Privacybeleid
Overeenkomst gegevensverwerking – RGPD
1- Toepassingsgebied
1.1 Deze Gegevensverwerkingsovereenkomst (“Gegevensverwerkingsovereenkomst”) is van toepassing op de Verwerking van persoonsgegevens in verband met de levering door TRAXXEO van TRAXXEO Clouddiensten, waarbij voertuig- en objectvolggegevens en Mobiele Applicaties worden gecombineerd.
1.2 In geval van tegenstrijdigheid of inconsistentie tussen deze Gegevensverwerkingsovereenkomst en enige andere met u gesloten overeenkomst waarin de voorwaarden van de levering van TRAXXEO Cloud Services zijn vastgelegd, prevaleren de bepalingen van deze Gegevensverwerkingsovereenkomst.
2- Definities
2.1 “Toepasselijke Gegevensbeschermingswetgeving” betekent Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna de “GDPR”), van kracht vanaf 25 mei 2018; en (ii) elke andere wet of regelgeving met betrekking tot gegevensbescherming of gegevensprivacy die van toepassing is op de verwerking van persoonsgegevens onder deze Gegevensverwerkingsovereenkomst ;
2.2 “U”: de klantentiteit van TRAXXEO;
2.3 “Data Owner”, “Data Subject”, “Data Protection Impact Assessments”, “Data Protection Officer”, “Process/Processing”, “Supervisory Authority”, “Controller”, “Subcontractor” en “Binding Corporate Rules” (of een andere gelijkwaardige term) hebben de betekenis die daaraan wordt gegeven in de GDPR;
2.4 “modelcontractbepalingen” betekent de modelcontractbepalingen die zijn opgenomen in de bijlage bij Besluit 2010/87/EU van de Europese Commissie van 5 februari 2010 betreffende de doorgifte van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen krachtens Richtlijn 95/46/EG, of enige opvolgende modelcontractbepalingen die zijn vastgesteld op grond van een besluit van de Europese Commissie;
2.5 “Persoonsgegevens”: alle informatie met betrekking tot een Betrokkene die TRAXXEO namens U mag verwerken in het kader van de Clouddiensten;
2.6 “Gevoelige of bijzondere categorieën van persoonsgegevens” betekent gegevens met betrekking tot ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of vakbondslidmaatschap, evenals genetische gegevens, biometrische gegevens waarmee een natuurlijke persoon uniek kan worden geïdentificeerd, gegevens met betrekking tot gezondheid of gegevens met betrekking tot seksleven of seksuele geaardheid en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en overtredingen of daaraan gerelateerde veiligheidsmaatregelen.
2.7 “Derde Verwerker” betekent een door TRAXXEO ingeschakelde derde verwerker die persoonsgegevens mag verwerken zoals uiteengezet in artikel 3.3.
3- Gegevensbeheerder en gegevensverwerker en doel van de verwerking
3.1 U bent en blijft te allen tijde de Verwerkingsverantwoordelijke voor de persoonsgegevens die TRAXXEO verwerkt onder deze Verwerkersovereenkomst. U bent verantwoordelijk voor uw verplichtingen als Verwerkingsverantwoordelijke onder de toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van het rechtvaardigen van elke overdracht van persoonsgegevens aan TRAXXEO (met inbegrip van het verstrekken van de vereiste kennisgevingen en het verkrijgen van de nodige toestemmingen en/of autorisaties, of het bepalen van een passende rechtsgrondslag onder de toepasselijke wetgeving inzake gegevensbescherming), en voor uw beslissingen en handelingen met betrekking tot de verwerking van dergelijke persoonsgegevens.
3.2 TRAXXEO is en blijft te allen tijde een Verwerker van de persoonsgegevens die u onder deze Verwerkersovereenkomst aan TRAXXEO heeft verstrekt. TRAXXEO is verantwoordelijk voor het nakomen van haar verplichtingen onder deze Gegevensverwerkingsovereenkomst en haar verplichtingen als Verwerker onder de toepasselijke wetgeving inzake gegevensbescherming.
3.3 TRAXXEO en elke persoon die handelt onder het gezag van TRAXXEO, met inbegrip van Derde Verwerkers zoals gedefinieerd in artikel 8, zal persoonsgegevens alleen verwerken voor de volgende doeleinden:
- om de Clouddiensten te leveren in overeenstemming met de Klantovereenkomst en deze Gegevensverwerkingsovereenkomst ;
- om te voldoen aan uw schriftelijke instructies in overeenstemming met artikel 5, of ;
- om te voldoen aan TRAXXEO’s wettelijke verplichtingen in overeenstemming met artikel 14.
4- Categorieën van persoonsgegevens en betrokkenen
4. 1 Om de Clouddiensten uit te voeren en afhankelijk van de Clouddiensten die u hebt besteld, kan TRAXXEO sommige of alle van de volgende categorieën persoonsgegevens verwerken: contactgegevens en persoonlijke informatie zoals naam, nationaal identificatienummer, huisadres, vast of mobiel telefoonnummer, e-mailadres, geboortedatum, wachtwoorden en juridische documenten; informatie zoals naam van de werkgever, functietitel, salaris en andere voordelen, werkprestaties en andere vaardigheden, diploma’s/kwalificaties ; geolocatiegegevens zoals huidige positie of afgelegde afstanden op basis van voertuig- of apparaatgegevens; prestatiegegevens zoals werkactiviteiten, afwezigheden, registraties.
4.2 De categorieën van Betrokkenen voor wie persoonsgegevens mogen worden verwerkt om de Clouddiensten uit te voeren omvatten in het bijzonder Uw vertegenwoordigers en eindgebruikers, zoals Uw werknemers, sollicitanten, uitzendkrachten, aannemers, onderaannemers, medewerkers, partners, leveranciers en klanten.
4.3 Tenzij anders gespecificeerd in Uw bestelling, mag Uw Content geen gevoelige of speciale categorie persoonsgegevens bevatten die TRAXXEO specifieke beveiligings- of gegevensbeschermingsverplichtingen oplegt naast of anders dan de verplichtingen die zijn vastgelegd in deze Gegevensverwerkingsovereenkomst.
5- Vos instructions
5- Uw instructies
5.1 TRAXXEO zal persoonsgegevens verwerken in overeenstemming met uw schriftelijke instructies zoals gespecificeerd in deze Gegevensverwerkingsovereenkomst.
5.2 U kunt TRAXXEO aanvullende schriftelijke instructies geven met betrekking tot de verwerking van persoonsgegevens in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming. TRAXXEO zal aan al uw instructies voldoen voor zover dit noodzakelijk is voor TRAXXEO :
- voldoet aan haar verplichtingen als Verwerker onder de Toepasselijke Wet Bescherming Persoonsgegevens;
- u helpt te voldoen aan uw verplichtingen als Verwerkingsverantwoordelijke onder de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot uw gebruik van de clouddiensten, met inbegrip van hulp bij kennisgeving van inbreuk op persoonsgegevens zoals uiteengezet in artikel 11 en verzoeken van betrokkenen zoals uiteengezet in artikel 6.
5.3 Voor zover vereist door de toepasselijke wetgeving inzake gegevensbescherming, zal TRAXXEO u onmiddellijk informeren als uw instructies naar haar mening in strijd zijn met de toepasselijke wetgeving inzake gegevensbescherming. U erkent hierbij en stemt ermee in dat TRAXXEO niet verantwoordelijk is voor het uitvoeren van juridisch onderzoek en/of het verstrekken van juridisch advies aan U.
5.4 Onverminderd TRAXXEO’s verplichtingen op grond van dit artikel 5, zullen partijen te goeder trouw onderhandelen over eventuele kosten of vergoedingen die TRAXXEO moet maken om te voldoen aan instructies met betrekking tot de Verwerking van persoonsgegevens die het gebruik vereisen van aanvullende of andere middelen dan die noodzakelijk zijn voor de levering van de Cloud Diensten.
6 Rechten van betrokkenen
6.1 TRAXXEO zal U elektronische toegang verlenen tot Uw Cloud Services omgeving die persoonsgegevens bevat om U in staat te stellen te reageren op verzoeken van Betrokkenen om hun rechten onder de toepasselijke Wet Bescherming Persoonsgegevens uit te oefenen, waaronder verzoeken tot toegang, wissen of wissen, beperking, rectificatie, ontvangst en overdraagbaarheid, blokkeren van toegang of bezwaar maken tegen de verwerking van bepaalde persoonsgegevens of verzamelingen van persoonsgegevens.
6.2 Voor zover U niet over dergelijke elektronische toegang beschikt, kunt U een “Serviceverzoek” indienen door contact op te nemen met TRAXXEO support op: support@traxxeo.com en TRAXXEO gedetailleerde schriftelijke instructies verstrekken (met inbegrip van de persoonsgegevens die nodig zijn om de Betrokkene te identificeren) over hoe te reageren op dergelijke verzoeken van Betrokkenen met betrekking tot de persoonsgegevens die worden bewaard in Uw Cloud Services-omgeving. TRAXXEO zal dergelijke instructies onmiddellijk uitvoeren. Indien van toepassing zullen de partijen te goeder trouw onderhandelen over eventuele kosten of vergoedingen die TRAXXEO moet maken om te voldoen aan instructies die de inzet van andere middelen vereisen dan of in aanvulling op de middelen die nodig zijn voor de levering van de Clouddiensten.
6.3 Indien TRAXXEO rechtstreeks verzoeken ontvangt van een Betrokkene met betrekking tot persoonsgegevens, zal TRAXXEO deze verzoeken onverwijld kosteloos aan u doorsturen, zonder de Betrokkene te antwoorden indien de Betrokkene u identificeert als de Verwerkingsverantwoordelijke. Als de betrokkene u niet als de verantwoordelijke voor de verwerking identificeert, zal TRAXXEO de betrokkene vragen contact op te nemen met de entiteit die verantwoordelijk is voor het verzamelen van zijn/haar persoonsgegevens.
7- Overdracht van persoonlijke gegevens
7.1 De persoonsgegevens die in uw Cloud Services-omgeving worden bewaard, zullen worden gehost in het door TRAXXEO geselecteerde datacenter binnen de Europese Unie. TRAXXEO zal uw Cloud Services-omgeving niet migreren naar een datacenter in een andere regio zonder uw voorafgaande schriftelijke toestemming.
7.2 Onverminderd paragraaf 7.1 mag TRAXXEO persoonsgegevens in heel Europa raadplegen en verwerken voor zover dit noodzakelijk is om de Clouddiensten uit te voeren, waaronder ten behoeve van IT-beveiliging, onderhoud en prestaties van de Clouddiensten en gerelateerde infrastructuur, technische ondersteuning van de Clouddiensten en beheer van de Clouddiensten.
7.3 Onder geen enkele omstandigheid zullen persoonlijke gegevens worden overgedragen aan derde verwerkers in landen buiten de Europese Economische Ruimte (“EER”) of Zwitserland, die niet het onderwerp zijn geweest van een bindend adequaatheidsbesluit van de Europese Commissie of een bevoegde nationale gegevensbeschermingsautoriteit van de EER.
8- Derden onderaannemers van TRAXXEO
8.1 Met inachtneming van het bepaalde in artikel 3.3, 7 en 8 stemt u ermee in dat TRAXXEO Derden Verwerkers mag inschakelen om TRAXXEO te assisteren bij de uitvoering van de Clouddiensten.
8.2 TRAXXEO houdt lijsten bij van Derde Verwerkers die persoonsgegevens kunnen verwerken. Deze lijsten worden aan U ter beschikking gesteld in de Appendix van deze Overeenkomst. Wij zullen U informeren over elke substantiële wijziging in deze lijst en U verbindt zich ertoe niet onredelijk bezwaar te maken tegen deze wijzigingen. Indien U een wijziging niet wenst te accepteren en er geen overeenstemming kan worden bereikt tussen de partijen die te goeder trouw onderhandelen, heeft U het recht om de Clouddiensten te beëindigen in overeenstemming met de bepalingen van de Klantenovereenkomst.
8.3 Derden Verwerkers zijn verplicht een niveau van gegevensbescherming en beveiliging te waarborgen dat ten minste gelijkwaardig is aan het niveau dat TRAXXEO toepast op de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst.
8.4 Behoudens artikel 12 blijft TRAXXEO te allen tijde verantwoordelijk voor de nakoming van de verplichtingen van Derde Verwerkers in overeenstemming met de bepalingen van deze Gegevensverwerkingsovereenkomst en de toepasselijke Wet Bescherming Persoonsgegevens.
9- Technische en organisatorische maatregelen en vertrouwelijkheid van de verwerking
9.1 TRAXXEO heeft passende technische en organisatorische beveiligingsmaatregelen voor de Verwerking van persoonsgegevens geïmplementeerd en zal deze handhaven. Deze maatregelen houden rekening met de aard, de omvang en het doel van de Verwerking zoals bepaald in deze Verwerkersovereenkomst en zijn bedoeld om persoonsgegevens te beschermen tegen de risico’s die inherent zijn aan de Verwerking van persoonsgegevens in het kader van de uitvoering van de Clouddiensten, in het bijzonder de risico’s van onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.
9.2 TRAXXEO heeft passende beveiligingscontroles en -maatregelen geïmplementeerd met betrekking tot fysieke toegang, systeemtoegang, gegevenstoegang, transmissie en versleuteling, gegevensinvoer, gegevensback-up, scheiding van gegevens en toezicht. Een gedetailleerde lijst van deze controles en veiligheidsmaatregelen zal aan u beschikbaar worden gesteld op schriftelijk verzoek aan support@traxxeo.com.
9.3 TRAXXEO verplicht zich alle Persoonsgegevens vertrouwelijk te behandelen en op geen enkele wijze aan derden bekend te maken zonder voorafgaande toestemming van het bedrijf, behalve wanneer (1) een dergelijke bekendmaking noodzakelijk is voor het uitvoeren van de Verwerking (bijvoorbeeld in het geval van een overdracht aan een onderaannemer), (2) onder voorbehoud van artikel 14, de Persoonsgegevens bekend moeten worden gemaakt aan een bevoegde overheidsinstantie om te voldoen aan een wettelijke verplichting of voor controledoeleinden.
9.4 Alle personeelsleden van TRAXXEO, evenals alle derde contractanten die toegang kunnen hebben tot persoonsgegevens, zijn onderworpen aan vertrouwelijkheidsovereenkomsten die passen bij de beoogde doeleinden. TRAXXEO zal alleen toegang tot gegevens verlenen aan haar werknemers of Derde Verwerkers voor zover dit strikt noodzakelijk is om de verwerking uit te voeren.
10- Auditrechten en samenwerking met U en Uw toezichthoudende autoriteiten
10.1 U mag TRAXXEO eenmaal per jaar controleren op de naleving van haar verplichtingen onder deze Gegevensverwerkingsovereenkomst. Daarnaast kunt u of uw toezichthoudende autoriteit, voor zover vereist door de toepasselijke wetgeving inzake gegevensbescherming en in het bijzonder wanneer uw toezichthoudende autoriteit dit voorschrijft, frequentere audits uitvoeren, waaronder inspecties van het datacentrum van de clouddienst waar persoonsgegevens worden verwerkt. TRAXXEO zal u bijstaan bij het uitvoeren van dergelijke audits door u of uw toezichthoudende autoriteit te voorzien van informatie en assistentie die redelijkerwijs nodig is om de audit uit te voeren, met inbegrip van alle relevante registraties van verwerkingsactiviteiten die van toepassing zijn op de door u bestelde Clouddiensten.
10.2 Als een derde partij nodig is om de audit uit te voeren, moet deze derde partij worden overeengekomen tussen U en TRAXXEO (tenzij deze derde partij optreedt in de hoedanigheid van een bevoegde toezichthoudende autoriteit). TRAXXEO mag niet op onredelijke gronden haar toestemming onthouden aan een audit die op Uw verzoek door een derde wordt uitgevoerd. De derde partij zal een schriftelijke geheimhoudingsovereenkomst moeten ondertekenen die aanvaardbaar is voor TRAXXEO of anderszins gebonden zijn aan een wettelijke geheimhoudingsverplichting voorafgaand aan het uitvoeren van de audit.
10.3 Om een audit aan te vragen, bent U verantwoordelijk voor het indienen van een gedetailleerd voorstel voor een auditplan bij TRAXXEO ten minste twee weken voor de voorgestelde auditdatum. In het bijzonder moet het voorgestelde auditplan de omvang, duur en startdatum van de audit beschrijven. TRAXXEO zal het voorgestelde auditplan beoordelen en u op de hoogte stellen van eventuele zorgen of vragen (bijvoorbeeld een verzoek om informatie die het veiligheids-, privacy-, werkgelegenheids- of ander beleid van TRAXXEO in gevaar kan brengen). TRAXXEO zal te goeder trouw met u samenwerken om overeenstemming te bereiken over een definitief auditplan.
10.4 De audit zal worden uitgevoerd tijdens normale werkuren in de betreffende faciliteit, met inachtneming van het overeengekomen definitieve auditplan en TRAXXEO’s gezondheids- en veiligheids- of ander toepasselijk beleid, en zal de bedrijfsvoering van TRAXXEO niet op onredelijke wijze verstoren.
10.5 U zult TRAXXEO alle auditrapporten verstrekken die zijn opgesteld in de loop van een audit die is uitgevoerd op grond van dit artikel 10, tenzij dit verboden is op grond van toepasselijke wetgeving inzake gegevensbescherming of anders is opgedragen door een toezichthoudende autoriteit. U mag auditrapporten alleen gebruiken om te voldoen aan uw wettelijke auditvereisten en/of om de naleving van de vereisten van deze Gegevensverwerkingsovereenkomst te bevestigen. De auditrapporten vormen vertrouwelijke informatie van de partijen in overeenstemming met de voorwaarden van de Overeenkomst Clouddiensten.
10.6 Elke audit zal op Uw kosten worden uitgevoerd. De partijen zullen te goeder trouw onderhandelen over eventuele kosten of vergoedingen die TRAXXEO moet maken voor het verlenen van assistentie in verband met een audit waarvoor andere of aanvullende middelen moeten worden ingezet dan nodig zijn voor het verlenen van de Clouddiensten.
11 Beheer van incidenten en melding van inbreuken op gegevens
11.1 TRAXXEO verplicht zich tot het beoordelen van en onmiddellijk reageren op incidenten die aanleiding geven tot vermoedens of wijzen op ongeautoriseerde toegang tot persoonsgegevens of de verwerking daarvan (“Incident”). Al het personeel van TRAXXEO dat toegang heeft tot of belast is met de verwerking van persoonsgegevens is geïnstrueerd om te reageren op Incidenten, onder meer door onmiddellijk een intern rapport op te stellen en escalatieprocedures en chain of custody praktijken toe te passen om eventueel bewijs veilig te stellen. TRAXXEO’s overeenkomsten met onderaannemers van derden bevatten soortgelijke verplichtingen om incidenten te melden.
11. 2 Wanneer TRAXXEO zich bewust wordt van en vaststelt dat een Incident wordt beschouwd als een inbreuk op de beveiliging die resulteert in de toevallige of onwettige verduistering of vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt op TRAXXEO systemen of in de Cloud Services omgeving, waardoor de veiligheid in gevaar komt, vertrouwelijkheid of integriteit van dergelijke persoonsgegevens in gevaar brengt (een “Inbreuk in verband met persoonsgegevens”), zal TRAXXEO u zonder onnodige vertraging, uiterlijk binnen 24 uur, op de hoogte stellen van een dergelijke Inbreuk in verband met persoonsgegevens door een e-mail te sturen naar uw functionaris voor gegevensbescherming – of naar uw contactpersoon voor gegevensbescherming of gegevensbeveiliging, als zijn/haar gegevens aan TRAXXEO zijn verstrekt. Als TRAXXEO deze gegevens niet heeft ontvangen, zal TRAXXEO de informatie sturen naar de contactpersoon die in het klantencontract wordt genoemd.
11.3 TRAXXEO verbindt zich ertoe redelijke maatregelen te nemen om de oorzaak of oorzaken van de inbreuk in verband met persoonsgegevens vast te stellen, de mogelijke negatieve gevolgen ervan te beperken en herhaling te voorkomen.
11.4 Tenzij anders bepaald in de Toepasselijke Wetgeving inzake Gegevensbescherming, komen de partijen overeen te goeder trouw samen te werken om de inhoud te ontwikkelen van elke gerelateerde publieke verklaring of kennisgeving die vereist is voor Betrokkenen en/of elke kennisgeving aan de relevante Toezichthoudende Autoriteiten.
12- Teruggave en verwijdering van persoonsgegevens bij beëindiging van de Clouddiensten
12.1 Na beëindiging van de Clouddiensten zal TRAXXEO uw persoonsgegevens die op dat moment beschikbaar zijn in uw Clouddienstenomgeving retourneren of beschikbaar stellen voor opvraging.
12.2 Na beëindiging van de Clouddiensten of na het verstrijken van de herstelperiode na beëindiging van de Clouddiensten (indien van toepassing), zal TRAXXEO onmiddellijk de verwerking stoppen en alle kopieën van persoonsgegevens uit de Clouddienstenomgeving verwijderen waardoor deze persoonsgegevens onherstelbaar worden, tenzij anders vereist door de wet.
13- Wettelijk verplichte verzoeken tot openbaarmaking
13.1 Als TRAXXEO een dagvaarding ontvangt of onderworpen is aan een gerechtelijk, administratief of arbitraal bevel van een uitvoerend of administratief agentschap, regelgevende instantie of een andere overheidsinstantie in verband met de Verwerking van Persoonsgegevens (“Openbaarmakingsverzoek”), zal TRAXXEO een dergelijk Openbaarmakingsverzoek onverwijld aan u doorsturen zonder daarop te reageren, behalve zoals vereist door Toepasselijke Wetgeving (waaronder het afgeven van een ontvangstbevestiging aan de autoriteit die het Openbaarmakingsverzoek heeft gedaan).
13.2 Op uw verzoek zal TRAXXEO u voorzien van redelijke informatie in haar bezit die kan beantwoorden aan het Openbaarmakingsverzoek en van alle hulp die redelijkerwijs nodig is om u in staat te stellen tijdig te reageren op het Openbaarmakingsverzoek.
14- Functionaris voor gegevensbescherming
14.1 TRAXXEO heeft een functionaris voor gegevensbescherming aangesteld. U kunt te allen tijde contact opnemen met de functionaris voor gegevensbescherming door een verzoek te sturen naar: dpo@traxxeo.com.
14.2 Als u een functionaris voor gegevensbescherming hebt aangesteld, kunt u TRAXXEO verzoeken de contactgegevens van uw functionaris voor gegevensbescherming in de bestelling op te nemen of u kunt de genoemde contactgegevens vervolgens elektronisch aan TRAXXEO doorgeven via: dpo@traxxeo.com.