Verwerkersovereenkomst
Deze Verwerkersovereenkomst is een bijlage bij de tussen Flex4Sure BV., gevestigd te (1402 LB) Bussum aan de Veldheimerlaan 45A, ingeschreven in het handelsregister onder nummer 85223999 (“Verwerker”), en haar wederpartij (“Verwerkingsverantwoordelijke”) gesloten overeenkomst in het kader van het verwerken van persoonsgegevens van Verwerkingsverantwoordelijke op de Jobliebe Matching Platform van Verwerkingsverantwoordelijke plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald (“de Doeleinden”).
Verwerkingsverantwoordelijke en Verwerker hierna gezamenlijk tevens te noemen "Partijen" en ieder afzonderlijk "Partij".
PARTIJEN KOMEN HET VOLGENDE OVEREEN:
1. DEFINITIES
In deze Verwerkersovereenkomst worden de volgende definities gehanteerd:
1.1 AP:
De Autoriteit Persoonsgegevens.
1.2 AVG:
Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 (de Algemene Verordening Gegevensbescherming), van toepassing met ingang van 25 mei 2018.
1.3 Betrokkene:
Een geïdentificeerde of identificeerbare natuurlijk persoon.
1.4 Bijlagen:
De bijlagen bij deze Verwerkersovereenkomst, die integraal deel uitmaken van deze Verwerkersovereenkomst.
1.5 Datalek (in de AVG aangeduid als ‘inbreuk in verband met persoonsgegevens’):
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
1.6 Derde:
Een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de Verwerkingsverantwoordelijke, noch Verwerker, noch de personen die onder rechtstreeks gezag van Verwerkingsverantwoordelijke of Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken.
1.7 Overeenkomst:
De tussen Verwerkingsverantwoordelijke en Verwerker gesloten Overeenkomst zoals bedoeld in overweging A., inclusief de daarbij horende bijlagen.
1.8 Verwerkersovereenkomst:
De onderhavige verwerkersovereenkomst, inclusief de Bijlagen.
1.9 Persoonsgegevens:
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de Betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
1.10 Privacywetgeving
Alle toepasselijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder begrepen maar niet beperkt tot de Wbp, AVG en de Uitvoeringswet AVG.
1.11 Toestemming van de Betrokkene:
Elke vrije, specifieke geïnformeerde en ondubbelzinnige wilsuiting waarmee de Betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van Persoonsgegevens aanvaardt.
1.12 Toezichthouder:
Een onafhankelijke instantie verantwoordelijk voor het toezicht op de naleving van wetgeving met betrekking tot de verwerking van Persoonsgegevens, waaronder de Wbp en AVG. In Nederland is deze toezichthouder de Autoriteit Persoonsgegevens (“AP”).
1.13 Uitvoeringswet AVG:
Uitvoeringswet Algemene Verordening Gegevensbescherming.
1.14 Verwerking of het verwerken van persoonsgegevens:
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
1.15 Wbp:
Wet bescherming persoonsgegevens (van toepassing tot 25 mei 2018).
2. TOEPASSELIJKHEID
2.1 Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Verwerkersovereenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Overeenkomst.
3. UITVOERING VERWERKING
3.1.Verwerker zal optreden als verwerker en Verwerkingsverantwoordelijke als verwerkingsverantwoordelijke in de zin van artikel 4 onder 8) resp. artikel 4 onder 7) AVG. Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
3.2.Verwerker verwerkt gegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Overeenkomst. Verwerkingsverantwoordelijke staat er tegenover Verwerker voor in dat de inhoud, het gebruik en de Verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.
3.3.Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.
3.4.Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Overeenkomst.
3.5.Verwerker mag de Persoonsgegevens enkel buiten de EU verwerken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Een dergelijke doorgifte en Verwerking van Persoonsgegevens vindt bovendien slechts plaats onder in de toepasselijke Privacywetgeving opgenomen voorwaarden.
3.6.Verwerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval – mits wettelijk toegestaan - Verwerkingsverantwoordelijke binnen 48 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.
3.7.Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke – mits wettelijk toegestaan - zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.
3.8.Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken met betrekking tot Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, wissing, beperking van de verwerking of overdracht van de Persoonsgegevens. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven. Verwerker zal de Verwerkingsverantwoordelijke alle redelijkerwijs benodigde medewerking verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkenen te beantwoorden.
3.9.Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens vlot en behoorlijk af. Verwerker stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen van Verwerkingsverantwoordelijke als neergelegd in artikel 28 AVG, met ingang van 25 mei 2018. Verwerker kan de extra kosten die zij in dit kader maakt in rekening brengen bij Verwerkingsverantwoordelijke.
3.10.Verwerker zal de Verwerkingsverantwoordelijke medewerking verlenen bij het doen nakomen van de verplichtingen ten aanzien van het doen van een gegevensbeschermingseffectbeoordeling op grond van de toepasselijke Privacywetgeving. Verwerker kan de extra kosten die zij in dit kader maakt in rekening brengen bij Verwerkingsverantwoordelijke.
3.11.Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk schriftelijk in kennis indien een instructie als bedoeld in artikel 28 lid 3 sub h) AVG naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving.
3.12.Verwerker mag een derde (subverwerker) inschakelen bij de uitvoering van deze Verwerkersovereenkomst, onder de voorwaarden dat de Verwerker aan deze andere derde bij overeenkomst dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens opleggen als de verplichtingen die zijn opgenomen in deze Verwerkersovereenkomst, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in de toepasselijke Privacywetgeving voldoet. Verwerker is binnen de grenzen van het bepaalde in artikel 7 van deze Verwerkersovereenkomst aansprakelijk voor handelen van derden die Verwerker in het kader van deze Verwerkersovereenkomst inschakelt. Deze derden zijn limitatief beschreven in bijlage 1 bij deze Verwerkersovereenkomst.
4. MELDPLICHT DATALEKKEN
4.1 Verwerker dient Verwerkingsverantwoordelijke zonder onredelijke vertraging in kennis te stellen van ieder Datalek dat (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens. Deze in kennis stelling dient plaats te vinden aan [opnemen contactgegevens verwerkingsverantwoordelijke, bijv. een e-mailadres en/of telefoonnummer]. Verwerker zal in ieder geval informatie verstrekken over het volgende:
(i) de aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal betrokkenen in kwestie;
(ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;
(iii) de vastgestelde en verwachte gevolgen van het Datalek voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen;
(iv) de maatregelen die Verwerker heeft getroffen en zal treffen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van het Datalek; en
(v) het telefoonnummer waarop Verwerker, vanaf het moment direct na de in kennis stelling, tot minimaal 72 uur daarna, voortdurend op bereikbaar is,
Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een Datalek dat (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker verwerkt, aan Betrokkenen en/of Toezichthouders te melden. Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om de (mogelijke) schade te beperken en Verwerkingsverantwoordelijke te ondersteunen bij meldingen aan Betrokkenen en/of Toezichthouders.
5. BEVEILIGINGSMAATREGELEN
5.1.De Verwerker verbindt zich ertoe de passende technische en organisatorische beveiligingsmaatregelen, die nodig zijn voor de bescherming van de Persoonsgegevens, te implementeren en te respecteren.
5.2.Bij het bepalen van de passende technische en organisatorische beveiligingsmaatregelen, houdt de Verwerker rekening met (i) de stand van de techniek, (ii) de uitvoeringskosten van deze maatregelen, (iii) de aard, de omvang, de context, en de verwerkingsdoeleinden, (iv) de verwerkingsrisico’s voor de rechten en vrijheden van de Betrokkenen, voornamelijk als gevolg van vernietiging, verlies, wijziging, ongeoorloofde verstrekking van, of niet-geautoriseerde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, hetzij per ongeluk, hetzij op onrechtmatige wijze, en (v) de waarschijnlijkheid dat de verwerking een impact heeft op de rechten en vrijheden van de Betrokkenen.
5.3.Deze maatregelen zullen door de Verwerker op regelmatige tijdstippen geüpdatet worden in functie van de stand van de techniek en eventuele incidenten.
6. VERPLICHTINGEN VERWERKINGSVERANTWOORDELIJKE
6.1.Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Verwerkersovereenkomst de verwerkingsverantwoordelijke als bedoeld in artikel 4 onder 7) AVG.
6.2.Verwerkingsverantwoordelijke gaat ermee akkoord en staat er voor in dat de Verwerking van de Persoonsgegevens overeenkomstig de Verwerkersovereenkomst in overeenstemming is met toepasselijke Privacywetgeving.
7. AANSPRAKELIJKHEID
7.1.Verwerker is slechts aansprakelijk voor directe schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst. Het maximale bedrag dat in geval van aansprakelijkheid krachtens het onderhavige artikel zal worden uitgekeerd is per gebeurtenis dan wel een reeks van samenhangende gebeurtenissen en per contractsjaar beperkt tot een bedrag dat gelijk is aan de vergoedingen die Verwerkingsverantwoordelijke onder de Overeenkomst per jaar aan Verwerker verschuldigd is (exclusief BTW). In geen geval zal echter de totale vergoeding meer bedragen dan 5.000 euro. Een aan Verwerkingsverantwoordelijke door een toezichthouder opgelegde boete kan niet worden verhaald op Verwerker, tenzij sprake is van opzet of bewuste roekeloosheid aan de zijde van de bedrijfsleiding van Verwerker.
7.2.De beperking van aansprakelijkheid zoals bedoeld in het onderhavige artikel komt te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van Verwerker.
7.3.De aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkingsovereenkomst ontstaat slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld en deugdelijk schriftelijk in gebreke stelt, stellende daarbij een redelijke termijn ter zuivering van de tekortkoming, en Verwerker ook na die termijn toerekenbaar in de nakoming van zijn verplichtingen tekort blijft schieten. De ingebrekestelling dient een zo gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Verwerker in staat is adequaat te reageren.
8. GEHEIMHOUDING
8.1.Verwerker heeft haar medewerkers verplicht, behoudens dwingendrechtelijke verplichtingen, tot geheimhouding van de Persoonsgegevens waarvan zij uit hoofde van de Overeenkomst met Verwerkingsverantwoordelijke kennisnemen.
8.2.Verwerker zal de Persoonsgegevens uitsluitend openbaren aan die medewerkers en/of derden die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen. Verwerker zal tevens er voor zorg dragen dat de door hem ingeschakelde medewerkers en derden zich houden aan de in deze Verwerkersovereenkomst vastgelegde geheimhoudingsverplichtingen.
9. DUUR EN BEËINDIGING
9.1. Deze Verwerkersovereenkomst is onderdeel is van de Overeenkomst en duurt voort zolang de Overeenkomst, inclusief eventuele verlengingen daarvan, tussen Verwerkingsverantwoordelijke en Verwerker voortduurt. Bij tegenstrijdigheid tussen bepalingen uit deze Verwerkersovereenkomst en de Overeenkomst prevaleren de bepalingen uit deze Verwerkersovereenkomst.
9.2. Onverminderd andersluidende schriftelijke opdracht van Verwerkingsverantwoordelijke zal Verwerker in geval van beëindiging van de Verwerkersovereenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.
9.3. Verplichtingen uit deze Verwerkersovereenkomst welke naar hun aard bestemd zijn om ook na het einde van deze Verwerkersovereenkomst voort te duren, blijven na het einde van deze Verwerkersovereenkomst bestaan. Tot deze verplichtingen behoren de bepalingen over de geheimhouding van de persoonsgegevens, toepasselijk recht en geschillenbeslechting.
10.TOEPASSELIJKRECHT EN GESCHILLEN
10.1.Nederlands recht is van toepassing op deze Verwerkersovereenkomst.
BIJLAGE 1 – SPECIFICATIE VERWERKING
A. Doel van de verwerking
Het uitvoering geven aan de overeengekomen dienstverlening. Deze dienstverlening bestaat uit:
Het matchen van jobs met kandidaten
B. Betrokkenen
Van de volgende groepen van personen worden Persoonsgegevens verwerkt:
Kandidaten, die zich geregistreerd hebben bij de Verwerkingsverantwoordelijke met het doel om een nieuwe baan of opdracht te krijgen
C. Categorieën van Persoonsgegevens
Bewerker verwerkt de volgende Persoonsgegevens:
Naam en contact gegevens
Skills en competenties
CV data
Educaties
D. Landen van verwerking
Bewerker verwerkt de volgende Persoonsgegevens in de volgende landen:
Nederland, Romania en Ireland