zal worden uitgevoerd, door Nitro schriftelijk in kennis te stellen via privacy@gonitro.com.
13,2 In het geval dat een audit wordt uitgevoerd, moeten alle betrokken partijen eerst een specifieke geheimhoudingsplicht ondertekenen die door Nitro is uitgegeven met betrekking tot die audit en de auditresultaten voordat de audit begint. Bij de uitvoering van een dergelijke audit moeten de vertrouwelijkheidsverplichtingen van de partijen jegens derden in acht worden genomen. Zowel de partijen als hun auditors moeten de informatie die in verband met een audit is verzameld vertrouwelijk houden en deze uitsluitend gebruiken om de naleving van dit Gegevensverwerkingsaddendum en de toepasselijke wetten en regelingen op het gebied van gegevensbescherming te verifiëren. De Klant heeft de optie om de audit zelf uit te voeren of een onafhankelijke auditor aan te wijzen; deze onafhankelijke auditor moet echter het geheimhoudingsprotocol ondertekenen dat in deze sectie wordt genoemd.
13,3 Beide Partijen en, waar van toepassing, hun vertegenwoordigers moeten op verzoek redelijk samenwerken met de Toezichthoudende Autoriteit bij het uitvoeren van hun taken.
13,4 De Klant vergoedt Nitro voor de ondersteuning die door Nitro in verband met de audit(s) is verleend, conform Sectie 14 "Kosten" van dit Gegevensverwerkingsaddendum. Het is begrepen dat een dergelijke kostenvergoeding niet van toepassing is in het geval (i) de audit het resultaat is van een bewezen Persoonsgegevensinbreuk die aan Nitro kan worden toegeschreven of, (ii) als de hulp van Nitro niet meer dan vier (4) werkuren tijdens de looptijd van de Overeenkomst bedraagt.
14. KOSTEN
14.1 De assistentie die onder deze Gegevensverwerkingsovereenkomst zal worden verleend waarvoor Nitro de Klant mogelijk kan factureren, zal worden gefactureerd op basis van het aantal gewerkte uren en de toepasselijke standaard uurtarieven van Nitro (USD 295/uur, exclusief belastingen). Nitro zal deze bedragen maandelijks factureren, maar heeft ook het recht om een voorafbetalingsvergoeding te verzoeken.
14,2 De betaling door de Klant aan Nitro voor de assistentie en professionele diensten die door Nitro worden verleend onder dit Data Verwerking Addendum, zal plaatsvinden in overeenstemming met de bepalingen in de Gebruiksvoorwaarden.
15. AANSPRAKELIJKHEID
15,1 Voor zover maximaal toegestaan onder toepasselijk recht, zijn de bepalingen van de Gebruiksvoorwaarden met betrekking tot beperking van aansprakelijkheid ook van toepassing op deze Gegevensverwerkingsovereenkomst en de daaruit voortvloeiende schade.
De Klant erkent dat de Sub-verwerkers die zijn toegestaan onder clausule 9 ook Persoonsgegevens in derde landen kunnen verwerken. De klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle noodzakelijke stappen onderneemt om ervoor te zorgen dat deze overdrachten voldoen aan de bepalingen van de FADP en andere toepasselijke gegevensbeschermingswetten.
16. OVERIGE
De bepalingen van de Gebruiksvoorwaarden met betrekking tot wijzigingen, de volledige overeenkomst, ontvankelijkheid, toepasselijk recht en bevoegde rechtbanken zijn van toepassing op deze Gegevensverwerkingsovereenkomst. In geval van tegenstrijdigheden of tegenstellingen tussen deze Gegevensverwerkingsovereenkomst en de CH Standaardcontractbepalingen, indien van toepassing, zullen de CH Standaardcontractbepalingen de overhand hebben.
BIJLAGE 1 – GEGEVENSVERWERKINGDETAILS
A. Lijst van partijen
1) Data-exporteur(s):
- Naam: Klant, zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier.
- Adres: Het adres van de gegevensexporteur staat vermeld in de Overeenkomst en het relevante Bestelformulier.
- Naam, functie en contactgegevens van de contactpersoon: De contactgegevens van de contactpersoon voor de gegevensexporteur zijn vermeld in de Overeenkomst en het relevante Bestelformulier (en, indien van toepassing, het beheerdersportaal van de klant).
- Activiteiten relevant voor de overgedragen gegevens: Zoals vermeld in de Overeenkomst. De activiteiten die relevant zijn voor de gegevens die zijn overgedragen op basis van deze CH Standaard Contractuele Clausules worden hieronder beschreven in Sectie B 'Beschrijving van verwerking/overdracht'.
- Handtekening en datum: Door het ondertekenen of accepteren van het relevante Bestelformulier wordt de gegevensexporteur geacht deze Bijlage I te hebben ondertekend.
- Rol (verantwoordelijke/verwerker): Verantwoordelijke
2) Gegevensimporteur(s):
- Naam: Nitro Software Inc.
- Adres: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.
- Naam, functie en contactgegevens van de contactpersoon: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.
- Activiteiten relevant voor de overgedragen gegevens: De activiteiten die relevant zijn voor de gegevens die zijn overgedragen op basis van deze CH Standaard Contractuele Clausules worden hieronder beschreven in Sectie B 'Beschrijving van verwerking/overdracht'.
- Handtekening en datum: Door het ondertekenen of accepteren van het relevante Bestelformulier wordt de gegevensimporteur geacht deze Bijlage I te hebben ondertekend.
- Rol (verantwoordelijke/verwerker): Verwerker
B. OMSCHRIJVING VAN DE VERWERKING/OVERDRACHT
1) ONDERWERP VAN DE VERWERKING VAN DE PERSOONSGEGEVENS
Het onderwerp wordt bepaald door de Klant zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.
2) DE AARD EN DOEL VAN DE VERWERKING VAN DE PERSOONSGEGEVENS
De aard en het doel van de verwerking worden bepaald door de Klant zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.
Bij standaardverwerking heeft die als doel de Diensten inclusief al zijn functies en functionaliteiten ter beschikking te stellen aan de Klant en zijn Gebruikers en in het algemeen Nitro in staat te stellen zijn contractuele verplichtingen onder de Overeenkomst na te komen. Een dergelijk doel kan zijn het beschikbaar stellen van de Cloud-diensten (bijvoorbeeld, maar niet beperkt tot, het beschikbaar stellen van het klantportaal, elektronische ondertekenservices, analysemogelijkheden, enzovoort) evenals de provisioning van Ondersteuning.
De aard van de verwerking omvat, naast andere instructies die door de Klant in de Overeenkomst en het relevante Bestelformulier zijn gegeven, de verwerking, verzameling, opslag, communicatie en overdracht van Persoonsgegevens.
3) VERWERKTE PERSOONSGEGEVENS
Afhankelijk van de functionaliteiten die worden gebruikt binnen de Diensten (bijvoorbeeld adminportaal, elektronische ondertekenservices, analysemogelijkheden, enzovoort) en de inhoud van de Klantgegevens die door de Klant en zijn Gebruikers in de Dienst zijn geüpload, verwerkt Nitro verschillende soorten Persoonsgegevens.
In het algemeen omvatten de Persoonsgegevens die door Nitro worden verwerkt zonder beperking:
- Identificatiedetails (bijvoorbeeld gebruikers- en gebruiksdetails)
- Documentgegevens (bijvoorbeeld Persoonsgegevens die zijn opgenomen in verwerkte PDF-documenten)
Een gedetailleerd overzicht van de soorten Persoonsgegevens die worden verwerkt bij het gebruik van de Diensten is beschikbaar via Nitro’s
Trust Center: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data
4) GEVOELIGE GEGEVENS
De gegevensexporteur kan gevoelige Persoonsgegevens opnemen in de persoonsgegevens in overeenstemming met Sectie 5.3 van deze Bijlage voor Gegevensverwerking. Gevoelige gegevens die worden overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de bijbehorende risico's, zoals bijvoorbeeld strikte doelbeperkingen, toegang beperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een register van de toegang tot de gegevens, beperkingen voor verdere overdrachten of aanvullende beveiligingsmaatregelen: er wordt verwezen naar de TOM's zoals vermeld of genoemd in de gegevensverwerkingsdetails hieronder.
5) CATEGORIEËN VAN DE GEGEVENSOMSTANDIGHEDEN
De volgende categorieën van Gegevensomstandigheden vallen standaard onder de reikwijdte:
- Alle Gebruikers die toegang hebben tot de Diensten (inclusief admin-gebruikers, algemene gebruikers of genodigde gebruikers zoals ondertekenaars).
- Alle Gegevensomstandigheden die zijn opgenomen in de Klantgegevens die door de Klant of zijn Gebruikers naar de Diensten zijn geüpload.
De Klant bevestigt dat deze Gegevensomstandigheden standaard als een van de volgende categorieën worden beschouwd:
- Personeel van de Klant
- Klanten van de Klant
- Prospecten van de Klant
- Leveranciers van de Klant
6) SUB-PROCESSORS
Nitro engageert Sub-verwerkers om ervoor te zorgen dat alle functionaliteiten beschikbaar zijn binnen de Diensten. Welke Sub-verwerkers van toepassing zijn, hangt af van de Diensten die worden gebruikt en de functionaliteiten en configuraties die door de Klant zijn aangevraagd. Een gedetailleerde lijst van de Sub-verwerkers die door Nitro zijn ingeschakeld (inclusief de procedure die wij toepassen bij het inschakelen van nieuwe Sub-verwerkers) is beschikbaar via ons Trust Center: https://www.gonitro.com/trust-center/data-protection/subprocessors-and-subcontractors
7) TECHNISCHE EN ORGANISATORISCHE MAATREGELEN (TOM's)
Nitro implementeert passende technische en organisatorische maatregelen om een adequaat niveau van beveiliging te waarborgen bij het gebruik van de Diensten. Wij actualiseren deze maatregelen continu. Een gedetailleerd overzicht van de genomen maatregelen is beschikbaar via ons Trust Center in onze sectie Beveiliging: https://www.gonitro.com/trust-center/security en in ons Beleid voor Informatiebeveiliging. Ons Trust Center vermeldt ook de certificeringen die Nitro heeft in de sectie Naleving: https://www.gonitro.com/trust-center/compliance.
8) BEWAARTERMIJN
Nitro zal Persoonsgegevens niet langer bewaren dan nodig is voor het verlenen van de Diensten. Afhankelijk van de Diensten en functionaliteiten die u als Klant gebruikt, kunnen de toepasselijke bewaarperiodes verschillen. Elke Klant kan Nitro verzoeken om specifieke bewaarperiodes in hun omgeving te configureren (voor zover dit technisch haalbaar is).
Als er geen specifieke bewaarperiodes zijn geconfigureerd, zullen Persoonsgegevens standaard door Nitro worden opgeslagen tot verwijdering door de Klant of tot beëindiging van de Overeenkomst tussen Nitro en de Klant (plus maximaal 30 dagen), afhankelijk van welke situatie zich het eerst voordoet. Een gedetailleerd overzicht van de bewaarperiodes is beschikbaar via ons Trust Center: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data
9) FREQUENTIE VAN INTERNATIONALE OVERDRACHTEN
Voortdurend, indien nodig om de Diensten aan de Klant te verlenen.