ADDENDUM GEGEVENSVERWERKING EMERGENETICS

Language:

English | Español | Italiano | Français | Français Canadien | Deutsch | Nederlands | Română | العربية | 繁體中文 | 简体中文

DIT ADDENDUM GEGEVENSVERWERKING EMERGENETICS ("Addendum") wordt opgesteld door en aangegaan tussen The Browning Group International, Inc. die zakendoet als Emergenetics International en zijn wettige dochterondernemingen, inclusief, maar niet beperkt tot, STEP, LLC, Emergenetics Europe Limited en Emergenetics Caelan & Sage PTE Ltd (gezamenlijk "Emergenetics", "wij", "ons") en u (de "Opdrachtgever" of "Partner", al naar gelang van toepassing, ieder zoals hieronder gedefinieerd) (ieder een "Partij" en gezamenlijk de "Partijen"). Dit Addendum regelt uw verwerking van persoonsgegevens op het Emergenetics-platform. Als u de voorwaarden van dit Addendum accepteert namens een entiteit, verklaart en garandeert u Emergenetics dat u de bevoegdheid hebt om die entiteit en haar gelieerde partijen, indien van toepassing, te binden aan de voorwaarden van dit Addendum. Dit Addendum wordt van kracht op de datum waarop u ermee instemt door akkoord te gaan met de Gebruikersovereenkomst van Emergenetics (de Addendum-datum).

OVERWEGINGEN

OVERWEGENDE dat Emergenetics en u een overeenkomst hebben gesloten voor diensten (de "Dienstenovereenkomst") met betrekking tot de verwerking van persoonsgegevens (zoals hieronder gedefinieerd) van betrokkenen (zoals hieronder gedefinieerd) die de Partijen nu wensen te wijzigen zoals hierin bepaald;

OVERWEGENDE dat u, als Verantwoordelijke voor de Verwerking, bij het verlenen van diensten in het kader van de Dienstenovereenkomst bepaalde Persoonsgegevens van betrokkenen verwerkt;

OVERWEGENDE dat Emergenetics, als Verantwoordelijke voor de Verwerking, eist dat u en alle daaropvolgende ontvangers van persoonsgegevens die, in het kader van uw werk met Emergenetics, persoonsgegevens mogen verwerken, alle nodige maatregelen nemen om dergelijke informatie te behandelen in overeenstemming met de Algemene Verordening Gegevensbescherming van de EU (AVG) en andere toepasselijke wet- en regelgeving;

OVERWEGENDE dat beide partijen, wanneer zij gezamenlijk het doel van en de middelen voor de verwerking bepalen, optreden als gezamenlijke controleurs; en

OVERWEGENDE dat de Partijen dit Addendum aangaan met de bedoeling te voldoen aan de beginselen en normen inzake gegevensbescherming zoals vereist door de AVG en andere toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens in het kader van de Dienstenovereenkomst.

ZO IS HET DAT, met het oog op de wederzijdse overeenkomsten die in dit Addendum zijn opgenomen en voor andere goede en waardevolle overwegingen, waarvan de partijen de ontvangst en toereikendheid bevestigen, komen de Partijen het volgende overeen:

DEFINITIES

Begrippen die in dit Addendum met een hoofdletter worden gebruikt, maar niet gedefinieerd, hebben de betekenis die daaraan in de Dienstenovereenkomst wordt toegekend.

Voor de toepassing van dit Addendum hebben de volgende begrippen met een hoofdletter de betekenis die daaraan, waar ook in de bepalingen van dit Addendum, wordt toegekend, zoals hieronder uiteengezet:

VOORWAARDEN

De Partijen komen het volgende overeen:

  1. Ingangsdatum. De Voorwaarden van dit Addendum worden van kracht op de Addendum-datum, of, indien dit later is, 25 mei 2018 (de "Ingangsdatum") en gaan gelijktijdig verder voor de duur van de Dienstenovereenkomst.
  2. Toepassingsgebied.Dit Addendum dient als kader voor de verwerking van Persoonsgegevens in het kader van de Dienstenovereenkomst, voor zover van toepassing, alleen of gezamenlijk, alsmede voor de uitwisseling van Persoonsgegevens tussen de Partijen als Verantwoordelijke voor de Verwerking, en definieert de beginselen en procedures waaraan de Partijen zich dienen te houden en de respectieve verantwoordelijkheden van de Partijen.
  3. Toepasbaarheid. Dit Addendum is niet van toepassing op de Verwerking van Persoonsgegevens, voor zover deze Verwerking niet is geregeld in de Toepasselijke wetgeving.
  4. Vertegenwoordigingen van de zeggenschap en garanties. Elke Partij vertegenwoordigt, garandeert en verbindt zich ertoe:
    1. met betrekking tot de Verwerking van Persoonsgegevens uit hoofde van de Dienstenovereenkomst, dat zij een Verantwoordelijke voor de Verwerking is in de zin van dit Addendum en de AVG;
    2. dat alle Persoonsgegevens zijn en worden verzameld, overgedragen en anderszins verwerkt in overeenstemming met de AVG;
    3. dat ze alleen doorgiften van Persoonsgegevens zal uitvoeren indien dergelijke doorgiften onderworpen zijn aan dwingende vereisten onder de Toepasselijke wetgeving (en er geen wettelijke vrijstelling of afwijking van toepassing is), in overeenstemming met alle toepasselijke voorwaarden, zoals vastgelegd in de Toepasselijke wetgeving;
    4. dat ze op verzoek van de respectieve andere partij die andere partij afschriften verstrekt van alle relevante gegevensbeschermingswetten of verwijzingen daarnaar (in voorkomend geval, met uitzondering van juridisch advies).
  5. Gezamenlijke vertegenwoordiging van de zeggenschap en garanties. Elke Partij garandeert, wanneer zij samen met de andere partij optreedt als Gezamenlijk Controleur, en verbindt zich ertoe dat:
    1. zij haar respectievelijke verantwoordelijkheden zal bepalen voor de naleving van haar verplichtingen onder de Toepasselijke wetgeving;
    2. zij haar respectievelijke verantwoordelijkheden ten aanzien van de betrokkenen vaststelt, rekening houdend met de omstandigheden van elke specifieke verwerkingssituatie, en zij deze informatie zo nodig naar behoren meedeelt aan de andere Verantwoordelijke voor de Verwerking in het kader van de gezamenlijke verantwoordelijkheid;
    3. rekening houdend met het feit, zoals bepaald in de AVG, dat ongeacht de voorwaarden van de regeling tussen de Partijen, de betrokkenen hun rechten uit hoofde van de AVG ten aanzien van elk van de Verantwoordelijke voor de Verwerking kunnen uitoefenen, elke Verantwoordelijke voor de Verwerking in het kader van de gezamenlijke verantwoordelijkheid met terugwerkende kracht zonder dat hem daarom is verzocht, de respectieve andere Verantwoordelijke voor de Verwerking in het kader van de gezamenlijke verantwoordelijkheid alle nodige bijstand en informatie zal verstrekken, met inbegrip van maar niet beperkt tot het toezenden van verzoeken van betrokkenen om hun rechten uit hoofde van hoofdstuk III van de AVG uit te oefenen. Indien een Verantwoordelijke voor de Verwerking zijn verplichting uit hoofde van deze bepaling niet is nagekomen, is hij volledig aansprakelijk voor het antwoord, of het ontbreken daarvan, op het desbetreffende verzoek van de betrokkene om zijn rechten uit te oefenen; en
    4. wanneer zich met betrekking tot een specifieke reeks verwerkingen in het kader van de gezamenlijke verantwoordelijkheid een bevoegdheidsconflict voordoet, handelt elke Verantwoordelijke voor de Verwerking te goeder trouw om dat conflict op minnelijke wijze met de andere Verantwoordelijke voor de Verwerking te melden en op te lossendoor rekening te houden met, op de eerste plaats, de belangen en rechten van de respectieve betrokkene(n) en, op de tweede plaats, de wederzijdse belangen van beide Partijen, teneinde hoofdelijke aansprakelijkheid te vermijden, wanneer de Partijen de rechten van een of meer betrokkenen niet eerbiedigen wegens een onopgelost bevoegdheidsconflict.
  6. Registratie van verwerkingsactiviteiten. Elke Verantwoordelijke voor de Verwerking verbindt zich ertoe de activiteiten inzake de verwerking van persoonsgegevens onder zijn verantwoordelijkheid te registreren, in overeenstemming met artikel 30 van de AVG.
  7. Verwerking van Persoonsgegevens. In het kader van dit Addendum zijn de Partijen gezamenlijk verantwoordelijk voor de verwerking van de Persoonsgegevens van de betrokkenen. Klanten en partners hebben samen met Emergenetics zeggenschap over de Persoonsgegevens die via het Emergenetics Platform worden verwerkt. De verwerking van Persoonsgegevens door elk van de Verantwoordelijke voor de Verwerking in het kader van dit Addendum is onderworpen aan het volgende:
    1. De verwerking is beperkt tot de diensten en taken die in de Dienstenovereenkomst worden genoemd voor diensten en alle daaruit voortvloeiende bestellingen, werkoverzichten of werkopdrachten die tussen de Partijen worden uitgevoerd.
    2. Elke Verantwoordelijke voor de Verwerking ziet erop toe dat de verwerking van de Persoonsgegevens voor de in de Dienstenovereenkomst genoemde doeleinden uitsluitend plaatsvindt op wettige gronden, zoals bepaald in artikel 6 van de AVG en zoals verder beperkt door artikel 9 van de AVG, dan wel de equivalente bepalingen van Toepasselijke wetgeving.
    3. De respectievelijke Verantwoordelijke voor de Verwerking dient ervoor te zorgen dat de personen die zij machtigen om de Persoonsgegevens te verwerken, zich hebben verbonden tot vertrouwelijkheid of onderworpen zijn aan een gepaste wettelijke verplichting tot vertrouwelijkheid.
  8. Veiligheidsmaatregelen. Beide Partijen voeren passende technische en organisatorische beveiligingsmaatregelen uit om te garanderen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG en met de eisen van artikel 24 van de AVG wordt uitgevoerd.
  9. Verzoeken van betrokkenen. Elke Partij is verantwoordelijk voor het beantwoorden van verzoeken tot uitoefening van de rechten van een betrokkene op grond van hoofdstuk III van de AVG of de equivalente bepalingen van andere toepasselijke wetten met betrekking tot de door die Partij verwerkte persoonsgegevens. Elke Partij wijst een passend contactpunt aan voor verzoeken van betrokkenen binnen haar respectieve organisatie. Elke Partij houdt een register bij van de verzoeken van de betrokkenen om hun rechten uit te oefenen, van de genomen besluiten en van alle uitgewisselde informatie. Wanneer de Partijen gezamenlijk voor de verwerking verantwoordelijk zijn, stellen zij elkaar in kennis van alle verzoeken om informatie die zij over de betrokkenen ontvangen. Alvorens op verzoek van een betrokkene persoonsgegevens te wissen of de verwerking ervan te beperken, vraagt elke Partij de goedkeuring van de andere Partij, die door die andere Partij niet op onredelijke wijze mag worden onthouden, om te voorkomen dat acties van de ene Partij tot gevolg hebben dat de andere Partij dit Addendum of de toepasselijke wetgeving overtreedt. De Partijen komen overeen elkaar, indien nodig, snel en in redelijkheid bijstand te verlenen om aan de verzoeken van de betrokkenen te kunnen voldoen. Elke Partij ziet erop toe dat haar relevante privacyverklaringen, voor zover van toepassing, worden gepubliceerd overeenkomstig de eisen van de AVG en andere Toepasselijke wetgeving en dat er tussen de privacyverklaringen van de Partijen geen conflicten bestaan die tot verwarring of misleiding van de betrokkenen kunnen leiden. Elke Partij ziet er met name op toe dat haar privacyverklaringen, voor zover van toepassing, nauwkeurige contactinformatie bevatten waarmee betrokkenen verzoeken kunnen richten tot de respectieve Partij om hun rechten uit hoofde van de AVG en andere Toepasselijke wetgeving, naargelang van het geval, uit te oefenen.
  10. Beveiliging van de verwerking en de melding van inbreuken op Persoonsgegevens. De Partijen komen overeen technische en organisatorische veiligheidsmaatregelen uit te voeren en te handhaven om ervoor te zorgen dat het beveiligingsniveau van de door hen verwerkte persoonsgegevens overeenkomstig artikel 32 tot 36 van de AVG is afgestemd op het risico, met inachtneming van de aard van de Verwerking en de informatie waarover elke Partij beschikt. Elke Partij geeft kennisgeving van een inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit of de betrokkene(n), zoals vereist door artikel 33 en 34 van de AVG, of de equivalente bepalingen van andere Toepasselijke wetgeving, al naargelang het geval, en verleent de andere partij alle nodige bijstand.
  11. Verwerkers. Elke Partij schakelt alleen een Gegevensverwerker in om namens de Partij Persoonsgegevens te verwerken als die Gegevensverwerker door middel van een schriftelijke overeenkomst of een andere rechtshandeling op grond van het recht van de Europese Unie of de lidstaat voldoende garanties biedt dat hij dezelfde gegevensbeschermingsverplichtingen als dit Addendum en de vereisten van de AVG zal uitvoeren. Deze verplichtingen omvatten met name de eis dat de Gegevensverwerker passende technische en organisatorische beveiligingsmaatregelen zodanig uitvoert dat de Verwerking voldoet aan de vereisten van de AVG, met inbegrip van, maar niet beperkt tot, de toepasselijke vereisten van de artikelen 28, 29 en 30 van de AVG, en de bescherming van de rechten van de betrokkene waarborgt. Indien die Gegevensverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de respectieve Partij volledig aansprakelijk ten opzichte van de betrokkenen voor de nakoming van de verplichtingen van die Gegevensverwerker.
  12. Beperkte doorgiften. Emergenetics (als "gegevensexporteur") en de Opdrachtgever (als "gegevensimporteur") gaan hierbij, vanaf de Addendum-datum, de Modelcontractbepalingen (zoals weergegeven in Bijlage A) aan, die door deze verwijzing zijn opgenomen en integraal deel uitmaken van dit Addendum. De Partijen worden geacht de Modelcontractbepalingen in hun geheel, met inbegrip van de bijlagen op de Ingangsdatum, te hebben aanvaard, uitgevoerd en, waar nodig, te hebben ondertekend.
  13. Ten aanzien van elke Beperkte doorgifte van Emergenetics aan de Opdrachtgever in het kader van dit Addendum is één van de volgende overdrachtsmechanismen van toepassing, in de volgende volgorde:
    1. de Modelcontractbepalingen; of
    2. elke andere wettelijke basis, zoals vastgelegd in de Toepasselijke wetgeving, al naar gelang van het geval.
    In gevallen waarin de Modelcontractbepalingen van toepassing zijn en er sprake is van strijdigheid tussen de bepalingen van het Addendum en de Modelcontractbepalingen, zijn de Modelcontractbepalingen van toepassing.
  14. Aansprakelijkheid. Onverminderd enige vorm van directe aansprakelijkheid van een Partij of een Gegevensverwerker voor de betrokkenen, is elke Partij aansprakelijk jegens de andere, respectieve niet in gebreke blijvende Partij voor schade die de in gebreke blijvende Partij aan de niet in gebreke blijvende Partij heeft berokkend door niet-nakoming van haar verplichtingen, zoals uiteengezet in dit Addendum.
  15. Geschillen. In geval van een geschil of vordering van een betrokkene of een gegevensbeschermingsautoriteit van de EER of het Verenigd Koninkrijk met betrekking tot de verwerking van Persoonsgegevens tegen een van beide Partijen of beide Partijen, zullen de Partijen elkaar in kennis stellen van dergelijke geschillen of vorderingen en zullen zij samenwerken om deze tijdig op te vriendschappelijke manier te regelen.
  16. Contactpunten voor vragen inzake gegevensbescherming:

    Emergenetics:

    E-mail: privacy@emergenetics.com

    Naam: Brad Hoffman

    Titel: Algemeen Directeur

    De Opdrachtgever zal de gegevens van zijn contactpunt voor vragen inzake gegevensbescherming verstrekken in het formulier op https://plus.emergenetics.com/#/privacyInfo and https://esp.emergenetics.com/user/profile/privacyInfo (beschikbaar na inloggen). De Opdrachtgever garandeert dat hij al deze informatie onmiddellijk zal bijwerken, indien nodig, en dat hij al deze informatie volledig en up-to-date zal houden.
  17. Geen verdere wijziging. Tenzij uitdrukkelijk anders is bepaald in dit Addendum, zijn de Partijen niet voornemens de Dienstenovereenkomst of enig ander document dat door de Partijen is ondertekend of anderszins is aangegaan, te wijzigen of aan te passen.
  18. Primaire overeenkomst. De voorwaarden van de Dienstenovereenkomst , samen met een eventueel vóór dit Addendum uitgevoerd addendum of aanvullende overeenkomst, blijven volledig van kracht. Voor zover er bepalingen van dit Addendum in strijd zijn met bepalingen in de Dienstenovereenkomst, zijn de bepalingen van dit Addendum van toepassing op het hierin beschreven onderwerp.
  19. Vertrouwelijkheid. Dit Addendum is vertrouwelijke informatie. Elke Partij stemt ermee in:
    1. dit Addendum niet bekend te maken aan derden, behalve (1) aan juridisch adviseurs of privacyconsultants die een geheimhoudingsovereenkomst hebben uitgevoerd of die onder een wettelijke geheimhoudingsplicht vallen; (2) zoals toegestaan of redelijkerwijs verwacht door dit Addendum; of (3) zoals vereist door de AVG of andere Toepasselijke wetgeving (elk een "Toegestane Bekendmaking"); en
    2. ten minste dezelfde mate van zorgvuldigheid te betrachten die elke Partij over het algemeen gebruikt om haar eigen informatie van soortgelijke aard te beschermen tegen bezit, gebruik of bekendmaking die geen Toegestane Bekendmaking is, maar in geen geval minder dan een redelijke mate van zorgvuldigheid.

Bijlage A

Beschikking C(2004)5721 van de Commissie

CATEGORIE II

Modelcontractbepalingen voor de doorgifte van persoonsgegevens van de Gemeenschap naar derde landen (doorgifte van verantwoordelijke naar verantwoordelijke)

Overeenkomst inzake gegevensoverdracht

tussen

The Browning Group International, Inc.
2 Inverness Dr East
Suite 189
Centennial, CO, 80112
U.S.A.

hierna "gegevensexporteur" genoemd

en

de Opdrachtgever, zoals gedefinieerd in het Addendum Gegevensverwerking Emergenetics (het "Addendum") hierboven

hierna "gegevensimporteur" genoemd

elk een "partij"; samen "de partijen".

Definities

Voor de toepassing van deze bepalingen:

  1. "persoonsgegevens", "bijzondere categorieën gevoelige gegevens", "verwerken/verwerking", "verantwoordelijke voor de verwerking", "verwerker", "betrokkene" en "toezichthoudende autoriteit" hebben dezelfde betekenis als in Richtlijn 95/46/EG van 24 oktober 1995 (waarbij "autoriteit" de bevoegde gegevensbeschermingsautoriteit op het grondgebied van de gegevensexporteur is);
  2. "de gegevensexporteur": de verantwoordelijke voor de verwerking die de persoonsgegevens doorgeeft;
  3. "de gegevensimporteur": de verantwoordelijke voor de verwerking die ermee instemt om persoonsgegevens te ontvangen van de gegevensexporteur voor verdere verwerking in overeenstemming met de voorwaarden van deze bepalingen en die niet onderworpen is aan een systeem voor passende bescherming van een derde land;
  4. "bepalingen": de contractbepalingen die een afzonderlijk document zijn dat geen commerciële voorwaarden bevat die door de partijen in afzonderlijke commerciële overeenkomsten zijn vastgelegd.

De details van de doorgifte (alsook de betrokken persoonsgegevens) worden in bijlage B nader gespecificeerd; die bijlage is een vast onderdeel van de bepalingen.

  1. Verplichtingen van de gegevensexporteur

    De gegevensexporteur garandeert en verbindt zich tot het volgende:

    1. De persoonsgegevens worden verzameld, verwerkt en doorgegeven overeenkomstig de wetgeving die van toepassing is op de gegevensexporteur.
    2. Er is een redelijke inspanning gedaan om vast te stellen dat de gegevensimporteur in staat is zijn wettelijke verplichtingen volgens deze bepalingen na te leven.
    3. De gegevensimporteur krijgt op verzoek kopieën van de relevante wetgeving inzake gegevensbescherming of verwijzingen daarnaar (indien relevant, en zonder juridisch advies) van het land waar de gegevensexporteur is gevestigd.
    4. Er wordt geantwoord op informatieverzoeken van de betrokkenen en van de autoriteit in verband met de verwerking van de persoonsgegevens door de gegevensimporteur, tenzij de partijen zijn overeengekomen dat de gegevensimporteur antwoordt; indien de gegevensimporteur hiertoe niet bereid of in staat is, antwoordt de gegevensexporteur binnen de mate van wat redelijkerwijs mogelijk is en verstrekt de informatie die redelijkerwijs beschikbaar is. Een antwoord wordt binnen een redelijke termijn gegeven.
    5. Op verzoek wordt een kopie van de bepalingen aan de betrokkenen ter beschikking gesteld in het kader van rechten in verband met het derdenbeding volgens bepaling III, tenzij de bepalingen vertrouwelijke informatie bevatten, die dan mag worden verwijderd. Indien gegevens worden verwijderd, stelt de gegevensexporteur de betrokkenen daarvan schriftelijk in kennis en wijst hij hen op het recht om deze verwijdering bij de autoriteit te melden. De gegevensexporteur verbindt zich er evenwel toe zich te richten naar een besluit van de autoriteit inzake de toegang tot de volledige tekst van de bepalingen voor de betrokkenen, mits de betrokkenen zich ertoe verbinden de vertrouwelijkheid van de verwijderde gegevens te respecteren. Indien nodig verstrekt de gegevensexporteur tevens een kopie van de bepalingen aan de autoriteit.

  2. Verplichtingen van de gegevensimporteur

    De gegevensimporteur garandeert en verbindt zich tot het volgende:

    1. Er wordt voorzien in de nodige technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing, ongeoorloofde verspreiding of toegang, en die een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen.
    2. Er wordt in procedures voorzien om te garanderen dat elke derde partij die toegang krijgt tot de persoonsgegevens, met inbegrip van verwerkers, de vertrouwelijkheid en veiligheid ervan respecteert. Elke persoon die onder de verantwoordelijkheid van de gegevensimporteur handelt, met inbegrip van een verwerker, is verplicht de persoonsgegevens alleen volgens de instructies van de gegevensimporteur te verwerken. Deze bepaling is niet van toepassing op personen die bij wet of regelgeving geautoriseerd of verplicht zijn om toegang te hebben tot de persoonsgegevens.
    3. Er is geen reden om aan te nemen dat op het ogenblik dat deze bepalingen worden toegepast, enige lokale wetgeving van kracht is die een belangrijk negatief effect zou hebben op de garanties van deze bepalingen; indien het bestaan van dergelijke wetgeving bekend wordt, wordt de gegevensexporteur daarvan in kennis gesteld, die op zijn beurt indien nodig de autoriteit inlicht.
    4. De persoonsgegevens worden verwerkt voor de toepassingen als beschreven in bijlage B, en de gegevensimporteur bezit de wettelijke bevoegdheid om de in deze bepalingen genoemde garanties te verstrekken en verbintenissen na te komen.
    5. De gegevensimporteur vertelt aan de gegevensexporteur welke contactpersoon bevoegd is om informatieverzoeken met betrekking tot de verwerking van persoonsgegevens uit te voeren; in verband met deze informatieverzoeken wordt te goeder trouw en binnen een redelijke termijn gezorgd voor een goede samenwerking met de gegevensexporteur, de betrokkene en de autoriteit. Wanneer de gegevensexporteur wettelijk wordt opgeheven, of indien de partijen zodanig overeenkomen, neemt de gegevensimporteur de verantwoordelijkheid over voor de naleving van bepaling I, onder (e).
    6. Op verzoek van de gegevensexporteur wordt aan deze documentatie overgelegd waaruit blijkt dat er voldoende financiële middelen beschikbaar zijn voor de naleving van de in bepaling III opgesomde verantwoordelijkheden (eventueel inclusief verzekeringskosten).
    7. Op redelijk verzoek van de gegevensexporteur worden met het oog op controle, audit en/of certificering door de gegevensexporteur (of een door de gegevensexporteur gekozen en door de gegevensimporteur geaccepteerde groep onafhankelijke en onpartijdige inspecteurs of auditeurs) het gegevensverwerkingssysteem, de gegevensbestanden en de voor de verwerking noodzakelijke documentatie opengesteld om na te gaan of alle garanties en verbintenissen van deze bepalingen worden nageleefd; zulks met een redelijke aankondiging vooraf en tijdens gewone kantooruren. Dit verzoek moet eventueel door een regelgevende of toezichthoudende autoriteit in het land van de gegevensimporteur worden toegestaan of goedgekeurd; deze toestemming of goedkeuring wordt door de gegevensimporteur tijdig aangevraagd.
    8. De persoonsgegevens worden naar keuze van de gegevensimporteur overeenkomstig de volgende bepalingen verwerkt:
      1. de wetgeving inzake gegevensbescherming in het land van vestiging van de gegevensexporteur; of
      2. de relevante bepalingen[1] van besluiten van de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG, wanneer de gegevensimporteur de relevante bepalingen van een dergelijke toestemming of een dergelijk besluit naleeft en gevestigd is in een land waarop dergelijke toestemming of dergelijk besluit betrekking heeft, maar niet is gedekt door dergelijke toestemming of dergelijk besluit wat de doorgifte van persoonsgegevens betreft[2], of
      3. de beginselen voor gegevensverwerking neergelegd in bijlage A.

      Gegevensimporteur geeft aan welke optie hij selecteert: sectie II(h)(iii);
    9. De persoonsgegevens worden niet bekendgemaakt of doorgegeven aan een derde voor de verwerking verantwoordelijke buiten de Europese Economische Ruimte (EER), tenzij de gegevensexporteur over de doorgifte wordt ingelicht en
      1. de derde voor de verwerking verantwoordelijke de persoonsgegevens verwerkt overeenkomstig de bepalingen van een besluit van de Commissie waarin wordt vastgesteld dat een derde land passende bescherming biedt, of
      2. de derde voor de verwerking verantwoordelijke deze bepalingen of een andere door een bevoegde autoriteit in de Europese Unie goedgekeurde overeenkomst inzake doorgifte van gegevens ondertekent, of
      3. de betrokkenen de mogelijkheid is geboden zich te verzetten, na te zijn geïnformeerd van het doel van de doorgifte, de categorieën ontvangers en het feit dat de landen waarnaar de gegevens worden geëxporteerd er eventueel andere normen voor gegevensbescherming op na houden, of
      4. de betrokkenen ondubbelzinnig hebben ingestemd met de verdere doorgifte van gevoelige gegevens

  3. Aansprakelijkheid en de rechten van derde partijen


    1. Elke partij is aansprakelijk tegenover de andere partij voor schade die door niet-naleving van deze bepalingen wordt toegebracht. De aansprakelijkheid tussen de partijen blijft beperkt tot werkelijk opgelopen schade. Schadevergoedingen met een bestraffend karakter (d.w.z. schadevergoedingen bedoeld om een partij voor onacceptabele handelswijzen te bestraffen) zijn uitdrukkelijk uitgesloten. Elke partij is aansprakelijk tegenover de betrokkenen voor schade toegebracht door inbreuken op de rechten van derde partijen krachtens deze bepalingen. Dit heeft geen gevolgen voor de aansprakelijkheid van de gegevensexporteur krachtens diens eigen wetgeving inzake gegevensbescherming.
    2. De partijen stemmen ermee in dat een betrokkene in het kader van het derdenbeding het recht heeft om de toepassing van deze bepaling, alsook van de bepalingen I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) en VII tegenover de gegevensimporteur of -exporteur bij niet naleving van hun respectieve contractuele verplichtingen inzake zijn persoonsgegevens af te dwingen, en zij aanvaarden in dit verband de rechtsbevoegdheid van het land van vestiging van de gegevensexporteur. Bij klachten over niet-naleving door de gegevensimporteur moet de betrokkene eerst de gegevensexporteur verzoeken de nodige actie te ondernemen om zijn rechten tegenover de gegevensimporteur te doen gelden; indien dit niet binnen een redelijke termijn gebeurt (onder normale omstandigheden één maand), kan de betrokkene zijn rechten tegenover de gegevensimporteur direct doen gelden. De betrokkene heeft het recht rechtstreeks een zaak aan te spannen tegen een gegevensexporteur die niet voldoende inspanningen heeft gedaan om te bepalen of de gegevensimporteur aan zijn verplichtingen volgens deze bepalingen kan voldoen (waarbij de bewijslast bij de gegevensexporteur ligt).
  4. Op de bepalingen toepasselijke wetgeving


    Op deze bepalingen is de wetgeving van het land van vestiging van de gegevensexporteur van toepassing, met uitzondering van de wetten en regelingen in verband met de verwerking van persoonsgegevens door de gegevensimporteur volgens bepaling II, onder (h), die alleen van toepassing is indien hiervoor in het kader van deze bepaling door de gegevensimporteur is geopteerd.

  5. Geschillenregeling met betrokkenen of de autoriteit


    1. Indien een geschil ontstaat of door een betrokkene of de autoriteit tegen één of beide partijen een eis wordt ingesteld inzake de verwerking van persoonsgegevens, lichten de partijen elkaar wederzijds in over dit geschil of deze eis en werken zij samen met het oog op een spoedige minnelijke schikking ervan.
    2. De partijen stemmen ermee in mee te werken met elke algemeen-beschikbare niet-bindende bemiddelingsprocedure die door een betrokkene of de autoriteit wordt ingeleid. Daarbij kunnen de partijen kiezen voor medewerking op afstand (bv. via telefoon of andere elektronische middelen). De partijen zeggen ook toe hun deelname aan andere vormen van arbitrage, bemiddeling of geschillenbeslechting die voor geschillen inzake gegevensbescherming zijn ontwikkeld, in overweging te nemen.
    3. Elke partij voegt zich naar een besluit van een bevoegde rechtbank in het land van vestiging van de gegevensexporteur of van de autoriteit, wanneer dit definitief is en ertegen geen beroep meer mogelijk is.
  6. Beëindiging


    1. Indien de gegevensimporteur zijn verplichtingen krachtens deze bepalingen niet naleeft, kan de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur tijdelijk opschorten tot de inbreuk ongedaan is gemaakt of de overeenkomst beëindigd.
    2. In het geval dat:br />
      1. de doorgifte van persoonsgegevens aan de gegevensimporteur door de gegevensexporteur overeenkomstig punt (a) voor een periode langer dan een maand tijdelijk is opgeschort;
      2. de naleving van deze bepalingen door de gegevensimporteur een inbreuk zou vormen op de wettelijke of regelgevende verplichtingen in zijn land;
      3. de gegevensimporteur in belangrijke en voortdurende mate in gebreke blijft ten aanzien van garanties of verbintenissen krachtens deze bepalingen;
      4. een definitief en niet voor beroep vatbaar besluit van een bevoegde rechtbank in het land van vestiging van de gegevensexporteur of van de autoriteit vaststelt dat de gegevensimporteur of -exporteur deze bepalingen heeft overtreden; of
      5. een aanvraag is gedaan voor een akkoord of liquidatie met betrekking tot de gegevensimporteur, hetzij als individu of instelling, en deze aanvraag niet binnen de daartoe in de toepasselijke wetgeving vastgestelde termijn wordt afgewezen; een besluit tot liquidatie wordt genomen; een curator wordt aangesteld over de bezittingen; een faillissementsbeheerder wordt aangewezen, indien de gegevensimporteur een individuele persoon is; een vrijwillige schikking door het bedrijf wordt opgestart; of enige andere equivalente gerechtelijke maatregel wordt getroffen

      dan heeft de gegevensexporteur het recht om deze bepalingen te beëindigen, ongeacht enige andere rechten die hij tegenover de gegevensimporteur kan doen gelden, en wordt indien nodig de autoriteit hiervan op de hoogte gesteld. Ook in de gevallen bestreken door de bepalingen i), ii), of iv) hierboven, kan de gegevensimporteur aan deze bepalingen een einde stellen.
    3. Elke partij kan deze bepalingen beëindigen indien i) door de Commissie een positieve vaststelling van gepastheid wordt uitgevaardigd krachtens artikel 25, lid 6, van Richtlijn 95/46/EG (of enige tekst die deze richtlijn vervangt) voor het land (of een deel daarvan) waarnaar de gegevens worden doorgegeven en waar zij door de gegevensimporteur worden verwerkt, of indien ii) Richtlijn 95/46/EG (of enige tekst die deze richtlijn vervangt) rechtstreeks van toepassing wordt in een land.
    4. De partijen stemmen ermee in dat de beëindiging van deze bepalingen, om het even wanneer, om het even in welke omstandigheden, en om het even om welke reden (behalve om de reden van bepaling VI(c), geen afbreuk doet aan de verplichtingen en/of voorwaarden waaraan de partijen krachtens deze bepalingen onderworpen zijn inzake de verwerking van doorgegeven persoonsgegevens.
  7. Wijziging van deze bepalingen


    De partijen mogen deze bepalingen niet wijzigen behalve ter actualisering van de informatie in bijlage B; in dat geval lichten zij de autoriteit daarvan indien nodig in. Dit hindert de partijen niet indien nodig aanvullende commerciële bepalingen toe te voegen.
  8. Beschrijving van de doorgifte


    De details van de doorgifte en van de persoonsgegevens worden in bijlage B nader toegelicht. De partijen stemmen ermee in dat bijlage B vertrouwelijke bedrijfsinformatie kan bevatten die niet aan derde partijen wordt bekendgemaakt, behalve als dit bij wet of op verzoek van een bevoegd regelgevend of overheidsorgaan, of als vereist bij bepaling I(e), wordt verlangd. De partijen kunnen aanvullende bijlagen opstellen voor aanvullende doorgiften, die zo nodig bij de autoriteit worden ingediend. Een andere mogelijkheid is dat bijlage B wordt opgesteld voor meervoudige doorgiften. Een andere mogelijkheid is dat bijlage B wordt opgesteld voor meervoudige doorgiften.

BIJLAGE A

BEGINSELEN VOOR DE VERWERKING VAN GEGEVENS

  1. Beperking van het doel: Persoonsgegevens mogen alleen worden verwerkt en daarna gebruikt of verder doorgegeven voor de in bijlage B beschreven doeleinden, of indien de betrokkene daar achteraf toestemming toe geeft.
  2. Kwaliteit en evenredigheid van de gegevens: De persoonsgegevens moeten correct en zo nodig bijgewerkt zijn. De persoonsgegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden doorgegeven of verder verwerkt.
  3. Transparantie: De betrokkenen moeten worden geïnformeerd om een correcte verwerking te waarborgen (zoals informatie over de doeleinden van de verwerking en doorgifte), tenzij deze informatie reeds door de gegevensexporteur is verstrekt.
  4. Veiligheid en vertrouwelijkheid: De voor de verwerking verantwoordelijke neemt technische en organisatorische beveiligingsmaatregelen die zijn afgestemd op de risico’s, zoals vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing, ongeoorloofde bekendmaking of toegang. Een ieder die onder het gezag van de voor de verwerking verantwoordelijke staat, met inbegrip van een verwerker, mag alleen volgens zijn instructies gegevens verwerken.
  5. Recht van toegang, rectificatie, verwijdering en bezwaar: zoals bepaald in artikel 12 van richtlijn 95/46/EG moet de persoonlijke informatie die over een persoon wordt bijgehouden door een organisatie, rechtstreeks of via een derde partij worden verstrekt aan deze persoon. Dit geldt niet voor duidelijk abusieve verzoeken (onredelijke termijnen, steeds herhaald, systematisch) of waaraan krachtens de wetgeving in het land van de gegevensexporteur niet tegemoetgekomen kan worden. Indien de autoriteit hier vooraf mee heeft ingestemd, hoeft de toegang ook niet te worden verleend indien daardoor de belangen van de gegevensimporteur of van andere met de gegevensimporteur samenwerkende organisaties ernstig zouden kunnen worden geschaad en indien deze belangen niet moeten wijken voor de fundamentele rechten en vrijheden van de betrokkene. De bronnen van de persoonsgegevens hoeven niet te worden geïdentificeerd indien dit niet redelijkerwijs mogelijk is, of wanneer de rechten van andere personen erdoor worden geschonden. De betrokkenen moeten hun persoonsgegevens kunnen rectificeren, aanvullen of wissen wanneer deze niet correct zijn of tegen deze beginselen in zijn verwerkt. Indien er dwingende redenen zijn om aan de gegrondheid van een verzoek te twijfelen, kan de organisatie verder bewijsmateriaal eisen alvorens over te gaan tot rectificatie, aanvulling of verwijdering. De rectificatie, wijziging of verwijdering hoeft niet te worden medegedeeld aan de derde partijen aan wie de gegevens zijn doorgegeven, indien dit een onevenredig grote inspanning vergt. De betrokkenen moeten ook in staat worden gesteld bezwaar te maken tegen de verwerking van de eigen persoonsgegevens indien daar dwingende rechtmatige persoonlijke gronden toe bestaan. De bewijslast in geval van weigering ligt bij de gegevensimporteur, en de betrokkene kan de weigering steeds bij de autoriteit aanvechten.
  6. Gevoelige gegevens: De gegevensimporteur neemt de nodige aanvullende maatregelen (bijv. i.v.m. beveiliging) om gevoelige gegevens overeenkomstig de verplichtingen van bepaling II te beschermen.
  7. Gegevens gebruikt voor marketingdoeleinden: Indien gegevens worden verwerkt met directe marketingdoeleinden, moeten er doeltreffende procedures bestaan om de betrokkene in staat te stellen op elk moment voor een "opt-out" te kiezen.
  8. Geautomatiseerde besluiten: Met "geautomatiseerde besluiten" wordt hier bedoeld: een besluit door de gegevensexporteur of -importeur dat wettelijke of andere significante gevolgen heeft voor de betrokkene en dat uitsluitend gebaseerd is op een automatische verwerking van de persoonsgegevens ter evaluatie van persoonlijke aspecten, zoals prestaties op het werk, kredietwaardigheid, betrouwbaarheid, gedrag enz. De gegevensimporteur neemt geen geautomatiseerde besluiten in verband met de betrokkenen, behalve indien:
      1. een dergelijk besluit door de gegevensimporteur wordt getroffen naar aanleiding van het aangaan of de uitvoering van een overeenkomst met de betrokkene, en
      2. de betrokkene de gelegenheid krijgt de resultaten van een geautomatiseerd besluit te bespreken met een vertegenwoordiger van de partij die dit besluit trof, of anderszins bij deze partij bezwaar aan te tekenen.
    1. of

    2. b) hierin is voorzien door de wetgeving van de gegevensexporteur.

BIJLAGE B

BESCHRIJVING VAN DE DOORGIFTE

Door het aangaan van de Modelcontractbepalingen, overeenkomstig Sectie 12 van het Addendum, worden partijen geacht deze bijlage B te hebben ondertekend.

Betrokkenen
De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen:
de doorgegeven persoonsgegevens betreffen doorgaans de personen die worden geëvalueerd of beoordeeld via het Emergenetics Platform.

Doel van de overdracht(en)
De overdracht gebeurt voor de volgende doeleinden:
de gegevensimporteur in staat stellen de Emergenetics-diensten namens de gegevensexporteur aan te bieden en/of verstrekken.

Gegevenscategorieën
De overgedragen persoonsgegevens hebben doorgaans betrekking op de volgende gegevenscategorieën:
persoonlijke gegevens omvatten doorgaans biografische gegevens, contactgegevens, learning/management en evaluatieresultaten van persoonlijkheidsstijlen.

Ontvangers
De doorgegeven persoonsgegevens mogen alleen aan de volgende ontvangers of categorieën ontvangers worden doorgegeven:
partijen die dergelijke persoonsgegevens nodig hebben om de levering van de Emergenetics-diensten te vergemakkelijken.

Beide partijen zorgen voor contactpunten voor vragen inzake gegevensbescherming, zoals vermeld in het Addendum.


[1] Met "relevante bepalingen" wordt bedoeld: de bepalingen van een toestemming of besluit behalve de bepalingen inzake handhaving van een toestemming of besluit (die geregeld worden door deze bepalingen).

[2] De bepalingen van bijlage A.5 m.b.t. recht van toegang, rectificatie, uitwissing en verzet moeten in dit geval echter worden toegepast; zij hebben voorrang op alle eventuele vergelijkbare bepalingen van het gekozen besluit van de Commissie.