UK GDPR Gegevensverwerking Addendum
Nitro Pro
DIT GEGEVENSVERWERKING ADDENDUM IS VAN TOEPASSING ALS U ZICH ALS ZAKELIJKE KLANT VOOR NITRO DIENSTEN HEEFT AANGEMELD ONDER DE NITRO VOORWAARDEN VAN DIENST EN DE UK GDPR VAN TOEPASSING IS OP DE VERWERKING VAN PERSOONLIJKE GEGEVENS IN DE CONTEXT VAN DE OVEREENKOMST. ALS U ZICH ALS INDIVIDU HEEFT AANGEMELD, BEZOEK DAN NITRO'S GEGEVENSBESCHERMINGSBELEID VOOR MEER INFORMATIE OVER HOE NITRO UW PERSOONLIJKE GEGEVENS VERWERKT.
1. Omvang; Rollen van de Partijen
Nitro zal Persoonlijke Gegevens ontvangen en verwerken ten behoeve en in opdracht van de Klant bij het leveren van de Dienst, volgens de instructies en het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Met dit Gegevensverwerking Addendum willen de Partijen hun specifieke overeenkomsten vastleggen met betrekking tot de verwerking van Persoonlijke Gegevens binnen het kader van de Overeenkomst.
Bij standaard zal Nitro optreden als Verwerker en de Klant zal optreden als Verantwoordelijke met betrekking tot de Diensten die door Nitro aan de Klant worden geleverd in overeenstemming met de Nitro Voorwaarden van Dienst. Dit Gegevensverwerking Addendum vervangt en annuleert alle eerdere overeenkomsten die zijn gemaakt (indien van toepassing) met betrekking tot de verwerking van Persoonlijke Gegevens en gegevensbescherming tussen de Partijen met betrekking tot de Diensten die door Nitro worden aangeboden.
Dit Gegevensverwerking Addendum aanvult en maakt deel uit van de Voorwaarden van Dienst, en samen vormen de Voorwaarden van Dienst en dit Gegevensverwerking Addendum een enkele juridische overeenkomst tussen de Partijen. In het geval van afwijkingen of tegenstrijdigheden tussen dit Gegevensverwerking Addendum en de Voorwaarden van Dienst, heeft het Gegevensverwerking Addendum voorrang.
2. Definities
“Bijlage” betekent elke bijlage bij dit Gegevensverwerking Addendum;
“Verantwoordelijke” verwijst naar de Klant zoals geïdentificeerd in de Voorwaarden van Dienst en het toepasselijke Bestelformulier;
“Gegevensverwerkingsdetails” betekent Bijlage 1 bij dit Gegevensverwerking Addendum, dat meer details bevat over de instructies van de Klant met betrekking tot de verwerking van Persoonlijke Gegevens, zoals het doel, het object en de aard van de verwerking en het type Persoonlijke Gegevens dat wordt verwerkt;
“UK GDPR” betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en de vrije circulatie van dergelijke gegevens, en het intrekken van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming);
“Persoonlijke Gegevens” betekent persoonsgegevens zoals gedefinieerd onder UK GDPR die Nitro voor het voordeel en in opdracht van de Klant verwerkt bij het verlenen van de Diensten volgens de instructies en het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails;
“Verwerker” verwijst naar Nitro Software Inc., leverancier van de Diensten aan de Klant en zoals geïdentificeerd in de Voorwaarden van Dienst;
“Lijst van onderaannemers” verwijst naar de lijst van onderaannemers zoals online beschikbaar gesteld door Nitro die de onderaannemers omvat die door Nitro zijn ingeschakeld voor de levering van de Diensten en de uitvoering van de verplichtingen van Nitro onder de Overeenkomst in het algemeen. Nitro kan van tijd tot tijd de Lijst van Onder-aannemers bijwerken volgens het proces dat in dit Gegevensverwerking Addendum is beschreven;
“Onder-aannemer” betekent elke derde partij die door Nitro is ingeschakeld voor de verwerking van Persoonlijke Gegevens met betrekking tot de levering van de Diensten aan de Klant;
“UK GDPR” betekent de EU GDPR zoals omgezet in de Britse nationale wetgeving krachtens sectie 3 van de European Union Withdrawal Act 2018 en zoals gewijzigd door de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (zoals gewijzigd);
“UK Persoonlijke Gegevens” betekent Persoonlijke Gegevens waarop de UK GDPR van toepassing is;
“UK Standaard Contractuele Clausules” betekent de Internationale Gegevensoverdracht Addendum van de EU Commissie Standaard Contractuele Clausules die door de Informatiecommissaris is uitgegeven op grond van sectie 119A(1) van de Data Protection Act 2018, in de vorm en wijze zoals uiteengezet in Bijlage 2 bij dit Gegevensverwerking Addendum.
Alle andere termen en definities die met hoofdletters zijn geschreven en die niet expliciet zijn gedefinieerd in dit Gegevensverwerking Addendum, zijn gedefinieerd zoals uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming of de Voorwaarden van Dienst van Nitro.
3. Onderwerp van deze Gegevensverwerkingsbijlage
3.1 Deze Gegevensverwerkingsbijlage bepaalt de voorwaarden voor de verwerking door Nitro van Persoonsgegevens die door of op initiatief van de Klant zijn verstrekt in het kader van de Overeenkomst. De aard en het doel van de verwerking, een lijst en het type Persoonsgegevens, evenals de categorieën van de Betrokkenen zijn vermeld in de Gegevensverwerkingsdetails (Bijlage 1).
3.2 De verwerking zal uitsluitend plaatsvinden ten behoeve van de Klant en voor het doel zoals gedefinieerd door de Klant in de Gegevensverwerkingsdetails. Nitro zal de Klant onmiddellijk informeren als, naar zijn mening, een instructie inbreuk maakt op de toepasselijke wetgeving inzake gegevensbescherming. Nitro zal de Persoonsgegevens alleen verwerken volgens de gedocumenteerde instructies van de Klant en zal deze Persoonsgegevens niet voor eigen doeleinden gebruiken, tenzij dit expliciet is toegestaan in de Algemene Voorwaarden. Als Nitro wettelijk verplicht is om over te gaan tot verwerking van Persoonsgegevens, zal Nitro, tenzij dit in strijd zou zijn met toepasselijke dwingende regels, de Klant informeren over deze verplichting.
4. Termijn
4.1 Deze Gegevensverwerkingsbijlage is van toepassing op alle verwerking van Persoonsgegevens die wordt uitgevoerd in het kader van de levering van de Diensten aan de Klant door Nitro en is van toepassing zolang Nitro Persoonsgegevens namens de Klant verwerkt in het kader van de Overeenkomst. Deze Gegevensverwerkingsbijlage aanvult de Nitro Algemene Voorwaarden en is bedoeld om de naleving van de partijen aan de vereisten opgelegd door de toepasselijke wetten en regels inzake gegevensbescherming voor het gebruik van de Diensten door de Klant te waarborgen.
4.2 Deze Gegevensverwerkingsbijlage eindigt automatisch bij beëindiging van de Overeenkomst (of op het moment dat de verwerking door Nitro wordt beëindigd). De bepalingen van deze Gegevensverwerkingsbijlage die uitdrukkelijk of impliciet (gezien hun aard) bedoeld zijn om effect te hebben na beëindiging van de Gegevensverwerkingsbijlage, blijven van kracht na het einde van de Overeenkomst met betrekking tot de Persoonsgegevens die door of op initiatief van de Klant zijn verstrekt in het kader van de Overeenkomst.
5. Technische en Organisatorische Maatregelen
5.1 Nitro biedt adequate garanties met betrekking tot de implementatie van passende technische en organisatorische maatregelen (“TOMs”) om een veilige verwerking van Persoonsgegevens te waarborgen, zodat de bescherming van de rechten van de Betrokkenen is gegarandeerd. De TOMs die door Nitro zijn geïmplementeerd, zijn zoals uiteengezet in de Gegevensverwerkingsdetails. De TOMs kunnen van tijd tot tijd door Nitro worden bijgewerkt, echter zal Nitro ervoor zorgen dat de algehele veiligheid die op het moment van de uitvoering van de Gegevensverwerkingsbijlage is geïmplementeerd, niet wordt verlaagd. De Klant erkent dat de TOMs adequaat zijn voor de verwerking van zijn Persoonsgegevens op het moment van ondertekening of acceptatie van deze Gegevensverwerkingsbijlage.
5.2 Nitro zal alle geschikte technische en organisatorische maatregelen nemen zoals genoemd in artikel 32 UK GDPR om een adequaat veiligheidsniveau te waarborgen dat past bij het risico.
5.3 Als de Klant gevoelige Persoonsgegevens zoals vermeld in artikelen 9 en 10 UK GDPR aan Nitro verstrekt in het kader van de Overeenkomst, zal de Klant Nitro hiervan schriftelijk op de hoogte stellen via privacy@gonitro.com.
5.4 In het geval dat de Klant specifieke technische en organisatorische maatregelen vraagt om door Nitro te worden geïmplementeerd (die Nitro standaard niet heeft geïmplementeerd), zal de Klant Nitro vergoeden voor de implementatie van dergelijke aanvullende maatregelen volgens Sectie 14 “Kosten” van deze Gegevensverwerkingsbijlage.
5.5 De naleving door Nitro van een goedgekeurde gedragscode zoals genoemd in artikel 40 UK GDPR, of een goedgekeurd certificeringsmechanisme zoals genoemd in artikel 42 UK GDPR, kan worden gebruikt als een bewijs van voldoende garanties zoals genoemd in UK GDPR.
6. Bewaring
6.1 Nitro zal Persoonsgegevens niet langer bewaren dan vereist voor de verwerking van dergelijke Persoonsgegevens in het kader van de Overeenkomst. De Klant zal Nitro niet instrueren om Persoonsgegevens langer te bewaren dan nodig. De toepasselijke bewaartermijn (zoals gedefinieerd door de Klant) is uiteengezet in de Gegevensverwerkingsdetails.
6.2 Op keuze van de Klant zal Nitro alle Persoonsgegevens na het einde van de levering van Diensten aan de Klant verwijderen of teruggeven en bestaande kopieën verwijderen, tenzij de toepasselijke wetgeving opslag van de Persoonsgegevens vereist. De Klant erkent dat de Diensten downloadfunctionaliteiten kunnen omvatten die ter beschikking staan van de Klant om de Klant in staat te stellen zijn gegevens te downloaden. Voor zover dergelijke functionaliteiten beschikbaar zijn, zal de Klant dergelijke functionaliteiten gebruiken om zijn gegevens te extraheren of te verwijderen.
7. Vertrouwelijkheid
7.1 Partijen hebben een vertrouwelijkheidsclausule in de Algemene Voorwaarden overeengekomen die van toepassing is op de verwerking van Persoonsgegevens in het kader van de Overeenkomst.
7.2 Nitro erkent en stemt ermee in dat alleen die medewerkers, contractanten of agenten van Nitro die betrokken zijn bij de verwerking van Persoonsgegevens, informatie over de Persoonsgegevens mogen ontvangen, en uitsluitend voor zover dit redelijkerwijs noodzakelijk is voor de uitvoering van de Overeenkomst. Nitro zorgt ervoor dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, bij contract aan vertrouwelijkheid gebonden zijn of onder een passende wettelijke verplichting tot vertrouwelijkheid vallen.
8. Rechten van de Betrokkene
8.1 Rekening houdend met de aard van de verwerking, zal Nitro alle redelijke inspanningen leveren, door passende technische en organisatorische maatregelen te nemen, om de Klant te helpen bij het voldoen aan zijn verplichtingen om te reageren op verzoeken van Betrokkenen.
8.2 Voor alle bijstand die door Nitro wordt verleend in het kader van de behandeling van dergelijke verzoeken van Betrokkenen, zal de Klant Nitro vergoeden overeenkomstig Sectie 14 "Kosten" van deze Gegevensverwerkingsovereenkomst. Een dergelijke vergoeding door de Klant is niet van toepassing (i) in het geval dat de Betrokkene zijn rechten inroept vanwege een aangetoonde schending van Persoonsgegevens die aan Nitro kan worden toegerekend of (ii) in het geval dat een dergelijke ondersteuning van Nitro niet meer dan vier (4) uur aan werk gedurende de looptijd van de Overeenkomst overschrijdt.
9. Plicht om te notificeren
9.1 Wanneer Nitro op de hoogte komt van een schending van de Persoonsgegevens, zal Nitro de Klant daarvan onverwijld op de hoogte stellen door de contactpersoon te benaderen die in de Overeenkomst of het relevante Bestelformulier is aangegeven (of alternatieven via het notificatie-e-mailadres van de Klant of (indien van toepassing) elk ander e-mailadres dat de Klant in het adminportaal heeft gedeeld als privacycontact). De contactpersoon van Nitro voor alle zaken met betrekking tot gegevensbescherming kan per e-mail worden benaderd: privacy@gonitro.com.
9.2 Op verzoek van de Klant zal Nitro de Klant informeren over nieuwe ontwikkelingen met betrekking tot een schending van de Persoonsgegevens en de maatregelen die zijn genomen om de gevolgen te beperken en om de herhaling van een dergelijke schending van de Persoonsgegevens te voorkomen. Het is de verantwoordelijkheid van de Klant om elke schending van Persoonsgegevens te melden aan de Toezichthoudende Autoriteit of de Betrokkene(n), indien vereist.
10. Subverwerking
10.1 De Klant machtigt Nitro uitdrukkelijk om Subverwerkers in te schakelen voor de verwerking van Persoonsgegevens ter uitvoering van de Overeenkomst en om de levering van de Diensten in het algemeen te vergemakkelijken. In dit verband verleent de Klant een algemene schriftelijke machtiging aan Nitro om te beslissen met welke Subverwerker(s) Nitro samenwerkt voor de vervulling van haar verplichtingen onder de Overeenkomst. Nitro publiceert een Subverwerkerlijst waarin de door Nitro ingeschakelde Subverwerkers worden vermeld.
10.2 Nitro zal de Klant informeren over eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers door de contactpersoon die in de Overeenkomst of het relevante Bestelformulier is aangegeven (of via het notificatie-e-mailadres van de Klant of (indien van toepassing) elk ander e-mailadres dat de Klant in het adminportaal heeft gedeeld als privacycontact). De Klant heeft het recht om bezwaar te maken tegen de toevoeging of vervanging door Nitro schriftelijk aan te geven. Partijen zullen in dat geval in goed vertrouwen de toevoeging, vervanging of alternatieven bespreken en dit zo snel mogelijk na de schriftelijke bezwaarschrift van de Klant.
10.3 Wanneer Nitro een Subverwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten, zullen dezelfde of vergelijkbare verplichtingen inzake gegevensbescherming, zoals in deze Gegevensverwerkingsovereenkomst beschreven, aan die Subverwerker worden opgelegd door middel van een schriftelijke overeenkomst, met name door voldoende garanties te bieden om passende technische en organisatorische maatregelen te implementeren (en te voldoen aan de relevante technische en organisatorische maatregelen). Wanneer een Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Nitro ten volle aansprakelijk jegens de Klant voor de uitvoering van de verplichting van die Subverwerker.
11. Internationale gegevensoverdrachten
11.1 De Klant erkent dat Nitro is gevestigd in de Verenigde Staten van Amerika en machtigt daarmee internationale overdrachten van persoonsgegevens ten behoeve van het verstrekken van de Diensten. Dergelijke internationale gegevensoverdracht wordt beschouwd als een instructie van de Klant.
11.2 Als Nitro op elk moment tijdens de looptijd van deze Gegevensverwerkingsaanvulling (i) gecertificeerd is onder de UK-uitbreiding van de EU-VS. Gegevensbeschermingskader (ook bekend als de UK-VS 'gegevensbrug') ('Kader'); en (ii) dat dit Kader een geldige adequaatheidsbeslissing vormt voor de doeleinden van artikel 45 UK GDPR, dan erkennen de partijen dat er geen passende waarborgen nodig zijn in verband met overdrachten tussen de Klant en Nitro.
11.3 Wanneer de voorwaarden zoals uiteengezet in Sectie 11.2 niet van toepassing zijn, gaan de Partijen de UK-standaardcontractbepalingen aan in de vorm en op de wijze zoals beschreven in Bijlage 2 van deze Gegevensverwerkingsaanvulling, waarbij deze UK-standaardcontractbepalingen zijn opgenomen en deel uitmaken van deze Gegevensverwerkingsaanvulling.
11.4 De Klant erkent dat de onderaannemers die zijn gemachtigd op grond van clausule 10 ook persoonsgegevens kunnen verwerken in derde landen. De Klant staat dergelijke overdrachten toe, op voorwaarde dat Nitro alle nodige stappen onderneemt om ervoor te zorgen dat deze overdrachten voldoen aan de bepalingen van Hoofdstuk V van de UK GDPR en andere toepasselijke gegevensbeschermingswetten.
11.5 In geval de overdracht van Persoonsgegevens naar een derde land of een internationale organisatie verplicht is op grond van de toepasselijke wetgeving waaraan Nitro onderworpen is, is Nitro toegestaan om een dergelijke overdracht uit te voeren en moet het de Klant van deze wettelijke vereiste op de hoogte stellen voordat deze Verwerking plaatsvindt, tenzij die wet een dergelijke informatie om belangrijke redenen van openbaar belang verbiedt.
12. Gegevensbeschermingsimpactbeoordeling en Voorafgaande Consultatie
12.1 Als de Klant een Gegevensbeschermingsimpactbeoordeling ('DPIA') (artikel 35 UK GDPR) of voorafgaande consultatie (artikel 36 UK GDPR) uitvoert die verband houdt met de verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst, zal Nitro de Klant redelijkerwijs helpen door assistentie te verlenen op schriftelijk verzoek van de Klant. De Klant zal Nitro terugbetalen voor de geleverde assistentie volgens Sectie 14 'Kosten' van deze Gegevensverwerkingsaanvulling. Een dergelijke terugbetaling van kosten is niet van toepassing in het geval (i) de door Nitro gevraagde assistentie minder is dan vier (4) werkuren tijdens de looptijd van de Overeenkomst, of (ii) de DPIA of voorafgaande consultatie wordt geïnitieerd door een geverifieerde Persoonsgegevensinbreuk die aan Nitro kan worden toegeschreven.
13. Auditrecht
13.1 De Klant heeft het recht om audits uit te voeren met betrekking tot de naleving door Nitro van zijn verplichtingen uit deze Gegevensverwerkingsaanvulling en de toepasselijke gegevensbeschermingswetgeving. Nitro zal redelijke inspanningen leveren om samen te werken met deze audits en alle informatie beschikbaar te stellen die nodig is om de naleving van zijn verplichtingen aan te tonen. De Klant moet Nitro ten minste één (1) maand voorafgaand aan de datum waarop de audit zal worden uitgevoerd, op de hoogte stellen van een dergelijke audit, door een schriftelijke kennisgeving aan Nitro via privacy@gonitro.com.
13.2 In geval van een uitgevoerde audit, moeten alle betrokken partijen eerst een specifieke geheimhoudingsverklaring ondertekenen die door Nitro is uitgegeven met betrekking tot deze audit en de auditresultaten voordat de audit begint. Bij de uitvoering van een dergelijke audit moeten de vertrouwelijkheidsverplichtingen van de Partijen jegens derden in overweging worden genomen. Zowel de Partijen als hun auditors moeten de informatie die in verband met een audit is verzameld geheim houden en deze uitsluitend gebruiken om te verifiëren of zij voldoen aan deze Gegevensverwerkingsaanvulling en de toepasselijke wetten en regelgevingen met betrekking tot gegevensbescherming. De Klant heeft de optie om de audit zelf uit te voeren of een onafhankelijke auditor aan te wijzen, echter, deze onafhankelijke auditor moet de geheimhoudingsverklaring die in deze Sectie wordt genoemd, correct ondertekenen.
13.3 Beide Partijen en waar relevant hun vertegenwoordigers, moeten redelijke samenwerking verlenen, op verzoek, met de Toezichthoudende Autoriteit bij de uitvoering van zijn taken.
13.4 De Klant zal Nitro vergoeden voor de assistentie die door Nitro wordt verleend in relatie tot audit(s) in overeenstemming met Sectie 14 'Kosten' van deze Gegevensverwerkingsaanvulling. In die zin, wordt begrepen dat een dergelijke vergoeding niet van toepassing zal zijn in geval (i) de audit het gevolg is van een geverifieerde Persoonsgegevensinbreuk die aan Nitro kan worden toegeschreven of (ii) in het geval de assistentie van Nitro niet meer dan vier (4) werkuren tijdens de looptijd van de Overeenkomst bedraagt.
14. Kosten
14.1 De assistentie die onder deze Gegevensverwerkingsaanvulling wordt verleend waarvoor Nitro het eventueel aan de Klant in rekening kan brengen, wordt in rekening gebracht op basis van de gewerkte uren en de toepasselijke standaard uurtarieven van Nitro (295 USD/uur, exclusief belastingen). Nitro zal deze bedragen maandelijks factureren, maar heeft ook het recht om een voorafgaande retainer fee aan te vragen.
14.2 De betaling door de Klant aan Nitro voor de ondersteuning en professionele diensten die door Nitro onder deze Data Processing Addendum worden geleverd, vindt plaats in overeenstemming met de bepalingen in de Gebruiksvoorwaarden.
15. Aansprakelijkheid
15.1 Voor zover maximaal toegestaan onder toepasselijke wetgeving, zijn de bepalingen van de Gebruiksvoorwaarden betreffende beperking van aansprakelijkheid ook van toepassing op deze Data Processing Addendum en de daaruit voortvloeiende schade.
16. Diversen
16.1 De bepalingen van de Gebruiksvoorwaarden over wijzigingen, de volledige overeenkomst, de scheidbaarheid, toepasselijke wet en bevoegde rechtbanken zijn van toepassing op deze Data Processing Addendum. In geval van afwijkingen of tegenstrijdigheden tussen deze Data Processing Addendum en de UK Standard Contractual Clauses, indien van toepassing, hebben de UK Standard Contractual Clauses voorrang.
Bijlage 1 - Gegevensverwerkingsdetails
A. LIJST VAN PARTIJEN
1. GEGEVENS EXPORTEUR(S)
Naam: Klant, zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier.
Adres: Het adres van de gegevens exporteur is vermeld in de Overeenkomst en het relevante Bestelformulier.
Naam, functie en contactgegevens van de contactpersoon: De contactgegevens van de contactpersoon voor de gegevens exporteur zijn vastgesteld. in de Overeenkomst, het relevante Bestelformulier (en indien van toepassing de admin portal van de Klant).
Activiteiten die relevant zijn voor de overgedragen gegevens: De activiteiten die relevant zijn voor de onder deze UK Standard Contractual Clauses overgedragen gegevens worden hieronder beschreven in Sectie B "Beschrijving van verwerking/overdracht".
Handtekening en datum: Door het ondertekenen of accepteren van het relevante Bestelformulier wordt de gegevens exporteur geacht deze Bijlage I te hebben ondertekend.
Rol (verantwoordelijke/verwerker): Verantwoordelijke
2. GEGEVENS IMPORTEUR(S)
Naam: Nitro Software Inc.
Adres: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.
Contactpersoon naam, positie en contactgegevens: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten.
Activiteiten die relevant zijn voor de overgedragen gegevens: De activiteiten die relevant zijn voor de onder deze UK Standard Contractual Clauses overgedragen gegevens worden hieronder beschreven in Sectie B "Beschrijving van verwerking/overdracht".
Handtekening en datum: Door het ondertekenen of accepteren van het relevante Bestelformulier wordt de gegevens importeur geacht deze Bijlage I te hebben ondertekend.
Rol (verantwoordelijke/verwerker): Verwerker
B. BESCHRIJVING VAN VERWERKING/OVERDRACHT
1. HET ONDERWERP VAN DE VERWERKING VAN PERSOONSGEGEVENS
Het onderwerp wordt bepaald door de Klant zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.
2. DE AARD EN HET DOEL VAN DE VERWERKING VAN PERSOONSGEGEVENS
De aard en het doel van de verwerking worden bepaald door de Klant zoals uiteengezet in de Overeenkomst en het relevante Bestelformulier.
Standaard heeft deze verwerking als doel de Diensten beschikbaar te stellen, inclusief alle functies en functionaliteiten aan de Klant en zijn Gebruikers en meer in het algemeen Nitro in staat te stellen om zijn contractuele verplichtingen onder de Overeenkomst na te komen. Dit doel kan het beschikbaar stellen van de Cloud Diensten zijn (bijvoorbeeld, maar niet beperkt tot, het beschikbaar stellen van het klant cloudportaal, elektronische handtekeningdiensten, analysetools, enz.) evenals de verstrekking van Ondersteuning.
De aard van de verwerking omvat, naast andere instructies gegeven door de Klant in de Overeenkomst en het relevante Bestelformulier, de verwerking, verzameling, opslag, communicatie en overdracht van Persoonsgegevens.
3. VERWERKTE PERSOONLIJKE GEGEVENS
Afhankelijk van de functionaliteiten die binnen de Diensten worden gebruikt (bijv. adminportaal, elektronische ondertekenservices, analysemiddelen, enz.) en de inhoud van de Klantgegevens die door de Klant en zijn Gebruikers in de Diensten zijn geüpload, verwerkt Nitro verschillende soorten Persoonlijke Gegevens.
In het algemeen omvatten de door Nitro verwerkte Persoonlijke Gegevens onder meer:
- Identificatiegegevens (bijvoorbeeld Gebruiker- en gebruiksgegevens)
- Documentgegevens (bijvoorbeeld Persoonlijke Gegevens die zijn opgenomen in verwerkte PDF-documenten)
Een gedetailleerd overzicht van de soorten Persoonlijke Gegevens die worden verwerkt bij het gebruik van de Diensten is beschikbaar via Nitro’s Vertrouwenscentrum: Verwerking van Persoonlijke Gegevens
4. SENSITIEVE GEGEVENS
De gegevensexporteur kan gevoelige Persoonlijke Gegevens opnemen in de persoonlijke gegevens in overeenstemming met Sectie 5.3 van deze Gegevensverwerkingsovereenkomst. Gevoelige gegevens die zijn overgedragen (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico's, zoals bijvoorbeeld strikte doellimiet, toegangsbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), het bijhouden van een registratie van toegang tot de gegevens, beperkingen voor doorverzending of aanvullende beveiligingsmaatregelen: er wordt verwezen naar de TOM's zoals vermeld of genoemd in de hieronder aangeleverde Gegevensverwerkingsdetails.
5. CATEGORIE VAN GEGEVENSOVERS
De volgende categorieën van Gegevensovers zijn standaard van toepassing:
- Alle gebruikers die toegang hebben tot de Diensten (wat admin gebruikers, gewone gebruikers of uitgenodigde gebruikers zoals ondertekenaars omvat).
- Alle Gegevensovers die zijn opgenomen in de Klantgegevens die door de Klant of zijn Gebruikers in de Diensten zijn geüpload.
De Klant bevestigt dat deze Gegevensovers standaard als een van de volgende categorieën zullen worden beschouwd:
- Het personeel van de Klant
- De klanten van de Klant
- De prospects van de Klant
- De leveranciers van de Klant
6. SUB-AANNEMERS
Nitro schakelt Sub-aannemers in om ervoor te zorgen dat alle functionaliteiten binnen de Diensten beschikbaar zijn. Welke Sub-aannemers van toepassing zijn hangt af van het gebruik van de Diensten en de functionaliteiten en opzet die door de Klant zijn aangevraagd. Een gedetailleerde lijst van de door Nitro ingeschakelde Sub-aannemers (inclusief de procedure die wij toepassen bij het inschakelen van nieuwe Sub-aannemers) is beschikbaar via ons Vertrouwenscentrum: Sub-aannemers en onderaannemers
7. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN (TOM)
Nitro implementeert geschikte technische en organisatorische maatregelen om een adekwate beveiliging te waarborgen bij het gebruik van de Diensten. Wij actualiseren deze maatregelen continu. Een gedetailleerd overzicht van de genomen maatregelen is beschikbaar via ons Vertrouwenscentrum in onze sectie Veiligheid: Informatiebeveiliging en in ons Beleid inzake informatiebeveiliging. Ons Vertrouwenscentrum geeft ook een overzicht van de certificeringen die Nitro in de Compliance-sectie houdt: Compliance.
8. BEWAARTIJD
Nitro zal Persoonlijke Gegevens niet langer opslaan dan nodig is voor de verstrekking van de Diensten. Afhankelijk van de Diensten en de functionaliteiten die u als Klant gebruikt, kunnen de toepasselijke bewaartijden ( verschillen. Elke Klant kan Nitro verzoeken bepaalde bewaartijden in hun omgeving te configureren (voor zover dit technisch haalbaar is).
In geval geen specifieke bewaartijden zijn geconfigureerd, zullen Persoonlijke Gegevens standaard door Nitro worden opgeslagen totdat ze door de Klant worden verwijderd of totdat de Overeenkomst tussen Nitro en de Klant eindigt (plus maximaal 30 dagen), afhankelijk van welke van beide situaties zich het eerst voordoet. Een gedetailleerd overzicht van de bewaartijden is beschikbaar via ons Vertrouwenscentrum: Verwerking van Persoonlijke Gegevens
9. FREQUENTIE VAN INTERNATIONALE OVERDRAAGTEN
Voortdurend, indien nodig om de diensten aan de klant te verlenen.
Bijlage 2 - Britse Standaardcontractbepalingen
Internationale Dataoverdrachtsaddendum bij de Standaardcontractbepalingen van de EU-commissie
VERSIE B1.0, van kracht op 21 maart 2022
Dit addendum is uitgegeven door de informatiecommissaris voor partijen die beperkte overdrachten uitvoeren. De informatiecommissaris acht het passend bescherming te bieden voor beperkte overdrachten wanneer dit wordt aangegaan als een juridisch bindend contract.
Deel 1: Tabellen
Tabel 1: Partijen
Begindatum | De datum van het Data Processing Addendum | |
De partijen |
Exporteur (die de beperkte overdracht verzendt) Klant |
Importeur (die de beperkte overdracht ontvangt) Nitro |
Details van de partijen |
Volledige juridische naam: Klant, zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier. Handelsnaam (indien anders): Hoofdadres (indien een geregistreerd bedrijfsadres): Het adres van de gegevensexporteur is uiteengezet in de Overeenkomst en het relevante Bestelformulier. Officieel registratienummer (indien aanwezig) (bedrijfsnummer of een vergelijkbare identificator): Zoals geïdentificeerd in de Overeenkomst en het relevante Bestelformulier, of anders N.v.t. |
Volledige juridische naam: Nitro Software Inc. Handelsnaam (indien anders): Hoofdadres (indien een geregistreerd bedrijfsadres): 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Verenigde Staten. Officieel registratienummer (indien aanwezig) (bedrijfsnummer of een vergelijkbare identificator): N.v.t. |
Belangrijk Contact |
Volledige naam (optioneel): De volledige naam van de contactpersoon voor de gegevensexporteur is uiteengezet in de Overeenkomst en het relevante Bestelformulier. Functietitel: De functietitel van de contactpersoon voor de gegevensexporteur is uiteengezet in de Overeenkomst en het relevante Bestelformulier. Contactgegevens inclusief e-mail: De contactgegevens van de contactpersoon voor de gegevensexporteur zijn uiteengezet in de Overeenkomst en het relevante Bestelformulier. |
privacy@gonitro.com Nitro Software Inc. |
Handtekening (indien vereist voor de doeleinden van Sectie 2) | Niet vereist – deze Bijlage 2 maakt deel uit van het Data Processing Addendum en is daarin opgenomen. | Niet vereist – deze Bijlage 2 maakt deel uit van het Data Processing Addendum en is daarin opgenomen. |
Tabel 2: Geselecteerde SCC's, modules en geselecteerde clausules
Addendum EU SCC's |
De versie van de goedgekeurde EU SCC's waaraan dit addendum is toegevoegd, hieronder beschreven, inclusief de informatie in de bijlage: 26. Datum: de goedgekeurde EU SCC's, inclusief de informatie in de bijlage en met alleen de volgende modules, clausules of optionele bepalingen van de goedgekeurde EU SCC's die in werking zijn getreden voor de doeleinden van dit addendum: |
|||||
Module | Module in werking | Clausule 7 (Dockingclausule) | Clausule 11 (Optie) | Clausule 9a (Voorafgaande goedkeuring van de algemene goedkeuring) | Clausule 9a (Termijn) | Worden persoonsgegevens die van de importeur zijn ontvangen, gecombineerd met persoonsgegevens die door de exporteur zijn verzameld? |
1 | ||||||
2 |
X |
N/V |
N/V |
Algemene Autorisatie |
30 dagen |
Nee |
3 | ||||||
4 |
Tabel 3: Bijlageninformatie
“Bijlageninformatie” verwijst naar de informatie die moet worden verstrekt voor de geselecteerde modules zoals beschreven in de Bijlage van de goedgekeurde EU SCC's (behalve de Partijen), en die voor deze Aanvulling is uiteengezet in:
Bijlage 1A: Lijst van Partijen: Zie Tabel 1 hierboven. |
Bijlage 1B: Beschrijving van de Overdracht: Zie Bijlage 1 van deze Data Verwerking Aanvulling. |
Bijlage II: Technische en organisatorische maatregelen, inclusief technische en organisatorische maatregelen om de veiligheid van de gegevens te waarborgen: Zie clausule 5 van deze Data Verwerking Aanvulling. |
Bijlage III: Lijst van Subverwerkers (Modules 2 en 3 alleen): Zie clausule 10.1 van deze Data Verwerking Aanvulling. |
Tabel 4: Beëindigen van deze Aanvulling wanneer de Goedgekeurde Aanvulling verandert
Beëindigen van deze Aanvulling wanneer de Goedgekeurde Aanvulling verandert | Welke Partijen deze Aanvulling kunnen beëindigen zoals uiteengezet in Sectie 19: Importeur Exporteur geen Partij |
Deel 2: Verplichte Clausules
Ingang van deze Aanvulling
- Elke Partij stemt ermee in gebonden te zijn aan de voorwaarden die zijn uiteengezet in deze Aanvulling, in ruil voor het feit dat de andere Partij ook instemt gebonden te zijn aan deze Aanvulling.
- Hoewel Bijlage 1A en Clausule 7 van de Goedgekeurde EU SCC's vereisen dat de Partijen handtekenen, kunnen de Partijen deze Aanvulling op elke manier aangaan die hen wettelijk bindend maakt en de betrokkenen in staat stelt hun rechten te doen gelden zoals beschreven in deze Aanvulling. Het ingaan van deze Aanvulling zal hetzelfde effect hebben als het ondertekenen van de Goedgekeurde EU SCCs en elk deel van de Goedgekeurde EU SCCs.
Interpretatie van deze Aanvulling
3. Waar deze Aanvulling termen gebruikt die zijn gedefinieerd in de Goedgekeurde EU SCCs, zullen die termen dezelfde betekenis hebben als in de Goedgekeurde EU SCCs. Bovendien hebben de volgende termen de volgende betekenissen:
Addendum | Dit Internationaal Gegevensoverdracht Addendum dat bestaat uit dit Addendum, inclusief de EU SCC's. |
Informatie bij het Addendum EU SCCs |
De versie(s) van de goedgekeurde EU SCC's waaraan dit Addendum is toegevoegd, zoals uiteengezet in Tabel 2, inclusief de Informatie bij het Addendum. Zoals uiteengezet in Tabel 3. |
Geschikte Waarborgen | De standaard van bescherming van de persoonlijke gegevens en van de rechten van de betrokkenen, die vereist is door de Britse Wetgeving inzake Gegevensbescherming wanneer u een Beperkte Overdracht doet op basis van standaardgegevensbeschermingsclausules onder Artikel 46(2)(d) UK GDPR. |
Goedgekeurd Addendum | Het sjabloon Addendum dat door de ICO is uitgegeven en op 2 februari 2022 aan het Parlement is voorgelegd in overeenstemming met §119A van de Wet bescherming persoonsgegevens 2018, zoals herzien onder Sectie 18. |
Goedgekeurde EU SCCs | De Standaardcontractuele Clausules zoals uiteengezet in de Bijlage van de Uitvoeringsbesluit van de Commissie (EU) 2021/914 van 4 juni 2021. |
ICO | De Informatiecommissaris. |
Beperkte Overdracht | Een overdracht die wordt gedekt door Hoofdstuk V van de UK GDPR. |
VK | Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland. |
VK Wetgeving inzake Gegevensbescherming | Alle wetten met betrekking tot gegevensbescherming, de verwerking van persoonlijke gegevens, privacy en/of elektronische communicatie die van tijd tot tijd in het VK van kracht zijn, inclusief de UK GDPR en de Wet bescherming persoonsgegevens 2018. |
UK GDPR | Zoals gedefinieerd in sectie 3 van de Wet bescherming persoonsgegevens 2018. |
4. Dit Addendum moet altijd worden geïnterpreteerd op een manier die consistent is met de Britse Wetgeving inzake Gegevensbescherming en zodat het de verplichting van de Partijen om de Geschikte Waarborgen te bieden vervult.
5. Als de bepalingen die zijn opgenomen in de Addendum EU SCCs de Goedgekeurde SCCs op enige manier wijzigen die niet is toegestaan onder de Goedgekeurde EU SCCs of het Goedgekeurd Addendum, worden dergelijke wijziging(en) niet in dit Addendum opgenomen en zullen de equivalente bepalingen van de Goedgekeurde EU SCCs hun plaats innemen.
6. Als er enige inconsistentie of conflict is tussen de Britse Wetgeving inzake Gegevensbescherming en dit Addendum, zijn de Britse Wetgeving inzake Gegevensbescherming van toepassing.
7. Als de betekenis van dit Addendum onduidelijk is of er meer dan één betekenis is, geldt de betekenis die het dichtst aansluit bij de Britse Wetgeving inzake Gegevensbescherming.
8. Alle verwijzingen naar wetgeving (of specifieke bepalingen van wetgeving) betekenen die wetgeving (of specifieke bepaling) zoals deze in de loop van de tijd kan veranderen. Dit omvat situaties waarin die wetgeving (of specifieke bepaling) is samengevoegd, opnieuw vastgesteld en/of vervangen na het aangaan van dit Addendum.
Hiërarchie
9. Hoewel Clausule 5 van de Goedgekeurde EU SCCs stelt dat de Goedgekeurde EU SCCs boven alle gerelateerde overeenkomsten tussen de Partijen prevaleren, stemmen de Partijen ermee in dat, voor Beperkte Overdrachten, de hiërarchie in Sectie 10 zal prevaleren.
10. Waar er enige inconsistentie of conflict is tussen het Goedgekeurd Addendum en de Addendum EU SCCs (indien van toepassing), heeft het Goedgekeurd Addendum voorrang boven de Addendum EU SCCs, behalve wanneer (en voor zover) de inconsistente of conflicterende bepalingen van de Addendum EU SCCs een grotere bescherming voor betrokkenen bieden, in welk geval die bepalingen voorrang krijgen boven het Goedgekeurd Addendum.
11. Waar dit Addendum de Addendum EU SCCs bevat die zijn overeengekomen om overdrachten te beschermen die onder de Algemene Verordening Gegevensbescherming (EU) 2016/679 vallen, erkennen de Partijen dat niets in dit Addendum deze Addendum EU SCCs beïnvloedt.
Incorporatie van en wijzigingen aan de EU SCCs
12. Dit Addendum omvat de EU SCC's die aangepast zijn voor zover nodig, zodat:
- ze samen functioneren voor gegevensoverdrachten van de gegevensexporteur naar de gegevensimporteur, voor zover de Britse gegevensbeschermingswetten van toepassing zijn op de verwerking door de gegevensexporteur bij het maken van die gegevensoverdracht, en zij passende waarborgen bieden voor die gegevensoverdrachten;
- de secties 9 tot 11 de clausule 5 (Hiërarchie) van de EU SCC's overrulen; en
- dit Addendum (inclusief de daarin opgenomen EU SCC's) (1) wordt beheerst door de wetten van Engeland en Wales en (2) eventuele geschillen daaruit worden opgelost door de rechtbanken van Engeland en Wales, in elk geval tenzij de wetten en/of rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door de partijen zijn gekozen.
13. Tenzij de partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van sectie 12, zijn de bepalingen van sectie 15 van toepassing.
14. Er mogen geen wijzigingen aan de goedgekeurde EU SCC's worden aangebracht, behalve om te voldoen aan de vereisten van sectie 12.
15. De volgende wijzigingen aan het Addendum EU SCC's (ten behoeve van Sectie 12) worden aangebracht:
- Verwijzingen naar de “Clausules” betekent dit Addendum, dat de Addendum EU SCC's bevat;
- In Clausule 2, verwijder de woorden:
“en, met betrekking tot gegevensoverdrachten van verantwoordelijken naar verwerkers en/of van verwerkers naar verwerkers, standaardcontractuele clausules conform artikel 28(7) van Verordening (EU) 2016/679”; - Clausule 6 (Beschrijving van de overdracht(en)) wordt vervangen door:
“De details van de overdracht(en) en met name de categorieën persoonsgegevens die worden overgedragen en de doel(en) waarvoor zij worden overgedragen zijn die in bijlage I.B gespecificeerd waar Britse gegevensbeschermingswetten van toepassing zijn op de verwerking van de gegevensexporteur bij het maken van die overdracht.”; - Clausule 8.7(i) van Module 1 wordt vervangen door:
“het is naar een land dat profiteert van adequaatheidsregelingen overeenkomstig Sectie 17A van de Britse GDPR die de verdere overdracht dekt”; - Clausule 8.8(i) van Modules 2 en 3 wordt vervangen door:
“de verdere overdracht is naar een land dat profiteert van adequaatheidsregelingen overeenkomstig Sectie 17A van de Britse GDPR die de verdere overdracht dekt;” - Verwijzingen naar “Verordening (EU) 2016/679”, “Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en inzake de vrije verplaatsing van dergelijke gegevens (Algemene Verordening Gegevensbescherming)” en “die Verordening” worden allemaal vervangen door “Britse gegevensbeschermingswetten”. Verwijzingen naar specifieke artikel(en) van “Verordening (EU) 2016/679” worden vervangen door het equivalente artikel of sectie van de Britse gegevensbeschermingswetten;
- Verwijzingen naar Verordening (EU) 2018/1725 worden verwijderd;
- Verwijzingen naar de “Europese Unie”, “Verbond”, “EU”, “EU-lidstaat”, “Lidstaat” en “EU of lidstaat” worden allemaal vervangen door de “Verenigd Koninkrijk”;
- De verwijzing naar “Clausule 12(c)(i)” in clausule 10(b)(i) van module één wordt vervangen door “Clausule 11(c)(i)”;
- Clausule 13(a) en deel C van bijlage I worden niet gebruikt;
- De “bevoegde toezichthoudende autoriteit” en “toezichthoudende autoriteit” worden beide vervangen door de “Informatiecommissaris”;
- In clausule 16(e) wordt subsectie (i) vervangen door:
“de staatssecretaris maakt regels volgens sectie 17A van de Wet op de Gegevensbescherming 2018 die de overdracht van persoonsgegevens dekken waarop deze clausules van toepassing zijn;”; - Clausule 17 wordt vervangen door:
“Deze clausules worden beheerst door de wetten van Engeland en Wales.”; - Clausule 18 wordt vervangen door:
“Elke geschil die voortvloeit uit deze clausules wordt opgelost door de rechtbanken van Engeland en Wales. Een betrokkene kan ook juridische stappen ondernemen tegen de gegevensexporteur en/of de gegevensimporteur bij de rechtbanken van elk land in het VK. De Partijen stemmen ermee in zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken.”; en - De voetnoten bij de goedgekeurde EU SCC's maken geen deel uit van de bijlage, behalve voetnoten 8, 9, 10 en 11.
Wijzigingen aan deze bijlage
- De Partijen kunnen overeenkomen om de Clausules 17 en/of 18 van de bijlage van de EU SCC's te wijzigen om te verwijzen naar de wetten en/of rechtbanken van Schotland of Noord-Ierland.
- Als de Partijen de opmaak van de informatie in Deel 1: Tabellen van de goedgekeurde bijlage willen wijzigen, kunnen zij dit doen door schriftelijk overeen te komen, mits de wijziging de passende waarborgen niet vermindert.
- Van tijd tot tijd kan de ICO een herziene goedgekeurde bijlage uitgeven die:
- redelijke en evenredige wijzigingen aanbrengt in de goedgekeurde bijlage, inclusief het corrigeren van fouten in de goedgekeurde bijlage; en/of
- wijzigingen in de UK Data Protection Laws weerspiegelt;
- De herziene goedgekeurde bijlage zal de startdatum specificeren vanaf wanneer de wijzigingen aan de goedgekeurde bijlage van kracht zijn en of de Partijen deze bijlage inclusief de bijlageninformatie moeten herzien. Deze bijlage wordt automatisch gewijzigd zoals uiteengezet in de herziene goedgekeurde bijlage vanaf de gespecificeerde startdatum.
- Als de ICO een herziene goedgekeurde bijlage uitgeeft onder Sectie 18, als een Partij geselecteerd in Tabel 4 “Beëindiging van de bijlage wanneer de goedgekeurde bijlage verandert”, als gevolg van de wijzigingen in de goedgekeurde bijlage een substantieel, onevenredig en aantoonbaar verhoogd zal hebben in:
- de directe kosten voor het nakomen van haar verplichtingen onder de bijlage; en/of
- het risico onder de bijlage,
en in beide gevallen heeft zij vooraf redelijke stappen ondernomen om die kosten of risico's te verlagen zodat deze niet substantieel en onevenredig zijn, dan kan die Partij deze bijlage beëindigen aan het einde van een redelijke opzegtermijn, door de andere Partij voor de startdatum van de herziene goedgekeurde bijlage schriftelijk op de hoogte te stellen.
- De Partijen hebben geen toestemming van derden nodig om wijzigingen aan deze bijlage aan te brengen, maar alle wijzigingen moeten overeenkomstig de voorwaarden worden aangebracht.