EU AVG — Artikel 28 Verwerker Algemene verordening gegevensbescherming

1.1 Magicline verleent aan Studio de volgende diensten:

(i) De volgende informatie geeft een eenvoudig overzicht over wat met uw persoonsgegevens gebeurt wanneer u deze website bezoekt. Persoonsgegevens zijn alle gegevens waarmee u persoonlijk kunt worden geïdentificeerd. Uitvoerige informatie over het onderwerp gegevensbescherming vindt u in onze onder deze tekst opgenomen verklaring gegevensbescherming.

(ii) Verwerking van de door Studio ter beschikking gestelde gegevens voor het opstellen van geanonimiseerde marktanalyses

1.2 Magicline is verplicht alle persoonsgegevens waartoe Magicline toegang krijgt in het kader van nakoming van de volgens deze overeenkomst verschuldigde prestaties volgens de richtlijnen van Studio strikt ruimtelijk gescheiden van alle gegevens van Magicline en van derden te verwerken.

1.3 Bij de gegevensverwerking in opdracht gaat het om de gegevens van de volgende groepen personen:

(i) medewerkers van Studio en

(ii) klanten van Studio (hierna genoemd "partners van Studio"). Het gaat hierbij zonder uitzondering om de volgende persoonsgegevens van de hiervoor genoemde groepen betrokkenen:

(iii) voor wat betreft medewerkers van Studio:

• Naam, adres, IBAN, BIC van de desbetreffende medewerker
• Geboortedatum van de desbetreffende medewerker
• Foto van de desbetreffende medewerker
• Looptijd van het contract en betalingsmodaliteiten van de desbetreffende medewerker
• Lopende verplichtingen van de desbetreffende medewerker
• Gegevens over het soort en de omvang van gebruik door de medewerker van de door Studio aangeboden prestaties (frequentie en duur van gebruik)

(iv) voor wat betreft partners van Studio::

• Naam, adres, IBAN, BIC van de desbetreffende partner
• Geboortedatum van de desbetreffende partner
• Foto van de desbetreffende partner
• Looptijd van het contract en betalingsmodaliteiten van de desbetreffende partner
• Lopende verplichtingen van de desbetreffende partner
• Gegevens over het soort en de omvang van gebruik van de door Studio aangeboden prestaties door de partner (frequentie en duur van gebruik)

1.4 Het doel van verwerking van de hiervoor genoemde gegevens is aan de ene kant ondersteuning van Studio bij het management van de met de partners van Studio gesloten overeenkomsten (partnermanagement). Aan de andere kant is de bedoeling Studio voor haar marktanalyse in geanonimiseerde vorm interne en externe marktgegevens ter beschikking te stellen, door gebruik te maken van de gegevens van partners van Studio. Doel van de verwerking van gegevens van partners is technische ondersteuning van Studio bij personeelsmanagement.

2.1 Magicline verwerkt de gegevens uitsluitend volgens de bepalingen in de met Studio gesloten overeenkomst en in het kader van de door Studio gegeven aanwijzingen. Magicline gebruikt de voor gegevensverwerking ter beschikking gestelde gegevens niet op een andere manier en bewaart ze niet langer dan door Studio is bepaald.

2.2 Voor de toelaatbaarheid van gegevensverwerking en het waarborgen van de rechten van de personen, van wie de gegevens worden verwerkt (de betrokkenen) volgens art. 12 tot en met 22 AVG, is uitsluitend de opdrachtgever verantwoordelijk.

2.3 Magicline dient de opdrachtgever te ondersteunen bij het nakomen van verplichtingen ten opzichte van de betrokkenen.

2.4 De opdrachtgever geeft aanwijzingen normaal gesproken schriftelijk of per e-mail door. Mondeling gegeven aanwijzingen moeten onmiddellijk schriftelijk of per e-mail worden bevestigd.

3.1 De bij Magicline voor de onderneming aangestelde FG is: Marc Althaus, DS Extern GmbH, Bredkamp 53a, 22589 Hamburg, Duitsland, https://www.dsextern.de/anfragen

3.2 De FG dient de tenuitvoerlegging van de EU-AVG en van andere voorschriften over gegevensbescherming in verband met de contractuele betrekkingen te waarborgen. De FG voert hiervoor regelmatige controles uit. Over de controles wordt een verslag opgesteld. Mocht de FG in het kader van zijn activiteiten onregelmatigheden bij de gegevensverwerking vaststellen, dan stelt hij de bedrijfsleiding van Magicline daar onmiddellijk van op de hoogte. Vervanging van de FG wordt onmiddellijk aan Studio doorgegeven.

4.1 Het is Magicline niet toegestaan zonder schriftelijke aanwijzingen van Studio de ter beschikking gestelde persoonsgegevens aan derden door te geven.

4.2 Magicline moet alle in het kader van de opdracht doorgegeven stukken, documenten en andere informatiedragers absoluut vertrouwelijk behandelen. Dit geldt ook voor alle andere informatie, die Magicline ter kennis komt bij uitvoering van de opdracht. Deze verplichting geldt tijdens en ook na de beëindiging van de overeenkomst.

4.3 Magicline verplicht zich ertoe bij contractuele verwerking van de persoonsgegevens van de opdrachtgever de vertrouwelijkheid in de zin van art. 28 lid 3 b) AVG te waarborgen. De opdrachtnemer zegt toe dat hij de bij de uitvoering van de werkzaamheden tewerkgestelde medewerkers vóór aanvang van de activiteiten op de hoogte stelt van de voor hen relevante gegevensbeschermingsbepalingen en hen op passende wijze verplicht tot geheimhouding, zowel gedurende hun activiteiten als na beëindiging van het dienstverband. De opdrachtnemer ziet toe op nakoming in zijn onderneming van de wettelijke voorschriften op het gebied van gegevensbescherming.

Magicline houdt zich uitsluitend op aanwijzing van Studio bezig met rectificatie, blokkering en wissing van gegevens. Wanneer een betrokkene zich rechtstreeks tot Magicline wendt voor het doel van rectificatie of wissing van zijn gegevens, dient Magicline dit verzoek onmiddellijk door te geven aan Studio.

6.1 Op het tijdstip van afsluiten van de overeenkomst zijn de in bijlage 2 genoemde ondernemingen voor de opdrachtnemer werkzaam als onderopdrachtnemers voor het leveren van deelprestaties, in verband waarmee ze ook rechtstreeks opdrachtgegevens verwerken en/of gebruiken. Voor deze onderopdrachtnemers wordt toestemming voor de bezigheden verleend geacht. Sub-verwerkers in derde landen mogen alleen dan met een opdracht worden belast worden wanneer aan de specifieke voorwaarden van art. 44 e.v. AVG is voldaan (bijv. adequaatheidsbesluit van de Commissie, standaard gegevensbeschermingsclausules, goedgekeurde gedragsregels).

6.2 De opdrachtnemer stelt de opdrachtgever op de hoogte van elk voornemen tot verandering in verband met het aantrekken van of vervangen door andere dan de in bijlage 2 genoemde onderopdrachtnemers, zodat de opdrachtgever de mogelijkheid heeft bezwaar te maken tegen dergelijke veranderingen. Hetzelfde geldt wanneer de opdrachtnemer voor het nakomen van zijn contractueel aanvaarde prestatieverplichtingen andere derde ondernemingen aantrekt voor verwezenlijking van de prestaties. Hierbij moet elke nieuwe onderopdrachtnemer voor toewijzing van de opdracht schriftelijk aangemeld worden, zodat de opdrachtgever binnen 1 week na ontvangst van de melding bezwaar kan maken tegen toewijzing van de opdracht.

6.3 Weigert de opdrachtgever door zijn bezwaar toestemming om andere dan belangrijke redenen, dan kan de opdrachtnemer de overeenkomst met de opdrachtgever opzeggen op het moment van het geplande inzetten van de onderopdrachtnemer, zonder dat de opdrachtgever ten opzichte van de opdrachtnemer in dit verband aanspraak kan maken op schadevergoeding of een andere vorm van betaling.

6.4 De opdrachtnemer dient bij het kiezen van elke onderopdrachtnemer vooral nauwgezet rekening te houden met passende nakoming van de tussen de opdrachtgever en de opdrachtnemer overeengekomen technische en organisatorische maatregelen.

6.5 Wanneer de opdrachtnemer in de zin van deze overeenkomst bevoegd is gebruik te maken van de diensten van een onderopdrachtnemer voor uitvoering van bepaalde verwerkingsactiviteiten om de ten opzichte van de opdrachtgever bestaande prestatieverplichtingen na te komen, worden aan deze onderopdrachtnemer door middel van een overeenkomst dezelfde verplichtingen opgelegd als degene die in deze overeenkomst tussen de opdrachtgever en de opdrachtnemer zijn bepaald. Dit geldt met name voor de eisen aan vertrouwelijkheid, gegevensbescherming en gegevensbeveiliging, evenals de in deze overeenkomst beschreven controle- en verificatierechten van de opdrachtgever. Hierbij moeten bovendien toereikende waarborgen worden geboden voor zodanige uitvoering van de passende technische en organisatorische maatregelen, dat verwerking in overeenstemming is met de eisen van de AVG.

6.6 De opdrachtgever heeft het recht op schriftelijk verzoek informatie van de opdrachtnemer te ontvangen over de voor gegevensbescherming belangrijke verplichtingen van de onderopdrachtnemer, indien nodig ook door inzage van de relevante contractuele documenten. De onderopdrachtnemer moet de opdrachtgever onder de in art. 8 geregelde voorwaarden in staat stellen tot controles ter plaatse.

6.7 Toestemming is niet verplicht voor uitbesteding wanneer de opdrachtnemer derden opdracht geeft tot een nevenprestatie bij de hoofdprestatie, zoals bij dienstverlening op het gebied van personeel, post en verzending. De opdrachtnemer is echter verplicht voor het waarborgen van de bescherming en beveiliging van de gegevens van de opdrachtgever ook bij extern uitbestede nevenprestaties passende wettelijke contractuele afspraken te maken en controlemaatregelen te nemen. De neven prestaties dienen van tevoren gedetailleerd te worden aangegeven.

7.1 Wanneer Magicline van mening is dat een aanwijzing inbreuk doet op de AVG of andere voorschriften over gegevensbescherming, dan geeft Magicline dit onmiddellijk aan Studio door.

7.2 De verplichtingen van de opdrachtnemer in geval van storingen, verdenking van schending van gegevensbescherming of andere onregelmatigheden bij verwerking staan vermeld in art. 10 van deze overeenkomst.

8.1 De opdrachtgever heeft het recht om via een tot geheimhouding verplichte gevolmachtigde vóór aanvang van de dienstverlening, evenals regelmatig gedurende de dienstverlening, met passende tussenpozen te controleren of de technische en organisatorische maatregelen voor gegevensbescherming en gegevensverwerking door Magicline en haar onderopdrachtnemers in acht worden genomen.

8.2 In plaats van door controle ter plaatse, kan Magicline het bewijs voor inachtneming van de technische en organisatorische maatregelen ook leveren door beschikbaarstelling van een geëigend geldig controlerapport van onafhankelijke personen (bijv. accountants, FG's of kwaliteitsauditoren) of het overleggen van een geëigende certificatie van een IT-beveiligings- of gegevensbescherming audit - bijv. volgens BSI-basisbescherming - ("controlerapport"). Het controlerapport moet het Studio op passende wijze mogelijk maken zich te overtuigen van de inachtneming van technische en organisatorische maatregelen.

9.1 De opdrachtnemer treft passende technische en organisatorische maatregelen voor een beschermingsniveau dat voldoende waarborg biedt tegen risico voor de rechten en vrijheden van betrokkenen. Daarbij moet rekening worden gehouden met het technisch niveau, de implementatiekosten en het soort, de omvang en het doel van verwerking, evenals de waarschijnlijkheid en grootte van het risico in de zin van art. 32 lid 1 AVG. De specifieke, door de opdrachtnemer genomen technische en organisatorische maatregelen worden genoemd in bijlage 1.

9.2 Omdat de technische en organisatorische maatregelen afhankelijk zijn van de technische vooruitgang en technologische ontwikkelingen, is het de opdrachtnemer toegestaan andere, gelijksoortige maatregelen te treffen in zoverre die niet onderdoen voor het beveiligingsniveau van de in bijlage 1 bepaalde maatregelen. Wezenlijke veranderingen van de maatregelen moeten door de opdrachtnemer op schrift worden gesteld en op verzoek aan de opdrachtgever worden doorgegeven.

10.1 De opdrachtnemer informeert de opdrachtgever onmiddellijk wanneer hij of een bij hem tewerkgestelde persoon de voorschriften voor bescherming van persoonsgegevens, bepalingen in deze overeenkomst of een door de verantwoordelijke gegeven aanwijzing heeft overtreden, wanneer er aanwijzingen zijn dat een derde - om het even om welke reden - op onrechtmatige wijze kennis van opdrachtgegevens kan hebben gekregen of wanneer de integriteit of vertrouwelijkheid van de opdrachtgegevens op enige andere wijze in gevaar is gebracht ("gegevensbeveiligingsincident").

10.2 De informatie over het gegevensbeveiligingsincident moet gegevens bevatten over het tijdstip en soort van het incident (met inbegrip van informatie over welke opdrachtgegevens het betreft en in welke vorm), het betrokken EDP-systeem, de betrokken personen, het tijdstip van ontdekking, mogelijke nadelige gevolgen van het gegevensbeveiligingsincident en de door de opdrachtgever getroffen maatregelen en alle andere in art. 33 lid 3 AVG aangeduide informatie. De opdrachtnemer dient bovendien specifiek door te geven of een schending van de bescherming van persoonsgegevens wellicht kan leiden tot een risico voor de rechten en vrijheden van natuurlijke personen in de zin van art. 33 lid 1 zin 1 AVG en of het risico mogelijk groot is in de zin van art. 34 lid 1 AVG.

10.3 De eerste gedetailleerde informatie van de opdrachtgever dient onmiddellijk, indien mogelijk binnen 24 uur na kennisneming van het gegevensbeveiligingsincident, te worden doorgegeven en alle in bovenstaande par. (2) genoemde gegevens te bevatten.

10.4 De opdrachtnemer dient na kennisneming van een gegevensbeveiligingsincident onmiddellijk alle passende maatregelen te treffen om de ontstane risico's voor de integriteit of vertrouwelijkheid van de opdrachtgegevens zo klein mogelijk te houden en te verhelpen, de opdrachtgegevens zeker te stellen en mogelijke nadelige gevolgen voor de betrokkenen te voorkomen of de uitwerking ervan zoveel mogelijk te beperken.

10.5 De opdrachtnemer is verplicht de opdrachtgever in geval van een gegevensbeveiligingsincident op eerste aanvraag en binnen redelijke grenzen te ondersteunen in zijn handelen met betrekking tot informatie en oplossing, met inbegrip van alle handelingen voor het nakomen van wettelijke verplichtingen,

10.6 De opdrachtnemer is verplicht onmiddellijk na kennisneming van een gegevensbeveiligingsincident de oorzaken ervan te analyseren, op schrift te stellen en de documentatie op verzoek aan de opdrachtgever over te dragen. Mocht de opdrachtnemer aan de hand van de analyse vaststellen dat de technische en organisatorische maatregelen die tot dusverre zijn getroffen voor bescherming van de opdrachtgegevens niet voldoende zijn om te zorgen voor een passend beschermingsniveau, dan zal hij op eigen kosten de noodzakelijke aanvullende technische en organisatorische maatregelen nemen.

11.1 Deze overeenkomst gaat in bij ondertekening en wordt gesloten voor de duur van de looptijd van de hoofdovereenkomst (ontbindende termijn).

11.2 Dit laat het recht tot termijnloze opzegging van de partijen onverlet. Studio heeft het recht tot termijnloze opzegging van deze overeenkomst, wanneer er sprake is van zwaarwegende schending door Magicline van de van toepassing zijnde gegevensbeschermingsrichtlijnen of uit deze overeenkomst voortvloeiende verplichtingen, of wanneer Magicline een aanwijzing van Studio niet kan of wil uitvoeren of de uitoefening van controlerechten in strijd met deze overeenkomst aan Studio weigert.

11.3 Elke partij heeft het recht deze overeenkomst op te zeggen met inachtneming van een termijn van twee weken voor het einde van kalendermaand, wanneer de uitvoering van de hoofdovereenkomst en/of de uitvoering van deze overeenkomst door een hiervoor bevoegde toezichthoudende autoriteit (met name de bevoegde gegevensbeschermingsautoriteit) wordt afgekeurd en een door deze autoriteit bepaalde termijn voor het verhelpen van de vastgestelde problemen zonder resultaat verloopt of het minstens één van de partijen door de hiervoor bevoegde autoriteit verboden wordt de partnerschapsovereenkomst en/of deze overeenkomst verder uit te voeren.

11.4 Opzegging dient plaats te vinden in schriftelijke vorm.

12.1 Magicline dient persoonsgegevens uit de contractuele relatie te rectificeren, te wissen of te blokkeren, wanneer de opdrachtgever hier door middel van een aanwijzing om verzoekt en dit niet in strijd is met de gerechtvaardigde belangen van de opdrachtnemer.

12.2 Bij beëindiging van deze overeenkomst, of eerder op verzoek van de opdrachtgever, dient Magicline alle documenten en gegevens die verband houden met de contractuele relatie aan de opdrachtgever over te dragen of na voorafgaande toestemming volgens de gegevensbeschermingsvoorschriften te vernietigen.

12.3 Documentatie, die Magicline gebruikt als bewijs van contractuele en reglementaire gegevensverwerking, mag door Magicline overeenkomstig de desbetreffende bewaartermijn ook na het einde van de overeenkomst worden bewaard.

13.1 Mondelinge nevenafspraken worden niet gemaakt. Veranderingen in en aanvullingen op deze overeenkomst vereisen de in art. 28 lid 9 AVG bepaalde vorm. Dit geldt ook voor een verandering in de vereiste schriftelijke vorm zelf.

13.2 Mocht een bepaling van deze overeenkomst ongeldig zijn of worden, dan verplichten de partijen zich ertoe de ongeldige bepaling te vervangen door een geldige bepaling die de economische belangen van de partijen zo dicht mogelijk benadert. Hetzelfde geldt voor ontbrekende bepalingen.

13.3 De enig bevoegde rechtbank voor alle geschillen voortvloeiend uit en in verband met deze overeenkomst is Hamburg, Duitsland. De partijen komen overeen dat het Duitse recht van toepassing is.