Overeenkomstig artikel 28, lid 3, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (de AVG) met als doel de verwerking van persoonsgegevens door de verwerker te reguleren, is deze Data Processing Agreement (Overeenkomst inzake gegevensverwerking) een bijlage bij de Gebruiksvoorwaarden tussen het Shine Platform en de abonnee.
De Overeenkomst inzake gegevensverwerking wordt door de verwerkingsverantwoordelijke als ondertekend beschouwd bij het ondertekenen van de Gebruiksvoorwaarden.
"Verwerker" betekent het Shine Platform zoals gedefinieerd in de Gebruiksvoorwaarden, wat staat voor het bedrijf binnen de Shine Group waarmee de klant de Gebruiksvoorwaarden is aangegaan.
"Verwerkingsverantwoordelijke" betekent de klant van het Shine Platform.
De huidige versie van dit document is van toepassing vanaf 2025-10-07. Eerdere versies kunnen hier worden bekeken.
Door gebruik te maken van de Diensten en van de beschikbare aanvullende functies of integraties met betrekking tot het platform (hierna de "Diensten" genoemd), is de Verwerker verantwoordelijk voor de verwerking van persoonsgegevens op het Platform.
De Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke en in overeenstemming met het Persoonsgegevensbeleid van de Verwerker, op voorwaarde dat een dergelijk beleid niet in strijd is met de instructies van de Verwerkingsverantwoordelijke onder deze Overeenkomst of de AVG.
Deze Data Processing Agreement (Overeenkomst inzake gegevensverwerking) wordt door de Partijen gesloten zodat beide Partijen kunnen voldoen aan de nationale wetgeving inzake gegevensbescherming, inclusief de AVG, evenals de bescherming van het privéleven en de fundamentele rechten van natuurlijke personen. De Data Processing Agreement schetst de instructies op basis waarvan de Verwerker persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
De Data Processing Agreement maakt gebruik van de definities zoals vermeld in de nationale wetgeving inzake gegevensbescherming en de AVG.
De Verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de AVG, zie artikel 24, en de nationale regels inzake gegevensbescherming.
De Verwerkingsverantwoordelijke is gerechtigd en verplicht om beslissingen te nemen met betrekking tot het/de doel(en) en de technische hulpmiddelen die worden gebruikt voor de verwerking van persoonsgegevens. Bovendien is de Verwerkingsverantwoordelijke verantwoordelijk voor het waarborgen van een wettelijke basis voor de verwerking en overdracht van persoonsgegevens die de Verwerker moet uitvoeren.
Als de Verwerkingsverantwoordelijke moet hij alle informatieplichten jegens de betrokkenen vervullen met betrekking tot de verwerking van hun persoonsgegevens, evenals het verstrekken van de relevante garanties met betrekking tot alle technische en veiligheidsmaatregelen ter bescherming van de persoonsgegevens van de betrokkenen.
Door het Platform te gebruiken, is de Verwerkingsverantwoordelijke als enige verantwoordelijk voor het verstrekken van de persoonsgegevens die zijn gespecificeerd in Bijlage A, en om de verwerking van gegevens buiten de specificatie daarin te beperken, inclusief speciale categorieën persoonsgegevens zoals gespecificeerd in artikel 9 van de AVG.
De Verwerkingsverantwoordelijke geeft de Verwerker expliciete toestemming om te handelen als een Account Information Service Provider (AISP), in overeenstemming met de toepasselijke nationale wetgeving ter uitvoering van Richtlijn (EU) 2015/2366 betreffende betalingsdiensten in de interne markt (PSD2).
Deze toestemming is noodzakelijk voor de Verwerker om toegang te krijgen tot en persoonsgegevens te verwerken die zijn opgehaald van de betaalrekeningen van de Verwerkingsverantwoordelijke, uitsluitend met als doel de gevraagde diensten te leveren, zoals rekeningaggregatie, transactiegeschiedenis en financiële automatiseringsfunctionaliteiten.
De Verwerkingsverantwoordelijke kan deze toestemming op elk moment intrekken. Bij een dergelijke intrekking worden de gerelateerde Account Information Services automatisch beëindigd, en staakt de Verwerker alle bijbehorende verwerkingsactiviteiten, tenzij anders toegestaan of vereist onder de toepasselijke wetgeving.
De Verwerker zorgt ervoor dat de toegang tot rekeninginformatie beperkt is tot wat strikt noodzakelijk is voor de uitvoering van de gevraagde dienst en dat alle verwerking wordt uitgevoerd in overeenstemming met de AVG en relevante nationale betalingsregelgeving.
De Verwerker mag persoonsgegevens alleen verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, en verwerkt deze namens de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke instrueert de Verwerker om persoonsgegevens te verwerken i) in overeenstemming met de toepasselijke wetgeving, ii) om zijn verplichtingen zoals vermeld in de overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker te vervullen, en iii) zoals beschreven in deze Overeenkomst.
De Verwerker is verantwoordelijk voor het melden aan de Verwerkingsverantwoordelijke indien een instructie, naar de mening van de Verwerker, in strijd is met de AVG of nationale wetgeving inzake gegevensbescherming.
In het geval dat de Verwerker beoordeelt dat een instructie van de Verwerkingsverantwoordelijke illegaal is of in strijd is met de toepasselijke wetgeving, is de Verwerker verplicht de Verwerkingsverantwoordelijke te informeren, die de instructie tijdig moet corrigeren. Indien de Verwerkingsverantwoordelijke de instructie niet kan corrigeren, is de Verwerker gerechtigd de dienstenovereenkomst tussen de Partijen te beëindigen.
De Verwerker assisteert de Verwerkingsverantwoordelijke bij het implementeren van passende technische en veiligheidsmaatregelen, rekening houdend met de aard van de verwerking en de categorie van persoonsgegevens.
Bovendien assisteert de Verwerker de Verwerkingsverantwoordelijke bij verzoeken van betrokkenen met betrekking tot de uitoefening van hun rechten in de AVG. De Verwerker reageert niet op deze verzoeken tenzij geautoriseerd door de Verwerkingsverantwoordelijke.
Op verzoek van de Verwerkingsverantwoordelijke met betrekking tot informatie of assistentie ten aanzien van de veiligheidsmaatregelen van de Verwerkingsverantwoordelijke of de verwerking van persoonsgegevens in het algemeen, en indien een dergelijk verzoek verder gaat dan wat noodzakelijk is in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming, is de Verwerker gerechtigd betalingen te eisen voor dergelijke verdere diensten.
De Verwerker waarborgt vertrouwelijkheid met betrekking tot de verwerking van persoonsgegevens, inclusief de werknemers van de Verwerkingsverantwoordelijke. Dit is van toepassing na beëindiging van de Data Processing Agreement.
De Verwerker is niet aansprakelijk voor enige indirecte, incidentele, speciale, gevolgschade of punitieve schade, inclusief verlies van winst, omzet of gegevens, zelfs indien geadviseerd over de mogelijkheid van dergelijke schade.
De totale gezamenlijke aansprakelijkheid van de Verwerker die voortvloeit uit of in verband met deze Overeenkomst, hetzij uit contract, onrechtmatige daad of anderszins, is beperkt tot het totale bedrag dat door de Verwerkingsverantwoordelijke aan de Verwerker is betaald onder de Gebruiksvoorwaarden gedurende de twaalf (12) maanden voorafgaand aan de gebeurtenis die aanleiding gaf tot de claim.
Deze beperking is van toepassing ongeacht het aantal of de aard van de claims, en ongeacht de oorzaak van de actie, behalve in het geval van opzettelijk wangedrag of grove nalatigheid door de Verwerker, bewezen in een bevoegde rechtbank.
De Verwerker moet voldoen aan de voorwaarden zoals vermeld in artikel 28 (2) en (4) van de AVG om een andere gegevensverwerker (subverwerkers) te gebruiken.
De Verwerker gebruikt subverwerkers, inclusief entiteiten binnen de Shine Group en externe providers binnen of buiten de EU/EER, om zijn Diensten te leveren.
De Verwerker heeft dataverwerkingsovereenkomsten met alle subverwerkers, en een uitputtende lijst hiervan is te vinden in Bijlage B. De Verwerker zorgt ervoor dat alle subverwerkers voldoen aan de overeenkomstige verplichting en vereisten in deze Data Processing Agreement en de wetgeving inzake gegevensbescherming.
Deze Overeenkomst wordt beschouwd als de algemene schriftelijke autorisatie van de Verwerkingsverantwoordelijke voor het gebruik van subverwerkers, in overeenstemming met artikel 28, lid 2, AVG.
De Verwerker draagt gegevens over aan partners als onderdeel van de verleende dienst aan de Verwerkingsverantwoordelijke. Door de voorwaarden van de dienstenovereenkomst te accepteren, wordt de Verwerkingsverantwoordelijke geïnformeerd dat partners van de Verwerker de persoonsgegevens zullen ontvangen om een aanbod te doen voor de serviceaanvraag van de Verwerkingsverantwoordelijke.
Bij de overdracht van persoonsgegevens buiten de EU/EER, zorgt de Verwerker ervoor dat dergelijke overdrachten worden uitgevoerd in overeenstemming met Hoofdstuk V van de AVG en dat een adequaat beschermingsniveau wordt gegarandeerd.
De Verwerker kan zich beroepen op verschillende wettelijke overdrachtsmechanismen die onder de AVG zijn voorzien, inclusief, maar niet beperkt tot:
Indien vereist, implementeert de Verwerker aanvullende technische, organisatorische en contractuele maatregelen om ervoor te zorgen dat de overgedragen persoonsgegevens een beschermingsniveau ontvangen dat in wezen gelijkwaardig is aan dat wat binnen de EU/EER wordt gegarandeerd.
Als de Verwerker de subverwerkers wijzigt, wordt de Verwerkingsverantwoordelijke op de hoogte gebracht en heeft hij het recht om zich tegen een dergelijke wijziging van subverwerkers te verzetten indien de nieuwe subverwerker persoonsgegevens niet verwerkt in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.
Als de Verwerkingsverantwoordelijke bezwaar maakt tegen het gebruik van een nieuwe subverwerker op redelijke en gedocumenteerde gronden inzake gegevensbescherming, zullen de Partijen in goed vertrouwen gesprekken aangaan om de zaak op te lossen. Indien er binnen dertig (30) dagen geen oplossing wordt bereikt, behoudt de Verwerker zich het recht voor om de subverwerker te blijven gebruiken, tenzij de Verwerkingsverantwoordelijke ervoor kiest om het relevante deel van de diensten dat door het bezwaar wordt beïnvloed, te beëindigen.
Beëindiging geeft geen aanleiding tot enige compensatie, schadevergoeding of aansprakelijkheid van de kant van de Verwerker.
De Verwerker is verantwoordelijk voor het eisen van de naleving van de verplichtingen van de Verwerker zoals vermeld in deze Data Processing Agreement, evenals de AVG, van de subverwerkers.
Op redelijk verzoek verstrekt de Verwerker aan de Verwerkingsverantwoordelijke relevante informatie die aantoont dat de subverwerkers onderworpen zijn aan gelijkwaardige verplichtingen inzake gegevensbescherming, inclusief een samenvatting of een uittreksel van de gegevensbeschermingsclausules van de subverwerkingscontracten, waar nodig om de naleving aan te tonen. Volledige kopieën van subverwerkingscontracten zijn niet vereist, tenzij dit verplicht is volgens de toepasselijke wetgeving of een toezichthoudende autoriteit.
In geval van een schending van de gegevensbeschermingsregels door een van de subverwerkers, is de Verwerker volledig verantwoordelijk voor het waarborgen dat de subverwerker zijn verplichtingen jegens de Verwerkingsverantwoordelijke nakomt.
De Verwerkingsverantwoordelijke erkent en accepteert dat de Verwerker andere entiteiten binnen de Shine Group, inclusief aangesloten bedrijven, moedermaatschappijen en dochterondernemingen, toegang kan verlenen tot de persoonsgegevens die onder deze Overeenkomst worden verwerkt, voor zover dit noodzakelijk is voor de prestatie, het onderhoud, de beveiliging en de verbetering van de Diensten.
Deze groepsentiteiten kunnen binnen of buiten de EU/EER opereren. In dergelijke gevallen zorgt de Verwerker ervoor dat alle gegevensoverdrachten voldoen aan Hoofdstuk V van de AVG en dat passende waarborgen aanwezig zijn. Een lijst van relevante groepsentiteiten en hun rollen kan op verzoek aan de Verwerkingsverantwoordelijke ter beschikking worden gesteld.
Toegang door groepsentiteiten wordt niet beschouwd als het gebruik van nieuwe subverwerkers die een afzonderlijke kennisgeving vereisen.
De Verwerker mag alleen toegang verlenen tot de persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt aan personen onder het gezag van de Verwerker die zich tot vertrouwelijkheid hebben verplicht.
Op verzoek van de Verwerkingsverantwoordelijke moet de Verwerker vertrouwelijkheidsmaatregelen aantonen voor de betreffende personen.
De Verwerkingsverantwoordelijke is verantwoordelijk voor het definiëren van de algemene beveiligingsvereisten, en de Verwerker zal de maatregelen dienovereenkomstig implementeren.
De Verwerker implementeert passende technische en organisatorische maatregelen zoals vereist door artikel 32, rekening houdend met de stand van de techniek, de kosten van implementatie, en de specifieke risico's die verbonden zijn aan de verwerkingshandelingen die hij namens de Verwerkingsverantwoordelijke uitvoert.
Op gedocumenteerd verzoek assisteert de Verwerker de Verwerkingsverantwoordelijke, binnen de reikwijdte van de verwerkingsactiviteiten onder deze Overeenkomst en voor zover redelijkerwijs mogelijk, bij het waarborgen van naleving van de verplichtingen onder artikel 32 AVG.
De Verwerker mag persoonsgegevens alleen overdragen aan een derde land of een internationale organisatie op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, en altijd in overeenstemming met Hoofdstuk V van de AVG.
De Verwerker mag dergelijke overdrachten uitvoeren indien vereist door het recht van de Unie of de lidstaat waaraan de Verwerker is onderworpen. In dergelijke gevallen informeert de Verwerker de Verwerkingsverantwoordelijke over de wettelijke vereiste voorafgaand aan de verwerking, tenzij een dergelijke openbaarmaking verboden is om redenen van openbaar belang onder de toepasselijke wetgeving.
De Verwerker handhaaft documentatie van de instructies van de Verwerkingsverantwoordelijke in de volgende situaties:
De Verwerkingsverantwoordelijke erkent en accepteert, door de ondertekening van deze Overeenkomst, het gebruik door de Verwerker van subverwerkers in derde landen zoals vermeld in Bijlage B. De Verwerker zorgt ervoor dat al dergelijke overdrachten berusten op een geldig overdrachtsmechanisme onder Hoofdstuk V van de AVG, dat kan omvatten:
Indien vereist, implementeert de Verwerker aanvullende technische, organisatorische of contractuele maatregelen om ervoor te zorgen dat het beschermingsniveau van persoonsgegevens in wezen gelijkwaardig is aan dat binnen de EU/EER, in overeenstemming met toepasselijke juridische richtlijnen (bijv. EDPB-aanbevelingen en verwachtingen van nationale regelgevers).
De Verwerker kan niet aansprakelijk worden gesteld voor overdrachten die worden uitgevoerd in overeenstemming met de instructies van de Verwerkingsverantwoordelijke en de vereisten van Hoofdstuk V van de AVG, tenzij de Verwerker heeft nagelaten de overeengekomen waarborgen te implementeren. Eventuele verplichtingen met betrekking tot de beoordeling van het juridische kader in het land van bestemming of de uitvoering van een overdrachts-impactbeoordeling (TIA) worden gezamenlijk gecoördineerd door de Partijen, waarbij de Verwerkingsverantwoordelijke de primaire verantwoordelijkheid draagt voor de beslissing om door te gaan.
De Verwerker is schriftelijke dataverwerkingsovereenkomsten aangegaan met alle subverwerkers en heeft ervoor gezorgd dat alle relevante waarborgen en contractuele verplichtingen aanwezig zijn om naleving van de toepasselijke wetgeving inzake gegevensbescherming in de context van gegevensoverdrachten buiten de EU/EER te garanderen.
De Verwerker assisteert de Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt, bij het nakomen van de verplichtingen van de Verwerkingsverantwoordelijke onder de toepasselijke wetgeving inzake gegevensbescherming, inclusief de AVG en relevante nationale wetgeving in Frankrijk, Duitsland, Nederland en Denemarken.
Dergelijke assistentie kan, op schriftelijk en gedocumenteerd verzoek van de Verwerkingsverantwoordelijke, het volgende omvatten:
De Verwerker zal niet rechtstreeks reageren op betrokkenen of communiceren met een toezichthoudende autoriteit, tenzij expliciet schriftelijk geïnstrueerd door de Verwerkingsverantwoordelijke. Enige assistentie die verder gaat dan wat strikt vereist is onder artikel 28 van de AVG kan onderhevig zijn aan aanvullende vergoeding zoals overeengekomen tussen de Partijen.
De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens die de persoonsgegevens die onder deze Overeenkomst worden verwerkt, beïnvloedt.
De kennisgeving omvat, voor zover bekend op dat moment, relevante informatie om de Verwerkingsverantwoordelijke te assisteren bij het vervullen van zijn verplichtingen onder artikel 33 en, indien van toepassing, artikel 34 van de AVG.
De Verwerker verleent redelijke medewerking en assistentie aan de Verwerkingsverantwoordelijke bij het onderzoek en de beperking van de inbreuk en bij de voorbereiding van eventuele vereiste kennisgevingen aan toezichthoudende autoriteiten of betrokkenen, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.
Als de inbreuk waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van natuurlijke personen, assisteert de Verwerker de Verwerkingsverantwoordelijke bij het voorbereiden van eventuele communicatie aan de getroffen betrokkenen, zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming.
Bij beëindiging van de dienst die de verwerking van persoonsgegevens omvat, is de Verwerker verplicht alle persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt, te wissen en aan de Verwerkingsverantwoordelijke te bevestigen dat de persoonsgegevens zijn gewist.
Het bovenstaande is niet van toepassing als EU- of nationale wetgeving opslag van persoonsgegevens na beëindiging van de dienst vereist. Bovendien is het bovenstaande niet van toepassing op persoonsgegevens die door de Verwerker als Verwerkingsverantwoordelijke worden verwerkt in de klantrelatie tussen de Partijen. Dit omvat opslag in overeenstemming met speciale wetgeving, inclusief de Deense boekhoudwetgeving.
De Verwerker verstrekt aan de Verwerkingsverantwoordelijke, op verzoek, de informatie die strikt noodzakelijk is om naleving aan te tonen van de verplichtingen uiteengezet in deze Overeenkomst en onder de toepasselijke wetgeving inzake gegevensbescherming, inclusief de AVG.
De Verwerker verleent ook toegang aan bevoegde toezichthoudende autoriteiten tot zijn faciliteiten of documentatie, indien vereist door de toepasselijke wetgeving.
De Verwerker behoudt zich het recht voor om deze Overeenkomst inzake gegevensverwerking op elk moment te wijzigen. De Verwerkingsverantwoordelijke wordt van dergelijke wijzigingen per e-mail of via het platform op de hoogte gesteld.
Met uitzondering van wijzigingen met betrekking tot subverwerkers die worden geregeld door Bijlage B van de Overeenkomst inzake gegevensverwerking, zijn wijzigingen in deze Overeenkomst inzake gegevensverwerking van toepassing op de Verwerkingsverantwoordelijke, zelfs als zijn overeenkomst voorafging aan de wijzigingen, vijftien (15) dagen nadat de kennisgeving is verstrekt.
Als de wijzigingen de Verwerkingsverantwoordelijke wezenlijk benadelen en niet vereist zijn door toepasselijke wetten, voorschriften, richtlijnen, leidraden of beslissingen van een Europese autoriteit voor gegevensbescherming, of door een rechterlijke uitspraak, kan de Verwerkingsverantwoordelijke schriftelijk bezwaar maken binnen vijftien (15) dagen na te zijn geïnformeerd, met vermelding van de redenen voor een dergelijk bezwaar.
Als de Partijen er niet in slagen om binnen dertig (30) dagen na ontvangst van het bezwaar van de Verwerkingsverantwoordelijke een akkoord te bereiken, kan de Verwerkingsverantwoordelijke de getroffen Dienst zonder boete beëindigen door de Verwerker schriftelijk op de hoogte te stellen.
Elk voortgezet gebruik van de Dienst na de kennisgeving wordt geacht als acceptatie door de Verwerkingsverantwoordelijke van de bijgewerkte Overeenkomst inzake gegevensverwerking.
De Partijen kunnen andere bepalingen overeenkomen met betrekking tot de dienst die door de Verwerker aan de Verwerkingsverantwoordelijke wordt verstrekt, op voorwaarde dat dergelijke bepalingen niet, direct of indirect, in strijd zijn met de bepalingen in deze Data Processing Agreement met betrekking tot de verwerking van persoonsgegevens, of op enige andere wijze de fundamentele rechten van de betrokkenen zoals vastgelegd in de wetgeving inzake gegevensbescherming, verslechteren.
De bepalingen in deze Data Processing Agreement treden in werking op de datum van ondertekening van de Gebruiksvoorwaarden tussen de Partijen.
De Data Processing Agreement is van toepassing voor de duur van de dienstenovereenkomst. In deze periode kan de Overeenkomst door geen van beide Partijen worden beëindigd, tenzij de dienstenovereenkomst tegelijkertijd wordt beëindigd. Beëindiging van de dienstenovereenkomst kan plaatsvinden in overeenstemming met de bepaling inzake beëindiging in de dienstenovereenkomst.
Deze Overeenkomst wordt beheerst door Deens recht en elk geschil zal worden onderworpen aan de Deense jurisdictie.
A.1. Categorieën van betrokkenen
A.2. Categorieën van persoonsgegevens
De Verwerker verwerkt geen speciale categorieën van persoonsgegevens, tenzij specifiek geïnstrueerd door de Verwerkingsverantwoordelijke. In het geval dat de verwerking van speciale categorieën van persoonsgegevens geen natuurlijk onderdeel zou zijn van de bovengenoemde categorieën, wordt de Verwerkingsverantwoordelijke aangespoord de gegevens te anonimiseren voordat toegang wordt verleend aan de Verwerker zoals vermeld in deze Overeenkomst.
A.3. De doeleinden waarvoor persoonsgegevens worden verwerkt
De in deze overeenkomst beschreven verwerkingsdoeleinden worden consequent nagestreefd in alle landen waar de verwerker actief is. Bepaalde verwerkingsactiviteiten kunnen echter alleen worden uitgevoerd in rechtsgebieden waar de overeenkomstige diensten of technische mogelijkheden beschikbaar zijn.
De aard van de verwerking omvat verzameling, opslag, structurering, ophalen, gebruik, analyse, openbaarmaking door overdracht, wissing en vernietiging. De persoonsgegevens worden verwerkt voor de duur van de klantrelatie, totdat de Gebruiksvoorwaarden worden beëindigd door de Verwerkingsverantwoordelijke of de Verwerker. Na beëindiging van de Gebruiksvoorwaarden worden persoonsgegevens opgeslagen in overeenstemming met de Bewaartermijn van de Verwerker.
Naast de bedrijven van de Shine Group heeft de Verwerker de volgende subverwerkers die gegevens verwerken namens de Verwerkingsverantwoordelijke:
| Apple Inc. | One Apple Park Way, Cupertino, CA 95014, USA
| Betalingsverwerking |
C.1 – Aard en doel van de verwerking
De Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, zoals hieronder gedefinieerd of afzonderlijk schriftelijk meegedeeld en door beide Partijen goedgekeurd.
De verwerkingsactiviteiten die door de Verwerker worden uitgevoerd, omvatten:
De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor het bepalen van de wettelijke basis voor de verwerkingshandelingen, ook onder de artikelen 6 en 9 van de AVG.
Elke verwerking buiten deze reikwijdte moet onderworpen zijn aan een afzonderlijke gedocumenteerde instructie van de Verwerkingsverantwoordelijke.
C.2 – Categorieën van gegevens en betrokkenen
De categorieën van persoonsgegevens en betrokkenen worden gedetailleerd beschreven in Bijlage A.
Speciale categorieën van gegevens (Artikel 9 AVG) mogen niet worden verwerkt, tenzij uitdrukkelijk en formeel geautoriseerd door de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke wordt geadviseerd om dergelijke gegevens, waar mogelijk, te anonimiseren of te pseudonimiseren.
C.3 – Beveiligingsmaatregelen
De Verwerker implementeert, handhaaft en past, waar nodig, passende technische en organisatorische maatregelen aan om een beveiligingsniveau te waarborgen dat passend is voor het risico, in overeenstemming met artikel 32 van de AVG.
Deze maatregelen houden rekening met de stand van de techniek, de implementatiekosten, de aard, omvang, context en doeleinden van de verwerking, evenals de risico's van onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van, of toegang tot persoonsgegevens.
In het bijzonder zorgt de Verwerker ervoor dat:
Onverminderd de bovenstaande verplichtingen kunnen de details van de specifieke geïmplementeerde beveiligingsmaatregelen op verzoek afzonderlijk worden verstrekt, met inachtneming van toepasselijke vertrouwelijkheidsbeperkingen.
C.4 – Gegevensbewaring en -wissing
De Verwerker wist of retourneert de persoonsgegevens aan het einde van de contractuele relatie, in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij anders vereist onder het recht van de Unie of de lidstaat, met name voor boekhoudkundige of fiscale doeleinden.
C.5 – Subverwerkers
De Verwerker heeft de algemene autorisatie van de Verwerkingsverantwoordelijke om de subverwerkers die in Bijlage B zijn vermeld, in te schakelen.
De Verwerker mag ook andere subverwerkers inschakelen, op voorwaarde dat hij de Verwerkingsverantwoordelijke van tevoren informeert binnen een redelijke termijn voordat de wijziging wordt doorgevoerd.
De Verwerkingsverantwoordelijke kan binnen dertig (30) dagen na de kennisgeving schriftelijk een gemotiveerd bezwaar indienen, uitsluitend op legitieme en gedocumenteerde gronden met betrekking tot de bescherming van persoonsgegevens. Indien geen bezwaar wordt ontvangen, wordt de wijziging als geaccepteerd beschouwd.
In geval van een gerechtvaardigd bezwaar, stemmen de Partijen ermee in om in goed vertrouwen samen te werken om een wederzijds aanvaardbare oplossing te vinden. Indien binnen een redelijke termijn geen oplossing wordt gevonden, behoudt de Verwerker zich het recht voor om door te gaan met de aangewezen subverwerker, in welk geval de Verwerkingsverantwoordelijke alleen de getroffen diensten kan beëindigen, zonder compensatie of aansprakelijkheid voor de Verwerker.
C.6 – Gegevensoverdrachten buiten de EER
Gegevens worden door de Verwerker verwerkt binnen de Europese Economische Ruimte (EER) en door zijn geautoriseerde subverwerkers vermeld in Bijlage B.
Overdrachten van persoonsgegevens buiten de EER kunnen plaatsvinden in verband met het gebruik van internationale dienstverleners. De Verwerkingsverantwoordelijke autoriseert dergelijke overdrachten uitdrukkelijk, op voorwaarde dat de Verwerker voldoet aan Hoofdstuk V van de AVG en passende waarborgen implementeert, zoals:
C.7 – Samenwerking en nalevingsinstructies
De Verwerker stemt ermee in:
De Verwerker zal niet rechtstreeks communiceren met betrokkenen of toezichthoudende autoriteiten zonder de uitdrukkelijke schriftelijke instructies van de Verwerkingsverantwoordelijke.
Enige assistentie die verder gaat dan wat strikt vereist is onder artikel 28 van de AVG kan onderhevig zijn aan aanvullende vergoeding zoals overeengekomen tussen de Partijen.
C.8 – Toegang en audit
Op verzoek van de Verwerkingsverantwoordelijke en wanneer er geloofwaardig bewijs is van niet-naleving, staat de Verwerker toe en draagt hij bij aan audits van de verwerkingsactiviteiten die onder deze clausules vallen. Een dergelijke audit kan eenmaal per kalenderjaar worden uitgevoerd, met inachtneming van een schriftelijke kennisgeving van zestig (60) dagen vooraf aan de Verwerker.
De audit moet worden uitgevoerd op een manier die de veiligheid en vertrouwelijkheid van de documentatie en procedures van de Verwerker waarborgt. Het mag niet langer dan één (1) werkdag duren en moet plaatsvinden tijdens reguliere kantooruren op de locatie van de Verwerker.
De Verwerkingsverantwoordelijke kan ervoor kiezen om de audit zelf uit te voeren of een onafhankelijke auditor aan te stellen, die wederzijds is overeengekomen door beide Partijen en gebonden is aan een vertrouwelijkheidsverplichting. De Verwerker kan de voorgestelde auditor afwijzen indien er een duidelijk belangenconflict of onvoldoende kwalificatie is.
Onverminderd enige andersluidende bepaling, draagt de Verwerkingsverantwoordelijke alle kosten en/of uitgaven die voortvloeien uit een dergelijke audit.