Inleiding

Dit Addendum Gegevensverwerking (“Addendum”) maakt integraal deel uit van de samenwerkingsovereenkomst, Algemene voorwaarden voor partners (“AV”) of enige andere overeenkomst (AV of enige andere overeenkomst hierna ook de “Overeenkomst” genoemd) die wordt gesloten tussen de Gelieerde Onderneming van NOOVY Systems zoals gedefinieerd in de respectieve Overeenkomst (“NOOVY Systems”) en u (“Partner”). Dit Addendum vormt een aanvulling op de voorwaarden van de tussen NOOVY Systems en Partner gesloten Overeenkomst; overwegende dat in geval van tegenstrijdige voorwaarden tussen de Overeenkomst en dit Addendum, dit Addendum prevaleert, tenzij de Partijen uitdrukkelijk schriftelijk afwijkingen van dit Addendum overeenkomen in de Overeenkomst.

  1. Definities

Voor de toepassing van dit Addendum hebben termen met een hoofdletter de volgende betekenis. Termen met een hoofdletter die hierin niet anderszins zijn gedefinieerd, hebben de betekenis die eraan wordt gegeven in de Overeenkomst of de AV.

“Gelieerde onderneming(en)” betekent elke persoon of entiteit die, direct of indirect, de controle heeft over, wordt gecontroleerd door of onder gemeenschappelijke controle staat van een dergelijke entiteit; voor de toepassing van deze definitie betekent “controle” van een entiteit de macht, direct of indirect, om: (a) 10% of meer van de effecten met gewoon stemrecht te stemmen voor de verkiezing van bestuurders van een dergelijke entiteit; of (b) de leiding van het management en het beleid van een dergelijke entiteit leiden of veroorzaken, hetzij contractueel of anderszins;

“Geautoriseerde gebruiker” betekent een persoon die door Partner is geautoriseerd om toegang te hebben tot het NOOVY-platform en/of het NOOVY-account en om instructies te geven aan en communicatie te ontvangen van NOOVY-systemen, ongeacht of dit via het NOOVY-platform, het NOOVY-account, via e-mail of anderszins is;

“Verwerkingsverantwoordelijke” betekent een persoon of entiteit die de doeleinden en middelen van de Verwerking van Persoonsgegevens bepaalt;

“Wetgeving inzake gegevensbescherming” betekent AVG en/of enige andere toepasselijke wetgeving inzake gegevensbescherming van het land van registratie van NOOVY Systems Affiliate zoals gedefinieerd in de Overeenkomst;

“Betrokkene” betekent de geïdentificeerde of identificeerbare persoon op wie Persoonsgegevens betrekking hebben;

“AVG” betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);

“Persoonsgegevens” betekent alle informatie met betrekking tot (i) een geïdentificeerde of identificeerbare natuurlijke persoon en/of, (ii) een geïdentificeerde of identificeerbare juridische entiteit (wanneer dergelijke informatie wordt beschermd door de wetgeving inzake gegevensbescherming op dezelfde manier als gegevens die een levend individu identificeren); die, voor het doel van dit Addendum, persoonsgegevens van Gasten omvat, dwz. gegevens in de contactformulieren, contact- en identificatiegegevens, waaronder naam, titel, e-mailadres en adres, ID- en/of paspoortnummers, betalingsgegevens, voorkeuren van Gasten en dienstgegevens van partners en beperkte verbindings- en locatiegegevens (stad). Persoonsgegevens bevatten geen speciale gegevenscategorieën.

“Verwerking” betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, organiseren, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of anderszins ter beschikking stellen, aligneren of combineren, beperken, wissen of vernietigen; om twijfel te voorkomen, valt de verwerking van andere informatie dan Persoonsgegevens (bijv. geanonimiseerde gegevens) met het oog op het verbeteren van de diensten van NOOVY Systems niet onder het toepassingsgebied van dit Addendum;

“Verwerker” of “Subverwerker” betekent een persoon of entiteit die Persoonsgegevens Verwerkt namens een Verwerkingsverantwoordelijke en/of Verwerker, indien van toepassing;

“Diensten” voor de toepassing van dit Addendum betekent de diensten die door NOOVY Systems aan de Partner worden geleverd op grond van de Overeenkomst;

“Modelcontractbepalingen” betekent de standaardcontractbepalingen (verwerkers) voor de overdracht van persoonsgegevens zoals uiteengezet in het besluit van de Europese Commissie van 5 februari 2010 (2010/87/EG), zoals uiteengezet in schema nr. 1 hiervan;

“Toezichthoudende autoriteit” betekent een onafhankelijke overheidsinstantie die is opgericht door een EU-lidstaat, de VS of een ander land op grond van de AVG, het EU-VS-privacyschild of een overeenkomstige wet.

  1. Gegevensverwerking

2.1 Verwerking van Persoonsgegevens

NOOVY Systems en Partner erkennen dat Partner de Verwerkingsverantwoordelijke of primaire Verwerker is met betrekking tot de Verwerking van relevante Persoonsgegevens. NOOVY Systems zal Persoonsgegevens alleen verwerken als een Verwerker of Subverwerker (zoals van toepassing op het gebruik van de Diensten door de Partner) namens de Partner en alleen in de mate en op de manier die nodig is voor de doeleinden gespecificeerd door en in overeenstemming met dit Addendum, de Overeenkomst of zoals anderszins van tijd tot tijd geïnstrueerd door de Partner. Wanneer NOOVY Systems redelijkerwijs van mening is dat een Partnerinstructie in strijd is met: (i) toepasselijke wet- en regelgeving of (ii) de bepalingen van de Overeenkomst of het Addendum, zal NOOVY Systems alle redelijke inspanningen leveren om de Partner te informeren en is gemachtigd om de uitvoering van de relevante instructie uit te stellen totdat deze door Partner is gewijzigd voor zover vereist door NOOVY Systems om te voldoen aan de eis dat een dergelijke instructie wettig is, of door zowel Partner als NOOVY Systems onderling is overeengekomen dat deze wettig is.

  1. Verwerking door Noovy Systems

3.1 Verwerking van persoonsgegevens door NOOVY Systems
NOOVY Systems zal Persoonsgegevens behandelen als Vertrouwelijke Informatie en zal Persoonsgegevens alleen verwerken namens en in overeenstemming met de gedocumenteerde instructies van de Partner voor de volgende doeleinden: (i) Verwerking conform de Overeenkomst; (ii) Verwerking geïnitieerd door Geautoriseerde Gebruikers bij hun gebruik van de Diensten; en (iii) Verwerking om te voldoen aan andere gedocumenteerde redelijke instructies van de Partner (bijv. via e-mail) wanneer dergelijke instructies in overeenstemming zijn met de voorwaarden van de Overeenkomst. De Partner geeft hierbij NOOVY Systems de opdracht om Betrokkenen via e-mail te informeren over de Verwerking van hun Persoonsgegevens namens de Partner en over de mogelijkheid om de diensten van NOOVY Systems te gebruiken om de gegevens, boekingen en bijbehorende diensten van Betrokkenen te beheren. NOOVY Systems houdt een logboek bij van de daadwerkelijk uitgevoerde Verwerkingen.

3.2 Technische en organisatorische maatregelen
NOOVY Systems handhaaft en implementeert redelijke en passende technische en organisatorische maatregelen gericht op het beschermen van Persoonsgegevens tegen onopzettelijke of wettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, en met betrekking tot de beveiliging van Persoonsgegevens en de platforms die worden gebruikt om de Diensten te leveren zoals beschreven in de Wetgeving inzake gegevensbescherming. Bij het implementeren van dergelijke maatregelen heeft NOOVY Systems het recht om rekening te houden met de huidige standaardpraktijk bij het bepalen wat redelijk is, evenals de evenredigheid van de kosten van het nemen van dergelijke maatregelen wanneer deze worden afgewogen tegen de mogelijke schade aan relevante Betrokkenen die de invoering van die maatregelen moet beschermen.

3.3 Personeel
NOOVY Systems zal ervoor zorgen dat haar Personeel dat zich bezighoudt met de Verwerking van Persoonsgegevens wordt geïnformeerd over haar verplichtingen en verantwoordelijkheden hieronder, een passende opleiding heeft ontvangen en wordt geïnformeerd over het vertrouwelijke karakter van de Persoonsgegevens. Het “Personeel” betekent die werknemers en/of agenten, consultants, onderaannemers of andere derden: (i) die door NOOVY Systems worden ingeschakeld zodat zij haar verplichtingen jegens Partner uit hoofde van de Overeenkomst of Addendum kan nakomen, en (ii) die onderworpen zijn aan vertrouwelijkheidsverplichtingen in wezen dezelfde mate als uiteengezet in de Overeenkomst en het Addendum. NOOVY Systems zorgt ervoor dat de toegang van het Personeel tot Persoonsgegevens beperkt blijft tot degenen die Diensten uitvoeren in overeenstemming met de Overeenkomst, en de vertrouwelijkheidsverplichtingen van het Personeel blijven van kracht na beëindiging van de Personeelsopdracht.

3.4 Meldingen
NOOVY Systems zal de Partner zo snel als commercieel redelijk schriftelijk op de hoogte stellen:
3.4.1 van elke communicatie ontvangen van een persoon met betrekking tot (i) het recht van een persoon om zijn of haar Persoonsgegevens in te zien, te wijzigen, te corrigeren, te verwijderen of te blokkeren; (ii) het recht van een persoon om zijn of haar Persoonsgegevens te corrigeren, te beperken of te wissen, op gegevensoverdraagbaarheid, om bezwaar te maken tegen de Verwerking en om niet te worden onderworpen aan geautomatiseerde besluitvorming; en (iii) elke klacht over de Verwerking van Persoonsgegevens door de Partner; voor zover niet verboden door de wet, van een dagvaarding of ander gerechtelijk of administratief bevel of procedure die toegang tot of openbaarmaking van Persoonsgegevens zoekt;
3.4.2 voor zover niet verboden door de wet, van een klacht, kennisgeving of andere communicatie die betrekking heeft op de naleving door de Partner van de wetgeving inzake gegevensbescherming en privacy en de Verwerking van Persoonsgegevens. NOOVY Systems zal de Partner commercieel redelijke medewerking en bijstand verlenen (op kosten van de Partner) met betrekking tot een dergelijke klacht, kennisgeving of communicatie; en
3.4.3 van een wezenlijke inbreuk op de beveiliging van de Diensten die resulteert in ongeoorloofde toegang tot Partnergegevens waarvan we ons bewust worden, in overeenstemming met de toepasselijke wetgeving (“Beveiligingsinbreuk”). NOOVY Systems zal redelijke inspanningen leveren om de oorzaak van een dergelijke Beveiligingsinbreuk te identificeren en die stappen nemen die noodzakelijk en redelijk zijn, en die aanvaardbaar zijn voor de Partner, om de oorzaak van een dergelijke Beveiligingsinbreuk te verhelpen voor zover herstel binnen de redelijke controle van NOOVY Systems valt. De verplichtingen hierin zijn niet van toepassing op incidenten die door Partner worden veroorzaakt.

3.5 Geen erkenning
De Partner stemt ermee in dat de verplichting van NOOVY Systems om de Beveiligingsinbreuk te melden niet is en niet zal worden opgevat als een erkenning door NOOVY Systems van enige fout of aansprakelijkheid van NOOVY Systems met betrekking tot een dergelijke Beveiligingsinbreuk.

3.6 Retourneren en verwijderen van gegevens
Behoudens beperkingen uiteengezet in de toepasselijke wetgeving, zal NOOVY Systems alle persistente Partnergegevens aan de Partner retourneren (indien niet al verwijderd in overeenstemming met de toepasselijke wetgeving) volgens gestandaardiseerde procedures en binnen commercieel redelijke termijnen.

3.7 Naleving van NOOVY-systemen
NOOVY Systems zal voldoen aan de wetgeving inzake gegevensbescherming die van toepassing is op haar eigen activiteiten en de levering van de Diensten onder de Overeenkomst en haar verplichtingen onder dit Addendum.

3.8 Audit
De Partner heeft het recht om een audit uit te voeren om te controleren of NOOVY Systems voldoet aan de verplichtingen die zijn vastgelegd in artikel 28 van de AVG en in dit Addendum. NOOVY Systems zal de Partner toestaan om de audit uit te voeren onder de volgende voorwaarden:
(i) de Partner NOOVY Systems vraagt om de audit via een schriftelijke kennisgeving ten minste 30 (dertig) dagen van tevoren uit te voeren;
(ii) zal de Partner de agenda voor een dergelijke audit specificeren in de kennisgeving onder (i);
(iii) de audit vindt niet meer dan eenmaal per jaar plaats;
(iv) alle bijbehorende kosten en uitgaven worden door de Partner gedragen en op verzoek aan NOOVY Systems vergoed; en
(v) de audit mag niet langer duren dan het equivalent van 1 werkdag (8 uur) van de vertegenwoordiger van NOOVY Systems.

In het geval dat de Partner de audit aanvraagt via een externe onafhankelijke partij – externe gelicentieerde auditor, kan NOOVY Systems bezwaar maken tegen een externe gelicentieerde auditor die door de Partner is aangesteld om de audit uit te voeren als de auditor, naar het redelijk oordeel van NOOVY Systems, niet voldoende gekwalificeerd of onafhankelijk is, een concurrent van NOOVY Systems, of anderszins duidelijk ongeschikt is. Een dergelijk bezwaar vereist dat de Partner een andere auditor benoemt. In het geval dat de Partner binnen een kalenderjaar meer dan één audit vereist, zal de Partner voorafgaande schriftelijke toestemming van NOOVY Systems verkrijgen en de kosten in verband met dergelijke audits dragen en NOOVY Systems alle redelijkerwijs gemaakte kosten van dergelijke audits vergoeden. Op verzoek van de Partner zal NOOVY Systems de Partner voorzien van de geschatte kosten die zij verwacht te maken tijdens een dergelijke audit in overeenstemming met de mate gespecificeerd in de agenda die door de Partner wordt verstrekt.

  1. Verwerking door Partner

4.1 Verwerking van persoonsgegevens door partner

Partner zal bij het gebruik van de Diensten Persoonsgegevens verwerken in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming. Om twijfel te voorkomen, garandeert de Partner dat zijn instructies voor de Verwerking van Persoonsgegevens zullen voldoen aan de Wetgeving inzake Gegevensbescherming en dat hij geen instructies of bevelen zal geven die NOOVY Systems ertoe aanzetten om enige actie of actie te ondernemen die onwettig is of anderszins niet in overeenstemming met de Wetgeving inzake Gegevensbescherming. De Partner is als enige verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettigheid van Persoonsgegevens en de middelen waarmee de Partner Persoonsgegevens heeft verkregen.

4.2 Naleving Partner

Naast de verplichtingen van Partner die in de Overeenkomst worden vermeld, is Partner verantwoordelijk voor (i) integriteit, beveiliging, onderhoud en passende bescherming van Persoonsgegevens, en (ii) ervoor te zorgen dat het voldoet aan alle toepasselijke wet- en regelgeving op het gebied van privacy, gegevensbescherming en beveiliging met betrekking tot: (a) haar Verwerking van de Persoonsgegevens; (b) het gebruik van de Diensten; en (c) alle registratie- of meldingsvereisten voor gegevensverwerking waaraan de Partner onderworpen is onder de toepasselijke wetgeving.

4.3 Meldingen

De Partner stemt ermee in om alle vereiste kennisgevingen te doen aan en de vereiste toestemmingen en rechten te verkrijgen van personen met betrekking tot de levering van Diensten door NOOVY Systems aan de Partner. Wanneer NOOVY Systems een communicatie ontvangt zoals beschreven in subparagraaf 3.4.1 of 3.4.3 en Partner op de hoogte stelt van dergelijke communicatie, is het de verantwoordelijkheid van Partner om te reageren op en alle andere passende maatregelen te nemen met betrekking tot de communicatie. De Partner stemt ermee in om NOOVY Systems onmiddellijk op de hoogte te stellen van elk ongeoorloofd gebruik van de Diensten of het account van de Partner of van elke andere inbreuk op de beveiliging met betrekking tot de Diensten.

4.4 Technische en organisatorische maatregelen

De Partner is als enige verantwoordelijk voor het implementeren en onderhouden van beveiligingsmaatregelen en andere technische en organisatorische maatregelen die geschikt zijn voor de aard en het volume van de Persoonsgegevens die de Partner opslaat of anderszins verwerkt met behulp van de Diensten. De Partner is ook verantwoordelijk voor het gebruik van de Diensten door een van zijn werknemers, elke persoon die de Partner machtigt om toegang te krijgen tot of gebruik te maken van de Diensten, en elke persoon die toegang krijgt tot zijn Persoonsgegevens of de Diensten als gevolg van het niet gebruiken van redelijke veiligheidsmaatregelen, zelfs als dergelijk gebruik niet is toegestaan door de Partner.

  1. Samenwerking

5.1 Samenwerking Partner en NOOVY Systems

Partner en NOOVY Systems komen overeen om op een commercieel redelijke manier samen te werken zoals redelijkerwijs vereist om de Persoonsgegevens te beschermen onder de toepasselijke wetgeving, artikel 35 en 36 van de AVG en het EU-VS Privacy Shield Framework om een effectbeoordeling van gegevensbescherming uit te voeren met betrekking tot het gebruik van de Diensten door Partner, voor zover Partner anderszins geen toegang heeft tot de relevante informatie, en voor zover dergelijke informatie beschikbaar is voor NOOVY Systems. Partner moet meewerken aan het redelijke onderzoek van NOOVY Systems naar uitval van de Dienst, beveiligingsproblemen en elke vermoede Beveiligingsinbreuk. Partner zal NOOVY Systems redelijke assistentie verlenen bij de samenwerking of voorafgaand overleg met de Toezichthoudende Autoriteit bij de uitvoering van haar taken met betrekking tot deze Sectie, voor zover vereist onder de AVG of toepasselijke wetgeving.

5.2 De hulp van NOOVY Systems bij de nalevingsvereisten van de partner

Gedurende de looptijd van de Partnerovereenkomst met NOOVY Systems kan Partner NOOVY Systems verzoeken om de inspanningen van Partner te ondersteunen om te voldoen aan de verplichtingen van Partner onder de toepasselijke wet- en regelgeving inzake gegevensbescherming of privacy, mits (i) dergelijke gevraagde bijstand relevant is voor Diensten die de Verwerking van Persoonsgegevens ondersteunen, (ii) dergelijke gevraagde assistentie commercieel redelijk is en in verhouding staat tot het doel van de oefening waarbij NOOVY Systems wordt gevraagd om te helpen, en (iii) indien NOOVY Systems hiermee instemt, dat alle bijbehorende kosten en uitgaven (inclusief de kosten van de tijd van haar personeel) door de Partner worden gedragen en op verzoek aan NOOVY Systems worden terugbetaald.

  1. Subverwerking

6.1 Met betrekking tot derden of het uitbesteden van de Verwerking van Persoonsgegevens, mag NOOVY Systems alleen een derde partij (Subverwerker) machtigen om de Persoonsgegevens te Verwerken met voorafgaande toestemming van de Partner en op voorwaarde dat de bepalingen met betrekking tot gegevensverwerking en gegevensbescherming in het contract van de Subverwerker met betrekking tot de Persoonsgegevens onder voorwaarden zijn die in wezen dezelfde zijn als die in dit Addendum, op voorwaarde dat het contract van de subverwerker met betrekking tot de Persoonsgegevens automatisch eindigt bij beëindiging van de Overeenkomst om welke reden dan ook. Ten behoeve hiervan worden de volgende personen door de Partner goedgekeurd door ondertekening van dit Addendum: (i) Subverwerkers vermeld in schema nr. 2 hiervan, (ii) Gelieerde ondernemingen van NOOVY Systems en (iii) elke Subverwerker die door Partner is geautoriseerd via zijn Geautoriseerde Gebruiker door een integratie met NOOVY Systems Services via NOOVY Account of anderszins te autoriseren. NOOVY Systems kan tijdens de looptijd van de overeenkomst nieuwe subverwerkers betrekken bij de verwerking, op voorwaarde dat dergelijke subverwerkers alleen toegang hebben tot Persoonsgegevens en deze gebruiken voor zover dit nodig is om verplichtingen na te komen die aan hen zijn uitbesteed.

6.2 Bezwaarrecht Nieuwe Sub-verwerkers

De Partner kan bezwaar maken tegen het gebruik door NOOVY Systems van een nieuwe Subverwerker door NOOVY Systems onmiddellijk schriftelijk op de hoogte te stellen binnen tien (10) werkdagen na ontvangst van de kennisgeving van NOOVY Systems en de tekortkomingen te specificeren. In het geval dat Partner bezwaar maakt tegen een nieuwe Subverwerker, zal NOOVY Systems zich inspannen om extra waarborgen toe te voegen (met betrekking tot de gespecificeerde tekortkomingen) of de Subverwerker te wijzigen (ten opzichte van de Subverwerker); mocht NOOVY Systems hiertoe niet in staat zijn, dan zal NOOVY Systems redelijke inspanningen leveren om een wijziging in de Diensten beschikbaar te stellen aan Partner of een commercieel redelijke wijziging in de configuratie of het gebruik van de Diensten door Partner aanbevelen om Verwerking van Persoonsgegevens door de nieuwe Subverwerker te voorkomen zonder de Partner onredelijk te belasten. Als NOOVY Systems niet in staat is om een dergelijke wijziging binnen een redelijke termijn beschikbaar te stellen, die niet langer mag zijn dan dertig (30) dagen, kan de Partner alleen dat deel van de Diensten beëindigen dat niet door NOOVY Systems kan worden geleverd zonder het gebruik van de nieuwe Subverwerker waartegen bezwaar is gemaakt door NOOVY Systems hiervan schriftelijk op de hoogte te stellen. NOOVY Systems zal de Partner alle vooruitbetaalde vergoedingen terugbetalen die de rest van de looptijd van de Overeenkomst dekken na de ingangsdatum van de beëindiging met betrekking tot een dergelijk beëindigd deel van de Diensten, wat de enige en exclusieve remedie van de Partner zal zijn in verband met de introductie van een nieuwe Subverwerker.

6.3 Aansprakelijkheid

NOOVY Systems is in dezelfde mate aansprakelijk voor het handelen en nalaten van haar Subverwerkers als NOOVY Systems aansprakelijk zou zijn als zij de diensten van elke Subverwerker rechtstreeks zou uitvoeren onder de voorwaarden van dit Addendum, tenzij anders bepaald in de Overeenkomst.

  1. Gegevensoverdracht

7.1 Gegevensoverdracht

De partijen komen overeen dat persoonsgegevens alleen vanuit de Europese Unie/Europese Economische Ruimte naar een derde land mogen worden overgedragen als een van de volgende voorwaarden van toepassing is: (a) er een toepasselijk besluit van de Europese Commissie is waarin staat dat het derde land een passend beschermingsniveau waarborgt; of (b) de overdracht kan plaatsvinden omdat NOOVY Systems passende waarborgen heeft geboden overeenkomstig artikel 46 van de AVG, en op voorwaarde dat afdwingbare rechten van betrokkenen en effectieve rechtsmiddelen voor betrokkenen beschikbaar zijn; of (c) de afwijkingen voor specifieke situatie op grond van artikel 49 van de AVG van toepassing zijn. Voor de toepassing van artikel 7.1 van dit Addendum worden de Modelcontractbepalingen, die schema nr. 1 (Modelcontractbepalingen) bij dit Addendum vormen, beschouwd als passende waarborgen. De Klant machtigt hierbij NOOVY Systems om de Modelcontractbepalingen aan te gaan om Persoonsgegevens over te dragen naar derde landen.

7.2 Standaard contractbepalingen

Om gegevensoverdracht van/naar derde landen naar/van de Europese Unie/Europese Economische Ruimte mogelijk te maken, worden de modelcontractbepalingen (schema nr. 1 bij dit addendum) hierbij opgenomen in dit addendum en vormen ze een onlosmakelijk onderdeel hiervan.

  1. Communicatie

8.1 De Partner gaat ermee akkoord dat elke Geautoriseerde gebruiker van de Partner kan worden gecontacteerd en heeft het recht om alle communicatie met betrekking tot dit Addendum te ontvangen.

  1. Slotbepalingen

9.1 Begunstigden derden

Betrokkenen zijn de enige derde begunstigden van de Modelcontractbepalingen en er zijn geen andere derde begunstigden van de Overeenkomst en dit Addendum. Niettegenstaande het voorgaande zijn de Overeenkomst en de voorwaarden van dit Addendum alleen van toepassing op de partijen en verlenen ze geen rechten aan de gelieerde onderneming van de Partner, de eindgebruiker van de Partner of externe Betrokkenen.

9.2 Toepasselijk recht

Niets in dit Addendum wijzigt de sectie Toepasselijk recht van de Overeenkomst, die, om twijfel te voorkomen, alle claims onder de Overeenkomst en dit Addendum regelt. Voor zover de Standaardcontractbepalingen van toepassing zijn en voor zover een Betrokkene een claim indient op grond van artikel 3.2 van de Standaardcontractbepalingen met betrekking tot de verwerking door NOOVY Systems van Persoonsgegevens, moeten de Standaardcontractbepalingen worden beheerst door en geïnterpreteerd in overeenstemming met artikel 9 (Toepasselijk recht) van de Standaardcontractbepalingen.

9.3 Beperking van aansprakelijkheid

De rechtsmiddelen van de Partner, inclusief die van haar Gelieerde Ondernemingen, en de aansprakelijkheid van NOOVY Systems, die voortvloeien uit of verband houden met dit Addendum en de Modelcontractbepalingen, zijn onderworpen aan die aansprakelijkheidsbeperkingen en disclaimers zoals uiteengezet in de Overeenkomst of, als er geen aansprakelijkheidsbeperkingen zijn vastgelegd in de Overeenkomst, komen de Partijen overeen en verklaren dat de totale schade die kan voortvloeien uit de schending van dit Addendum en / of de Modelcontractbepalingen niet meer zal bedragen dan tienduizend euro.

9.4 Looptijd

Dit Addendum wordt gesloten voor de periode gelijk aan de looptijd van de Overeenkomst. Dit Addendum eindigt gelijktijdig en van rechtswege met de beëindiging van de Overeenkomst.

9.5 Beëindiging

NOOVY Systems kan dit Addendum beëindigen als NOOVY Systems aan Partner alternatieve mechanismen aanbiedt die voldoen aan de verplichtingen van de toepasselijke wetgeving inzake gegevensprivacy.

9.6 Exemplaren

Dit Addendum kan in meerdere exemplaren worden ondertekend, die samen als één origineel worden beschouwd.

Schema nr. 1 Standaardcontractbepalingen (verwerkers)

Voor de toepassing van Artikel 26(2) van Richtlijn 95/46/EG, voor de overdracht van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend beschermingsniveau waarborgen

De Partner-entiteit die partij is bij het Addendum waaraan deze Modelcontractbepalingen zijn gehecht.

Naam van de organisatie die gegevens uitvoert:

Adres:

Tel. …; fax …; e-mail: …

Andere gegevens ter identificatie van de organisatie:

(de gegevensexporteur)

en

Naam van de organisatie die de gegevens invoert: …

Adres:

Tel. …; fax …; e-mail: …

Andere gegevens ter identificatie van de organisatie:

(de gegevensimporteur of gegevenssubverwerker (indien van toepassing))

elk een ”partij”, samen ”de partijen”

OVEREENSTEMMING HEBBEN BEREIKT OVER de volgende Contractbepalingen, hierna „de Bepalingen” genoemd, teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, bij de overdracht van de in Bijlage 1 vermelde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.

Bepaling 1

Definities

Voor de toepassing van de Bepalingen:

  1. ‘persoonsgegevens’, ‘bijzondere categorieën gegevens’, ‘verwerking/verwerking’, ‘verwerkingsverantwoordelijke’, ‘verwerker’, ‘betrokkene’ en ’toezichthoudende autoriteit’ hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
  2. wordt onder ‘gegevensexporteur’ verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
  3. ‘de gegevensimporteur’: de verwerker die ermee instemt om van de gegevensexporteur persoonsgegevens te ontvangen die bestemd zijn om namens hem te worden verwerkt na de overdracht in overeenstemming met zijn instructies en de voorwaarden van de Clausules en die niet onderworpen is aan een systeem van een derde land dat passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
  4. ‘de subverwerker’ betekent elke verwerker die wordt ingeschakeld door de gegevensimporteur of door een andere subverwerker van de gegevensimporteur die ermee instemt om van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur persoonsgegevens te ontvangen die uitsluitend bedoeld zijn voor verwerkingsactiviteiten die namens de gegevensexporteur moeten worden uitgevoerd na de overdracht in overeenstemming met zijn instructies, de voorwaarden van de clausules en de voorwaarden van het schriftelijke onderaannemingscontract;
  5. wordt onder ’toepasselijk recht inzake gegevensbescherming’ verstaan: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;

’technische en organisatorische beveiligingsmaatregelen’ betekent die maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen onbedoelde of onrechtmatige vernietiging of verlies, wijziging, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de overdracht van gegevens over een netwerk omvat, en tegen enige andere onwettige vorm van verwerking.

Bepaling 2

Details van de overdracht

De details van de overdracht en, indien van toepassing, met name de bijzondere categorieën persoonsgegevens, worden nader omschreven in Bijlage 1 die een integraal onderdeel van de Bepalingen vormt.

Bepaling 3

Derdenbeding

  1. De betrokkenen kunnen deze bepaling en bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde begunstigden tegenover de gegevensexporteur afdwingen.
  2. De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
  3. De betrokkene kan deze Bepaling, Bepaling 5(a) tot en met (e) en (g), Bbepaling 6, Bepaling 7, Bepaling 8(2), en de Bepalingen 9 tot en met 12 tegenover de subverwerker afdwingen in die gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kan de betrokkene de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf krachtens de Bepalingen heeft uitgevoerd.
  4. De partijen verzetten zich er niet tegen dat de betrokkenen door een vereniging of andere instelling worden vertegenwoordigd, indien de betrokkenen dit uitdrukkelijk wensen en dit in het nationale recht is toegestaan.

Bepaling 4

Verplichtingen van de gegevensexporteur

De gegevensexporteur stemt ermee in en garandeert dat:

  1. de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
  2. hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen te verwerken;
  3. de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in aanhangsel 2 bij dit contract worden omschreven;
  4. deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico’s een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging;
  5. hij op de naleving van deze beveiligingsmaatregelen zal toezien;
  6. wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in Richtlijn 95/46/EG;
  7. hij overeenkomstig Bepaling 5(b) en Bepaling 8(3) ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit voor gegevensbescherming zal doorzenden indien de gegevensexporteur besluit de overdracht voort te zetten of de opschorting op te heffen;
  8. hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van aanhangsel 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de bepalingen dient te worden opgesteld; indien de bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen;
  9. dat, in het geval van subverwerking, de verwerkingsactiviteit in overeenstemming met Bepaling 11 wordt uitgevoerd door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkene biedt als de gegevensimporteur onder de Bepalingen; en (j) hij zal toezien op de naleving van Bepaling 4(a) tot en met (i).

Bepaling 5

Verplichtingen van de gegevensimporteur

De gegevensimporteur stemt ermee in en garandeert:

  1. hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
  2. hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
  3. hij de in aanhangsel 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft getroffen;
  4. hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
    1. een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren,
    2. iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad;
    3. hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan;
  5. hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens;
  6. hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten, welke wordt uitgevoerd door de gegevensexporteur of door een controleorgaan waarvan de leden onafhankelijk zijn, over de vereiste beroepskwalificaties beschikken, tot geheimhouding verplicht zijn en door de gegevensexporteur worden aangewezen, waar van toepassing in overleg met de toezichthoudende autoriteit;
  7. hij, wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen, hem op verzoek een afschrift van de bepalingen alsmede eventuele subverwerkingscontracten ter beschikking stelt, met uitzondering van aanhangsel 2 dat door een beknopte beschrijving van de beveiligingsmaatregelen wordt vervangen; indien de bepalingen of contracten commerciële informatie bevatten, mag de gegevensimporteur deze commerciële informatie verwijderen;
  8. dat hij, in geval van subverwerking, de gegevensexporteur vooraf heeft geïnformeerd en zijn voorafgaande schriftelijke toestemming heeft verkregen;
  9. dat de verwerkingsdiensten door de subverwerker worden uitgevoerd in overeenstemming met artikel 11;
  10. om de gegevensexporteur onmiddellijk een kopie te sturen van elke subverwerkersovereenkomst die hij sluit onder de Clausules.

Bepaling 6

Aansprakelijkheid

  1. De partijen komen overeen dat elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in Bepaling 3 of Bepaling 11 door een partij of een subverwerker schade heeft geleden, het recht heeft om een vergoeding voor de geleden schade te ontvangen van de gegevensexporteur.
  2. Indien een betrokkene geen claim tot schadevergoeding overeenkomstig paragraaf 1 tegen de gegevensexporteur kan instellen, voortvloeiend uit een schending door de gegevensimporteur of diens subverwerker van een verplichtingen in de zin van Bepaling 3 of Bepaling 11, doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een claim kan instellen tegen de gegevensimporteur als ware hij de gegevensexporteur, tenzij een rechtsopvolgende entiteit contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die entiteit kan doen gelden. De gegevensimporteur kan zich niet op een schending van zijn verplichtingen door een subverwerker beroepen om zich aan zijn eigen aansprakelijkheid te onttrekken.
  3. Indien een betrokkene geen claim tegen de gegevensexporteur of de gegevensimporteur kan instellen zoals bedoeld in paragraaf 1 en 2, voortvloeiend uit een schending van de subverwerker van een verplichting in de zin van Bepaling 3 of Bepaling 11, doordat zowel de gegevensexporteur als de gegevensimporteur feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, stemt de subverwerker ermee in dat de betrokkene een claim kan instellen tegen de subverwerker van de gegevens met betrekking tot diens eigen verwerkingsactiviteiten krachtens de Bepalingen, als ware hij de gegevensexporteur of de gegevensimporteur, tenzij een rechtsopvolgende entiteit, contractueel of rechtens, alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die entiteit kan doen gelden. De aansprakelijkheid van de subverwerker blijft beperkt tot de verwerkingsactiviteiten die deze zelf onder de Bepalingen heeft uitgevoerd.

Bepaling 7

Bemiddeling en jurisdictie

  1. De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of claimen tot schadevergoeding krachtens de bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:
    1. om het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
    2. om het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de gegevensexporteur is gevestigd.
  2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken.

Bepaling 8

Samenwerking met de toezichthoudende autoriteiten

  1. De gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen, indien deze daarom verzoekt of indien dit krachtens het toepasselijke recht inzake gegevensbescherming vereist is.
  2. De partijen komen overeen dat de toezichthoudende autoriteit bevoegd is om een controle te verrichten bij de gegevensimporteur en eventuele subverwerkers die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als die krachtens het toepasselijke recht inzake gegevensbescherming voor een controle van de gegevensexporteur zouden gelden.
  3. De gegevensimporteur stelt de gegevensexporteur onmiddellijk op de hoogte van het bestaan van wetgeving die op hem of een subverwerker van toepassing is die het uitvoeren van een audit van de gegevensimporteur of een subverwerker overeenkomstig paragraaf 2 verhindert. In een dergelijk geval mag de gegevensexporteur de in Bepaling 5(b) voorziene maatregelen nemen.

Bepaling 9

Toepasselijk Recht

Op de Bepalingen is het recht van de Lidstaat waarin de Gegevensexporteur is gevestigd van toepassing.

Bepaling 10

Wijziging van de overeenkomst

De partijen verbinden zich ertoe de Bepalingen niet te wijzigen of aan te passen. Dit vormt voor de partijen geen beletsel om indien nodig bepalingen toe te voegen betreffende met de zaken verband houdende vraagstukken, zolang deze niet in strijd zijn met de Bepalingen.

Bepaling 11

Subverwerking

  1. De gegevensimporteur besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur zijn verplichtingen uit hoofde van de Bepalingen uitbesteedt, met toestemming van de gegevensexporteur, mag hij dit alleen doen door middel van een schriftelijke overeenkomst met de subverwerker die dezelfde verplichtingen oplegt aan de subverwerker als die aan de gegevensimporteur op grond van de Bepalingen zijn opgelegd. Indien de subverwerker zijn verplichtingen inzake gegevensbescherming uit hoofde van een dergelijke schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur volledig aansprakelijk jegens de gegevensexporteur voor de nakoming van de verplichtingen van de subverwerker uit hoofde van een dergelijke overeenkomst.
  2. In de voorgaande schriftelijke overeenkomst tussen de gegevensimporteur en de subverwerker dient tevens een derdenbeding te zijn opgenomen zoals omschreven in Bepaling 3, dat voorziet in gevallen waarin de betrokkene geen claim tot schadevergoeding als bedoeld in Bepaling 6, paragraaf 1, kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolgende entiteit is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf krachtens de Bepalingen heeft uitgevoerd.
  3. De bepalingen betreffende gegevensbeschermingsaspecten voor de subverwerking van de in paragraaf 1 bedoelde overeenkomst worden beheerst door het recht van de Lidstaat waar de gegevensexporteur is gevestigd.
  4. De gegevensexporteur houdt een lijst bij van subverwerkingscontracten die krachtens de Bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig Bepaling 5(j) zijn aangemeld, welke ten minste eenmaal per jaar zal worden bijgewerkt. Deze lijst staat ter beschikking van de toezichthoudende autoriteit voor gegevensbescherming van de gegevensexporteur.

Bepaling 12

Verplichting na de beëindiging van de dienst voor de verwerking van persoonsgegevens

  1. De partijen komen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten, naar keuze van de gegevensexporteur, alle overgedragen persoonsgegevens en kopieën daarvan aan de gegevensexporteur zullen terugbezorgen, of alle persoonsgegevens zullen vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de overgedragen persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal waarborgen en dat hij de doorgegeven gegevens niet verder actief zal verwerken.
  2. De gegevensimporteur en de subverwerker garanderen dat, zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit, hun verwerkingsvoorzieningen voor een controle van de in paragraaf 1 bedoelde maatregelen beschikbaar zullen stellen.

Namens de gegevensexporteur:

Naam (voluit):

Functie: Adres:

Eventuele andere inlichtingen die voor het verbindend worden van het contract noodzakelijk zijn:

Handtekening……………………………………….

(stempel van de organisatie)

Namens de gegevensimporteur:

Naam (voluit):

Functie: Adres:

Eventuele andere inlichtingen die voor het verbindend worden van het contract noodzakelijk zijn:

Handtekening……………………………………….

(stempel van de organisatie)

Bijlage 1 bij de modelcontractbepalingen

  1. Gegevensexporteur

De gegevensexporteur is NOOVY Systems, een Dienstverlener zoals gespecificeerd in de Overeenkomst (indien van toepassing).

  1. Gegevensimporteur

De gegevensimporteur is de entiteit (een subverwerker) die Persoonsgegevens ontvangt buiten de EER en bepaalde Diensten levert aan NOOVY Systems in verband met Diensten aan de Partner.

  1. Betrokkenen

De overgedragen persoonsgegevens kunnen betrekking hebben op personen over wie persoonsgegevens worden verzonden of opgeslagen door gegevensexporteur via het door NOOVY Systems gehoste systeem en/of diensten, waaronder doorgaans personen (Gasten of potentiële klanten) die gebruikmaken van de diensten van de Partner.

  1. Categorieën gegevens

De overgedragen persoonsgegevens hebben betrekking op de volgende categorieën gegevens: gegevens van Gasten in de contactformulieren, contact- en identificatiegegevens, waaronder naam, titel, e-mailadres en adres, ID- en/of paspoortnummers, betalingsgegevens, voorkeuren van Gasten en dienstgegevens van partners en beperkte verbindings- en locatiegegevens (stad) in elektronische vorm die worden overgedragen aan de gegevensimporteur in het kader van de Diensten van NOOVY Systems (geleverd door de relevante subverwerker/importeur)

  1. Verwerkingsactiviteiten

De overgedragen persoonsgegevens zullen worden onderworpen aan de volgende standaard verwerkingsactiviteiten:

Verzameling, vastlegging, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins ter beschikking stellen, afstemming of combinatie, beperking, uitwissing of vernietiging.

Partner moet redelijke veiligheidsmaatregelen nemen in verband met zijn gebruik van de diensten, inclusief het op de juiste manier coderen van persoonsgegevens die zijn opgeslagen op of verzonden door het gehoste systeem.

Bijlage 2 bij de modelcontractbepalingen

Deze Bijlage maakt deel uit van de Bepalingen en dient door de partijen worden ingevuld en ondertekend

Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn geïmplementeerd in overeenstemming met Clausules 4(d) en 5(c) (of bijgevoegd document/wetgeving):

De gegevensimporteur zal beveiligingsmaatregelen implementeren die gelijkwaardig zijn aan die welke vereist zijn op grond van de Overeenkomst, het Addendum en eventuele aanvullende documenten die zijn aangegaan op grond van de Overeenkomst.