Terug naar juridische informatie
BIJLAGE GEGEVENSVERWERKING (‘DPA’; Data Processing Addendum)
Herzien: 1 januari 2025
In deze Bijlage Gegevensverwerking ('DPA'; Data Processing Addendum) zijn Schema's 1 (Verwerkingsbeschrijving) en 2 (Regionale Overdrachtsvoorwaarden) opgenomen. Deze DPA is een aanvulling op en maakt integraal deel uit van de Servicevoorwaarden of een andere schriftelijke overeenkomst (de 'Overeenkomst') tussen GoTo en de 'Klant', en is van toepassing op de Verwerking door GoTo van de Persoonsgegevens van de Klant in verband met de Services die onder de Overeenkomst zijn afgenomen. Deze DPA wordt van kracht wanneer de Klant (a) een Overeenkomst aangaat of een Order ondertekent waarin deze DPA is opgenomen, of (b) gebruik maakt van de Services na publicatie op de website van GoTo (de 'Ingangsdatum'). De voorwaarden van deze DPA zijn van toepassing voor zover zij in strijd zijn met de voorwaarden van de Overeenkomst.
De Klant gaat deze DPA aan namens zichzelf en, voor zover vereist door wetgeving ten aanzien van gegevensbescherming, namens zijn Bevoegde Partners. Verwijzingen naar de 'Klant' in deze DPA betekenen de contracterende entiteit van de Klant en zijn Bevoegde Partners, met dien verstande echter dat de contracterende entiteit van de Klant namens zichzelf en zijn Bevoegde Partners: (a) verantwoordelijk blijft voor het coördineren, opstellen en ontvangen van alle communicatie met GoTo in het kader van deze DPA; en (b) zijn eigen rechten of die van zijn Bevoegde Partners hierin gecombineerd kan uitoefenen. Tenzij anders vermeld in deze DPA, betekent 'GoTo' de contracterende entiteit van GoTo en zijn Partners.
Ondertekening of aanvaarding door de Partijen van de Overeenkomst of een Orderformulier houdt ondertekening en aanvaarding in van de volgende documentatie, voor zover van toepassing: (a) de Braziliaanse Standaard Contractbepalingen; (b) de Europese Standaard Contractbepalingen; en (c) de Bijlage voor het VK bij de Europese Standaard Contractbepalingen.
1. | DEFINITIES | ||||||
De termen in deze DPA hebben de hieronder vermelde betekenissen. Alle met een hoofdletter geschreven termen die niet worden gedefinieerd in deze DPA, hebben de betekenis zoals beschreven in de Overeenkomst.
Een 'Partner' betekent, (a) met betrekking tot de Klant; elke entiteit die direct of indirect zeggenschap heeft over, onder zeggenschap staat van of onder gemeenschappelijke zeggenschap staat met de betreffende entiteit, en (b) met betrekking tot GoTo; elke entiteit die direct of indirect onder zeggenschap staat van GoTo Group Parent, Inc. In deze definitie wordt met 'zeggenschap' bedoeld; direct of indirect eigendom van of zeggenschap over meer dan 50% van het aandelenkapitaal of de stemrechten van de betreffende entiteit. Een 'Bevoegde Partner' is elke Partner van de Klant die: (i) onderworpen is aan de Wetgeving inzake Gegevensbescherming; en (ii) gemachtigd is door de Klant om de Services te gebruiken volgens de Overeenkomst tussen de Klant en GoTo, maar die geen eigen Order met GoTo heeft ondertekend, noch anderszins een 'Klant' is volgens de Overeenkomst.
De 'Braziliaanse Standaard Contractbepalingen' of 'Braziliaanse SCC's' (Standard Contractual Clauses) zijn de Standaard Contractbepalingen gevoegd bij Resolutie CD/ANPD Nr. 19/2024 die is uitgevaardigd door de Braziliaanse Nationale Autoriteit voor Gegevensbescherming (de 'Autoridade Nacional de Proteção de Dados' of 'ANPD'), zoals deze van tijd tot tijd kunnen worden gewijzigd. 'CCPA' betekent de California Consumer Privacy Act, zoals gewijzigd door de California Privacy Rights Act van 2020 ('CPRA', het Burgerlijk Wetboek van Californië, § 1798.100-1798.199.100 e.v.) en de bijbehorende uitvoeringsbepalingen; zoals deze gewijzigd of vervangen kunnen worden. De 'Verwerkingsverantwoordelijke' is de entiteit die het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt. 'Grensoverschrijdende Gegevensoverdracht' betekent het versturen of delen van Persoonsgegevens van een land naar een ander land (of ten aanzien vam de Europese Economische Ruimte, naar een land buiten de Europese Economische Ruimte). Onder Grensoverschrijdende Gegevensoverdrachten vallen ook Beperkte Overdrachten. 'Klantcontent' betekent alle bestanden, documenten, opnames, chatlogs, transcripts en soortgelijke gegevens die GoTo onderhoudt namens de Klant en/of zijn eindgebruikers, evenals alle andere informatie die de Klant of zijn gebruikers kunnen uploaden naar de Serviceaccount van de klant in verband met de Services. 'Wetgeving inzake Gegevensbescherming' omvat alle toepasselijke wet- en regelgeving op het gebied van gegevensbescherming en privacy, met inbegrip van de wet- en regelgeving van Brazilië, de Europese Unie, de Europese Economische Ruimte en hun lidstaten, Zwitserland, het Verenigd Koninkrijk en de Verenigde Staten en de afzonderlijke staten ervan (waaronder, maar niet beperkt tot Californië), in alle gevallen, voor zover van toepassing op de Verwerking van Persoonsgegevens in het kader van de Overeenkomst. Een 'Gegevenssubject' is, al naargelang het geval: (i) de geïdentificeerde of identificeerbare persoon op wie de Persoonsgegevens betrekking hebben, zoals gedefinieerd door de Wetgeving inzake Gegevensbescherming; en/of (ii) een 'Consument' zoals dit begrip wordt gedefinieerd in de CCPA. Een 'Verzoek van een Gegevenssubject' is een verzoek van een Gegevenssubject om de rechten op zijn/haar Persoonsgegevens uit te oefenen die hem/haar zijn toegekend onder de Wetgeving inzake Gegevensbescherming, waaronder, indien van toepassing, de rechten (i) op toegang; (ii) op rectificatie; (iii) op beperking van de verwerking; (iv) op verwijdering (zoals het 'vergeetrecht'); (v) op gegevensoverdraagbaarheid; (vi) om op de hoogte te zijn van eventuele activiteiten van eerste of derde partijen op het gebied van delen van gegevens; (vii) om op de hoogte te worden gesteld van de relevante verwerkingsactiviteiten van GoTo; (viii) om op de hoogte te worden gesteld van de gevolgen van eventueel ingediende bezwaren of ingetrokken toestemmingen; (ix) om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming; en/of (x) om bezwaar te maken tegen Verwerking. 'Europese Standaard Contractbepalingen' of 'Europese SCC's ' ('Standard Contractual Clauses') zijn de Standaard Contractbepalingen bij het Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie, zoals deze van tijd tot tijd kunnen worden gewijzigd. De 'AVG (GDPR)' is de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, en inzake het vrije verkeer van die gegevens, en waarmee Richtlijn 95/46/EC (Algemene Verordening Gegevensbescherming) wordt ingetrokken; en zoals deze gewijzigd of vervangen kan worden. 'GoTo' betekent GoTo en zijn Partners die verantwoordelijk zijn voor de Verwerking van Persoonsgegevens in verband met het leveren van de Services aan de Klant. De 'LGPD' is de Braziliaanse wet nr. 13.709, de algemene wet op de bescherming van persoonsgegevens, zoals deze gewijzigd of vervangen kan worden. Een 'Partij' of de 'Partijen' betekent ofwel de Klant of GoTo afzonderlijk, ofwel beide entiteiten samen. 'Persoonsgegevens' zijn alle gegevens die GoTo van of namens de Klant heeft ontvangen in het kader van de Overeenkomst en die betrekking hebben op: (i) een geïdentificeerde of identificeerbare natuurlijke persoon (bijv. een Gegevenssubject of een Consument); (ii) een huishouden in het kader van de CCPA; en/of (iii) alle elementen die persoonsgegevens of een soortgelijk construct vormen in het kader van de toepasselijke wetgeving, in elk geval wanneer dergelijke gegevens namens de Verwerkingsverantwoordelijke worden bijgehouden door de Verwerker in de omgeving van de Services, en op soortgelijke wijze worden beschermd als persoonsgegevens, persoonlijke informatie of persoonlijk identificeerbare informatie in het kader van de Wetgeving inzake Gegevensbescherming. Niettegenstaande het voorgaande, in de mate dat informatie van de Klant anderszins aan deze definitie voldoet, maar uitgesloten is van de definitie van persoonsgegevens onder de Wetgeving inzake Gegevensbescherming, zal dergelijke informatie geen Persoonsgegevens vormen onder deze DPA. ‘Verwerking’ staat voor elke bewerking of elk geheel van bewerkingen van Persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het beperken, uitwissen of vernietigen van gegevens. De 'Verwerker' is de entiteit die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke, met inbegrip van, in voorkomend geval, elke 'Serviceaanbieder' zoals dit begrip wordt gedefinieerd door de CCPA. 'Beperkte Overdracht' is de overdracht van Persoonsgegevens door GoTo vanuit het land of, in het geval van de Europese Unie, vanuit de EER, waar de gegevens vandaan komen, naar een ander rechtsgebied waarvan de wetgeving door de toepasselijke regelgevende instantie niet adequaat is bevonden, en waar de Wet Bescherming Persoonsgegevens een dergelijke vaststelling vereist. Een overdracht van Persoonsgegevens naar de Verenigde Staten krachtens het EU-VS-kader voor gegevensprivacy en de Bijlage voor het VK of het Zwitsers-Amerikaanse kader voor gegevensprivacy daarbij, is geen Beperkte Overdracht. 'Beveiligingsincident' betekent elke inbreuk op de beveiliging van GoTo waarvan GoTo op de hoogte komt en die leidt tot de onopzettelijke of onwettige vernietiging, verlies, wijziging, onbevoegde bekendmaking van of toegang tot Persoonsgegevens die GoTo in zijn hoedanigheid van Verwerker of Subverwerker aan de Klant verwerkt of die door Subverwerkers van GoTo worden verwerkt. 'Servicegegevens' zijn (a) alle gegevens, inclusief Persoonsgegevens, die door GoTo verwerkt worden voor het opslaan, verzenden of uitwisselen van Klantcontent, het verzenden van goederen en het leveren van de Services, zoals verzendadres, gegevens die gebruikt worden om de bron en bestemming van een communicatie te traceren en te identificeren, inclusief telefoonnummers, gegevens over de locatie van het apparaat die gegenereerd worden in het kader van het leveren van de Services, gegevens over de routering, datum, tijd, duur, type en andere omstandigheden van de communicatie of gegevens die geleverd worden door de kanalen die door de Klant gebruikt worden om met hun klanten of eindgebruikers te communiceren; (b) gegevens over de communicatie van de Klant met GoTo (zoals supportaanvragen) en andere soortgelijke informatie; en (c) Persoonsgegevens die betrekking hebben op de relatie van de Klant met GoTo, waaronder de namen, telefoonnummers en/of contactgegevens van personen die door de Klant gemachtigd zijn om toegang te krijgen tot de account van de Klant of gebruik te maken van de Services en factureringsgegevens. Een 'Subverwerker' is een Verwerker die door GoTo wordt ingeschakeld ter ondersteuning van het nakomen van zijn verplichtingen met betrekking tot het verlenen van de Services krachtens de Overeenkomst. Een 'Toezichthoudende autoriteit' is een onafhankelijke openbare autoriteit die krachtens de toepasselijke wetgeving is opgericht om toe te zien op de naleving van de Wetgeving inzake Gegevensbescherming. 'Zwitserse FADP' (Federal Act on Data Protection) is de Zwitserse federale wet op de gegevensbescherming van 25 september 2023, zoals die gewijzigd, vervangen of bijgewerkt kunnen worden. 'Technische en organisatorische maatregelen' of 'TOM's' verwijzen naar de documentatie over de toepasselijke technische en organisatorische maatregelen die te vinden is in GoTo's Trust Center. 'Bijlage voor het VK' is de bijlage internationale gegevensoverdracht bij de Europese SCC's, uitgegeven door de Commissaris voor Informatie krachtens de S119A-wet op bescherming van persoonsgegevens uit 2018, zoals van tijd tot tijd gewijzigd. "UK Data Protection Law" betekent alle wetten met betrekking tot gegevensbescherming, de Verwerking van Persoonsgegevens, privacy en/of elektronische communicatie die van tijd tot tijd van kracht zijn in het Verenigd Koninkrijk, met inbegrip van de GDPR in het Verenigd Koninkrijk en de Data Protection Act 2018, alle zoals deze kunnen worden gewijzigd, vervangen of vervangen. |
|||||||
2. | VERWERKING VAN PERSOONSGEGEVENS | ||||||
2.1 | Relatie tussen de Partijen. | ||||||
|
|||||||
2.2 | Details van de Verwerking. De categorieën van Gegevenssubjecten, de categorieën van overgedragen Persoonsgegevens, de overgedragen vertrouwelijke gegevens (indien van toepassing), de frequentie van de overdracht, de aard en het doel van de overgedragen en verwerkte Persoonsgegevens, de bewaring van Persoonsgegevens en het onderwerp van de Verwerking worden gespecificeerd in Schema 1 van deze DPA. | ||||||
3. | Verantwoordelijkheden van de Klant. | ||||||
3.1 | Naleving van de Wet Bescherming Persoonsgegevens. Bij het gebruik van de Services zal de Klant Persoonsgegevens verwerken in overeenstemming met de bepalingen van de Wet Bescherming Persoonsgegevens die op hem van toepassing zijn en zal hij ervoor zorgen dat hij aan alle van toepassing zijnde kennisgevingen heeft voldaan of anderszins de juiste autorisaties heeft verkregen om GoTo toe te staan Persoonsgegevens te verwerken zoals overwogen onder de Overeenkomst. Als de Klant een Verwerker voor een Externe Verwerkingsverantwoordelijke is, garandeert de Klant dat zijn instructies en handelingen met betrekking tot de Persoonsgegevens die GoTo onder de Overeenkomst verwerkt, geautoriseerd zijn door de betreffende Externe Verwerkingsverantwoordelijke. De Klant is als enige tussen de partijen verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettigheid van Persoonsgegevens en de manier waarop hij Persoonsgegevens verkrijgt. | ||||||
3.2 | Samenwerking. De klant zal GoTo alle informatie en toegang verschaffen die nodig zijn om GoTo in staat te stellen de instructies van de Klant op te volgen. | ||||||
4. | VERANTWOORDELIJKHEDEN VAN GOTO | ||||||
4.1 | Naleving van de Wetgeving inzake gegevensbescherming. Bij het Verwerken van Persoonsgegevens onder de Overeenkomst, zal GoTo zich houden aan de bepalingen van de Wet Bescherming Persoonsgegevens die op haar van toepassing zijn en, waar van toepassing, dezelfde mate van privacybescherming aan deze Persoonsgegevens bieden als door deze wetten van de Klant wordt vereist. | ||||||
4.2 | Verwerkingsbeperkingen en instructies voor de klant. | ||||||
|
|||||||
4.3 | Beveiliging. Rekening houdend met de stand van zaken, de uitvoeringskosten, en de aard, de omvang, de context en de doeleinden van de verwerking, evenals met het risico van uiteenlopende waarschijnlijkheid en de ernst voor de rechten en vrijheden van natuurlijke personen, zal GoTo passende technische en organisatorische maatregelen treffen en handhaven voor de bescherming van de beveiliging (met inbegrip van bescherming tegen een Beveiligingsincident), vertrouwelijkheid en integriteit van de Klantcontent, zoals uiteengezet in de toepasselijke Technische en Organisatorische Maatregelen, te raadplegen in GoTo's Trust Center. De klant erkent dat de TOM's onderhevig zijn aan vooruitgang en ontwikkeling en dat GoTo de TOM's van tijd tot tijd kan bijwerken of wijzigen. Hierdoor zal GoTo de algehele veiligheid van de Services niet verminderen of verslechteren. | ||||||
4.4 | Vertrouwelijkheid en training van personeel. De medewerkers van GoTo die betrokken zijn bij de Verwerking van de Persoonsgegevens van de Klant (i) zijn geïnformeerd over de vertrouwelijke aard van de Persoonsgegevens van de Klant; (ii) zijn onderworpen aan schriftelijke geheimhoudingsovereenkomsten of wettelijke geheimhoudingsverplichtingen; (iii) hebben passende training ontvangen over hun verantwoordelijkheden, specifiek met betrekking tot beveiligings- en privacymaatregelen; en (iv) hebben alleen toegang tot Persoonsgegevens voor zover redelijkerwijs is vastgesteld dat dit nodig is om hun verplichtingen, verantwoordelijkheden of taken uit te voeren. | ||||||
4.5 | Effectbeoordeling van gegevensbescherming; Voorafgaand overleg. GoTo zal met de Klant samenwerken en redelijke assistentie verlenen als de Klant in verband met het gebruik van de Services op grond van de Wetgeving inzake gegevensbescherming verplicht is om een privacyeffectbeoordeling, een beoordeling van de gevolgen voor de gegevensbescherming of een soortgelijke privacybeoordeling van zijn Verwerkingsactiviteiten uit te voeren of anderszins voorafgaand overleg met een Toezichthoudende Autoriteit te voeren. | ||||||
4.6 | Verzoeken van Gegevenssubjecten. Als de klant een Verzoeken van een Gegevenssubject ontvangt, kan de Klant (i) veilig toegang krijgen tot de account van de klant om het verzoek te behandelen, of (ii) als de Klant ondersteuning van GoTo nodig heeft om aan het verzoek te voldoen, een supportticket indienen bij GoTo's Customer Care-team met gedetailleerde instructies over de ondersteuning die hij nodig heeft van GoTo om aan het verzoek te voldoen. Als GoTo rechtstreeks een Verzoek van een Gegevenssubject ontvangt, zal GoTo het verzoek onmiddellijk aan de Klant doorgeven of het Gegevenssubject adviseren contact op te nemen met de betreffende Verwerkingsverantwoordelijke. In alle gevallen is de Klant verantwoordelijk voor het verifiëren van de identiteit van het Gegevenssubject en het beoordelen van de geldigheid van het Verzoek van het Gegevenssubject. GoTo aanvaardt geen aansprakelijkheid voor informatie die te goeder trouw aan de Klant is verstrekt in afhankelijkheid van deze subrubriek. | ||||||
4.7 | Melding van beveiligingsincidenten. GoTo zal de Klant zonder onnodige vertraging op de hoogte stellen van een Beveiligingsincident. GoTo zal zich redelijkerwijs inspannen om de oorzaak van een dergelijk Beveiligingsincident te achterhalen en redelijke stappen ondernemen om de oorzaak van een dergelijk Beveiligingsincident te herstellen, voor zover het herstel binnen de redelijke macht van GoTo ligt. Daarnaast zal GoTo de Klant voorzien van relevante informatie over het Beveiligingsincident, zoals redelijkerwijs nodig is om de Klant te helpen bij het nakomen van zijn eigen verplichtingen op grond van de Wetgeving inzake Gegevensbescherming, zoals het informeren van Toezichthoudende Autoriteiten of Gegevenssubjecten. Kennisgeving of informatie die uit hoofde van deze paragraaf wordt verstrekt, mag niet worden geïnterpreteerd of uitgelegd als een erkenning van schuld of aansprakelijkheid door GoTo. | ||||||
4.8 | Subverwerkers. | ||||||
|
|||||||
5. | VERPLICHTINGEN VAN GOTO KRACHTENS DE CALIFORNIA CONSUMER PRIVACY ACT (CCPA) Binnen dit deel 5 hebben termen met een hoofdletter die niet gedefinieerd zijn in de DPA de betekenis zoals gedefinieerd in de CCPA. De volgende bepalingen zijn van toepassing op GoTo's Verwerking van Persoonsgegevens als een Serviceaanbieder voor zover de Persoonsgegevens onder de CCPA vallen: |
||||||
5.1 | Verplichtingen. GoTo zal: (a) Persoonsgegevens verwerken in overeenstemming met de vereisten van de CCPA die van toepassing zijn op GoTo als Serviceaanbieder van de Klant, waarbij een passend niveau van privacybescherming wordt geboden zoals vereist door de CCPA; (b) de Klant op de hoogte stellen als het redelijkerwijs van mening is dat het niet langer aan zijn verplichtingen onder de CCPA kan voldoen; (c) de Klant het recht te geven om, met inachtneming van deel 6 van de DPA (Certificeringen en controles door externe partijen), redelijke en passende stappen te ondernemen om ervoor te zorgen dat het gebruik door GoTo van Persoonsgegevens die krachtens de Overeenkomst zijn verzameld, in overeenstemming is met de privacy- en beveiligingsverplichtingen van GoTo krachtens de Overeenkomst en de CCPA; en (d) op verzoek van de Klant, waarvan GoTo redelijke tijd van tevoren in kennis wordt gesteld, met de Klant samenwerken om redelijke en passende stappen te bepalen om ongeoorloofd gebruik (d.w.z. gebruik dat niet in overeenstemming is met de voorwaarden van de Overeenkomst en/of de Wetgeving inzake Gegevensbescherming) van persoonsgegevens van de Klant te stoppen en te herstellen. | ||||||
5.2 | Verbodsbepalingen. GoTo verbindt zich ertoe om: (a) geen Persoonsgegevens van de Klant die het uit hoofde van de Overeenkomst verzamelt, te verkopen of te delen met de Klant; en (b) geen Persoonsgegevens die het uit hoofde van de Overeenkomst verzamelt, te behouden, te gebruiken of openbaar te maken (i) voor andere doeleinden dan de zakelijke of commerciële doeleinden die in de Overeenkomst zijn vermeld of zoals anderszins is toegestaan door de CCPA; of (ii) buiten de directe zakelijke relatie tussen de Partijen, tenzij uitdrukkelijk toegestaan door de CCPA. | ||||||
6. | CERTIFICERINGEN EN CONTROLES DOOR EXTERNE PARTIJEN. | ||||||
6.1 | Informatie en verzoeken. GoTo heeft de Klant informatie ter beschikking gesteld die redelijkerwijs nodig is om de naleving van zijn verplichtingen onder deze DPA aan te tonen, inclusief in de vorm van toepasselijke certificeringen en/of audits door derden, inclusief de maatregelen die gespecificeerd zijn in de toepasselijke Technische en Organisatorische Maatregelen die beschikbaar zijn in GoTo's Trust Center en op de productondersteuningspagina's. Als de Klant op basis van de door GoTo verstrekte informatie redelijkerwijs niet kan nagaan of GoTo zich aan deze DPA houdt, kan de Klant maximaal eenmaal per 12 maanden verzoeken dat GoTo op vertrouwelijke basis redelijke schriftelijke informatie verstrekt over de Verwerking van Persoonsgegevens van de Klant in het kader van de Overeenkomst die GoTo algemeen beschikbaar stelt aan zijn klanten. De klant kan dit verzoek bij GoTo indienen door rechtstreeks contact op te nemen met zijn accountvertegenwoordiger of met GoTo Sales. | ||||||
6.2 | Beoordelingen van regelgeving. Mocht de Klant informatie nodig hebben voor een onderzoek van een privacytoezichthouder onder de Wet Bescherming Persoonsgegevens die niet beschikbaar is via de informatie die in Sectie 6.1 genoemd wordt, dan kan de Klant verzoeken om een controle uit te voeren, op vertrouwelijke basis, van de procedures van GoTo die relevant zijn voor de bescherming van Persoonsgegevens onder deze DPA. De Klant en GoTo zullen in onderling overleg de reikwijdte, procedures, planning, duur en/of (eventuele) te vergoeden kosten van de beoordeling overeenkomen vóór aanvang van de controle. De Klant zal: (a) GoTo onmiddellijk informatie verschaffen over elke non-conformiteit die tijdens een controle ontdekt wordt; en (b) alles in het werk stellen om de bedrijfsactiviteiten van GoTo zo min mogelijk te hinderen bij het uitvoeren van een dergelijke controle. | ||||||
7. | VERWIJDEREN EN RETOURNEREN VAN KLANTCONTENT | ||||||
Voor veel services stelt GoTo functies beschikbaar aan Klantbeheerders waarmee zij Content kunnen verwijderen of exporteren. Klanten kunnen te allen tijde van deze functies gebruik maken. Wanneer deze functies niet beschikbaar zijn, of wanneer de Klant extra hulp van GoTo nodig heeft, zijn de volgende bepalingen van toepassing. Na beëindiging of afloop van de Overeenkomst met de Klant, beëindiging van het gebruik van de GoTo-account door de Klant, of eerder op schriftelijk verzoek van de Klant, zal GoTo de Klantcontent verwijderen en onherstelbaar maken, inclusief alle Persoonsgegevens daarin, voor zover de toepasselijke wetgeving dit toestaat. De termijnen voor het automatisch bewaren van gegevens moeten in overeenstemming zijn met de procedures en termijnen die in de toepasselijke Technische en Organisatorische Maatregelen zijn vastgesteld. Op schriftelijk verzoek van de klant zal GoTo (a) de verwijdering van de Klantcontent certificeren, (b) bewijs van deze verwijdering leveren en (c) indien toegestaan door de toepasselijke wetgeving (i) alle door GoTo bewaarde Klantcontent, met inbegrip van de daarin opgenomen Persoonsgegevens, aan de Klant of de vertegenwoordiger van de Klant retourneren; of (ii) de Klant instructies geven waarmee deze zelf een gegevensexport kan uitvoeren (indien beschikbaar). De Klant kan dergelijke verzoeken doen door een supportticket in te dienen bij het GoTo Customer Care team met gedetailleerde instructies over de ondersteuning die hij nodig heeft. In alle gevallen worden de standaardbewaartermijnen van GoTo voor Content, waarbij GoTo optreedt als bewerker voor de Klant, vermeld in de toepasselijke Service TOM's, die beschikbaar zijn in GoTo's Trust Center.
|
|||||||
8. | OVERHEIDSVERZOEKEN OM PERSOONSGEGEVENS VAN KLANTEN | ||||||
Als GoTo een civiel- of strafrechtelijke dagvaarding, huiszoekingsbevel of andere officiële schriftelijke aanvraag ontvangt die juridisch bindend is ('Verzoek') van een overheidsinstantie ('Verzoekende Partij') en waarin om openbaarmaking van de persoonsgegevens van de Klant wordt verzocht, zal GoTo dergelijke verzoeken afhandelen in overeenstemming met het op dat moment geldende Beleid voor overheidsverzoeken. Waar dit wettelijk is toegestaan, zal GoTo de Verzoekende Partij doorverwijzen naar de klant. Tenzij anders vermeld in ons Beleid voor overheidsverzoeken, zal GoTo (a) de Klant onmiddellijk op de hoogte stellen van het verzoek zodat de Klant een beschermingsbevel of een ander passend rechtsmiddel kan aanvragen indien dit niet uitgesloten is door het Verzoek; het verzoek bekijken om te bepalen of het Verzoek geldig is en of GoTo een wettelijke verplichting heeft om Persoonsgegevens vrij te geven; (c) Verzoeken afwijzen of aanvechten die niet geldig, wettelijk bindend of rechtmatig zijn; en (d) te verstrekkende of ongepaste Verzoeken aanvechten. Als er Persoonsgegevens van de Klant moeten worden verstrekt, zal GoTo de minimale Persoonsgegevens bekendmaken die nodig zijn om aan het Verzoek te voldoen en garanties vragen dat de Persoonsgegevens van de Klant door de Verzoeker vertrouwelijk worden behandeld. | |||||||
9. | OVERDRACHT VAN GEGEVENS NAAR HET BUITENLAND | ||||||
GoTo opereert wereldwijd en kan grensoverschrijdende gegevensoverdrachten uitvoeren naar zijn Subverwerkers en/of Filialen om zijn diensten te verlenen. Sommige rechtsgebieden vereisen dat partijen bij een contract bepaalde beveiligingsmaatregelingen treffen die op dergelijke overdrachten van toepassing zijn. In dit gedeelte worden de toe te passen beveiligingsmaatregelingen beschreven waarover de partijen het eens zijn geworden met betrekking tot dergelijke Overdrachten in het kader van de Overeenkomst. | |||||||
9.1 | APEC-privacycertificering voor Verwerkers GoTo heeft de privacycertificering voor Verwerkers ('PRP'; Privacy Recognition for Processors) van APEC (Asia-Pacific Economic Cooperation; 'APEC') behaald en zal, waar van toepassing, Persoonsgegevens verwerken in overeenstemming met de verplichtingen en verantwoordelijkheden van een Verwerker volgens het APEC-privacykader. | ||||||
9.2 | Regionale voorwaarden. Aanvullende voorwaarden met betrekking tot Grensoverschrijdende Gegevensoverdrachten van Persoonsgegevens die onder de LGPD, de AVG, de Wet op de gegevensbescherming in het VK en de Zwitserse FADP vallen, worden uiteengezet in Schema 2 (Regionale Overdrachtsvoorwaarden), dat door middel van verwijzing in deze DPA is opgenomen. | ||||||
10. | BEPERKING VAN AANSPRAKELIJKHEID | ||||||
De aansprakelijkheid van elke Partij, met inbegrip van de aansprakelijkheid van alle Partners, voortvloeiend uit of verband houdend met deze DPA en alle DPA's tussen Bevoegde Partners en GoTo, hetzij op grond van een overeenkomst, een onrechtmatige daad en ongeacht de aansprakelijkheidsgrond, is onderworpen aan het artikel 'Beperking van aansprakelijkheid' van de Overeenkomst, en elke verwijzing naar de aansprakelijkheid van een Partij betekent de totale aansprakelijkheid van die Partij en al haar Partners krachtens de Overeenkomst. | |||||||
11. | HIPAA | ||||||
Als de Klant onderworpen is aan de Health Insurance Portability and Accountability Act van 1996 (Pub. L. No. 104-191 (1996)), zoals gewijzigd door de American Recovery and Reinvestment Act van 2009 (Pub. L. No. 111-5 (2009)) en de toepasselijke uitvoeringsvoorschriften (gezamenlijk 'HIPAA'), mag de Klant de Services niet gebruiken om informatie te creëren, ontvangen, onderhouden, verzenden of anderszins te verwerken die 'Beschermde gezondheidsinformatie' ('Protected Health Information') omvat of vormt, zoals gedefinieerd onder de HIPAA-privacywetgeving (45 C.F.R. deel 160.103), tenzij de Klant een Bijlage Zakelijke Partner ('BAA' (Business Associate Addendum)) met GoTo heeft ondertekend voorafgaand aan het creëren, ontvangen, onderhouden, verzenden of anderszins verwerken van deze informatie met behulp van de Service. De BAA van GoTo is hier beschikbaar, en zal bij aanvang van de uitvoering worden opgenomen in deze DPA. | |||||||
12. | RECHTSGEVOLGEN EN TEGENSTRIJDIGHEDEN | ||||||
Voor zover wettelijk toegestaan vervangt deze DPA alle voorgaande DPA's en soortgelijke overeenkomsten in hun geheel. In het geval van een conflict tussen de voorwaarden van de Overeenkomst en deze DPA, zijn de voorwaarden van deze DPA leidend. In het geval van een conflict tussen de voorwaarden van (a) de DPA en (b) de Braziliaanse Standaard Contractbepalingen, de Europese Standaard Contractbepalingen of de Bijlage voor het VK, zoals van toepassing, zullen deze laatste leidend zijn voor zover het conflict bestaat. |
Overzicht van Schema's:
Schema 1: Beschrijving van Verwerking
Bijlage 2: Regionale Overdrachtsvoorwaarden
Klantcontent
De Klant kan Persoonsgegevens invoeren in de Services, waarvan de omvang naar eigen inzicht door de Klant wordt bepaald en gecontroleerd, waaronder, maar niet beperkt tot Persoonsgegevens met betrekking tot de volgende categorieën Gegevenssubjecten:
- Potentiële klanten, bestaande klanten, zakenpartners en leveranciers van de Klant (die natuurlijke personen zijn)
- Werknemers of contactpersonen van potentiële klanten, bestaande klanten, zakenpartners en leveranciers van de Klant
- Werknemers, vertegenwoordigers, adviseurs, en freelancers van de Klant (die natuurlijke personen zijn)
- Gebruikers van de Klant (die natuurlijke personen zijn) die door de Klant gemachtigd zijn om de Services te gebruiken, met inbegrip van deelnemers aan webinars of vergaderingen, personen die oproepen plaatsen of ontvangen, en personen aan wie u ondersteuning verleent
Servicegegevens.
- Potentiële klanten, bestaande klanten, zakenpartners en leveranciers van de Klant (die natuurlijke personen zijn)
- Werknemers of contactpersonen van potentiële klanten, bestaande klanten, zakenpartners en leveranciers van de Klant
- Werknemers, vertegenwoordigers, adviseurs, en freelancers van de Klant (die natuurlijke personen zijn)
- Gebruikers van de Klant (die natuurlijke personen zijn) die door de Klant gemachtigd zijn om de Services te gebruiken, met inbegrip van deelnemers aan webinars of vergaderingen, personen die oproepen plaatsen of ontvangen, en personen aan wie u ondersteuning verleent
Klantcontent
De Klant kan Persoonsgegevens invoeren in de Services, waarvan de omvang naar eigen inzicht door de Klant wordt bepaald en gecontroleerd, waaronder, maar niet beperkt tot de volgende categorieën Persoonsgegevens:
- Contactgegevens zoals voor- en achternaam, e-mail, telefoon, fax en fysiek bedrijfsadres
- Technische informatie zoals apparaatidentificatiegegevens en verkeersgegevens (bijv. MAC-adressen, weblogs, IP-adressen, enz.) en aanmeldgegevens.
- Beroeps- of werkgerelateerde informatie zoals functietitel, huidige/voormalige werkgever, locatie, gebruiksgegevens, achtergrond en opleiding, en soortgelijke informatie
- Audio- en video-inhoud en foto's, zoals stilstaande en video-opnamen en spraakopnamen en transcripties
- Gegevens over persoonlijke voorkeuren
- Voorkeuren, zoals de contactmodus- en tijdvoorkeuren, beschikbaarheid van de agenda, taalvoorkeuren
Servicegegevens.
GoTo kan Persoonsgegevens in Servicegegevens verzamelen en verder verwerken, waaronder, maar niet beperkt tot, de volgende categorieën Persoonsgegevens:
- Contactgegevens zoals voor- en achternaam, e-mailadres, telefoonnummer, faxnummer en fysiek bedrijfsadres, zoals verzendadres
- Commerciële en financiële informatie, zoals aangeschafte of overwogen services, aankoop- of consumptiegeschiedenis of -tendensen, inclusief informatie die nodig is voor de transacties met GoTo, waaronder betalingstransacties, informatie met betrekking tot feedback over producten en diensten van GoTo, zoals gegevens van enquêtes of focusgroepen, informatie over bijgewoonde GoTo-evenementen of ontvangen informatie
- Technische informatie zoals apparaatidentificatiegegevens en verkeersgegevens (bijv. MAC-adressen, weblogs, IP-adres, enz.), gegevens over gebruikersnamen en wachtwoorden, gegevens die worden gebruikt om de bron en bestemming van een communicatie te traceren en te identificeren, zoals telefoonnummers van individuele betrokkenen, gegevens over de locatie van het apparaat die worden gegenereerd in het kader van het verlenen van de Services, de routering, datum, tijd, duur, het type en andere omstandigheden van de communicatie, gegevens die worden verstrekt door de kanalen die de Klant gebruikt om met zijn klanten te communiceren, gegevens over de communicatie van de Klant met GoTo (zoals vragen en supporttickets) en andere soortgelijke informatie.
- Beroeps- of werkgerelateerde informatie zoals functietitel, huidige/voormalige werkgever, locatie, gebruiksgegevens, achtergrond en opleiding, en soortgelijke informatie
- Audio- en video-inhoud en foto's, zoals stilstaande en video-opnamen en spraakopnamen en transcripties, zoals supportgesprekken of projectvergaderingen met klanten
- Voorkeuren, zoals de contactmodus- en tijdvoorkeuren, beschikbaarheid van de agenda, taalvoorkeuren
- Supportgegevens zoals vragen, verzoeken, logboeken voor probleemoplossing en soortgelijke informatie
Verwerking van Vertrouwelijke Persoonsgegevens (Indien van toepassing)
De partijen gaan ervan uit dat er geen vertrouwelijke gegevens zullen worden verwerkt. De Klant kan er echter voor kiezen vertrouwelijke gegevens in de Services in te voeren, waarvan de omvang naar eigen inzicht door de Klant bepaald en gecontroleerd wordt, en ten aanzien waarvan de relevante beveiligingsmaatregelen gespecificeerd worden in Schema 2.
Aard en doel van de Verwerking van Persoonsgegevens
GoTo verzamelt, registreert, organiseert, structureert, slaat op, past aan of wijzigt, haalt op, raadpleegt, gebruikt, maakt bekend door verzending of verspreiding, of maakt anderszins beschikbaar, stemt af, of combineert, beperkt, wist en vernietigt Persoonsgegevens tijdens het leveren van Services als Verwerker of tijdens het Verwerken van Persoonsgegevens als Verwerkingsverantwoordelijke. De doeleinden waarvoor GoTo Persoonsgegevens verwerkt zijn de volgende:
- GoTo als onafhankelijke Verwerkingsverantwoordelijke. Zoals vermeld in deel 2.1.2 van de DPA, is GoTo een onafhankelijke Verwerkingsverantwoordelijke van Persoonsgegevens in Klantcontent en Service- en Accountgegevens, wanneer GoTo deze verwerkt voor de volgende doeleinden: (i) facturering, account, klantrelatiebeheer (marketing en accountgerelateerde communicatie aan inkoop-, verkoop- en ander personeel van de Klant), en gerelateerde correspondentie met de Klant (communicatie over accountgerelateerde zaken, bijvoorbeeld noodzakelijke updates); (ii) voldoen aan haar wettelijke verplichtingen; (iii) het afhandelen van verzoeken om ondersteuning, klachten en vragen; (iv) het afhandelen en nastreven van geschillen en juridische claims; (v) het opsporen en beheren van schendingen van GoTo's Beleid voor acceptabel gebruik en Overeenkomst; en (vi) het onderzoeken van beveiligingsincidenten en het beschermen van de omgeving waarin de Service wordt uitgevoerd. GoTo zal Persoonlijke Gegevens zoveel mogelijk pseudonimiseren of samenvoegen voor de volgende doeleinden: (a) onderhouden, bewaken van de prestaties en verbeteren van de Service (b) interne en financiële rapportage, voorspelling en modellering van inkomsten en planning (inclusief productstrategie) en capaciteitsplanning; en (c) ontvangen van feedback over onze Services. De Contracterende Entiteit van GoTo is de relevante onafhankelijke Verwerkingsverantwoordelijke. Wanneer GoTo een onafhankelijke Verwerkingsverantwoordelijke is, verwerkt het Persoonsgegevens in overeenstemming met zijn Privacybeleid.
- GoTo als Verwerker. GoTo zal in zijn hoedanigheid van Verwerker of Subverwerker Persoonsgegevens verwerken en Subverwerkers inschakelen voor zover nodig om de Services uit te voeren en te beheren volgens de Overeenkomst, zoals nader gespecificeerd in de van toepassing zijnde documentatie over Technische en Organisatorische Maatregelen en de lijst met Goedgekeurde Subverwerkers, beide hier beschikbaar, en voor zover de Klant dit verder instrueert door gebruik te maken van de Services.
- GoTo als onafhankelijke Verwerkingsverantwoordelijke. Zoals vermeld in ons Privacybeleid, bewaren we persoonsgegevens niet langer dan nodig voor de zakelijke doeleinden waarvoor de gegevens zijn verzameld, of voor zover nodig om te voldoen aan onze wettelijke verplichtingen, om geschillen op te lossen en om naleving van onze overeenkomsten af te dwingen.
- GoTo als Verwerker. GoTo zal Persoonsgegevens verwerken en bewaren, in zijn hoedanigheid als Verwerker, gedurende de looptijd van de Overeenkomst (tenzij anders vermeld en/of nader gespecificeerd in de Technische en Organisatorische Maatregelen), tenzij schriftelijk anders overeengekomen of vereist of toegestaan door de toepasselijke wetgeving.
- GoTo als onafhankelijke Verwerkingsverantwoordelijke. Zoals vermeld in deel 2.1.2 van de DPA, is GoTo een onafhankelijke Verwerkingsverantwoordelijke van Persoonsgegevens in Klantcontent en Service- en Accountgegevens, wanneer GoTo deze verwerkt voor de volgende doeleinden: (i) facturering, account, klantrelatiebeheer (marketing en accountgerelateerde communicatie aan inkoop-, verkoop- en ander personeel van de Klant), en gerelateerde correspondentie met de Klant (communicatie over accountgerelateerde zaken, bijvoorbeeld noodzakelijke updates); (ii) voldoen aan haar wettelijke verplichtingen; (iii) het afhandelen van verzoeken om ondersteuning, klachten en vragen; (iv) het afhandelen en nastreven van geschillen en juridische claims; (v) het opsporen en beheren van schendingen van GoTo's Beleid voor acceptabel gebruik en de servicevoorwaarden daarin; en (vi) het onderzoeken van beveiligingsincidenten en het beschermen van de omgeving waarin de Service wordt uitgevoerd. GoTo zal Persoonlijke Gegevens zoveel mogelijk pseudonimiseren of samenvoegen voor de volgende doeleinden: (a) onderhouden, bewaken van de prestaties en verbeteren van de Service (b) interne en financiële rapportage, voorspelling en modellering van inkomsten en planning (inclusief productstrategie) en capaciteitsplanning; en (c) ontvangen van feedback over onze Services. De Contracterende Entiteit van GoTo is de relevante onafhankelijke Verwerkingsverantwoordelijke. Wanneer GoTo een onafhankelijke Verwerkingsverantwoordelijke is, verwerkt het Persoonsgegevens in overeenstemming met zijn Privacybeleid. GoTo kan Verwerkers inschakelen ter ondersteuning bij het uitvoeren van de bovenstaande taken.
- GoTo als Verwerker. GoTo verstrekt, zowel rechtstreeks als via zijn Subverwerkers, een portfolio van cloudgebaseerde communicatie- en samenwerkingsoplossingen, oplossingen voor klantenbetrokkenheid en ondersteuningsoplossingen. Het doel en onderwerp van de Verwerking van Persoonsgegevens door GoTo, in zijn hoedanigheid als Verwerker, is het aanbieden van de dienstverlening aan de Klant, en het leveren, ondersteunen en beheren van de Services.
De volgende bepalingen zijn van toepassing voor zover GoTo Persoonsgegevens verwerkt waarop de volgende Wetgeving inzake Gegevensbescherming van toepassing is.
A. | LGPD-OVERDRACHT VAN GEGEVENS NAAR HET BUITENLAND | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. De voorwaarden in dit Schema 2, deel A, zijn alleen van toepassing voor zover de Persoonsgegevens die GoTo onder deze Overeenkomst verwerkt onder de LGPD vallen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. GoTo zal: (a) zijn Services verlenen onder de uitdrukkelijke verplichtingen die de LGPD oplegt aan een Verwerker van gegevens ten behoeve van een Verwerkingsverantwoordelijke; en (b) zoals vereist in de artikelen 33 tot en met 36 van de LGPD, Beperkte Overdrachten van Persoonsgegevens uitvoeren op basis van de Braziliaanse Standaard Contractbepalingen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. Wanneer de Braziliaanse SCC's van toepassing zijn, moeten ze als volgt worden opgebouwd: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Clausules 4.1 - 4.8, optie B dienen te worden opgenomen. Clausule 4.1 wordt als volgt ingevuld:
BIJLAGE I (MODULES ÉÉN, TWEE EN DRIE) A. LIJST VAN PARTIJEN Gegevensimporteur(s):
B. BESCHRIJVING VAN OVERDRACHT
C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT (MODULES ÉÉN, TWEE EN DRIE)
BIJLAGE II - TECHNISCHE EN ORGANISATORISCHE MAATREGELEN INCLUSIEF TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE BEVEILIGING VAN DE GEGEVENS TE GARANDEREN (MODULES ÉÉN, TWEE EN DRIE)
BIJLAGE III - LIJST VAN SUBVERWERKERS (MODULES TWEE EN DRIE)
Tabel 1
Tabel 2: Geselecteerde SCC's, modules en clausules
Tabel 3: Bijlage-Informatie
Tabel 4: Beëindiging van deze Bijlage bij wijziging van de Goedgekeurde Bijlage
|