Overeenkomst gegevensverwerking

    Inhoud

    1. Definities en interpretatie

    Naast de met een hoofdletter geschreven woorden en zinsdelen in de Definities Schema (beschikbaar op https://xtm.ai/legal/definitions-schedule ) die van toepassing blijven, zijn de volgende definities en interpretatieregels van toepassing op deze XTM Data Processing Agreement ("DPA"):

    Zakelijke doeleinden: de Diensten die aan U worden geleverd of enig ander doel dat specifiek wordt genoemd in Bijlage A.

    Verwerkingsverantwoordelijke, Verwerker, Verwerken, Betrokkene, Persoonsgegevens en Inbreuk op Persoonsgegevens en Toezichthoudende Autoriteit hebben de betekenis die daaraan wordt gegeven in de GDPR.

    Clausules Controller to Processor betekent de standaard contractuele clausules tussen verwerkingsverantwoordelijken en verwerkers, zoals goedgekeurd door het Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, en beschikbaar op https://xtm.cloud/legal/standard-contractual-clauses-controller-to-processor-clauses.

    Toezichthoudende autoriteit voor gegevensbescherming: elk lokaal, nationaal of multinationaal agentschap, departement, ambtenaar, parlement, openbaar of statutair persoon of elke overheids- of beroepsinstantie, regelgevende of toezichthoudende autoriteit, raad of ander orgaan dat verantwoordelijk is voor het beheer van de wetgeving inzake gegevensbescherming.

    EER betekent de Europese Economische Ruimte.

    EER Derde Land betekent een land buiten de EER dat een passend beschermingsniveau biedt dat niet wordt erkend door de Europese Commissie (zoals beschreven in de GDPR).

    International Data Transfer Addendum betekent het international data transfer addendum bij de standaard contractuele clausules uitgegeven door het Information Commissioner's Office onder sectie 119A van de Data Protection Act 2018 op 2 februari 2022, en te vinden op https://xtm.cloud/legal/uk-gdpr-addendum.

    Verwerker-tot-verwerker-clausules betekent de modelcontractbepalingen tussen verwerkers, zoals goedgekeurd bij Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, en beschikbaar op https://go.xtm.cloud/legal/standard-contractual-clauses-processor-to-processor-clauses.

    Beschermde Gegevens betekent Persoonsgegevens die door ons namens U worden verwerkt in verband met het verlenen van de Diensten.

    Standaard Contractuele Clausules betekent (1) de Controller to Processor Clausules; en (2) de Processor to Processor Clausules, zoals van toepassing in overeenstemming met artikel 8 van deze DPA.

    VK betekent het Verenigd Koninkrijk.

    UK Controller to Processor Clauses betekent de Controller to Processor Clauses, zoals gewijzigd door het International Data Transfer Addendum.

    UK Verwerker-Verwerker Clausules betekent de Verwerker-Verwerker Clausules, zoals gewijzigd door het Internationale Data Transfer Addendum.

    Britse Beschermde Gegevens betekent alle persoonsgegevens (zoals gedefinieerd in de Britse GDPR) die door ons namens U worden verwerkt in verband met de levering van de Diensten.

    UK Standaard Contractuele Clausules betekent (i) de UK Controller-to-Processor Clausules, of (ii) de UK Processor-to-Processor Clausules, zoals van toepassing in overeenstemming met artikel 8 van deze DPA.

    VK Derde Land betekent een land buiten het VK dat niet door de Secretary of State of de Data Protection Act 2018 wordt erkend als land dat een passend beschermingsniveau biedt voor persoonsgegevens (zoals beschreven in de GDPR in het VK).

    1.1 Deze DPA is onderworpen aan en opgenomen in de XTM Abonnementsovereenkomst Voorwaarden.

    1.2 De bijlagen bij deze DPA maken deel uit van deze DPA en zijn van kracht alsof ze volledig in het corpus van deze DPA zijn opgenomen. Elke verwijzing naar deze DPA omvat tevens de bijlagen.

    1.3 In geval van strijdigheid of dubbelzinnigheid tussen:

    • 1.3.1 een bepaling in het dispositief van deze DPA en een bepaling in de bijlagen, prevaleert de bepaling in het dispositief van deze DPA;
    • 1.3.2 de voorwaarden van een begeleidende factuur of andere documenten die als bijlage bij deze DPA zijn gevoegd en een bepaling in de bijlagen, prevaleert de bepaling in de bijlagen;
    • 1.3.3 de bepalingen van deze DPA en de bepalingen van de XTM Abonnementsovereenkomst prevaleren; en
    • 1.3.4 indien sprake is van een van de bepalingen van (1) deze DPA en (2) de Algemene Contractuele Bepalingen, prevaleren de bepalingen van de Algemene Contractuele Bepalingen.

    2 Soorten Persoonsgegevens en Verwerkingsdoeleinden

    2.1 Wij zullen optreden als een Verwerker van Beschermde Gegevens die aan ons zijn verstrekt bij het leveren van de Diensten aan U.

    2.2 U erkent dat U ofwel een Beheerder ofwel een Verwerker van de Beschermde Gegevens kunt zijn.

    2.3 Voor zover U niet de enige Verwerkingsverantwoordelijke bent van Beschermde Gegevens, garandeert U dat U de volledige bevoegdheid en machtiging hebt van alle relevante Verwerkingsverantwoordelijken om ons op te dragen de Beschermde Gegevens te verwerken in overeenstemming met de Overeenkomst.

    2.4 Bijlage A beschrijft het onderwerp, de duur, de aard en het doel van de verwerking en de categorieën Persoonsgegevens en Typen Betrokkenen waarvoor Wij de Beschermde Gegevens namens U mogen verwerken om de Zakelijke Doeleinden te vervullen.

    3 Rechten en verplichtingen

    3.1 Wij zullen u onmiddellijk op de hoogte stellen als wij van mening zijn dat een van uw instructies onwettig is.

    3.2 Als U ons schriftelijk verzoekt om de Beschermde Gegevens te wijzigen, over te dragen, te verwijderen of anderszins te verwerken, of om ongeoorloofde verwerking te stoppen, te beperken of te verhelpen, zullen Wij binnen een redelijke termijn aan dat verzoek voldoen.

    3.3 Behalve voor zover vereist door de toepasselijke wetgeving, zullen Wij:

    • 3.3.1 de Beschermde Gegevens alleen openen en verwerken voor zover en op een wijze die noodzakelijk is om de Zakelijke Doeleinden te vervullen en in overeenstemming met Uw schriftelijke instructies. We zullen de Beschermde Gegevens niet verwerken voor enig ander doel of op een manier die onverenigbaar is met deze DPA;
    • 3.3.2 de Beschermde gegevens niet bekendmaken aan derden zonder Uw toestemming, tenzij specifiek toegestaan door deze DPA. Tenzij de toepasselijke wetgeving dit verbiedt, zullen wij U informeren over de openbaarmaking en U waar mogelijk de gelegenheid geven om bezwaar te maken tegen de openbaarmaking of deze aan te vechten;
    • 3.3.3 en U redelijke hulp en ondersteuning bieden om te voldoen aan de nalevingsverplichtingen van de Controller onder de GDPR, rekening houdend met de aard van Onze verwerking en de informatie die voor Ons beschikbaar is, inclusief met betrekking tot de rechten van de Betrokkene, effectbeoordelingen voor gegevensbescherming en rapportage aan en overleg met Toezichthoudende Autoriteiten onder de GDPR in overeenstemming met Onze verplichtingen onder de GDPR.

    4 Medewerkers en gelieerd personeel van XTM

    • 4.1 We zorgen ervoor dat alle werknemers of personen die gemachtigd zijn om de Beschermde gegevens te verwerken in verband met het Bedrijfsdoel
    • 4.1.1 op de hoogte zijn van de vertrouwelijke aard van de Beschermde gegevens en gebonden zijn aan geheimhoudingsverplichtingen om informatie veilig te bewaren,
    • 4.1.2 zich bewust zijn van zowel onze plichten als hun persoonlijke plichten en verplichtingen onder de Wet Bescherming Persoonsgegevens en deze DPA,
    • 4.1.3 en we zullen redelijke stappen ondernemen om de betrouwbaarheid te garanderen van elke werknemer of bevoegd persoon die toegang heeft tot de Beschermde gegevens.

    5 Subverwerkers

    5.1 U erkent en stemt ermee in dat wij de verwerking van Beschermde gegevens uitbesteden aan onze Filialen en aan de subverwerkers die worden vermeld in Bijlage A. Wij blijven aansprakelijk jegens u voor de uitvoering van de verplichtingen van onze subverwerker die ertoe leiden dat wij een van onze verplichtingen onder deze DPA schenden.

    5.2 Indien wij een van onze subverwerkers willen wijzigen, zullen wij u daarvan binnen een redelijke termijn op de hoogte stellen, onder meer door de informatie op de website van XTM bij te werken. Indien u bezwaar maakt tegen het gebruik van een nieuwe subverwerker, kunt u de overeenkomst beëindigen met inachtneming van een opzegtermijn van negentig (90) dagen, mits een dergelijke opzegging door ons wordt ontvangen binnen dertig (30) dagen na kennisgeving van de wijziging van de subverwerker.

    5.3 Wij zullen een schriftelijke overeenkomst aangaan met Onze subverwerkers onder voorwaarden die in essentie dezelfde zijn als die in deze DPA, en Wij zullen ervoor zorgen dat zij verplicht zijn om passende technische en organisatorische maatregelen te nemen om de Beschermde Gegevens te beveiligen.

    6 Beveiliging

    6.1 Zowel Wij als U zullen te allen tijde passende technische en organisatorische maatregelen onderhouden, evalueren en, waar nodig, aanpassen en bijwerken om bescherming te bieden tegen onopzettelijke of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van of toegang tot Beschermde Gegevens die zijn verzonden, opgeslagen of anderszins verwerkt in overeenstemming met deze DPA, met inbegrip van, maar niet beperkt tot, de beveiligingsmaatregelen die worden uiteengezet in Bijlage B.

    7 Inbreuk op Persoonsgegevens

    7.1 Wij zullen U zonder onnodige vertraging (en in ieder geval binnen tweeënzeventig (72) uur nadat wij ons ervan bewust zijn geworden) op de hoogte stellen van een inbreuk in verband met Persoonsgegevens die van invloed is op Beschermde Gegevens en U details verstrekken over de inbreuk in verband met Persoonsgegevens.

    7.2 De partijen zullen redelijkerwijs met elkaar samenwerken bij het onderzoek naar de inbreuk in verband met Persoonsgegevens.

    7.3 Tenzij de toepasselijke wetgeving dit vereist, zullen Wij derden niet informeren over een inbreuk in verband met Persoonsgegevens zonder Uw voorafgaande schriftelijke toestemming.

    8 Grensoverschrijdende doorgifte van Persoonsgegevens

    8.1 U stemt ermee in dat Wij Beschermde Gegevens overdragen en verwerken buiten het rechtsgebied van het Verenigd Koninkrijk en/of de EER, indien van toepassing, wanneer deze verwerking wordt uitgevoerd door onze gelieerde onderneming of goedgekeurde subverwerker.

    8.2 Wanneer U optreedt als Verwerkingsverantwoordelijke en Wij als Verwerker;

    • 8.2.1 zullen de Controller-to-Processor Clausules van toepassing zijn op elke doorgifte van Beschermde Gegevens van binnen de EER naar een EER Derde Land en;
    • 8.2.2 de UK Controller-to-Processor Clauses zijn van toepassing op elke doorgifte van Britse Beschermde Gegevens van binnen het Verenigd Koninkrijk naar een Brits Derde Land.

    8.3 Als U optreedt als Verwerker en Wij als Sub-Verwerker,

    • 8.3.1 zullen de EU-Verwerker-naar-Verwerker Clausules van toepassing zijn op elke doorgifte van Britse Beschermde Gegevens van binnen de EER naar een EER Derde Land en;
    • 8.3.2 zullen de UK Verwerker-naar-Verwerker Clausules van toepassing zijn op elke doorgifte van Beschermde Gegevens van binnen het VK naar een VK Derde Land.

    U stemt ermee in dat het mogelijk is dat Wij de identiteit van de Verwerkingsverantwoordelijke niet kennen omdat Wij geen directe relatie met de Verwerkingsverantwoordelijke hebben. In deze omstandigheden zult U voldoen aan Onze verplichtingen jegens de Verwerkingsverantwoordelijke krachtens de EU-Verwerker-Verwerkersclausules of de VK-Verwerker-Verwerkersclausules, zoals van toepassing.

    9 Klachten, verzoeken van betrokkenen, rechten van derden

    9.1 Rekening houdend met de aard van de verwerking, zullen Wij, zodra wij hebben vastgesteld dat de communicatie betrekking heeft op de verwerking van Beschermde Gegevens waarvoor U verantwoordelijk bent, U zonder onnodige vertraging op de hoogte stellen;

    • 9.1.1 van elke klacht, kennisgeving of mededeling en zullen redelijke medewerking verlenen om U in staat te stellen op een dergelijke klacht, kennisgeving of mededeling te reageren, en;
    • 9.1.2 van elk verzoek van een Betrokkene om toegang te krijgen tot zijn Persoonsgegevens of om een van zijn rechten uit te oefenen.

    9.2 Wij zullen redelijkerwijs met U samenwerken en U helpen te reageren op een klacht, kennisgeving, mededeling of verzoek van een Betrokkene in overeenstemming met Onze verplichtingen onder de GDPR.

    9.3 U machtigt ons te reageren op ieder Gegevenssubject dat ons een verzoek doet om te bevestigen dat wij de communicatie naar U hebben doorgestuurd.

    10 Beëindiging

    10.1 Deze DPA blijft volledig van kracht zolang;

    • 10.1.1 de Overeenkomst van kracht is of;
    • 10.1.2 Wij Beschermde Gegevens bewaren.

    11 Teruggave en vernietiging van gegevens

    11.1 Bij beëindiging van de Overeenkomst heeft U gedurende een periode van dertig (30) dagen toegang tot de Klantgegevens om U in staat te stellen de Klantgegevens te kopiëren en te extraheren (inclusief Beschermde Gegevens). Wij behouden ons het recht voor om een redelijke vergoeding in rekening te brengen voor Onze tijd en middelen voor het kopiëren van Klantgegevens op media die U kunt transporteren en/of voor Onze tijd en middelen voor het uploaden van de Klantgegevens om deze te downloaden.

    11.2 Binnen een redelijke periode volgend op de periode zoals uiteengezet in artikel 11.1, zullen wij de Klantgegevens die nog in Ons bezit of beheer zijn veilig verwijderen of vernietigen, tenzij wij verplicht zijn een kopie te bewaren onder de toepasselijke wetgeving.

    12 Controle

    12.1 Wij zullen U informatie ter beschikking stellen die redelijkerwijs vereist is om aan te tonen dat Wij deze DPA naleven, op voorwaarde dat U ervoor zorgt dat alle informatie die door U of Uw auditor(s) in verband met dergelijke informatieverzoeken wordt verkregen of gegenereerd, strikt vertrouwelijk wordt behandeld (behalve voor bekendmaking aan een toezichthoudende autoriteit voor gegevensbescherming of zoals anderszins vereist door de toepasselijke wetgeving). Daarnaast kunt U een jaarlijkse audit of inspectie uitvoeren door ons hiervan ten minste veertien (14) dagen van tevoren schriftelijk op de hoogte te stellen op elk tijdstip tussen 9.00 en 17.00 uur (GMT) op een werkdag gedurende de looptijd van de Overeenkomst. Wij zullen redelijke toegang tot gegevens, systemen en Ons personeel faciliteren en redelijke assistentie aan U bieden bij het uitvoeren van een dergelijke audit, mits dit kan worden gedaan met minimale verstoring van Onze dagelijkse bedrijfsactiviteiten.

    12.2 De kosten van een audit zijn voor uw rekening, tenzij uit de audit redelijkerwijs blijkt dat wij wezenlijk hebben gefaald in het nemen van passende beveiligingsmaatregelen in overeenstemming met deze DPA.

    BIJLAGE A: DOELEINDEN EN DETAILS VAN DE VERWERKING VAN PERSOONSGEGEVENS

    1. Duur van de verwerking:

    De Beschermde Gegevens worden verwerkt zolang de verplichting om de Beschermde Gegevens te verwerken op grond van de Overeenkomst voortduurt.

    2. De Aard en het Onderwerp van de Verwerking, en de Zakelijke Doeleinden:

    Het doel van de verwerking is het leveren van softwareoplossingen die door ons worden geëxploiteerd en die U in staat stellen om elektronische documenten te vertalen van een brontaal naar een of meer doeltalen.

    Wij en Onze Filialen en onderaannemers zullen informatie die is ingevoerd door Goedgekeurde Gebruikers opslaan en verwerken zoals vereist voor de Zakelijke Doeleinden en voor Onze legitieme belangen om de onderliggende softwareoplossingen te beheren en te ondersteunen.

    Wij zullen Beschermde Gegevens alleen verkrijgen en gebruiken voor de volgende doeleinden:

    1. het vertalen van elektronische documenten (voor zover die documenten Beschermde Gegevens bevatten);
    2. en het beheren van gebruikersaccounts om Goedgekeurde Gebruikers toegang te verlenen tot en gebruik te laten maken van de Onderschreven Services.

    3. Gegevenscategorieën:

    Beschermde Gegevens die zijn geüpload naar de Diensten.

    De gegevenscategorieën die worden verwerkt in verband met Uw Goedgekeurde Gebruikers kunnen zijn:

    1. titel;
    2. voornaam
    3. achternaam;
    4. e-mailadres;
    5. standaardvaluta;
    6. postadres;
    7. telefoonnummer;
    8. mobiel telefoonnummer;
    9. bron- en doeltalen;
    10. specialisatie in het onderwerp;
    11. toegangsrechten tot Leverancier (bijv. welke Beschermde Gegevens toegankelijk zijn etc.);
    12. beoordeling (scorekaart voor kwaliteit etc.);
    13. en toegewezen taken.

    4. Categorieën van Betrokkenen:

    Geautoriseerde gebruikers.

    Elke derde wiens Persoonsgegevens zijn opgenomen in een document dat met behulp van de Diensten is vertaald.

    5. Goedgekeurde subverwerkers:

    Naam: OVH Limited
    Contactpersoon: Grégory Gitsels - Functionaris Gegevensbescherming
    Telefoonnummer: +44 333 370 0425
    Adres: Roubaix, Frankrijk

    Naam: Amazon Web Services EMEA SARL en Amazon Web Services, Inc.
    Contact: https://aws.amazon.com
    Adres: 38 John F. Kennedylaan, L-1855, Luxemburg

    Onze Filialen en personeel dat door ons is ingehuurd als onderaannemers voor het leveren van de Services die onderhevig zijn aan vertrouwelijkheidsbeperkingen die minstens even beperkend zijn als de beperkingen in deze DPA en de Overeenkomst.

    7. Kennisgevingen:

    Kennisgevingen die op grond van deze DPA worden gedaan, moeten worden gedaan in overeenstemming met de Overeenkomst.

    BIJLAGE B: BEVEILIGINGSMAATREGELEN

    De technische en organisatorische gegevensbeveiligingsmaatregelen zijn de volgende:
    1. De Leverancier onderhoudt geen servers op locatie. Alle persoonlijke informatie wordt opgeslagen op beveiligde gehoste platforms.
    2. Personeel van de Leverancier krijgt alleen toegang tot elektronische archiefsystemen en mappen voor zover dit nodig is om elk personeelslid in staat te stellen zijn of haar taken uit te voeren.
    3. Toegang tot gehoste gegevenssystemen is beveiligd met een wachtwoord en alleen huidig bevoegd personeel heeft toegang.
    4. Personeel gebruikt alleen laptops die door de Leverancier worden verstrekt.
    5. Personeel gebruikt zijn eigen mobiele telefoons voor de werkzaamheden van de Leverancier. Personeelsleden die omgaan met Beschermde Gegevens zijn verplicht om hun mobiele telefoons met een wachtwoord te beveiligen en te versleutelen en om ze op afstand toegankelijk te maken en te wissen in geval van verlies of diefstal.
    6. Personeelsleden zijn verplicht om uit te loggen van systemen en laptops wanneer ze niet in gebruik zijn.
    7. Personeelsleden krijgen training en begeleiding over het veilige gebruik van elektronische apparaten in het openbaar en de bijbehorende risico's.
    8. De Leverancier houdt geen papieren dossiers bij die Beschermde Gegevens bevatten.
    9. De Leverancier zorgt ervoor dat zijn fysieke gebouwen beveiligd zijn tegen diefstal en andere inbraken
    10. . Het beheer van de IT-systemen van de Leverancier is de gedelegeerde verantwoordelijkheid van een externe leverancier. De algemeen directeur van de Leverancier is er verantwoordelijk voor dat deze diensten een passend beveiligingsniveau bieden. De IT-systemen van de Leverancier worden met tussenpozen van niet meer dan twaalf (12) maanden gecontroleerd op naleving van de gegevensbeveiliging.
    11. Het volledige beveiligingsprogramma en beleidsdocument van de Leverancier is op verzoek verkrijgbaar.