Juridisch

Verwerking van Gegevens

Our Legal Documents

Toevoeging gegevensbescherming EEA/UK GDPR voor Gegevensbescherming

Deel A

De volgende termen hebben de volgende betekenissen:

“Verwerkingsverantwoordelijke” betekent een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of enig ander orgaan dat alleen of samen met anderen het doel van de verwerking van persoonsgegevens bepaalt en de middelen voor de verwerking;

“Verwerkingsverantwoordelijke-Verwerkingsverantwoordelijke” betekent de modelbepalingen voor de doorgifte van persoonsgegevens aan verwerkingsverantwoordelijken in derde landen zoals uiteengezet in het besluit van de Europese Commissie van 27 december 2004 (2004/915/EG), zoals deze modelbepalingen van tijd tot tijd kunnen worden gewijzigd of vervangen door de Europese Commissie;

“Verwerkingsverantwoordelijke-Verwerker” betekent de modelbepalingen voor de doorgifte van persoonsgegevens aan verwerkers in derde landen zoals uiteengezet in het besluit van de Europese Commissie van 5 februari 2010 (2010/87/EU), zoals deze modelbepalingen van tijd tot tijd kunnen worden gewijzigd of vervangen door de Europese Commissie;

“Europa” betekent (i) de Europese Economische Ruimte (“EER”) zoals samengesteld op het moment van een relevante doorgifte en die, per de datum van inwerkingtreding, bestaat uit de lidstaten van de Europese Unie, samen met de drie landen binnen de Europese Vrijhandelsassociatie, namelijk Noorwegen, IJsland en Liechtenstein en (ii) het VK;

“Europese gegevensbeschermingswetgeving” betekent: (i) de AVG; (ii) eventuele toepasselijke nationale/federale of staats/provinciale wetgeving die de AVG implementeert in een lidstaat van de EER; (iii) de AVG zoals opgenomen in het VK recht ingevolge artikel 3 van de European Union (Withdrawal Act) 2018 (zoals gewijzigd, de “UK GDPR”); en (iv) eventuele andere toepasselijke gegevensbeschermings- of nationale/federale of staats/provinciale privacywetgeving die van kracht is in een lidstaat van de EER of het VK, inclusief, indien van toepassing, wetten, besluiten, richtlijnen, begeleidingsnotities, gedragscodes en mechanismen voor gegevensbeschermingscertificering die van tijd tot tijd worden uitgevaardigd door een toezichthoudende autoriteit of andere bevoegde autoriteiten in een lidstaat van de EER of het VK;

“AVG” betekent de Algemene Verordening Gegevensbescherming van de Europese Unie (Verordening 2016/679 van 27 april 2016);

“Verwerker” betekent een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of enig ander orgaan dat gegevens verwerkt namens een verwerkingsverantwoordelijke.

Deel B

EEA/UK VERANTWOORDELIJKE NAAR VERWERKER

1.Dit Deel is van toepassing: (i) telkens wanneer een bedrijf (Square Media Ltd) is gevestigd in de EER of het VK, of anderszins onderworpen is aan de AVG (onder Artikel 3.2 van de AVG) of de UK GDPR (onder Artikel 3.2 van de UK GDPR), of de persoonsgegevens die zullen worden verwerkt betrekking hebben op betrokkenen in Europa; en (ii) het bedrijf is een verwerker.

2.Indien dit Deel B van toepassing is, zijn de volgende bepalingen van toepassing op alle overdrachten van persoonsgegevens door Square Media Ltd en alle daaropvolgende verwerking van de overgedragen persoonsgegevens door Square Media Ltd:

 

2.1 Square Media Ltd zal de overgedragen persoonsgegevens alleen namens Square Media Ltd en dochterondernemingen verwerken en in overeenstemming met de gedocumenteerde instructies van dezelfde, tenzij vereist door de toepasselijke wetgeving. In dat geval zal Square Media Ltd dochterondernemingen op de hoogte stellen van die wettelijke verplichting voordat de verwerking plaatsvindt, tenzij die wet dergelijke informatie verbiedt om zwaarwegende redenen van algemeen belang.

2.2 Square Media Ltd zal ervoor zorgen dat personen die bevoegd zijn om de persoonsgegevens te verwerken, zich hebben verbonden tot vertrouwelijkheid of onder een passende wettelijke verplichting tot vertrouwelijkheid vallen.

2.3 Square Media Ltd zal technische en organisatorische beveiligingsmaatregelen implementeren om de persoonsgegevens die zij verwerkt te beschermen tegen een beveiligingsincident in overeenstemming met de toepasselijke gegevensbeschermingswetgeving. Deze maatregelen omvatten minimaal de Minimum Beveiligingsmaatregelen.

2.4 Square Media Ltd zal geen enkele van haar verplichtingen om de overgedragen persoonsgegevens te verwerken uitbesteden aan een onderaannemer, tenzij de dochteronderneming het gebruik van de onderaannemer heeft goedgekeurd. Als Square Media Ltd een nieuwe onderaannemer inhuurt om de overgedragen persoonsgegevens te verwerken, zal zij de dochteronderneming tijdig op de hoogte stellen, waarbij de dochteronderneming bezwaar kan maken tegen de benoeming. Als de dochteronderneming geen bezwaar maakt, kan Square Media Ltd doorgaan met de benoeming. Square Media Ltd zal ervoor zorgen dat zij een schriftelijke overeenkomst heeft met alle onderaannemers die verplichtingen voor de onderaannemer bevatten die niet minder belastend zijn voor de relevante onderaannemer dan de verplichtingen van het bedrijf onder dit Deel B.

2.5 Gezien de aard van de verwerking zal Square Media Ltd de dochterondernemingen bijstaan met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, ter voldoening aan de verplichting van de dochterondernemingen om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene zoals vastgelegd in de toepasselijke wetgeving inzake gegevensbescherming.

2.6 Square Media Ltd zal de dochterondernemingen onverwijld op de hoogte stellen zodra zij op de hoogte is van een beveiligingsincident dat de persoonsgegevens van de dochteronderneming treft, en details verstrekken over de aard van het beveiligingsincident, het aantal getroffen gegevensrecords, de categorie en het geschatte aantal getroffen betrokkenen, de mogelijke gevolgen van het beveiligingsincident en eventuele daadwerkelijke of voorgestelde maatregelen om de mogelijke nadelige gevolgen van het beveiligingsincident te beperken. Square Media Ltd zal alle redelijke inspanningen leveren om mogelijke nadelige gevolgen van het beveiligingsincident te beperken en de dochterondernemingen regelmatig op de hoogte houden van de voortgang van dergelijke inspanningen ter beperking.

2.7 Square Media Ltd zal de dochterondernemingen redelijke bijstand verlenen met betrekking tot een gegevensbeschermingseffectbeoordeling en/of overleg met een toezichthoudende autoriteit die de dochterondernemingen moeten uitvoeren in overeenstemming met de AVG, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor Square Media Ltd. Naar keuze van een dochteronderneming zal Square Media Ltd na beëindiging van de verstrekking van gegevensverwerkingsdiensten door Square Media Ltd aan de dochteronderneming prompt alle overgedragen persoonsgegevens aan de dochteronderneming verwijderen of retourneren en bestaande kopieën van de overgedragen persoonsgegevens verwijderen, tenzij de toepasselijke wetgeving opslag van de overgedragen persoonsgegevens vereist.

2.8 Square Media Ltd zal, op schriftelijk verzoek van de dochteronderneming van tijd tot tijd, alle informatie beschikbaar stellen aan de dochteronderneming (en aan elke bevoegde gegevensbeschermingsautoriteit) die nodig is om te voldoen aan de toepasselijke wetgeving inzake gegevensbescherming en audits, inclusief inspecties, mogelijk te maken en bij te dragen aan audits, inclusief inspecties, met redelijke kennisgeving tijdens normale kantooruren. Square Media Ltd kan verlangen dat een externe auditor een geheimhoudingsovereenkomst sluit (op redelijke, marktconforme voorwaarden) voordat deze een audit of inspectie uitvoert.

Deel C:

EER/UK-Verwerker naar verwerkingsverantwoordelijke

Deel C is van toepassing in de volgende gevallen: (i) telkens wanneer de dochteronderneming of Square Media Ltd is gevestigd in de EER of het VK, of anderszins onderworpen is aan de AVG (op grond van artikel 3.2 van de AVG) of de UK GDPR (op grond van artikel 3.2 van de UK GDPR), of de persoonsgegevens die zullen worden verwerkt betrekking hebben op betrokkenen in Europa; en (ii) het Bedrijf is een Verwerkingsverantwoordelijke.

  • Indien Square Media Ltd een Verwerker is, is Deel C niet van toepassing en valt de overdracht onder Deel B.
  • Elke partij is een verwerkingsverantwoordelijke voor persoonsgegevens die door de affiliate worden overgedragen aan Square Media Ltd voor verwerking. Elke partij dient met betrekking tot dergelijke persoonsgegevens volledig te voldoen aan de Europese wetgeving inzake gegevensbescherming, waaronder (i) het bieden van transparantie aan betrokkenen over dergelijke overdracht en verwerking; (ii) het hebben van een wettelijke basis voor dergelijke overdracht of verwerking; en (iii) het reageren in overeenstemming met de Europese wetgeving inzake gegevensbescherming op elk verzoek van een betrokkene met betrekking tot zijn of haar rechten.
  • Indien Square Media Ltd een derde partij wenst aan te stellen om persoonsgegevens te verwerken die zij ontvangen heeft van de affiliate voor de doeleinden van de Overeenkomst, zal Square Media Ltd ervoor zorgen dat de derde partij voldoet aan de Europese wetgeving inzake gegevensbescherming en de vereisten van dit Addendum.
  • Indien Square Media Ltd zich bevindt in een gebied (of sector) dat door de Europese Commissie niet is aangewezen als waarborgend voor een passend beschermingsniveau, zijn de affiliate(s) en Square Media Ltd hierbij overeengekomen dat de clausules voor de overdracht tussen verwerkingsverantwoordelijken (Controller-to-Controller Clauses) worden opgenomen in dit Addendum, waarbij de details als voltooid worden beschouwd, en de affiliate(s) zal de “Gegevensexporteur” zijn en Square Media Ltd zal de “Gegevensimporteur” zijn.
  • DEEL D: AANVULLENDE BEPALINGEN VOOR DE EEA/UK
  • Toelichting op het toepassingsgebied van dit Deel van Bijlage A-2: Dit Deel A-2.4 is van toepassing wanneer Deel B of Deel C van toepassing is. Indien de naleving van de Europese wetgeving inzake gegevensbescherming met betrekking tot internationale overdrachten van persoonsgegevens wordt beïnvloed door omstandigheden buiten de controle van de partijen, waaronder indien de Controller-Controller Clauses, de Controller-Processor Clauses of enig ander wettelijk instrument voor internationale overdrachten van persoonsgegevens ongeldig wordt verklaard, gewijzigd of vervangen, zullen de partijen te goeder trouw samenwerken om dergelijke niet-naleving redelijk op te lossen.
  • Indien Square Media Ltd op de hoogte wordt gesteld dat een wetshandhavings-, regelgevende, gerechtelijke of overheidsinstantie (een “Autoriteit”) toegang wenst te verkrijgen tot of een kopie wenst te verkrijgen van een deel of alle Persoonsgegevens, zowel op vrijwillige als verplichte basis, zal Square Media Ltd het volgende doen: (i) onmiddellijk elke betreffende affiliate op de hoogte stellen van het verzoek van de Autoriteit; (ii) indien Square Media Ltd een Verwerker is van de Persoonsgegevens, de Autoriteit hiervan op de hoogte stellen en aangeven dat de affiliate Square Media Ltd niet heeft gemachtigd om die Persoonsgegevens aan de Autoriteit bekend te maken; (iii) de Autoriteit informeren dat dergelijke verzoeken schriftelijk aan de affiliate (als de oorspronkelijke Verwerkingsverantwoordelijke) moeten worden gericht; en (iv) de Autoriteit geen toegang verschaffen tot dergelijke Persoonsgegevens, tenzij en totdat de affiliate hiertoe gemachtigd heeft.
  • Indien Square Media Ltd wettelijk verboden is om te voldoen aan de bovenstaande paragraaf, zal Square Media Ltd redelijke inspanningen leveren om een dergelijk verbod aan te vechten.
  • Indien Square Media Ltd een openbaarmaking van Persoonsgegevens aan een Autoriteit doet (hetzij met toestemming van de affiliate, hetzij vanwege een verplichte wettelijke dwang), zal zij dit alleen doen in de mate waarin dit wettelijk vereist is.
  • Paragrafen 4.3 en 4.4 zijn niet van toepassing indien Square Media Ltd redelijkerwijs en te goeder trouw van mening is dat dringende toegang noodzakelijk is om een dreigend risico op ernstige schade voor een individu te voorkomen. In een dergelijk geval zal Square Media Ltd de affiliates zo snel mogelijk op de hoogte stellen van de toegang door de Autoriteit en hen volledige details verstrekken, tenzij dit wettelijk verboden is of indien dit anderszins niet mogelijk is.
  • Square Media Ltd zal opzettelijk geen Persoonsgegevens openbaar maken op een massale, onevenredige en willekeurige wijze die verder gaat dan wat noodzakelijk is in een democratische samenleving.