INLEIDING
Wanneer o2o bv (hierna "o2o") bepaalde diensten uitvoert voor een Klant (hierna de "Klant'), zal zij (i) toegang hebben tot Persoonsgegevens (zoals hierna gedefinieerd) en/of (ii) Persoonsgegevens moeten verwerken waarvoor de Klant verantwoordelijk is als Verwerkingsverantwoordelijke in overeenstemming met de Privacywetgeving (zoals hierna gedefinieerd). Deze dataverwerkingspolicy (hierna "Dataverwerkingspolicy") is van toepassing op de verwerking van persoonsgegevens door o2o voor de Klant en bepaalt (i) hoe o2o deze Persoonsgegevens zal beheren, beveiligen en verwerken, en (ii) de verplichting van partijen om de Privacywetgeving na te leven.
Het gebruikmaken van de diensten van o2o impliceert de goedkeuring door de Klant van deze Dataverwerkingspolicy en bijgevolg van de manier waarop o2o de Persoonsgegevens van de Klant verwerkt.
DEFINITIES
In deze Dataverwerkingspolicy hebben de volgende begrippen de betekenis die in dit artikel wordt beschreven (wanneer ze met een hoofdletter worden geschreven):
Opdracht: alle activiteiten, zoals, maar niet beperkt tot, de diensten die o2o uitvoert voor de Klant, en elke andere vorm van samenwerking waarbij o2o Persoonsgegevens Verwerkt voor de Klant, ongeacht de juridische aard van de overeenkomst op basis waarvan deze Verwerking plaatsvindt;
Verwerkingsverantwoordelijke: de entiteit die het doel en de middelen voor de Verwerking van Persoonsgegevens bepaalt, in dit geval de Klant;
Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben en van wie de Klant wenst dat de Persoonsgegevens door o2o worden verwerkt;
Datalek: ongeoorloofde bekendmaking, toegang, misbruik, verlies, diefstal of onopzettelijke of onwettige vernietiging van de Persoonsgegevens die door o2o namens de Klant worden verwerkt;
Persoonsgegevens: persoonsgegevens in de zin van de Privacywetgeving en zoals gedefinieerd in bijlage I;
Privacywetgeving: (i) de Algemene Verordening Gegevensbescherming 2016/679 van 27 april 2016; (ii) de Belgische privacywet van 30 juli 2018; en/of (iii) de (toekomstige) Belgische wetgeving met betrekking tot de implementatie van de Algemene Verordening Gegevensbescherming;"
Verwerken/Verwerking": elke bewerking of elk geheel van bewerkingen van Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet automatisch, waaronder maar niet beperkt tot: het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken aan de hand van transmissie, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen of met elkaar in verband brengen, alsmede het beperken, uitwissen of vernietigen van Persoonsgegevens.
Verwerker: de entiteit die namens de Verwerkingsverantwoordelijke (in dit geval o2o) Persoonsgegevens Verwerkt;
Diensten: alle diensten die door o2o aan de Klant worden verstrekt in het kader van de Opdracht en die de Verwerking van Persoonsgegevens door o2o inhouden;
Subverwerker: elke verwerker die door o2o wordt ingeschakeld om te helpen bij de uitvoering van de Diensten.De Dataverwerkingspolicy heeft de volgende bijlagen:
Bijlage I: Overzicht van (i) de Persoonsgegevens waarvan de partijen verwachten dat ze het voorwerp van de Verwerking zullen uitmaken, (ii) de categorieën van Betrokkenen waarvan de partijen verwachten dat ze het voorwerp van de Verwerking zullen uitmaken, en (iii) het gebruik (d.w.z. de wijze(n) van Verwerking) van de Persoonsgegevens, het doel en de middelen van deze Verwerking.
Bijlage II: Overzicht en beschrijving van de door o2o in het kader van deze Dataverwerkingspolicy genomen beveiligingsmaatregelen.
Bijlage III: Overzicht van alle Subverwerkers waarop o2o een beroep doet, met inbegrip van (i) de naam van de Subverwerkers, (ii) het land waar zij gevestigd zijn, (iii) of zij binnen of buiten de Europese Economische Ruimte (hierna "EER") gevestigd zijn en (iv) de geïmplementeerde waarborgen (in geval van overdracht aan Subverwerkers buiten de EER).
ROLLEN VAN DE PARTIJEN
- De partijen erkennen en aanvaarden dat, voor wat de Verwerking van Persoonsgegevens betreft, de Klant wordt beschouwd als "Verwerkingsverantwoordelijke" en o2o als "Verwerker", in overeenstemming met de Privacywetgeving. Voorts mag o2o Subverwerkers inschakelen overeenkomstig de bepalingen van artikel 5.
- Elke partij moet haar respectievelijke verplichtingen op grond van de toepasselijke Privacywetgeving met betrekking tot de verwerking van de Persoonsgegevens nakomen.
DE OPDRACHT/DIENSTEN
- o2o zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke Privacywetgeving en andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens Verwerken.
Meer in het bijzonder zal o2o - tijdens de uitvoering van de Opdracht - al haar knowhow ter beschikking stellen om de Opdracht volgens de regels van de kunst uit te voeren en - naar beste vermogen - de nodige veiligheidsmaatregelen te nemen (cf. bijlage II), zoals het een gespecialiseerde en "goede" Verwerker (zoals gedefinieerd in de Privacywetgeving) past.
- De Klant erkent dat:
- o2o optreedt als facilitator van de Diensten. Bijgevolg is de Klant verantwoordelijk voor het gebruik dat hij maakt van de Diensten;
- o2o draagt geen verantwoordelijkheid met betrekking tot aanpassingen en/of wijzigingen die op uitdrukkelijk verzoek van de Klant in de Persoonsgegevens worden aangebracht;
- De Klant is verantwoordelijk voor alle handelingen en nalatigheden van zijn werknemers. De Klant moet zijn werknemers informeren over de toepasselijke Privacywetgeving, deze Policy en/of over alle andere relevante wetgeving en moet ervoor zorgen dat de werknemers zich hieraan houden;
- De Klant is aansprakelijk en verantwoordelijk voor de juistheid van het materiaal en/of de gegevens die hij verstrekt;
- De Klant is aansprakelijk en verantwoordelijk voor de inhoud van de (gepersonaliseerde) berichten die via de Diensten worden gegenereerd of verzonden.
- In geval van misbruik van de Diensten door de Klant, stemt de Klant ermee in dat o2o nooit hiervoor aansprakelijk kan worden gesteld noch voor enige schade die zou voortvloeien uit dergelijk misbruik.
- De Klant moet elk misbruik van de Diensten vermijden. Daarom moet de Klant o2o vrijwaren wanneer dergelijk misbruik zich voordoet, evenals voor elke vordering van een Betrokkene en/of derde partij ten gevolge van dergelijk misbruik.
VOORWERP & INSTRUCTIES
- De Klant erkent dat ten gevolge van het gebruik van de Diensten van o2o, deze laatste de door de Klant verzamelde Persoonsgegevens zal verwerken. Desalniettemin zal o2o de Persoonsgegevens enkel Verwerken op verzoek van de Klant en in overeenstemming met zijn gedocumenteerde instructies, zoals beschreven in bijlage I, behoudens andersluidende wettelijke verplichting.
- o2o moet de Klant inlichten indien de instructies van de Klant naar haar mening de Privacywetgeving schenden. Indien de Klant vervolgens de geldigheid of de wettelijkheid van de instructie niet kan garanderen of nalaat of weigert de onwettige instructie te wijzigen, zodat deze niet langer in strijd is met de Privacywetgeving, heeft o2o het recht om (i) de uitvoering van deze instructie op te schorten/te weigeren en om (ii) naar eigen goeddunken ofwel de Persoonsgegevens te blijven Verwerken in overeenstemming met eerder verstrekte instructies, ofwel de Verwerking volledig stop te zetten, totdat de Klant zijn instructie heeft herzien zodat deze niet langer in strijd is met de Privacywetgeving.
- De Klant heeft en behoudt volledige zeggenschap over (i) de Verwerking van de Persoonsgegevens, (ii) de soorten Persoonsgegevens die verzameld worden, (iii) het doel van de Verwerking en (iv) het feit of deze Verwerking proportioneel is.
- De Klant moet o2o onverwijld op de hoogte brengen indien hij niet in staat is om aan zijn verantwoordelijkheden op grond van dit artikel of de Privacywetgeving te voldoen.
BEVEILIGING VAN DE VERWERKING
Rekening houdende met de stand van de techniek, neemt o2o alle passende technische en organisatorische maatregelen voor de bescherming van (i) de Persoonsgegevens – inclusief bescherming tegen onzorgvuldig, onjuist, ongeoorloofd of onrechtmatig gebruik en/of Verwerking en tegen verlies, vernietiging of schade – en van (ii) de vertrouwelijkheid en integriteit van de Persoonsgegevens, zoals beschreven in bijlage II.
SUBVERWERKERS
- De Klant erkent en stemt ermee in dat o2o voor de Opdracht een beroep kan doen op derde Subverwerkers. In zulk geval moet o2o ervoor instaan dat de Subverwerkers minstens zijn gebonden door dezelfde verplichtingen als degene waardoor o2o op grond van deze Dataverwerkingspolicy gebonden is.
- o2o heeft een lijst toegevoegd (cf. bijlage III) met betrekking tot de huidige Subverwerkers waarop zij voor de uitvoering van de Opdracht een beroep doet.
o2o zal:
- de lijst bijwerken wanneer een Subverwerker wijzigt;
- de wijzigingen in de lijst duidelijk aangeven;
- de datum vermelden waarop de lijst werd bijgewerkt en wanneer de wijziging van Subverwerker van kracht werd of wordt;
o2o moet de Klant op de hoogte stellen (bv. via het platform) wanneer er wijzigingen in de lijst worden aangebracht. Indien de Klant zijn recht om bezwaar te maken tegen een Subverwerker wenst uit te oefenen, moet hij o2o hiervan schriftelijk en gemotiveerd in kennis stellen binnen dertig (30) dagen na de kennisgeving.
- Indien de Klant bezwaar maakt tegen een nieuwe Subverwerker en dit bezwaar niet onredelijk wordt geacht, zal o2o redelijke inspanningen leveren om (i) voor de Klant een wijziging in de Diensten beschikbaar te maken of (ii) een commercieel redelijke wijziging in het gebruik van de Diensten door de Klant aan te bevelen om de Verwerking van Persoonsgegevens door de nieuwe Subverwerker waartegen bezwaar is gemaakt te vermijden, zonder de Klant onredelijk te belasten.
Indien o2o echter niet in staat is om een dergelijke wijziging binnen een redelijke termijn (die niet meer mag bedragen dan dertig (30) dagen na het bezwaar van de Klant) beschikbaar te maken, mag de Klant de Opdracht / de Diensten beëindigen, onder de volgende voorwaarden:
- de Diensten kunnen door de Klant niet worden gebruikt zonder een beroep te doen op de nieuwe Subverwerker waartegen hij bezwaar maakte; en/of
- een dergelijke beëindiging heeft uitsluitend betrekking op de Diensten die niet door o2o kunnen worden geleverd zonder een beroep te doen op de nieuwe Subverwerker waartegen de Klant bezwaar maakte;
En dit door o2o hiervan binnen een redelijke termijn schriftelijk in kennis te stellen.
- o2o is aansprakelijk voor de handelingen en nalatigheden van zijn Subverwerkers in dezelfde mate als wanneer ze de Diensten zelf rechtstreeks onder de voorwaarden van deze Dataverwerkingspolicy zou uitvoeren.
OVERDRACHT VAN PERSOONSGEGEVENS BUITEN DE EER
- De Persoonsgegevens worden hoofdzakelijk binnen de EER verwerkt, en indien ze buiten de EER verwerkt worden, is artikel 6.3 van toepassing.
- o2o zal Persoonsgegevens alleen overdragen op verzoek van de Klant en/of in overeenstemming met diens gedocumenteerde instructies, tenzij o2o hiertoe verplicht wordt door EU-wetgeving of wetgeving van een lidstaat. In dit laatste geval moet o2o de Klant voor de Verwerking op de hoogte brengen van dit wettelijk voorschrift, tenzij deze wetgeving een dergelijke kennisgeving om gewichtige redenen van algemeen belang verbiedt.
- Elke overdracht van Persoonsgegevens buiten de EER door o2o aan een derde wiens domicilie of maatschappelijke zetel zich in een land bevindt dat niet onder het adequaatheidsbesluit van de Europese Commissie valt, moet bijkomend onderworpen worden aan één of meer van de onderstaande door de EU goedgekeurde waarborgen:
- het sluiten van een overeenkomst voor gegevensoverdracht met een dergelijke ontvanger, die de modelcontractbepalingen zoals vermeld in het "Besluit van de Europese Commissie van 5 februari 2010 (Besluit 2010/87/EG)" moet bevatten; en/of
- bindende bedrijfsvoorschriften; en/of
- certificeringsmechanismen.
VERTROUWELIJKHEID
- o2o zal de Persoonsgegevens vertrouwelijk behandelen en dus geen Persoonsgegevens bekendmaken of overdragen aan derden zonder voorafgaande schriftelijke toestemming van de Klant, tenzij wanneer een dergelijke bekendmaking en/of mededeling wordt vereist door de wet of door een rechterlijke of andere overheidsbeslissing (van welke aard dan ook). In een dergelijk geval zal o2o voor enige bekendmaking en/of mededeling de omvang en de wijze daarvan met de Klant bespreken.
- o2o zorgt ervoor dat haar personeel dat betrokken is bij de uitvoering van de Opdracht op de hoogte is van het vertrouwelijk karakter van de Persoonsgegevens, een gepaste training over hun verantwoordelijkheden heeft ontvangen en schriftelijke vertrouwelijkheidsovereenkomsten heeft ondertekend. o2o garandeert dat dergelijke vertrouwelijkheidsverplichtingen ook na de beëindiging van de arbeidsovereenkomst blijven gelden.
- o2o zorgt ervoor dat de toegang tot Persoonsgegevens beperkt blijft tot het personeel dat de Opdracht uitvoert, in overeenstemming met de Dataverwerkingspolicy.
KENNISGEVING
- o2o moet alles in het werk stellen om de Klant binnen een redelijke termijn te informeren wanneer ze:
- een verzoek tot informatie, een dagvaarding of een verzoek tot inspectie of audit van een bevoegde overheidsinstantie ontvangt in verband met de Verwerking van Persoonsgegevens;
- een verzoek ontvangt van een Betrokkene die zich beroept op zijn privacyrechten op grond van de Privacywetgeving (cf. artikel 9.2)
- de intentie heeft om Persoonsgegevens bekend te maken aan een bevoegde overheidsinstantie;
- vaststelt of redelijkerwijs vermoedt dat er zich een Datalek zich heeft voorgedaan betreffende de Persoonsgegevens.
- In geval van een Datalek, doet o2o het volgende:
- ze brengt de Klant zonder onnodige vertraging op de hoogte nadat ze kennis heeft genomen van een Datalek en verleent de Klant - voor zover mogelijk - bijstand met betrekking tot zijn meldingsplicht op grond van de Privacywetgeving;
- ze neemt zo snel als redelijkerwijze mogelijk passende corrigerende maatregelen om een einde te maken aan het Datalek en een eventueel toekomstig Datalek te voorkomen en/of te beperken.
AANSPRAKELIJKHEID
- Beide partijen zijn als enige aansprakelijk voor alle schade, vorderingen en/of boetes van derden, bevoegde toezichthoudende overheden of Betrokkenen die het gevolg zijn van hun eigen schending of niet-naleving van (i) de bepalingen van deze Dataverwerkingspolicy, en (ii) de Privacywetgeving of andere toepasselijke regels met betrekking tot Persoonsgegevens. Elke partij vrijwaart de andere partij in dit kader.
- In geval van schending/niet-naleving zoals beschreven in artikel 9.1, is de inbreukmakende partij aansprakelijk jegens de andere partij en moet ze deze laatste schadeloos stellen voor alle schade en kosten, inclusief redelijke honoraria van advocaten, (juridische) kosten en schade die het gevolg is van een dergelijke schending/niet-naleving.
- De aansprakelijkheid van o2o voor een inbreuk op deze Dataverwerkingspolicy is beperkt zoals omschreven in de toepasselijke contractuele documentatie (d.w.z. de raamovereenkomst).
RECHTEN VAN BETROKKENEN
- Indien een Betrokkene verzoekt om zijn/haar rechten uit te oefenen en de Klant zelf - tijdens zijn gebruik van de Diensten - niet de mogelijkheid heeft om de Persoonsgegevens te corrigeren, te wijzigen, te blokkeren of te verwijderen, zal o2o medewerking en bijstand verlenen bij elk commercieel redelijk verzoek van de Klant, om dergelijke acties te vergemakkelijken.
- o2o zal de Klant onmiddellijk op de hoogte brengen indien het een verzoek ontvangt van een Betrokkene voor toegang tot, correctie, wijziging of verwijdering van de Persoonsgegevens van die Betrokkene. o2o zal niet ingaan op een dergelijk verzoek van een Betrokkene zonder de voorafgaande schriftelijke toestemming van de Klant, behalve om te bevestigen dat het verzoek betrekking heeft op de Klant, waarmee de Klant hierbij akkoord gaat.
BEWAREN, TERUGGEVEN EN VERWIJDERING VAN PERSOONSGEGEVENS
- o2o zal de Persoonsgegevens slechts bewaren zolang dit nodig is om de Diensten te verlenen of zolang de Opdracht tussen de Klant en o2o niet is afgerond.
- Bij beëindiging van de Opdracht zal de Klant door o2o in kennis worden gesteld van zijn mogelijkheid om de Persoonsgegevens gedurende een bepaalde termijn (die in een dergelijke kennisgeving wordt vermeld) te exporteren door middel van de beschikbare export tools.
- Zodra de bovengenoemde termijn voor de export is verstreken, zal o2o de Persoonsgegevens permanent verwijderen respectievelijk anonimiseren.
NALEVING & INSPECTIES
- o2o verbindt zich ertoe de Klant, op verzoek van deze laatste, alle informatie te verstrekken, in de mate die door de wet wordt vereist om te kunnen nagaan of o2o de bepalingen van deze Dataverwerkingspolicy naleeft.
- In dit kader moet o2o de Klant (of een derde waarop de Klant een beroep doet) toelaten om inspecties uit te voeren - zoals, maar niet beperkt tot, een audit - en de Klant of die derde hiervoor de nodige bijstand verlenen. De Klant moet o2o minstens dertig (30) werkdagen op voorhand verwittigen. Het uitvoeren van inspecties mag in geen geval vertraging veroorzaken in de uitvoering van de Diensten door o2o.
- Om de vertrouwelijkheid van andere o2o-klanten te verzekeren, moet de Klant afdoende vertrouwelijkheidsverplichtingen opleggen aan zijn (interne/externe) auditors.
- Alle inspectiekosten zijn uitsluitend voor rekening van de Klant, behalve indien (en voor zover) tijdens de inspectie een ernstig beveiligingsincident/ lek van persoonsgegevens (bij o2o/onder verantwoordelijkheid van o2o) of een schending van deze Dataverwerkingspolicy wordt vastgesteld.
TERMIJN
- Deze Dataverwerkingspolicy blijft gelden zolang de Opdracht niet is beëindigd.
CONTACT
Kennisgevingen door de Klant met betrekking tot deze Dataverwerkingspolicy en/of vragen of bezorgdheden met betrekking tot de bepalingen ervan moeten worden gericht aan privacy@o2o.be.
TOEPASSELIJK RECHT & BEVOEGDE RECHTBANKEN
Deze Dataverwerkingspolicy, met inbegrip van de Bijlagen, is onderworpen aan het recht en het bevoegdheidsbeding zoals bepaald in de Opdracht.
Bijlagen
Bijlage I - Overzicht van Verwerkingsactiviteiten
Tabel
Bijlage II - Beschrijving van de technische en organisatorische beveiligingsmaatregelen van o2o
- Gegevensbescherming en privacy: we implementeren strikte gegevensbeschermingsmaatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke en gevoelige informatie te garanderen. Dit omvat versleuteling, toegangscontrole en veilige oplossingen voor gegevensopslag.
- Risicobeheer: we voeren regelmatig risicobeoordelingen uit om risico's met betrekking tot informatiebeveiliging te identificeren, evalueren en beheren. Deze proactieve benadering helpt ons om de juiste maatregelen te nemen om potentiële beveiligingsrisico's te beperken.
- Respons bij incidenten: we hebben een uitgebreid plan voor respons bij incidenten om eventuele beveiligingsinbreuken of datalekken snel aan te pakken. Dit zorgt ervoor dat we beveiligingsincidenten effectief kunnen indammen en de impact ervan kunnen beperken.
- Training en bewustwording van werknemers: we beseffen dat menselijke fouten vaak kunnen leiden tot zwakke plekken in de beveiliging, en daarom investeren we in regelmatige training en bewustwordingsprogramma's voor onze werknemers. Dit zorgt ervoor dat ons team beschikt over de kennis om hoge beveiligingsstandaarden te handhaven en om potentiële bedreigingen te herkennen en erop te reageren.
- Leveranciersbeheer: we beoordelen en beheren de beveiligingspraktijken van externe leveranciers en partners zorgvuldig. Dit omvat het uitvoeren van due diligence en het eisen dat onze beveiligingsstandaarden nageleefd worden om de bescherming van gedeelde informatie te garanderen.
- Voortdurende verbetering: we streven naar voortdurende verbetering van onze beveiligingspraktijken door regelmatige controles, updates van ons beveiligingsbeleid en door op de hoogte te blijven van de nieuwste beveiligingstrends en -risico's.
- Naleving van wettelijke en regelgevende vereisten: we zorgen ervoor dat we voldoen aan alle toepasselijke wettelijke en regelgevende vereisten met betrekking tot informatiebeveiliging en gegevensbescherming. Dit houdt in dat we ons houden aan de wet- en regelgeving met betrekking tot privacy die van toepassing is in de rechtsgebieden waarin we actief zijn.
Bijlage III - Overzicht van alle Subverwerkers
o2o zal de lijst met een overzicht van alle subverwerkers verstrekken (i) in het kader van onderhandelingen met de Klant of (ii) op verzoek van de Klant.