Overeenkomst inzake gegevensverwerking – GDPR
1- Toepassingsgebied
1.1. Deze gegevensverwerkingsovereenkomst (“Gegevensverwerkingsovereenkomst”) is van toepassing op de Verwerking van persoonsgegevens in verband met de levering door TRAXXEO van de TRAXXEO Clouddiensten, het combineren van voertuig- en objectvolggegevens en de Mobiele Applicaties.
1.2 In geval van tegenstrijdigheid of inconsistentie tussen deze Gegevensverwerkingsovereenkomst en een andere met u gesloten overeenkomst waarin de voorwaarden van de levering van TRAXXEO Clouddiensten nader zijn uitgewerkt, hebben de bepalingen van deze Gegevensverwerkingsovereenkomst voorrang.
2- Definities
2.1 “Toepasselijk recht inzake gegevensbescherming” betekent Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna de “GDPR”), die van kracht is sinds 25 mei 2018; en (ii) alle andere wet- en regelgeving inzake gegevensbescherming of gegevensprivacy die van toepassing is op de verwerking van persoonsgegevens in het kader van deze Gegevensverwerkingsovereenkomst;
2.2 “U” betekent de klant van TRAXXEO;
2.3 “Gegevenseigenaar”, “Betrokkene”, “Impactbeoordelingen gegevensbescherming”, “Data Protection Officer”, “Proces/Verwerking”, “Toezichthoudende autoriteit”, “Controller”, “Derde verwerker” en “Bindende bedrijfsvoorschriften” (of elke andere gelijkwaardige term) hebben de betekenis die daaraan wordt gegeven in de GDPR;
2.4 “Modelcontractbepalingen”: de modelcontractbepalingen in de bijlage bij Besluit 2010/87/EU van de Europese Commissie van 5 februari 2010 betreffende de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG, of bepalingen van modelcontractbepalingen ter vervanging daarvan die bij besluit van de Europese Commissie zijn vastgesteld;
2.5 “Persoonsgegevens” betekent alle informatie met betrekking tot een Betrokkene die TRAXXEO namens u kan verwerken in verband met de Clouddiensten;
2.6 “Gevoelige of bijzondere categorieën persoonsgegevens”: gegevens betreffende ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging, alsook genetische gegevens, biometrische gegevens aan de hand waarvan een natuurlijke persoon eenduidig kan worden geïdentificeerd, gegevens over gezondheid of gegevens betreffende het seksleven of de seksuele geaardheid, en persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;
2.7 “Derde Verwerker” betekent een derde verwerker, ingeschakeld door TRAXXEO, die persoonsgegevens kan verwerken zoals beschreven in artikel 3.3.
3- Gegevensbeheerder en gegevensverwerker en doel van de verwerking
3.1 U bent en blijft te allen tijde de verantwoordelijke voor de verwerking van de persoonsgegevens die TRAXXEO op grond van deze gegevensverwerkingsovereenkomst verwerkt. U bent verantwoordelijk voor uw verplichtingen als verantwoordelijke voor de verwerking volgens de toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van het rechtvaardigen van de overdracht van persoonsgegevens aan TRAXXEO (met inbegrip van het verstrekken van de vereiste kennisgevingen en het verkrijgen van de nodige toestemmingen en/of machtigingen, of het bepalen van een passende rechtsgrondslag volgens de toepasselijke wetgeving inzake gegevensbescherming), en voor uw beslissingen en handelingen met betrekking tot de verwerking van dergelijke persoonsgegevens.
3.2 TRAXXEO is en blijft te allen tijde Verwerker van de persoonsgegevens die u op grond van deze Verwerkersovereenkomst aan TRAXXEO heeft verstrekt. TRAXXEO is verantwoordelijk voor de naleving van haar verplichtingen op grond van deze gegevensverwerkingsovereenkomst en haar verplichtingen als Verwerker op grond van de toepasselijke gegevensbeschermingswet.
3.3 TRAXXEO en eenieder die handelt onder het gezag van TRAXXEO, met inbegrip van Derde Verwerkers zoals gedefinieerd in artikel 8, zal persoonsgegevens uitsluitend verwerken voor de volgende doeleinden:
- om de Clouddiensten te verlenen in overeenstemming met de Klantenovereenkomst en deze Gegevensverwerkingsovereenkomst;
- om uw schriftelijke instructies overeenkomstig artikel 5 op te volgen, of;
- om te voldoen aan de wettelijke verplichtingen van TRAXXEO overeenkomstig artikel 14.
4- Categorieën persoonsgegevens en betrokkenen
4.1 Om de Clouddiensten uit te voeren en afhankelijk van de door u bestelde Clouddiensten, kan TRAXXEO alle of een deel van de volgende categorieën van persoonsgegevens verwerken: contactinformatie en persoonlijke informatie zoals naam, nationaal identificatienummer, huisadres, vast of mobiel telefoonnummer, e-mailadres, geboortedatum, wachtwoorden en juridische documenten; informatie zoals de naam van de werkgever, functie, salaris en andere voordelen, werkprestaties en andere vaardigheden, diploma’s/kwalificaties ; geolocatiegegevens zoals huidige positie of afgelegde afstanden op basis van voertuig- of toestelgegevens; prestatiegegevens zoals werkactiviteiten, afwezigheden, registraties.
4.2 De categorieën van Betrokkenen voor wie persoonsgegevens kunnen worden verwerkt om de Clouddiensten uit te voeren omvatten, maar zijn niet beperkt tot, uw vertegenwoordigers en eindgebruikers, zoals uw werknemers, sollicitanten, tijdelijke werknemers, aannemers, onderaannemers, medewerkers, partners, leveranciers en klanten.
4.3 Tenzij anders gespecificeerd in uw bestelling, mag uw inhoud geen gevoelige of speciale categorieën persoonsgegevens bevatten die specifieke beveiligings- of gegevensbeschermingsverplichtingen voor TRAXXEO met zich meebrengen in aanvulling op of anders dan de verplichtingen die in deze Gegevensverwerkingsovereenkomst zijn opgenomen.
5- Uw instructies
5.1 TRAXXEO zal de persoonsgegevens verwerken overeenkomstig uw schriftelijke instructies zoals gespecificeerd in deze Gegevensverwerkingsovereenkomst.
5.2 U kan TRAXXEO aanvullende schriftelijke instructies geven met betrekking tot de verwerking van persoonsgegevens in overeenstemming met de toepasselijke Wet op de bescherming van persoonsgegevens. TRAXXEO zal al uw instructies opvolgen voor zover dat nodig is zodat TRAXXEO:
- Voldoet aan zijn verplichtingen als Verwerker uit hoofde van de toepasselijke gegevensbeschermingswetgeving;
- U helpt bij het voldoen aan uw verplichtingen als Gegevensbeheerder onder de toepasselijke Gegevensbeschermingswet in verband met uw gebruik van de Clouddiensten, inclusief hulp bij het melden van Inbreuken in verband met Persoonsgegevens zoals uiteengezet in Artikel 11 en verzoeken van Betrokkenen zoals uiteengezet in Artikel 6.
5.3 Voor zover vereist door de toepasselijke wetgeving inzake gegevensbescherming, zal TRAXXEO u onmiddellijk inlichten indien, naar haar mening, uw instructies in strijd zijn met de toepasselijke wetgeving inzake gegevensbescherming. U erkent hierbij en stemt ermee in dat TRAXXEO niet verantwoordelijk is voor het uitvoeren van juridisch onderzoek en/of het verstrekken van juridisch advies aan u.
5.4 Onverminderd de verplichtingen van TRAXXEO op grond van dit artikel 5, zullen partijen te goeder trouw onderhandelen over eventuele kosten of vergoedingen die TRAXXEO moet betalen om te voldoen aan instructies met betrekking tot de Verwerking van persoonsgegevens die het gebruik van aanvullende of andere middelen vereisen dan die welke nodig zijn voor het verlenen van Clouddiensten.
6- Rechten van de betrokkenen
6.1 TRAXXEO zal u elektronische toegang verlenen tot uw Cloud Services omgeving die persoonsgegevens bevat om u in staat te stellen te reageren op verzoeken van Betrokkenen om hun rechten uit te oefenen onder de toepasselijke Wet Bescherming Persoonsgegevens, waaronder verzoeken om toegang, verwijdering of wissen, beperking, rectificatie, ontvangst en portabiliteit, blokkering van toegang of bezwaar tegen de verwerking van bepaalde persoonsgegevens of sets van persoonsgegevens.
6.2 Voor zover u niet over dergelijke elektronische toegang beschikt, kan u een “Serviceverzoek” indienen door contact op te nemen met TRAXXEO support op: support@traxxeo.com en TRAXXEO gedetailleerde schriftelijke instructies te verstrekken (inclusief de persoonsgegevens die nodig zijn om de Betrokkene te identificeren) over hoe te reageren op dergelijke verzoeken van Betrokkenen met betrekking tot persoonsgegevens die in uw Cloud Services omgeving worden bewaard. TRAXXEO zal dergelijke instructies onverwijld uitvoeren. Indien van toepassing zullen partijen te goeder trouw onderhandelen over eventuele kosten of vergoedingen die TRAXXEO verschuldigd is om instructies op te volgen die de inzet van andere of aanvullende middelen vereisen voor de levering van de Clouddiensten.
6.3 Indien TRAXXEO rechtstreeks van een betrokkene verzoeken ontvangt met betrekking tot persoonsgegevens, zal TRAXXEO deze verzoeken onverwijld kosteloos aan u doorsturen, zonder aan de betrokkene te antwoorden indien de betrokkene u als de verantwoordelijke identificeert. Indien de betrokkene u niet als de verantwoordelijke voor de verwerking identificeert, zal TRAXXEO de betrokkene verzoeken contact op te nemen met de entiteit die verantwoordelijk is voor het verzamelen van zijn/haar persoonsgegevens.
7- Doorgifte van persoonsgegevens
7.1 De persoonsgegevens die in uw Cloud Services omgeving worden bewaard, zullen worden gehost in het door TRAXXEO geselecteerde datacenter binnen de Europese Unie. TRAXXEO zal uw Cloud Services omgeving niet migreren naar een datacenter in een andere regio zonder uw voorafgaande schriftelijke toestemming.
7.2 Onverminderd paragraaf 7.1 kan TRAXXEO op Europese schaal persoonsgegevens inzien en verwerken voor zover dit noodzakelijk is voor het uitvoeren van de Clouddiensten, waaronder ten behoeve van IT-beveiliging, onderhoud en prestaties van de Clouddiensten en de bijbehorende infrastructuur, technische ondersteuning van de Clouddiensten en beheer van de Clouddiensten.
7.3 In geen geval worden persoonsgegevens doorgegeven aan derde verwerkers die gevestigd zijn in landen buiten de Europese Economische Ruimte (“EER”) of Zwitserland, ten aanzien waarvan de Europese Commissie of een bevoegde nationale gegevensbeschermingsautoriteit van de EER geen bindend besluit inzake adequaatheid heeft genomen.
8- Derde verwerkers van TRAXXEO
8.1 Behoudens het bepaalde in artikel 3.3, 7 en 8 stemt u ermee in dat TRAXXEO derde verwerkers inschakelt om TRAXXEO bij te staan bij de uitvoering van de Cloud Diensten.
8.2 TRAXXEO houdt lijsten bij van Derde Verwerkers die persoonsgegevens mogen verwerken. Deze lijsten worden u in de bijlage van deze Overeenkomst ter beschikking gesteld. Wij zullen u op de hoogte brengen van elke substantiële wijziging aan deze lijst en u stemt ermee in geen onredelijk bezwaar te maken tegen dergelijke wijzigingen. Indien u een wijziging niet wenst te aanvaarden en er geen overeenstemming kan worden bereikt tussen de partijen die te goeder trouw onderhandelen, heeft u het recht de Clouddiensten te beëindigen in overeenstemming met de voorwaarden van de Klantenovereenkomst.
8.3 Derde Verwerkers zijn verplicht een niveau van gegevensbescherming en beveiliging te bieden dat ten minste gelijkwaardig is aan het niveau dat TRAXXEO toepast op de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst.
8.4 Behoudens het bepaalde in artikel 12 blijft TRAXXEO te allen tijde verantwoordelijk voor de nakoming van de verplichtingen van Derde Verwerkers overeenkomstig de bepalingen van deze Data Processing Agreement en de toepasselijke Data Protection Act.
9- Technische en organisatorische maatregelen en vertrouwelijkheid van de verwerking
9.1 TRAXXEO heeft passende technische en organisatorische beveiligingsmaatregelen getroffen voor de Verwerking van persoonsgegevens en zal deze in stand houden. Deze maatregelen houden rekening met de aard, de reikwijdte en het doel van de Verwerking zoals uiteengezet in deze Gegevensverwerkingsovereenkomst en zijn bedoeld om persoonsgegevens te beschermen tegen de risico’s die inherent zijn aan de Verwerking van persoonsgegevens bij de uitvoering van de Clouddiensten, met name de risico’s van accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
9.2 TRAXXEO heeft passende beveiligingscontroles en -maatregelen ingevoerd met betrekking tot fysieke toegang, systeemtoegang, gegevenstoegang, verzending en encryptie, gegevensinvoer, gegevensback-up, gegevensscheiding en toezicht. Een gedetailleerde lijst van deze controles en veiligheidsmaatregelen zal u ter beschikking worden gesteld op schriftelijk verzoek aan: support@traxxeo.com.
9.3 TRAXXEO verbindt zich ertoe alle Persoonsgegevens vertrouwelijk te behandelen en deze op geen enkele wijze aan derden bekend te maken zonder voorafgaande toestemming van het bedrijf, behalve wanneer (1) deze bekendmaking noodzakelijk is voor de uitvoering van de Verwerking (bijvoorbeeld in het geval van een overdracht aan een onderaannemer), (2) behoudens artikel 14, de Persoonsgegevens aan een bevoegde overheidsinstantie bekend moeten worden gemaakt om te voldoen aan een wettelijke verplichting of voor auditdoeleinden.
9.4 Alle personeelsleden van TRAXXEO, alsmede iedere Derde Verwerker die toegang kan hebben tot persoonsgegevens, zijn onderworpen aan geheimhoudingsovereenkomsten die passend zijn voor het doel. TRAXXEO verleent alleen toegang tot gegevens aan haar werknemers of derde Verwerkers voor zover dat strikt noodzakelijk is voor de uitvoering van de verwerking.
10- Controlerechten en samenwerking met u en uw toezichthoudende autoriteiten
10.1 U mag één keer per jaar controleren of TRAXXEO haar verplichtingen uit deze gegevensverwerkingsovereenkomst nakomt. Bovendien, voor zover vereist door de toepasselijke Gegevensbeschermingswetgeving, en in het bijzonder wanneer uw Toezichthoudende Autoriteit daartoe opdracht geeft, kan u of uw Toezichthoudende Autoriteit vaker audits uitvoeren, met inbegrip van inspecties van het Cloud Service datacenter dat persoonsgegevens verwerkt. TRAXXEO zal u helpen bij het uitvoeren van dergelijke audits door u of uw toezichthoudende autoriteit de informatie en bijstand te verstrekken die redelijkerwijs nodig is om de audit uit te voeren, met inbegrip van alle relevante verslagen van verwerkingsactiviteiten die van toepassing zijn op de door u bestelde Clouddiensten.
10.2 Wanneer een derde partij vereist is om de audit uit te voeren, moet deze derde partij door u en TRAXXEO worden overeengekomen (tenzij deze derde partij optreedt in de hoedanigheid van een bevoegde Toezichthoudende Autoriteit). TRAXXEO zal niet op onredelijke wijze haar toestemming onthouden aan een audit door een derde partij op uw verzoek. De derde dient een voor TRAXXEO aanvaardbare schriftelijke geheimhoudingsovereenkomst te ondertekenen of anderszins door een wettelijke geheimhoudingsplicht gebonden te zijn alvorens de audit uit te voeren.
10.3 Om een audit aan te vragen, bent u verantwoordelijk voor het indienen van een gedetailleerd auditplanvoorstel bij TRAXXEO ten minste twee weken voorafgaand aan de voorgestelde auditdatum. Het voorgestelde auditplan omvat de reikwijdte, de duur en de aanvangsdatum van de audit. TRAXXEO zal het voorgestelde auditplan beoordelen en eventuele zorgen of vragen met u bespreken (bijv. verzoeken om informatie die de veiligheid, privacy, werkgelegenheid of ander beleid van TRAXXEO in gevaar kunnen brengen). TRAXXEO zal in goed vertrouwen met u samenwerken om tot een definitief auditplan te komen.
10.4 De audit zal worden uitgevoerd tijdens normale werktijden in de betreffende faciliteit, met inachtneming van het overeengekomen definitieve auditplan en TRAXXEO’s gezondheids- en veiligheids- of ander toepasselijk beleid, en zal de bedrijfsactiviteiten van TRAXXEO niet onredelijk verstoren.
10.5 U zal TRAXXEO alle auditrapporten verstrekken die zijn opgesteld in verband met een audit die op grond van dit artikel 10 is uitgevoerd, tenzij dit verboden is op grond van de toepasselijke wetgeving inzake gegevensbescherming of anderszins is opgedragen door een toezichthoudende autoriteit. U mag auditrapporten alleen gebruiken om te voldoen aan uw wettelijke auditvereisten en/of om de naleving van de vereisten van deze Gegevensverwerkingsovereenkomst te bevestigen. De auditverslagen vormen vertrouwelijke informatie van de partijen in overeenstemming met de voorwaarden van de Clouddienstenovereenkomst.
10.6 Elke audit zal worden uitgevoerd op uw kosten. Partijen zullen te goeder trouw onderhandelen over eventuele kosten of vergoedingen die TRAXXEO verschuldigd is voor het verlenen van bijstand in verband met een audit waarvoor andere of aanvullende middelen nodig zijn dan die welke vereist zijn voor het verlenen van de Clouddiensten.
11- Incidentenbeheer en kennisgeving van inbreuken op persoonsgegevens
11.1 TRAXXEO zet zich in om incidenten waarbij sprake is van vermoedelijke of ongeoorloofde toegang tot of verwerking van persoonsgegevens (“Incident”) te beoordelen en daar snel op te reageren. Alle personeelsleden van TRAXXEO die toegang hebben tot persoonsgegevens of deze verwerken, worden geïnstrueerd om te reageren op Incidenten, met inbegrip van snelle interne rapportage, escalatieprocedures en bewakingsketenpraktijken om bewijsmateriaal veilig te stellen. TRAXXEO’s overeenkomsten met Derde Verwerkers bevatten soortgelijke verplichtingen voor het melden van incidenten.
11.2 Wanneer TRAXXEO zich bewust wordt van en vaststelt dat een Incident wordt beschouwd als een inbreuk op de beveiliging die resulteert in de toevallige of onwettige verduistering of vernietiging, verlies, wijziging, onbevoegde openbaarmaking van of toegang tot persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt op TRAXXEO systemen of in de omgeving van de Clouddiensten, waardoor de beveiliging in gevaar wordt gebracht, de vertrouwelijkheid of integriteit van dergelijke persoonsgegevens (een “inbreuk in verband met persoonsgegevens”), zal TRAXXEO u zonder onnodige vertraging, uiterlijk binnen 24 uur, op de hoogte stellen van een dergelijke inbreuk in verband met persoonsgegevens door een e-mail te sturen aan uw functionaris voor gegevensbescherming – of aan uw contactpersoon voor gegevensbescherming of gegevensbeveiliging, indien zijn/haar gegevens aan TRAXXEO zijn verstrekt. Indien TRAXXEO deze gegevens niet heeft ontvangen, zal TRAXXEO de informatie sturen naar de in de Overeenkomst met de Klant genoemde contactpersoon.
11.3 TRAXXEO zal redelijke stappen ondernemen om de hoofdoorzaak of hoofdoorzaken van de inbreuk in verband met persoonsgegevens vast te stellen, de eventuele negatieve gevolgen ervan te beperken en herhaling ervan te voorkomen.
11.4 Tenzij anders is bepaald in de toepasselijke wetgeving inzake gegevensbescherming, komen de partijen overeen te goeder trouw samen te werken bij de uitwerking van de inhoud van elke daarmee verband houdende openbare verklaring of kennisgeving die vereist is voor Betrokkenen en/of kennisgeving aan de relevante Toezichthoudende Autoriteiten.
12- Teruggave en verwijdering van persoonsgegevens bij beëindiging van de Clouddiensten
12.1 Bij beëindiging van de Clouddiensten zal TRAXXEO uw dan in uw Clouddiensten omgeving aanwezige persoonsgegevens retourneren of voor opvraag beschikbaar stellen.
12.2 Na beëindiging van de Clouddiensten of na het verstrijken van de herstelperiode na beëindiging van de Clouddiensten (indien van toepassing), zal TRAXXEO onverwijld de verwerking stoppen en alle kopieën van persoonsgegevens uit de Clouddiensten omgeving verwijderen door deze persoonsgegevens onherstelbaar te maken, tenzij anders vereist door de wet.
13– Wettelijk verplichte openbaarmakingsverzoeken
13.1 Als TRAXXEO een dagvaarding ontvangt of onderworpen is aan een gerechtelijk, administratief of arbitraal bevel van een uitvoerend of administratief agentschap, regelgevende instantie of een andere overheidsinstantie met betrekking tot de Verwerking van Persoonsgegevens (“Openbaarmakingsverzoek”), zal TRAXXEO een dergelijk Openbaarmakingsverzoek onverwijld aan u doorsturen zonder erop te reageren, behalve voor zover vereist door Toepasselijk Recht (met inbegrip van het doel om een ontvangstbevestiging af te geven aan de instantie die het Openbaarmakingsverzoek heeft gedaan).
13.2 Op uw verzoek zal TRAXXEO u de informatie verstrekken die redelijkerwijs in haar bezit is en die relevant kan zijn voor het Openbaarmakingsverzoek, alsmede alle hulp die redelijkerwijs nodig is om u in staat te stellen tijdig op het Openbaarmakingsverzoek te reageren.
14- Data Protection Officer
14.1 TRAXXEO heeft een verantwoordelijke voor gegevensbescherming (Data Protection Officer, DPO) aangesteld. De DPO kan te allen tijde worden gecontacteerd door een verzoek te sturen naar: dpo@traxxeo.com.
14.2 Indien u een verantwoordelijke voor gegevensbescherming heeft aangesteld, kan u TRAXXEO verzoeken de contactgegevens van uw verantwoordelijke voor gegevensbescherming in de opdracht op te nemen, of u kan de genoemde contactgegevens vervolgens elektronisch aan TRAXXEO verstrekken via: dpo@traxxeo.com.
