NOTA: Om ervoor te zorgen dat er geen inconsistente of aanvullende voorwaarden aan ons worden opgelegd die verder gaan dan die in onze standaard DPA en modelclausules worden weerspiegeld, kunnen we niet akkoord gaan met het ondertekenen van de DPA's van klanten. Als een klein team kunnen we ook geen individuele wijzigingen aan onze DPA aanbrengen, omdat we geen juridisch team in dienst hebben. Eventuele wijzigingen aan de standaard DPA zouden juridische bijstand vereisen en veel heen en weer discussie vragen, wat kostenintensief zou zijn voor ons team.

Deze EU en VK Gegevensverwerkingsovereenkomst ("Overeenkomst") vult de Gebruiksvoorwaarden (de "Overeenkomst") aan die zijn aangegaan tussen de klant die deze Overeenkomst ondertekent ("Klant") en Logike ("Bedrijf"). Door de Overeenkomst uit te voeren in overeenstemming met Sectie 11 hier, treedt de Klant deze Overeenkomst aan zowel namens zichzelf als, voor zover vereist onder de toepasselijke Gegevensbeschermingswetten (hieronder gedefinieerd), in naam en namens zijn Geassocieerden (hieronder gedefinieerd), indien van toepassing. Deze Overeenkomst bevat de voorwaarden van de Overeenkomst, en elke voorwaarde die niet in deze Overeenkomst is gedefinieerd, heeft de betekenis zoals vastgelegd in de Overeenkomst.

1\. Definities

1.1 "Geassocieerde" betekent (i) een entiteit waarvan een partij direct of indirect vijftig procent (50%) of meer van de aandelen of andere eigendomsbelangen bezit, (ii) een entiteit die minstens vijftig procent (50%) of meer van de aandelen of andere eigendomsbelangen van een partij bezit, of (iii) een entiteit die onder gemeenschappelijke controle staat met een partij door minstens vijftig procent (50%) of meer van de aandelen of andere eigendomsbelangen van die entiteit en een partij eigendom van dezelfde persoon te hebben, maar die entiteit wordt alleen als een Geassocieerde beschouwd zolang die eigendom bestaat.

1.2 "Geautoriseerde Sub-Verwerker" betekent een derde partij die een behoefte heeft om te weten of anderszins toegang krijgt tot de Persoonlijke Gegevens van de Klant om het Bedrijf in staat te stellen zijn verplichtingen onder deze Overeenkomst of de Overeenkomst na te komen, en die (1) wordt vermeld in Bijlage B of (2) daarna is geautoriseerd onder Sectie 4.2 van deze Overeenkomst.

1.3 "Klantaccountgegevens" betekent persoonlijke gegevens die betrekking hebben op de relatie van de Klant met het Bedrijf, inclusief de namen of contactgegevens van individuen die door de Klant zijn gemachtigd om toegang te krijgen tot het account van de Klant en de factureringsinformatie van individuen die de Klant aan zijn account heeft gekoppeld. Klantaccountgegevens omvatten ook alle gegevens die het Bedrijf mogelijk moet verzamelen voor het beheer van de relatie met de Klant, identiteitsverificatie of zoals anderszins vereist door toepasselijke wetten en regelgeving.

1.4 "Klantgebruikgegevens" betekent de gegevens over het gebruik van de Service die door het Bedrijf zijn verzameld en verwerkt in verband met de levering van de Diensten, inclusief maar niet beperkt tot gegevens die worden gebruikt om de bron en bestemming van een communicatie, activiteitslogboeken en gegevens te identificeren die worden gebruikt om de prestaties van de Diensten te optimaliseren en te onderhouden, en om systeemmisbruik te onderzoeken en te voorkomen.

1.5 "Gegevensexporteur" betekent de Klant.

1.6 "Gegevensimporteur" betekent het Bedrijf.

1.7 "Gegevensbeschermingswetten" betekent alle toepasselijke wetten en regelgeving in elke relevante jurisdictie met betrekking tot het gebruik of de verwerking van Persoonlijke Gegevens, inclusief: (i) de California Consumer Privacy Act ("CCPA"), (ii) de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) ("EU GDPR" of "GDPR"), (iii) de Zwitserse Federale Wet op Gegevensbescherming, (iv) de EU GDPR zoals deze deel uitmaakt van de wet van Engeland en Wales krachtens artikel 3 van de European Union (Withdrawal) Act 2018 (de "VK GDPR"); (v) de VK Wet op Gegevensbescherming 2018; en (vi) de Privacy en Elektronische Communicaties (EC Directive) Regulations 2003; in elk geval, zoals bijgewerkt, gewijzigd of vervangen van tijd tot tijd. De termen "Betrokkene", "Persoonlijke Gegevens", "Persoonlijke Gegevensinbreuk", "verwerking", "verwerker", "controller" en "toezichthoudende autoriteit" hebben de betekenissen zoals vastgelegd in de GDPR.

1.8 "EU SCC's" betekent de standaardcontractuele clausules die zijn goedgekeurd door de Europese Commissie in Commissiebesluit 2021/914 van 4 juni 2021, voor de overdracht van persoonlijke gegevens naar landen die anders niet worden erkend als het bieden van een adequaat niveau van bescherming voor persoonlijke gegevens door de Europese Commissie (zoals van tijd tot tijd gewijzigd en bijgewerkt).

1.9 "ex-EEA-overdracht" betekent de overdracht van Persoonlijke Gegevens, die wordt verwerkt in overeenstemming met de GDPR, van de Gegevensexporteur naar de Gegevensimporteur (of zijn locaties) buiten de Europese Economische Ruimte (de "EEA"), en een dergelijke overdracht wordt niet beheerst door een adequaatheidsbesluit van de Europese Commissie in overeenstemming met de relevante bepalingen van de GDPR.

1.10 "ex-VK-overdracht" betekent de overdracht van Persoonlijke Gegevens, die wordt verwerkt in overeenstemming met de VK GDPR en de Gegevensbeschermingswet van 2018, van de Gegevensexporteur naar de Gegevensimporteur (of zijn locaties) buiten het Verenigd Koninkrijk (de "VK"), en een dergelijke overdracht wordt niet beheerst door een adequaatheidsbesluit van de minister van Staat in overeenstemming met de relevante bepalingen van de VK GDPR en de Gegevensbeschermingswet van 2018.

1.11 "Diensten" heeft de betekenis zoals vastgelegd in de Overeenkomst.

1.12 "Standaardcontractuele clausules" betekent de EU SCC's en de VK SCC's.

1.13 "VK SCC's" betekent de standaardcontractuele clausules die zijn goedgekeurd door de Europese Commissie voor de overdracht van persoonlijke gegevens naar landen die anders niet worden erkend als offering een adequaat niveau van bescherming voor persoonlijke gegevens door de Europese Commissie, zijnde (i) controller-naar-verwerker clausules zoals goedgekeurd door de Europese Commissie in Commissiebesluit 2010/87/EU, gedateerd 5 februari 2010 (zoals van tijd tot tijd gewijzigd en bijgewerkt) ("VK Controller-naar-Verwerker SCC's"); of (ii) controller-naar-controller clausules zoals goedgekeurd door de Europese Commissie in Commissiebesluit 2004/915/EC, gedateerd 27 december 2004 (zoals van tijd tot tijd gewijzigd en bijgewerkt) ("VK Controller-naar-Controller SCC's").

2.Relatie van de Partijen; Verwerking van Gegevens

2.1 De partijen erkennen en komen overeen dat met betrekking tot de verwerking van Persoonlijke Gegevens, de Klant zowel als controller of verwerker kan optreden en, behalve voor zover uitdrukkelijk in deze Overeenkomst of de Overeenkomst is vastgelegd, het Bedrijf een verwerker is. De Klant zal in zijn gebruik van de Diensten te allen tijde Persoonlijke Gegevens verwerken, en instructies geven voor de verwerking van Persoonlijke Gegevens, in overeenstemming met de Gegevensbeschermingswetten. De Klant zal ervoor zorgen dat de verwerking van Persoonlijke Gegevens in overeenstemming met de instructies van de Klant het Bedrijf niet in strijd zal brengen met de Gegevensbeschermingswetten. De Klant is volledig verantwoordelijk voor de nauwkeurigheid, kwaliteit en legaliteit van (i) de Persoonlijke Gegevens die aan het Bedrijf zijn verstrekt door of namens de Klant, (ii) de middelen waarmee de Klant dergelijke Persoonlijke Gegevens heeft verkregen, en (iii) de instructies die hij aan het Bedrijf geeft met betrekking tot de verwerking van dergelijke Persoonlijke Gegevens. De Klant zal geen Persoonlijke Gegevens aan het Bedrijf verstrekken of beschikbaar stellen in strijd met de Overeenkomst of anderszins ongepast voor de aard van de Diensten, en zal het Bedrijf vrijwaren van alle claims en verliezen in verband daarmee.

2.2 Het Bedrijf mag Persoonlijke Gegevens niet verwerken (i) voor andere doeleinden dan die welke zijn vastgesteld in de Overeenkomst en/of Bijlage A, (ii) op een manier die inconsistent is met de voorwaarden en condities die zijn vastgelegd in deze Overeenkomst of andere gedocumenteerde instructies die door de Klant zijn verstrekt, inclusief met betrekking tot overdrachten van persoonlijke gegevens naar een derde land of een internationale organisatie, tenzij het hiertoe verplicht is door een Toezichthoudende Autoriteit waaraan het Bedrijf onderworpen is; in een dergelijk geval zal het Bedrijf de Klant informeren over die wettelijke vereiste voordat met de verwerking wordt begonnen, tenzij die wet dergelijke informatie om belangrijke redenen van openbaar belang verbiedt, of (iii) in strijd met de Gegevensbeschermingswetten. De Klant geeft hier het Bedrijf instructies om Persoonlijke Gegevens te verwerken in overeenstemming met het bovenstaande en als onderdeel van enige verwerking die door de Klant is gestart in zijn gebruik van de Diensten. Deze instructies zullen altijd worden gedocumenteerd.

2.3 Het onderwerp, de aard, het doel en de duur van deze verwerking, evenals de soorten Persoonlijke Gegevens die worden verzameld en categorieën van Betrokkenen, zijn beschreven in Bijlage A bij deze Overeenkomst.

2.3 Na voltooiing van de Diensten, naar keuze van de Klant, zal het Bedrijf de Persoonlijke Gegevens van de Klant retourneren of verwijderen, tenzij verdere opslag van dergelijke Persoonlijke Gegevens wettelijk vereist of toegestaan is. Als retourneren of vernietigen niet mogelijk of verboden is vanwege de wet, regel of voorschrift, zal het Bedrijf maatregelen nemen om dergelijke Persoonlijke Gegevens te blokkeren voor verdere verwerking (behalve voor zover noodzakelijk voor de voortgezette hosting of verwerking die wettelijk vereist is) en zal het Bedrijf de Persoonlijke Gegevens die in zijn bezit, bewaring of controle zijn, blijven beschermen. Als de Klant en het Bedrijf Standaardcontractuele Clausules zijn aangegaan zoals beschreven in Sectie 6 (Overdrachten van Persoonlijke Gegevens), komen de partijen overeen dat de certificering van de verwijdering van Persoonlijke Gegevens die wordt beschreven in Clausule 12(1) van de VK SCC's en Clausule 8.1(d) en Clausule 8.5 van de EU SCC's (zoals toepasselijk) alleen op verzoek van de Klant door het Bedrijf aan de Klant zal worden verstrekt.

2.4 CCPA. Behoudens met betrekking tot Klantaccountgegevens en Klantgebruikgegevens, erkennen en komen de partijen overeen dat het Bedrijf een dienstverlener is voor de doeleinden van de CCPA (voor zover deze van toepassing is) en persoonlijke informatie van de Klant ontvangt om de Diensten te verlenen conform de Overeenkomst, wat een zakelijke doeleinden voorstelt. Het Bedrijf zal geen enkele persoonlijke informatie verkopen. Het Bedrijf zal geen persoonlijke informatie behouden, gebruiken of openbaarmaken die door de Klant is verstrekt conform de Overeenkomst, behalve indien noodzakelijk voor het specifieke doel van het verlenen van de Diensten voor de Klant conform de Overeenkomst, of anderszins zoals vastgelegd in de Overeenkomst of zoals toegestaan door de CCPA. De termen "persoonlijke informatie", "dienstverlener", "verkoop" en "verkopen" zijn gedefinieerd in Sectie 1798.140 van de CCPA. Het Bedrijf bevestigt dat het de beperkingen van deze Sectie 2.4 begrijpt.

Vertrouwelijkheid

Het Bedrijf zal ervoor zorgen dat elke persoon die het machtigt om Persoonlijke Gegevens te verwerken, heeft ingestemd om Persoonlijke Gegevens te beschermen in overeenstemming met de vertrouwelijkheidsverplichtingen van het Bedrijf in de Overeenkomst. De Klant stemt ermee in dat het Bedrijf Persoonlijke Gegevens mag openbaarmaken aan zijn adviseurs, auditors of andere derden zoals redelijkerwijs vereist in verband met de uitvoering van zijn verplichtingen onder deze Overeenkomst, de Overeenkomst of de levering van Diensten aan de Klant.

Geautoriseerde Sub-Verwerkers

4.1 De Klant erkent en gaat ermee akkoord dat het Bedrijf (1) zijn gelieerde ondernemingen en de Geautoriseerde Sub-Verwerkers op de Lijst (hieronder gedefinieerd) kan inschakelen om toegang te krijgen tot en Persoonlijke Gegevens te verwerken in verband met de Diensten en (2) van tijd tot tijd aanvullende derde partijen kan inschakelen voor het verlenen van de Diensten, inclusief maar niet beperkt tot de verwerking van Persoonlijke Gegevens. Bij wijze van deze Overeenkomst geeft de Klant algemene schriftelijke toestemming aan het Bedrijf om subverwerkers in te schakelen zoals nodig om de Diensten te verlenen.

4.2. Een lijst van de huidige Geautoriseerde Sub-Verwerkers van het Bedrijf (de "Lijst") zal aan de Klant beschikbaar worden gesteld (Bijlage D). Deze Lijst kan door het Bedrijf van tijd tot tijd worden bijgewerkt. De Klant erkent dat bepaalde subverwerkers essentieel zijn voor het verlenen van de Diensten en dat een bezwaar tegen het gebruik van een subverwerker kan verhinderen dat het Bedrijf de Diensten aan de Klant aanbiedt.

4.3. Als de Klant redelijkerwijs bezwaar maakt tegen een inschakeling volgens Sectie 4.2, en het Bedrijf geen commercieel redelijke alternatieven binnen een redelijke termijn kan bieden, kan de Klant het gebruik van de getroffen Dienst stopzetten door schriftelijk kennis te geven aan het Bedrijf. Stopzetting zal de Klant niet ontheffen van enige vergoedingen die aan het Bedrijf verschuldigd zijn op grond van de Overeenkomst.

4.4. Als de Klant niet binnen tien (10) dagen na wijziging door het Bedrijf bezwaar maakt tegen de inschakeling van een derde partij overeenkomstig Sectie 4.2, dan wordt die derde partij geacht een Geautoriseerde Sub-Verwerker te zijn voor de doeleinden van deze Overeenkomst.

4.5 Het Bedrijf zal een schriftelijke overeenkomst aangaan met de Geautoriseerde Sub-Verwerker waarin aan de Geautoriseerde Sub-Verwerker gegevensbescherming verplichtingen worden opgelegd die vergelijkbaar zijn met die welke aan het Bedrijf zijn opgelegd onder deze Overeenkomst met betrekking tot de bescherming van Persoonlijke Gegevens. In geval een Geautoriseerde Sub-Verwerker zijn verplichtingen inzake gegevensbescherming onder een dergelijke schriftelijke overeenkomst met het Bedrijf niet nakomt, blijft het Bedrijf aansprakelijk tegenover de Klant voor de uitvoering van de verplichtingen van de Geautoriseerde Sub-Verwerker onder die overeenkomst.

4.6 Als de Klant en het Bedrijf Standaardcontractuele Clausules zijn aangegaan zoals beschreven in Sectie 6 (Overdrachten van Persoonlijke Gegevens), (i) zullen de bovenstaande autorisaties de voorafgaande schriftelijke toestemming van de Klant voor de onderaanneming door het Bedrijf van de verwerking van Persoonlijke Gegevens vormen als een dergelijke toestemming vereist is onder de Standaardcontractuele Clausules, en (ii) komen de partijen overeen dat de kopieën van de overeenkomsten met Geautoriseerde Sub-Verwerkers die door het Bedrijf aan de Klant moeten worden verstrekt overeenkomstig Clausule 5(j) van de VK SCC's of Clausule 9(c) van de EU SCC's commerciële informatie of informatie die niet gerelateerd is aan de Standaardcontractuele Clausules of hun equivalent, door het Bedrijf vooraf mogen worden verwijderd, en dat dergelijke kopieën alleen op verzoek van de Klant door het Bedrijf worden verstrekt.

4.7 Het Bedrijf zal een derde-begunstigingsclausule overeenkomen met de Geautoriseerde Sub-Verwerker waarbij - in het geval dat het Bedrijf feitelijk is verdwenen, niet meer bestaat in de wet of insolvent is geworden - de Klant het recht heeft het contract met de Geautoriseerde Sub-Verwerker te beëindigen en de Geautoriseerde Sub-Verwerker instructies te geven om de persoonlijke gegevens te wissen of terug te geven.

5.Beveiliging van Persoonlijke Gegevens.

Gelet op de stand van de techniek, de kosten van implementatie en de aard, reikwijdte, context en doeleinden van verwerking alsook de risico's van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal het Bedrijf passende technische en organisatorische maatregelen handhaven om een niveau van beveiliging te waarborgen dat passend is bij het risico van verwerking van Persoonlijke Gegevens. Dit omvat het beschermen van de gegevens tegen een inbreuk op de beveiliging die leidt tot accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot de gegevens (persoonsgegevensinbreuk). Bij het beoordelen van het juiste niveau van beveiliging zullen de Partijen rekening houden met de stand van de techniek, de kosten van implementatie, de aard, reikwijdte, context en doeleinden van de verwerking en de risico's die betrokken zijn voor de betrokkenen. Bijlage B bevat aanvullende informatie over de technische en organisatorische beveiligingsmaatregelen van het Bedrijf.

Overdrachten van Persoonlijke Gegevens

 6.1 De partijen komen overeen dat het Bedrijf Persoonlijke Gegevens die onder deze Overeenkomst worden verwerkt, buiten de EEA, de VK of Zwitserland mag overdragen, voor zover dit noodzakelijk is om de Diensten te verlenen. De Klant erkent dat de belangrijkste verwerkingsactiviteiten van het Bedrijf plaatsvinden in de Verenigde Staten, en dat de overdracht van de Persoonlijke Gegevens van de Klant naar de Verenigde Staten noodzakelijk is voor de levering van de Diensten aan de Klant. Als het Bedrijf Persoonlijke Gegevens die onder deze Overeenkomst worden beschermd naar een rechtsgebied overdraagt waarvoor de Europese Commissie geen adequaatheidsbesluit heeft uitgevaardigd, zal het Bedrijf ervoor zorgen dat passende waarborgen zijn geïmplementeerd voor de overdracht van Persoonlijke Gegevens in overeenstemming met de Gegevensbeschermingswetten.

6.2 Ex-EEA-overdrachten. De partijen komen overeen dat ex-EEA-overdrachten plaatsvinden overeenkomstig de EU SCC's, die als ingetreden (en door deze verwijzing in deze Overeenkomst zijn opgenomen) en als volgt zijn voltooid:

6.2.1 Module Eén (Controller naar Controller) van de EU SCC's is van toepassing wanneer het Bedrijf Persoonlijke Gegevens als controller verwerkt overeenkomstig Sectie 9 van deze Overeenkomst.

6.2.2 Module Twee (Controller naar Verwerker) van de EU SCC's is van toepassing wanneer de Klant een controller is en het Bedrijf Persoonlijke Gegevens voor de Klant als verwerker verwerkt overeenkomstig Sectie 2 van deze Overeenkomst.

6.2.3 Module Drie (Verwerker naar Sub-Verwerker) van de EU SCC's is van toepassing wanneer de Klant een verwerker is en het Bedrijf Persoonlijke Gegevens ten behoeve van de Klant als sub-verwerker verwerkt.

6.3 Voor elke module geldt, waar van toepassing, het volgende:

6.3.1 De optionele dockingclausule in Clausule 7 is niet van toepassing.

6.3.2 In Clausule 9 is Optie 2 (algemene schriftelijke toestemming) van toepassing, en de minimale termijn voor voorafgaande kennisgeving van wijzigingen van sub-verwerkers staat zoals vastgesteld in Sectie 4.2 van deze Overeenkomst;

6.3.3 In Clausule 11 is de optionele taal niet van toepassing;

6.3.4 Alle vierkante haken in Clausule 13 worden hierbij verwijderd. De toepasselijke bepalingen zijn die welke betrekking hebben op de situatie van de gegevensexporteur die in vierkante haken is beschreven;

6.3.5 In Clausule 17 (Optie 1) zullen de EU SCC's worden beheerst door de Franse wet;

6.3.6 In Clausule 18(b) worden geschillen opgelost voor de rechtbanken van Frankrijk;

6.3.7 Bijlage B bij deze Overeenkomst bevat de informatie die vereist is in Bijlage I van de EU SCC's;

6.3.8 Bijlage C bij deze Overeenkomst bevat de informatie die vereist is in Bijlage II van de EU SCC's; en

6.3.9 Door het aangaan van deze Overeenkomst worden de partijen geacht de EU SCC's die hierin zijn opgenomen, inclusief hun Bijlagen, te hebben ondertekend.

6.4 Ex-VK-overdrachten. De partijen komen overeen dat ex-VK-overdrachten plaatsvinden overeenkomstig de VK SCC's, die als ingetreden en door deze verwijzing in deze Overeenkomst zijn opgenomen, en als volgt zijn voltooid:

6.4.1 Verwijzingen naar de GDPR worden geacht te verwijzingen naar de VK GDPR en de VK Gegevensbeschermingswet van 2018 te zijn, verwijzingen naar "toezichthoudende autoriteiten" worden geacht verwijzingen naar de VK Informatiecommissaris te zijn, en verwijzingen naar "Lidstaat(en)" of de EU worden geacht verwijzingen naar het VK te zijn.

6.4.2 De VK Controller-naar-Verwerker SCC's zijn van toepassing wanneer het Bedrijf de Persoonlijke Gegevens van de Klant als verwerker verwerkt. De illustratieve vrijwaringsclausule is niet van toepassing. In Clausule 4(f) worden de woorden "adequate bescherming binnen de betekenis van Richtlijn 95/46/EC" geschrapt en vervangen door "een niveau van gegevensbescherming dat als adequaat wordt beschouwd onder, of gelijkwaardig is aan de toepasselijke gegevensbeschermingswet." Clausule 9, Toepasselijk Recht, luidt: "De Clausules worden beheerst door de wet van de Lidstaat waarin de gegevensexporteur is gevestigd, maar dit laat de rechten en vrijheden die betrokkenen mogelijk onder hun nationale gegevensbeschermingswetten genieten, onverlet." In Clausule 11(3) worden de woorden ", namelijk..." aan het einde van de zin hierbij geschrapt. Bijlage B van deze Overeenkomst fungeert als Bijlage I van de VK Controller-naar-Verwerker SCC's. Bijlage C van deze Overeenkomst fungeert als Bijlage II van de VK Controller-naar-Verwerker SCC's.

6.4.3 De VK Controller-naar-Controller SCC's zijn van toepassing wanneer het Bedrijf de Persoonlijke Gegevens van de Klant als controller verwerkt overeenkomstig Sectie 9 van deze Overeenkomst. Clausule II(h) van de VK Controller-naar-Controller SCC's wordt geacht te stellen dat het Bedrijf Persoonlijke Gegevens zal verwerken in overeenstemming met de gegevensverwerkingsprincipes die in Bijlage A van de VK Controller-naar-Controller SCC's zijn vastgelegd. De illustratieve commerciële clausule is niet van toepassing. Clausule IV (Toepasselijk Recht) luidt: "De Clausules worden beheerst door de wet van de Lidstaat waarin de gegevensexporteur is gevestigd, maar zonder afbreuk te doen aan de rechten en vrijheden die betrokkenen mogelijk onder hun nationale gegevensbeschermingswetten genieten." Bijlage B van deze Overeenkomst fungeert als Bijlage B van de VK Controller-naar-Controller SCC's.

6.4.4 De partijen erkennen en komen overeen dat, als enige van de VK SCC's worden vervangen of vervangen door nieuwe standaardcontractuele clausules die zijn uitgegeven en goedgekeurd op basis van Artikel 46 van de VK GDPR en aanverwante bepalingen van de VK Gegevensbeschermingswet van 2018 ("Nieuwe VK SCC's"), de Gegevensimporteur de Gegevensexporteur op de hoogte kan stellen en, met ingang van de datum die in een dergelijke kennisgeving is vermeld, de toepassing van de VK SCC's zoals hierin vastgelegd zullen worden gewijzigd, zodat de VK SCC's niet meer van toepassing zijn op ex-VK-overdrachten, en de Nieuwe VK SCC's die in die kennisgeving zijn vermeld, voortaan van toepassing zullen zijn. Voor zover het gebruik van de Nieuwe VK SCC's vereist dat de partijen aanvullende informatie moeten invullen, zullen de partijen redelijkerwijs en snel samenwerken om die aanvullende informatie in te vullen.

6.5 Overdrachten vanuit Zwitserland. De partijen komen overeen dat overdrachten vanuit Zwitserland plaatsvinden overeenkomstig de EU SCC's met de volgende wijzigingen:

6.5.1 De termen "Algemene Verordening Gegevensbescherming" of "Verordening (EU) 2016/679" zoals gebruikt in de EU SCC's moeten worden geïnterpreteerd als de Federale Wet op Gegevensbescherming van 19 juni 1992 (de "FADP," en zoals herzien op 25 september 2020, de "Hernieuwde FADP") met betrekking tot gegevensoverdrachten die onder de FADP vallen.

6.5.2 De voorwaarden van de EU SCC's moeten zo worden geïnterpreteerd dat zij de gegevens van rechtspersonen beschermen tot de ingangsdatum van de Hernieuwde FADP.

6.5.3 Clausule 13 van de EU SCC's wordt gewijzigd om te bepalen dat de Federale Gegevensbescherming en Informatiecommissaris ("FDPIC") van Zwitserland autoriteit heeft over gegevensoverdrachten die worden beheerst door de FADP, en de toepasselijke EU-toezichthoudende autoriteit autoriteit heeft over gegevensoverdrachten die worden beheerst door de GDPR. Onder voorbehoud van het bovenstaande moeten alle andere vereisten van Sectie 13 worden nageleefd.

6.5.4 De term "EU-lidstaat" zoals gebruikt in de EU SCC's mag niet zo worden geïnterpreteerd dat deze betrokkenen in Zwitserland uitsluit van het uitoefenen van hun rechten op hun gebruikelijke woonplaats in overeenstemming met Clausule 18(c) van de EU SCC's.

6.6 Aanvullende Maatregelen. Met betrekking tot elke ex-EEA-overdracht of ex-VK-overdracht, zijn de volgende aanvullende maatregelen van toepassing:

6.6.1 Met ingang van de datum van deze Overeenkomst heeft de Gegevensimporteur geen formele juridische verzoeken ontvangen van enige overheidsintelligentie of beveiligingsdiensten / agentschappen in het land waar de Persoonlijke Gegevens worden geëxporteerd, voor toegang tot (of voor kopieën van) de Persoonlijke Gegevens van de Klant ("Verzoeken van Overheidsinstanties");

6.6.2 Als de Gegevensimporteur na de datum van deze Overeenkomst enige Verzoeken van Overheidsinstanties ontvangt, zal het Bedrijf proberen de wetshandhaving of overheidsinstantie te omleiden om die gegevens rechtstreeks van de Klant te verzoeken. Als onderdeel van deze inspanning kan het Bedrijf de basiscontactinformatie van de Klant aan de overheidsinstantie verstrekken. Als het gedwongen wordt om de Persoonlijke Gegevens van de Klant aan een wetshandhavings- of overheidsinstantie openbaar te maken, zal het Bedrijf de Klant redelijke kennisgeving geven van de eis en samenwerken om de Klant in staat te stellen een beschermingsbevel of andere passende rechtsmiddelen te zoeken, tenzij het Bedrijf wettelijk verboden is dit te doen. Het Bedrijf zal geen Persoonlijke Gegevens vrijwillig aan enige wetshandhavings- of overheidsinstantie openbaarmaken. De Gegevensexporteur en de Gegevensimporteur zullen (zo snel als redelijkerwijs mogelijk) bespreken en bepalen of alle of enige overdrachten van Persoonlijke Gegevens op basis van deze Overeenkomst moeten worden opgeschort in het licht van dergelijke Verzoeken van Overheidsinstanties; en

6.6.3 De Gegevensexporteur en de Gegevensimporteur zullen indien nodig bijeenkomen om te overwegen of:

(i) de bescherming die de wetten van het land van de Gegevensimporteur aan de betrokkenen wiens Persoonlijke Gegevens worden overgedragen aan diens gegevensverwerkingspraktijken biedt, voldoende is om een ​​breed vergelijkbaar niveau van bescherming te bieden als dat verleend in de EEA of de VK, afhankelijk van het geval;

(ii) aanvullende maatregelen redelijkerwijs noodzakelijk zijn om de overdracht compliant te maken met de Gegevensbeschermingswetten; en

(iii) het nog steeds passend is dat Persoonlijke Gegevens worden overgedragen aan de relevante Gegevensimporteur, rekening houdend met alle relevante informatie die beschikbaar is voor de partijen, samen met de richtlijnen die zijn verstrekt door de toezichthoudende autoriteiten.

6.6.4 Als de Gegevensbeschermingswetten vereisen dat de Gegevensexporteur de Standaardcontractuele Clausules uitvoert die van toepassing zijn op een bepaalde overdracht van Persoonlijke Gegevens naar een Gegevensimporteur als een afzonderlijke overeenkomst, zal de Gegevensimporteur, op verzoek van de Gegevensexporteur, prompt dergelijke Standaardcontractuele Clausules uitvoeren met inbegrip van de wijzigingen die redelijkerwijs door de Gegevensexporteur mogen worden vereist om de toepasselijke bijlagen en annexen, de details van de overdracht en de vereisten van de relevante Gegevensbeschermingswetten te weerspiegelen.

6.6.5 Als ofwel (i) een van de middelen voor het legitimeren van overdrachten van Persoonlijke Gegevens buiten de EEA of de VK die in deze Overeenkomst zijn vastgesteld niet meer geldig zijn of (ii) een toezichthoudende autoriteit vereist dat overdrachten van Persoonlijke Gegevens op basis van die middelen worden opgeschort, kan de Gegevensimporteur door middel van kennisgeving aan de Gegevensexporteur, met ingang van de datum die in die kennisgeving is vermeld, de zin of nieuwe afspraken in verband met die overdrachten wijzigen, zoals vereist door de Gegevensbeschermingswetten. 

7.Rechten van Betrokkenen

7.1 Het Bedrijf zal, voor zover wettelijk toegestaan, de Klant informeren zodra het een verzoek ontvangt van een Betrokkene om het recht van de Betrokkene op: toegang, rectificatie, verwijdering, gegevensoverdraagbaarheid, beperking of stopzetting van verwerking, intrekking van toestemming voor verwerking en/of bezwaar tegen verwerking die bestaat uit geautomatiseerde besluitvorming (deze verzoeken afzonderlijk en gezamenlijk "Verzoek(en) van Betrokkenen"). Als het Bedrijf een Verzoek van een Betrokkene ontvangt met betrekking tot de gegevens van de Klant, zal het Bedrijf de Betrokkene adviseren hun verzoek aan de Klant in te dienen en de Klant is verantwoordelijk voor het reageren op een dergelijk verzoek, inclusief, waar nodig, door gebruik te maken van de functionaliteit van de Diensten. De Klant is volledig verantwoordelijk voor het zorgen dat Verzoeken van Betrokkenen voor verwijdering, beperking of stopzetting van verwerking, of intrekking van toestemming voor verwerking van Persoonlijke Gegevens worden gecommuniceerd aan het Bedrijf, en, indien van toepassing, voor het onderhouden van een registratie van toestemming voor verwerking met betrekking tot elke Betrokkene.

7.2 Het Bedrijf zal, op verzoek van de Klant en rekening houdend met de aard van de verwerking die van toepassing is op elk Verzoek van Betrokkene, passende technische en organisatorische maatregelen toepassen om de Klant te helpen voldoen aan de verplichting van de Klant om op dat Verzoek van de Betrokkene te reageren en/of deze naleving waar mogelijk aan te tonen, op voorwaarde dat (i) de Klant zelf niet in staat is om te reageren zonder de hulp van het Bedrijf en (ii) het Bedrijf dat kan doen in overeenstemming met alle toepasselijke wetten, regels en regelgeving. De Klant is aansprakelijk voor zover wettelijk toegestaan voor alle kosten en uitgaven die voortvloeien uit dergelijke hulp door het Bedrijf.

8.Acties en Toegangsverzoeken; Audits

8.1 Het Bedrijf zal, rekening houdend met de aard van de verwerking en de informatie die voor het Bedrijf beschikbaar is, de Klant redelijke medewerking en ondersteuning bieden waar nodig om de Klant te helpen voldoen aan zijn verplichtingen onder de GDPR om een gegevensbeschermingseffectbeoordeling uit te voeren en/of die naleving aan te tonen. De Klant is aansprakelijk voor zover wettelijk toegestaan voor alle kosten en uitgaven die voortvloeien uit dergelijke ondersteuning door het Bedrijf.

8.2 Het Bedrijf zal, rekening houdend met de aard van de verwerking en de informatie die voor het Bedrijf beschikbaar is, de Klant redelijke medewerking en ondersteuning bieden met betrekking tot de samenwerking van de Klant en/of voorafgaande consultatie met enige Toezichthoudende Autoriteit, waar nodig en waar vereist door de GDPR. De Klant is aansprakelijk voor zover wettelijk toegestaan voor alle kosten en uitgaven die voortvloeien uit dergelijke ondersteuning door het Bedrijf.

8.3 Het Bedrijf zal voldoende documentatie bijhouden om zijn naleving van zijn verplichtingen onder deze Overeenkomst aan te tonen, en deze documentatie bewaren voor een periode van vijf (5) jaar na beëindiging van de Overeenkomst. De Klant heeft, met redelijke kennisgeving aan het Bedrijf, het recht om dergelijke documentatie te bekijken, te auditen en te kopiëren op de vestiging van het Bedrijf tijdens normale kantooruren.

8.4 Op schriftelijk verzoek van de Klant op redelijke intervallen, en onder voorbehoud van redelijke vertrouwelijkheidscontroles, zal het Bedrijf, hetzij (i) kopieën van certificaten of rapporten ter beschikking stellen voor beoordeling door de Klant die de naleving van het Bedrijf met de geldende gegevensbeveiligingsnormen die van toepassing zijn op de verwerking van de Persoonlijke Gegevens van de Klant aantonen, of (ii) als de verstrekking van rapporten of certificaten overeenkomstig (i) niet redelijk toereikend is onder de Gegevensbeschermingswetten, de onafhankelijke vertegenwoordiger van de Klant dit toestaan om een audit of inspectie van de gegevensbeveiligingsinfrastructuur en procedures van het Bedrijf uit te voeren die voldoende is om de naleving van het Bedrijf met zijn verplichtingen onder de Gegevensbeschermingswetten aan te tonen, op voorwaarde dat (a) de Klant redelijke voorafgaande schriftelijke kennisgeving geeft van een dergelijk verzoek voor een audit en die inspectie niet onredelijk verstorend is voor de bedrijfsvoering van het Bedrijf; (b) de audit enkel tijdens kantooruren zal plaatsvinden en niet vaker dan één keer per kalenderjaar zal plaatsvinden; en (c) die audit beperkt zal zijn tot gegevens die relevant zijn voor de Klant. De Klant is verantwoordelijk voor de kosten van dergelijke audits of inspecties, met inbegrip van maar niet beperkt tot een vergoeding aan het Bedrijf voor de tijd die besteed is aan ter plaatse audits. Als de Klant en het Bedrijf Standaardcontractuele Clausules zijn aangegaan zoals beschreven in Sectie 6 (Overdrachten van Persoonlijke Gegevens), komen de partijen overeen dat de audits die zijn beschreven in Clausule 5(f) en Clausule 12(2) van de VK SCC's en Clausule 8.9 van de EU SCC's zullen worden uitgevoerd in overeenstemming met deze Sectie 8.4.

8.5 Het Bedrijf zal de Klant onmiddellijk informeren als een instructie, naar de mening van het Bedrijf, inbreuk maakt op de Gegevensbeschermingswetten of de Toezichthoudende Autoriteit. De partijen zullen de in Artikel 8 genoemde informatie, inclusief de resultaten van een audit, op verzoek ter beschikking stellen aan de Toezichthoudende Autoriteit.

8.6 In geval van een Persoonlijke Gegevensinbreuk zal het Bedrijf, zonder onredelijke vertraging en in ieder geval niet later dan 72 uur nadat het zich ervan bewust is geworden, de Klant informeren over de Persoonlijke Gegevensinbreuk en de stappen nemen die het Bedrijf naar eigen goeddunken nodig en redelijk acht om een dergelijke inbreuk te verhelpen (voor zover herstel binnen de redelijke controle van het Bedrijf ligt). In het bijzonder moet de kennisgeving ten minste:

(i) de aard van de persoonlijke gegevensinbreuk beschrijven, inclusief waar mogelijk, de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal persoonlijke gegevensrecords die betrokken zijn;

(ii) de naam en contactgegevens van de functionaris voor gegevensbescherming of ander contactpunt waar meer informatie kan worden verkregen communiceren;

(iii) de waarschijnlijke gevolgen van de persoonlijke gegevensinbreuk beschrijven; de maatregelen beschrijven die zijn genomen of voorgesteld door de controller om de persoonlijke gegevensinbreuk aan te pakken, inclusief, waar passend, maatregelen om de mogelijke nadelige effecten ervan te milderen.

Waar het niet mogelijk is om de informatie gelijktijdig te verstrekken, kan de informatie in fasen zonder onredelijke verdere vertraging worden verstrekt.

8.7 In geval van een Persoonlijke Gegevensinbreuk, zal het Bedrijf, rekening houdend met de aard van de verwerking en de informatie die voor het Bedrijf beschikbaar is, de Klant redelijke medewerking en assistentie bieden die nodig is voor de Klant om te voldoen aan zijn verplichtingen onder de GDPR met betrekking tot het informeren van (i) de relevante Toezichthoudende Autoriteit en (ii) betrokken Betrokkenen door een dergelijke Persoonlijke Gegevensinbreuk zonder onredelijke vertraging.

8.8 De verplichtingen die zijn beschreven in Secties 8.5 en 8.6 zijn niet van toepassing in het geval dat een Persoonlijke Gegevensinbreuk het gevolg is van de handelingen of nalatigheden van de Klant. De verplichting van het Bedrijf om te rapporteren of te reageren op een Persoonlijke Gegevensinbreuk onder Secties 8.5 en 8.6 zal niet worden geïnterpreteerd als een erkenning door het Bedrijf van enige schuld of aansprakelijkheid met betrekking tot de Persoonlijke Gegevensinbreuk.

9\. Rol van het Bedrijf als Controller

De partijen erkennen en komen overeen dat met betrekking tot Klantaccountgegevens en Klantgebruikgegevens, het Bedrijf een onafhankelijke controller is, geen gezamenlijke controller samen met de Klant. Het Bedrijf zal Klantaccountgegevens en Klantgebruikgegevens als een controller verwerken (i) om de relatie met de Klant te beheren; (ii) om de kernactiviteiten van het Bedrijf uit te voeren, zoals boekhouding, audits, belastingvoorbereiding en indiening en nalevingsdoeleinden; (iii) om fraude, beveiligingsincidenten en ander misbruik van de Diensten te monitoren, onderzoeken, te voorkomen en te detecteren, en om schade aan de Klant te voorkomen; (iv) voor identificatie verificatiedoeleinden; (v) om te voldoen aan juridische of regelgevende verplichtingen die van toepassing zijn op de verwerking en opslag van Persoonlijke Gegevens waarmee het Bedrijf is onderworpen; en (vi) zoals anderszins toegestaan onder de Gegevensbeschermingswetten en in overeenstemming met deze Overeenkomst en de Overeenkomst. Het Bedrijf kan ook Klantgebruikgegevens als een controller verwerken om de Diensten te leveren, optimaliseren en onderhouden, voor zover toegestaan door de Gegevensbeschermingswetten. Elke verwerking door het Bedrijf als een controller zal plaatsvinden in overeenstemming met het privacybeleid van het Bedrijf zoals uiteengezet op[ https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy).

10.Conflit

In het geval van enige conflicten of inconsistenties onder de volgende documenten, zal de volgorde van voorrang zijn: (1) de toepasselijke voorwaarden in de Standaardcontractuele Clausules; (2) de voorwaarden van deze Overeenkomst; (3) de Overeenkomst; en (4) het privacybeleid van het Bedrijf. Alle vorderingen die in verband met deze Overeenkomst worden ingediend, zijn onderworpen aan de voorwaarden en condities, inclusief, maar niet beperkt tot, de uitsluitingen en beperkingen zoals uiteengezet in de Overeenkomst.

11.Niet-naleving van de Overeenkomst en beëindiging.

(a) Onverminderd enige bepalingen van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725, in het geval dat het Bedrijf inbreuk maakt op zijn verplichtingen onder de huidige Overeenkomst, kan de Klant het Bedrijf instrueren om de verwerking van persoonlijke gegevens op te schorten totdat laatstgenoemde deze Overeenkomst naleeft of het contract wordt beëindigd. Het Bedrijf zal de Klant snel informeren in het geval dat het niet in staat is om zich aan deze Overeenkomst te houden, om welke reden dan ook.

(b) De Klant heeft het recht het contract te beëindigen voor zover dit betrekking heeft op de verwerking van persoonlijke gegevens in overeenstemming met deze Overeenkomst als: (1) de verwerking van persoonlijke gegevens door het Bedrijf door de Klant is opgeschort krachtens punt (a) en als naleving van deze Overeenkomst niet binnen een redelijke termijn en in ieder geval niet binnen een maand na de opschorting is hersteld; (2) het Bedrijf in wezen of aanhoudend inbreuk maakt op deze Overeenkomst of zijn verplichtingen onder Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725; (3) het Bedrijf niet voldoet aan een bindend besluit van een bevoegde rechtbank of de bevoegde Toezichthoudende Autoriteit(en) met betrekking tot zijn verplichtingen uit hoofde van deze Overeenkomst of de Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.

(c) Het Bedrijf heeft het recht het contract te beëindigen voor zover dit betrekking heeft op de verwerking van persoonlijke gegevens onder deze Overeenkomst wanneer, nadat het de Klant heeft geïnformeerd dat zijn instructies in strijd zijn met de toepasselijke wettelijke vereisten, de Klant vasthoudt aan naleving van de instructies.

(d) Na beëindiging van het contract zal het Bedrijf, naar keuze van de Klant, alle persoonlijke gegevens die namens de Klant zijn verwerkt, verwijderen en aan de Klant bevestigen dat dit is gedaan, of alle persoonlijke gegevens aan de Klant retourneren en bestaande kopieën verwijderen, tenzij de wet van de Unie of de Lidstaat opslag van de persoonlijke gegevens vereist. Totdat de gegevens zijn verwijderd of geretourneerd, blijft het Bedrijf zorgen voor naleving van deze Overeenkomst.

Bijlage A

---------

Details van de Verwerking

Aard en Doel van de Verwerking

Het Bedrijf zal de Persoonlijke Gegevens van de Klant verwerken zoals nodig is om de Diensten onder de Overeenkomst te verlenen, voor de doeleinden zoals gespecificeerd in de Overeenkomst en deze Overeenkomst, en in overeenstemming met de instructies van de Klant zoals opgenomen in deze Overeenkomst.

Duur van de Verwerking

Het Bedrijf zal de Persoonlijke Gegevens van de Klant verwerken zolang als vereist is (i) om de Diensten aan de Klant onder de Overeenkomst te verlenen; (ii) voor de legitieme zakelijke behoeften van het Bedrijf; of (iii) volgens de toepasselijke wet of regelgeving. Klantaccountgegevens en Klantgebruikgegevens zullen worden verwerkt en opgeslagen zoals uiteengezet in het privacybeleid van het Bedrijf.

Categorieën van Betrokkenen

Werknemers, consultants, aannemers en/of agenten van de Klant.

Categorieën van Persoonlijke Gegevens

Het Bedrijf verwerkt Persoonlijke Gegevens die zijn opgenomen in Klantaccountgegevens, Klantgebruikgegevens, en alle Persoonlijke Gegevens die door de Klant worden verstrekt of door het Bedrijf worden verzameld om de Diensten te verlenen of zoals anderszins vastgelegd in de Overeenkomst of deze Overeenkomst. Categorieën van Persoonlijke Gegevens omvatten naam, e-mailadres, functie, gebruikersnaam, bedrijfsapparaatidentificatie (bijv. serienummer), IP-adres voor bedrijfsapparaat.

Gevoelige Gegevens of Speciale Categorieën van Gegevens

Klanten zijn verboden om gevoelige persoonlijke gegevens of speciale categorieën van gegevens aan het Bedrijf te verstrekken, inclusief gegevens die de strafrechtelijke geschiedenis van enig persoon onthullen.

Bijlage B

Het volgende bevat de informatie die vereist is door Bijlage I en Bijlage III van de EU SCC's en Bijlage 1 van de VK SCC's.

1.De Partijen

Gegevensexporteur(s)

Naam: De partij bij de Gebruiksvoorwaarden met Logike of een van zijn Gelieerde Ondernemingen (indien van toepassing).

Adres: Het adres van de Gegevensexporteur.

Naam, functie en contactgegevens van de contactpersoon: De naam, functie en contactgegevens die door de Gegevensexporteur zijn verstrekt.

Activiteiten relevant voor de gegevens die onder deze Clausules zijn overgedragen: Zoals beschreven in Sectie 2 van de Overeenkomst.

Handtekening en datum: Door de Diensten te gebruiken om Persoonlijke Gegevens aan de Gegevensimporteur over te dragen, wordt de Gegevensexporteur geacht deze Bijlage B te hebben ondertekend.

Rol (controller/verwerker): Controller

Gegevensimporteur(en):

Naam: Logike

Adres: 128 rue de la Boétie, 75008 Parijs, FRANKRIJK

E-mail: contact@breakcold.com

Activiteiten relevant voor de gegevens die onder deze Clausules zijn overgedragen: Zoals beschreven in Sectie 2 van de Overeenkomst.

Handtekening en datum: De gegevensimporteur wordt geacht deze Bijlage B te hebben ondertekend op de overdracht van Persoonlijke Gegevens door de Gegevensexporteur in verband met de Diensten.

Rol (controller/verwerker): Verwerker

2.Beschrijving van de Overdracht

Betrokkenen

De gegevensexporteur kan persoonlijke gegevens aan de gegevensimporteur indienen via zijn software, diensten, systemen, producten en/of technologieën, waarvan de reikwijdte wordt bepaald en beheerst door de gegevensexporteur in overeenstemming met de toepasselijke gegevensbeschermingswetten en -regelgeving, en die kan omvatten, maar niet beperkt is tot persoonlijke gegevens met betrekking tot de volgende categorieën van betrokkenen: Werknemers, consultants, aannemers en/of agenten van de Gegevensexporteur.

Categorieën van Persoonlijke Gegevens

De persoonlijke gegevens die worden overgedragen, betreffen de volgende categorieën van gegevens: Persoonlijke gegevens die zijn opgenomen in alle gegevens en informatie die door de Gegevensexporteur zijn ingediend bij de software, diensten, systemen, producten en/of technologieën van de Gegevensimporteur, die kunnen omvatten, naam, contactinformatie en informatie over beveiligingspraktijken en naleving.

Speciale Categorie Persoonlijke Gegevens (indien van toepassing)

Gegevensexporteurs zijn verboden om gevoelige gegevens of speciale categorieën te verstrekken aan de Gegevensimporteur.

Aard van de Verwerking

Gegevens worden verwerkt zodat de Klant zijn informatiebeveiligings- en gegevensprivacyprogramma's kan beheren en bewijs van deze programma's voor een audit door derden kan leveren.

Doeleinden van Verwerking

Om aan de verplichtingen van elke partij onder de Overeenkomst te voldoen.

Duur van Verwerking en Bewaring (of de criteria om deze periode te bepalen)

Tijdens de looptijd van de Overeenkomst

Frequentie van de overdracht | Tijdens de looptijd van de Overeenkomst regelmatig gedurende de dag en/of naar goeddunken van de klant.

Ontvangers van Persoonlijke Gegevens die naar de Gegevensimporteur zijn overgedragen

Het Bedrijf zal een lijst van Subverwerkers bijhouden (Bijlage D)

3\. Bevoegde Toezichthoudende Autoriteit

De toezichthoudende autoriteit zal de toezichthoudende autoriteit van de Gegevensexporteur zijn, zoals bepaald in overeenstemming met Clausule 13.

Bijlage C

---------

Beschrijving van de Technische en Organisatorische Beveiligingsmaatregelen die door de Gegevensimporteur zijn geïmplementeerd

Het volgende bevat de informatie die vereist is door Bijlage II van de EU SCC's en Bijlage 2 van de VK SCC's.

Maatregelen om voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen

De klantovereenkomsten van het Bedrijf bevatten strikte vertrouwelijkheidsverplichtingen. Bovendien vereist het Bedrijf van elke downstream Subverwerker dat zij vertrouwelijkheidsbepalingen ondertekenen die substantieel vergelijkbaar zijn met die welke zijn opgenomen in de klantovereenkomsten van Segment.

Maatregelen om de beschikbaarheid en toegang tot persoonlijke gegevens tijdig te herstellen in geval van een fysiek of technisch incident

De back-updatabase wordt opgeslagen in aparte infrastructuur.. |

Maatregelen voor gebruikersidentificatie en autorisatie

Het bedrijf heeft strenge wachtwoordvereisten ingesteld en verifieert dat geen van de gebruikte wachtwoorden is gelekt. Gebruikers kunnen inloggen met Google, dat beveiligingsfuncties biedt zoals multifactor-authenticatie.

Maatregelen ter bescherming van gegevens tijdens verzending

Het Bedrijf heeft veilige methoden en protocollen ingezet voor de overdracht van vertrouwelijke of gevoelige informatie over openbare netwerken. Het Bedrijf gebruikt alleen aanbevolen veilige cipher suites en protocollen om al het verkeer in transit te versleutelen (d.w.z. TLS 1.2)

Maatregelen voor de fysieke beveiliging van locaties waar persoonlijke gegevens worden verwerkt

Fysieke beveiligingsmaatregelen omvatten hekken, beveiligingspatrouilles, videobewaking, thermische camera's, biometrische authenticatie, toegangspassen, metaaldetectoren, en meer.

Maatregelen voor het waarborgen van gebeurtenissenlogging

Alle HTTP-verzoeken worden gelogd. Monitoring van beveiligingslogs wordt beheerd door het engineeringteam. Logactiviteiten worden onderzocht wanneer nodig en passend geëscaleerd.

Maatregelen voor het waarborgen van systeemconfiguraties, inclusief standaardconfiguraties

Alle productiewijzigingen worden geautomatiseerd via continue integratie- en implementatietools om consistente configuraties te waarborgen.

Maatregelen voor het waarborgen van dataminimalisatie

De klanten van het Bedrijf bepalen unilateraal welke Persoonlijk Identificeerbare Informatie (PII) gegevens zij door de Diensten routeren. Als zodanig werkt het Bedrijf volgens een gedeeld verantwoordelijkheidsmodel. Het Bedrijf geeft klanten controle over precies welke PII-gegevens het platform binnenkomen. Bovendien heeft het Bedrijf zelfbedieningsfunctionaliteit gebouwd in de Diensten die klanten in staat stelt om PII naar eigen goeddunken te verwijderen en te onderdrukken.

Maatregelen voor het waarborgen van gegevenskwaliteit

Alle software die wordt gebruikt om de persoonlijke gegevens van Klanten te verwerken, doorloopt geautomatiseerde tests en een handmatige paarreview voordat deze in productie gaat. De gegevens moeten zowel passen in de databasestructuur als voldoen aan de formatvalidaties zoals gedefinieerd door de applicatie. Er is een QA-pijplijn voor de meest kritische gegevens, met passende waarschuwingen in geval de gegevens worden gewijzigd.

Maatregelen voor het waarborgen van beperkte gegevensbewaring

De klanten van het Bedrijf bepalen unilateraal welke Klantgegevens zij door de Diensten routeren. Als zodanig werkt het Bedrijf volgens een gedeeld verantwoordelijkheidsmodel. Als een Klant niet in staat is om Klant PII-gegevens te verwijderen via de zelfbedieningsfunctionaliteit van de Diensten, dan verwijdert het Bedrijf Klantgegevens op verzoek van de Klant, binnen de termijn die is gespecificeerd in de Gegevensbeschermingsovereenkomst en in overeenstemming met de Toepasselijke Gegevensbeschermingswet.

Maatregelen voor het waarborgen van aansprakelijkheid

Het Bedrijf heeft maatregelen geïmplementeerd om aansprakelijkheid te waarborgen, zoals het implementeren van gegevensbeschermings- en informatiebeveiligingsbeleid in het hele bedrijf, het vastleggen en rapporteren van beveiligingsincidenten die Persoonlijke Gegevens betreffen, en het formeel toewijzen van rollen en verantwoordelijkheden voor informatiebeveiligings- en gegevensprivacyfuncties. Bovendien voert het Bedrijf regelmatig derde-audits uit om te waarborgen dat het voldoet aan onze privacy- en beveiligingsnormen.

Maatregelen voor het mogelijk maken van gegevensoverdraagbaarheid en het waarborgen van verwijdering

Alle PII in de Diensten kan worden verwijderd door de Klant of op verzoek van de Klant.

Technische en organisatorische maatregelen van sub-verwerkers

Het Bedrijf sluit Gegevensverwerkingsovereenkomsten met zijn Geautoriseerde Sub-Verwerkers af met verplichtingen inzake gegevensbescherming die substantieel vergelijkbaar zijn met die welke zijn opgenomen in deze Overeenkomst.

Bijlage D

---------

Subverwerkers

Logike werkt samen met derde partijen om beperkte activiteiten in verband met de Logike Diensten uit te voeren.

Wanneer Logike derde partijen inschakelt in onze hoedanigheid als gegevensverwerker voor de persoonlijke gegevens van Logike-gebruikers, noemt de Algemene Verordening Gegevensbescherming ("GDPR") deze aanbieders subverwerkers.

Naam / Gegevens / Doel van de verwerking / Land

1°) Stripe Inc. / Brekacold gebruikers' e-mails, factuuradres, betalingsinformatie, transacties, IP-adressen "Cloud service provider" / VS

2°) AWS / Breakcold gebruikers' gegevens / "Cloud service provider"/ Frankfurt

3°) Azure / Breakcold gebruikers' gegevens / "Cloud service provider" / Frankfurt

4°) Fly.io, Inc. / Breakcold gebruikers' gegevens / "Cloud service provider" / Frankfurt

5°) Functional Software, Inc. (Sentry) / Breakcold gebruikers' gegevens / "Application performance monitoring" / VS

6°) PostHog, Inc./ Breakcold gebruikers' gegevens / Application performance monitoring / Frankfurt

7°) Elasticsearch B.V. / Breakcold gebruikers' gegevens / Cloud service provider / Frankfurt

8°) Cloudflare, Inc. / Breakcold gebruikers' gegevens / Content delivery network / VS

9°) SplitBee (Vercel Inc.) / Breakcold gebruikers' gegevens / Application analytics / VS

10°) Vercel Inc / Breakcold gebruikers' gegevens / Cloud service provider / VS

11°) Upstash Inc / Breakcold gebruikers' gegevens / Cloud service provider / VS

12°) Firebase (Google Cloud Platform, Google LLC) / Breakcold gebruikers' gegevens / Cloud service provider / VS