GDPR-addendum VK

    Inhoud

    Dit GDPR-addendum voor het Verenigd Koninkrijk (dit "Addendum") maakt deel uit van de XTM Data Processing Agreement (beschikbaar op https://xtm.ai/legal/data-processing-agreement), of een andere overeenkomst tussen U en ons met betrekking tot de verwerking van Beschermde Gegevens (de "DPA"). Tenzij anders gedefinieerd in dit document, hebben termen met een hoofdletter die in dit document worden gebruikt, de betekenis die eraan wordt gegeven in de DPA.

    Interpretatie en definities

    Tenzij anders uiteengezet in dit Addendum, zullen de voorwaarden van de DPA van toepassing zijn op Uw gebruik van de Diensten voor de verwerking van Beschermde Gegevens van het Verenigd Koninkrijk, en zullen alle verwijzingen naar (i) "GDPR" in de DPA worden vervangen door "GDPR in het Verenigd Koninkrijk"; en (ii) "Beschermde Gegevens" in de DPA worden vervangen door "Beschermde Gegevens van het Verenigd Koninkrijk".

    Bijlage A

    Tabel 1: Partijen

    Begindatum De datum waarop de Klant begint met het gebruik van de Diensten voor de doorgifte van Beschermde Gegevens van het VK naar Derde Landen in het VK
    De Partijen Exporteur (die de beperkte doorgifte verzendt) Importeur (die de beperkte doorgifte ontvangt)
    Gegevens Partijen

    Volledige wettelijke naam: De entiteit die in de Overeenkomst wordt geïdentificeerd als de Klant.

    Handelsnaam (indien verschillend): Indien afwijkend, de handelsnaam voor de Klant die gekoppeld is aan de XTM-account van de Klant of zoals anderszins gespecificeerd in de Overeenkomst.

    Hoofdadres (indien bedrijfsadres): Het adres van de Klant dat gekoppeld is aan de XTM-account van de Klant of zoals anderszins gespecificeerd in de Overeenkomst.

    Eventueel officieel registratienummer (bedrijfsnummer of vergelijkbaar identificatienummer): Indien van toepassing, het officiële registratienummer van de Klant dat gekoppeld is aan de XTM-account van de Klant of zoals anderszins gespecificeerd in de Overeenkomst.

    Volledige wettelijke naam: de XTM-entiteit die in de Overeenkomst als Leverancier wordt aangeduid.

    Handelsnaam (indien afwijkend): N.V.T.

    Hoofdadres (indien bedrijfsadres): Het adres van de XTM-entiteit die in de overeenkomst als leverancier wordt geïdentificeerd.

    Officieel registratienummer (indien van toepassing) (bedrijfsnummer of vergelijkbaar identificatienummer): Indien van toepassing, het officiële registratienummer voor de XTM-entiteit die in de overeenkomst als leverancier is geïdentificeerd.
    Contactpersoon

    Volledige naam (optioneel): De contactpersoon die gekoppeld is aan de XTM-account van de Klant of zoals anderszins gespecificeerd in de Overeenkomst.

    Functie: De functietitel van de contactpersoon die gekoppeld is aan het XTM-account van de Klant of anderszins gespecificeerd is in de Overeenkomst.

    Contactgegevens, inclusief e-mail: De contactgegevens die gekoppeld zijn aan het XTM-account van de Klant of anderszins gespecificeerd zijn in de Overeenkomst.

    Volledige naam (optioneel): De gegevens zoals gespecificeerd in bijlage A van de DPA.

    Functie: Functionaris voor gegevensbescherming.

    Contactgegevens, inclusief e-mail: De contactgegevens zoals gespecificeerd in Bijlage A van de DPA.
    Handtekening (indien vereist voor de doeleinden van Sectie 2) Door gebruik te maken van de Diensten voor de doorgifte van Beschermde UK Data naar Derde Landen in het Verenigd Koninkrijk, wordt de Exporteur geacht deze UK Standard Contractual Clauses te hebben ondertekend. Door op instructie van de Uitvoerder Beschermde UK Data over te dragen naar Derde Landen in het VK, wordt de Importeur geacht deze UK Standard Contractual Clauses te hebben ondertekend.

    Tabel 2: Geselecteerde SCC's, Modules en Geselecteerde Clausules

    Addendum EU SCC's

    ☒ De versie van de goedgekeurde SCC's van de EU waaraan dit addendum is gehecht, inclusief de aanhangselinformatie:

    Datum: De datum waarop de Klant de Diensten begint te gebruiken om Britse Beschermde Gegevens over te brengen naar Britse Derde Landen.
    Referentie (indien van toepassing): N/A
    Andere identificator (indien van toepassing): Dit Addendum is aangehecht door middel van verwijzing naar de volgende versies van de Goedgekeurde EU SCC's, voor zover van toepassing:
    (a) de Verwerkersovereenkomst beschikbaar op https://xtm.ai/legal/standard-contractual-clauses-controller-to-processor-clauses; en
    (b) de Verwerker-Verwerker-clausules beschikbaar op: https://xtm.ai/legal/standard-contractual-clauses-processor-to-processor-clauses.

    Tabel 3: Bijlage Informatie

    "Aanhangselinformatie" betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in het aanhangsel van de goedgekeurde SCC's van de EU (met uitzondering van de partijen), en die voor dit addendum is uiteengezet in:

    Bijlage 1A: Lijst van Partijen:

    1. Gegevensexporteur(s):

    Naam: De entiteit die in de Overeenkomst als de Klant wordt geïdentificeerd.

    Adres: Het adres van de Klant dat gekoppeld is aan de XTM-account van de Klant of zoals anderszins gespecificeerd in de Overeenkomst.

    Naam, functie en contactgegevens van de contactpersoon: De contactgegevens die gekoppeld zijn aan het XTM-account van de Klant of anderszins gespecificeerd in de Overeenkomst.

    Activiteiten die relevant zijn voor de krachtens deze bepalingen doorgegeven gegevens: De in bijlage A van de DPA gespecificeerde activiteiten.

    Handtekening en datum: Door gebruik te maken van de Services voor de doorgifte van Britse beschermde gegevens naar Britse derde landen, wordt de gegevensexporteur geacht Bijlage I te hebben ondertekend.

    Rol (controller/verwerker): (I) waar de UK Controller-to-Processor Clauses van toepassing zijn, zal de Exporteur een verwerkingsverantwoordelijke zijn; en (ii) waar de UK Processor-to-Processor Clauses van toepassing zijn, zal de Exporteur een verwerker zijn.

    2. Gegevensimporteur(s):

    Naam: De entiteit die in de Overeenkomst wordt geïdentificeerd als de Leverancier.

    Adres: Het adres van de Leverancier zoals vermeld in de Overeenkomst.

    Naam, functie en contactgegevens van de contactpersoon: De contactgegevens van de Leverancier zoals vermeld in de Overeenkomst.

    Activiteiten die relevant zijn voor de krachtens deze Voorwaarden doorgegeven gegevens: De in Bijlage A van de DPA gespecificeerde activiteiten.

    Handtekening en datum: Door in opdracht van de Klant gegevens beschermd door het VK door te geven aan derde landen in het VK, wordt de gegevensimporteur geacht Bijlage I te hebben ondertekend.

    Rol (verwerkingsverantwoordelijke/verwerker): Verwerker
    Bijlage 1B: Beschrijving van de doorgifte:

    Categorieën betrokkenen van wie persoonsgegevens worden doorgegeven

    De categorieën van betrokkenen gespecificeerd in Bijlage A van de DPA.

    Categorieën van doorgegeven persoonsgegevens

    De categorieën van persoonsgegevens gespecificeerd in Bijlage A van de DPA.

    Gevoelige gegevens die worden doorgegeven (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de risico's, zoals bijvoorbeeld een strikte beperking van het doel, toegangsbeperkingen (waaronder toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), registratie van de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen.

    De gegevensexporteur kan gevoelige persoonsgegevens opnemen in de persoonsgegevens gespecificeerd in Bijlage A van de DPA.

    De frequentie van de doorgifte (bijv. of de gegevens eenmalig of doorlopend worden doorgegeven).

    Persoonsgegevens worden doorgegeven in overeenstemming met de instructies van de Klant zoals beschreven in paragraaf 8 van de DPA.

    Aard van de verwerking

    De aard van de verwerking wordt gespecificeerd in Bijlage A van de DPA.

    Doel(en) van de gegevensoverdracht en verdere verwerking

    Om de Diensten te verlenen.

    De periode gedurende welke de persoonsgegevens worden bewaard, of, als dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen

    De gegevensexporteur bepaalt de duur van de verwerking in overeenstemming met de voorwaarden van de DPA.

    Specificeer bij doorgifte aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking

    Het onderwerp, de aard en de duur van de verwerking worden beschreven in Bijlage A van de DPA.
    Bijlage II: Technische en organisatorische maatregelen, inclusief technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen:

    Beschrijving van de technische en organisatorische maatregelen die de gegevensimporteur(s) heeft/hebben geïmplementeerd (inclusief relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en de risico's voor de rechten en vrijheden van natuurlijke personen.

    De technische en organisatorische maatregelen die door de gegevensimporteur worden geïmplementeerd, staan vermeld in bijlage B van de gegevensbeschermingsrichtlijn.

    Beschrijf voor doorgiften naar (sub)verwerkers ook de specifieke technische en organisatorische maatregelen die de (sub)verwerker moet nemen om bijstand te kunnen verlenen aan de verwerkingsverantwoordelijke en, voor doorgiften van een verwerker naar een subverwerker, aan de gegevensexporteur.

    De door de gegevensimporteur ten uitvoer gelegde technische en organisatorische maatregelen zijn opgenomen in bijlage B bij de gegevensbeschermingsovereenkomst.
    Bijlage III: Lijst van subverwerkers (alleen modules 2 en 3):

    Zoals uiteengezet in de DPA.

    Tabel 4: Beëindiging van dit addendum wanneer het goedgekeurde addendum verandert

    Beëindiging van dit addendum wanneer het goedgekeurde addendum verandert Welke Partijen kunnen dit Addendum beëindigen zoals uiteengezet in Sectie 19:
    ☒ Importeur
    ☐ Exporteur
    ☐ geen van beide partijen

    Deel 2: Verplichte bepalingen

    Aangaan van dit addendum

    1. Elke Partij stemt ermee in gebonden te zijn aan de bepalingen en voorwaarden in dit Addendum, in ruil voor het feit dat de andere Partij er ook mee instemt gebonden te zijn aan dit Addendum.

    2. Hoewel bijlage 1A en bepaling 7 van de goedgekeurde SCC's van de EU ondertekening door de partijen vereisen, kunnen de partijen ten behoeve van beperkte doorgiften dit Addendum aangaan op een wijze die hen juridisch bindend maakt voor de partijen en die betrokkenen in staat stelt hun rechten zoals uiteengezet in dit Addendum af te dwingen. Het aangaan van dit Addendum zal hetzelfde effect hebben als het ondertekenen van de Goedgekeurde EU-VCA's en alle delen van de Goedgekeurde EU-VCA's.

    Interpretatie van dit Addendum

    3. Waar in dit Addendum termen worden gebruikt die in de Goedgekeurde EU-VCA's zijn gedefinieerd, hebben die termen dezelfde betekenis als in de Goedgekeurde EU-VCA's. Daarnaast hebben de volgende termen de volgende betekenis:

    Addendum
    1. Dit Addendum Internationale Gegevensoverdracht dat bestaat uit dit Addendum waarin het Addendum EU SCC's is opgenomen.
    Addendum EU SCC's
    1. De versie(s) van de goedgekeurde EU SCC's waaraan dit Addendum is gehecht, zoals uiteengezet in Tabel 2, inclusief de Bijlage Informatie.
    Bijlage Informatie
    1. Zoals uiteengezet in tabel 3.
    Passende waarborgen
    1. De norm voor de bescherming van de persoonsgegevens en van de rechten van de betrokkenen, die wordt vereist door de Britse wetgeving inzake gegevensbescherming wanneer u een beperkte doorgifte uitvoert op basis van standaardbepalingen inzake gegevensbescherming krachtens artikel 46, lid 2, onder d), van de GDPR in het Verenigd Koninkrijk.
    Goedgekeurd addendum
    1. Het modeladdendum dat door de ICO is uitgegeven en op 2 februari 2022 aan het Parlement is voorgelegd in overeenstemming met s119A van de Data Protection Act 2018, zoals het is herzien in overeenstemming met sectie 18.
    Goedgekeurde EU SCC's
    1. De modelcontractbepalingen in de bijlage bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021.
    ICO
    1. De Information Commissioner (commissaris voor informatie).
    Beperkte doorgifte
    1. Een doorgifte die valt onder hoofdstuk V van de GDPR in het Verenigd Koninkrijk.
    UK
    1. Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland.
    UK Gegevensbeschermingswetten
    1. Alle wetten met betrekking tot gegevensbescherming, de verwerking van persoonsgegevens, privacy en/of elektronische communicatie die van tijd tot tijd van kracht zijn in het Verenigd Koninkrijk, met inbegrip van de GDPR en de Data Protection Act 2018.
    GDPR VK
    1. Zoals gedefinieerd in sectie 3 van de Data Protection Act 2018.

    4. Dit Addendum moet altijd worden geïnterpreteerd op een manier die in overeenstemming is met de Britse wetgeving inzake gegevensbescherming en zodat het voldoet aan de verplichting van de Partijen om de Passende waarborgen te bieden.

    5. Als de bepalingen die zijn opgenomen in het Addendum EU SCC's de Goedgekeurde SCC's wijzigen op een manier die niet is toegestaan onder de Goedgekeurde EU SCC's of het Goedgekeurde Addendum, zullen dergelijke wijziging(en) niet worden opgenomen in dit Addendum en zal de gelijkwaardige bepaling van de Goedgekeurde EU SCC's hun plaats innemen.

    6. Als er enige inconsistentie of conflict is tussen UK Data Protection Laws en dit Addendum, dan is UK Data Protection Laws van toepassing.

    7. Als de betekenis van dit Addendum onduidelijk is of als er meer dan één betekenis is, geldt de betekenis die het meest in overeenstemming is met de UK Data Protection Laws.

    8. Elke verwijzing naar wetgeving (of specifieke bepalingen van wetgeving) betekent die wetgeving (of specifieke bepaling) zoals die in de loop van de tijd kan veranderen. Dit geldt ook wanneer die wetgeving (of specifieke bepaling) is geconsolideerd, opnieuw van kracht is geworden en/of is vervangen nadat dit Addendum is aangegaan.

    Hiërarchie

    9. Hoewel clausule 5 van de Goedgekeurde SCC's van de EU bepaalt dat de Goedgekeurde SCC's van de EU prevaleren boven alle gerelateerde overeenkomsten tussen de partijen, komen de partijen overeen dat voor Beperkte Overdrachten de hiërarchie in paragraaf 10 prevaleert.

    10. Bij tegenstrijdigheden of conflicten tussen het Goedgekeurd Addendum en de Addendum EU SCC's (voor zover van toepassing) prevaleert het Goedgekeurd Addendum boven de Addendum EU SCC's, behalve wanneer (en voor zover) de tegenstrijdige of conflicterende voorwaarden van de Addendum EU SCC's een betere bescherming bieden aan betrokkenen, in welk geval die voorwaarden prevaleren boven het Goedgekeurd Addendum.

    11. Wanneer dit Addendum Addendum EU SCC's bevat die zijn aangegaan ter bescherming van doorgiften die vallen onder de Algemene Verordening Gegevensbescherming (EU) 2016/679 dan erkennen de Partijen dat niets in dit Addendum van invloed is op die Addendum EU SCC's.

    Opname van en wijzigingen in de EU SCC's

    12. Dit Addendum omvat de Addendum EU SCC's die voor zover nodig worden gewijzigd zodat:

    1. zij samen van toepassing zijn op gegevensdoorgiften door de gegevensexporteur aan de gegevensimporteur, voor zover de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij die gegevensdoorgifte, en zij passende waarborgen bieden voor die gegevensdoorgiften;
    2. de paragrafen 9 tot en met 11 voorrang hebben op bepaling 5 (hiërarchie) van het Addendum EU SCC's; en
    3. dit Addendum (inclusief het Addendum EU SCC's dat erin is opgenomen) (1) onderworpen is aan het recht van Engeland en Wales en (2) elk geschil dat hieruit voortvloeit wordt beslecht door de rechtbanken van Engeland en Wales, in elk geval tenzij de wetten en/of rechtbanken van Schotland of Noord-Ierland uitdrukkelijk door de partijen zijn gekozen.

    13. Tenzij de partijen alternatieve wijzigingen zijn overeengekomen die voldoen aan de vereisten van artikel 12, zijn de bepalingen van artikel 15 van toepassing.

    14. Er mogen geen andere wijzigingen in de goedgekeurde SCC's van de EU worden aangebracht dan die welke nodig zijn om aan de vereisten van afdeling 12 te voldoen.

    15. De volgende wijzigingen in de goedgekeurde EU-VCA's (met het oog op afdeling 12) worden aangebracht:

    1. Verwijzingen naar de "clausules" zijn verwijzingen naar dit addendum, waarin het addendum EU SCC's is opgenomen;
    2. In clausule 2 worden de woorden
      "en, met betrekking tot gegevensdoorgiften van voor de verwerking verantwoordelijken naar verwerkers en/of van verwerkers naar verwerkers, modelcontractbepalingen krachtens artikel 28, lid 7, van Verordening (EU) 2016/679";
    3. Clausule 6 (Beschrijving van de doorgifte(s)) wordt vervangen door:
      "De bijzonderheden van de doorgifte(s) en met name de categorieën persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor zij worden doorgegeven) zijn die welke zijn gespecificeerd in bijlage I.B wanneer de Britse wetgeving inzake gegevensbescherming van toepassing is op de verwerking door de gegevensexporteur bij het verrichten van die doorgifte.";
    4. Clausule 8.7(i) van Module 1 wordt vervangen door:
      "het is naar een land dat in aanmerking komt voor adequaatheidsregelingen overeenkomstig afdeling 17A van de GDPR van het VK die betrekking heeft op de verdere doorgifte";
    5. Clausule 8.8(i) van Modules 2 en 3 wordt vervangen door:
      "de verdere doorgifte geschiedt naar een land dat in aanmerking komt voor adequaatheidsregelingen krachtens afdeling 17A van de GDPR in het Verenigd Koninkrijk die betrekking hebben op de verdere doorgifte;".
    6. Verwijzingen naar "Verordening (EU) 2016/679", "Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming)" en "die verordening" worden allemaal vervangen door "Britse wetgeving inzake gegevensbescherming". Verwijzingen naar specifieke artikel(en) van "Verordening (EU) 2016/679" worden vervangen door het gelijkwaardige artikel of deel van de Britse wetgeving inzake gegevensbescherming;
    7. Verwijzingen naar Verordening (EU) 2018/1725 worden verwijderd;
    8. Verwijzingen naar de "Europese Unie", "Unie", "EU", "EU-lidstaat", "lidstaat" en "EU of lidstaat" worden allemaal vervangen door "VK";
    9. De verwijzing naar "Clausule 12(c)(i)" in Clausule 10(b)(i) van Module één, wordt vervangen door "Clausule 11(c)(i)";
    10. Clausule 13(a) en deel C van bijlage I worden niet gebruikt;
    11. De "bevoegde toezichthoudende autoriteit" en de "toezichthoudende autoriteit" worden beide vervangen door de "Information Commissioner";
    12. In Clausule 16(e) wordt subparagraaf (i) vervangen door:
      "de minister maakt voorschriften krachtens artikel 17A van de Data Protection Act 2018 die betrekking hebben op de doorgifte van persoonsgegevens waarop deze bepalingen van toepassing zijn;";
    13. Clausule 17 wordt vervangen door:
      "Op deze clausules is het recht van Engeland en Wales van toepassing.";
    14. Clausule 18 wordt vervangen door:
      "Geschillen die voortvloeien uit deze bepalingen worden beslecht door de rechtbanken van Engeland en Wales. Een betrokkene kan ook een rechtszaak aanspannen tegen de gegevensexporteur en/of gegevensimporteur bij de rechtbanken van elk land in het Verenigd Koninkrijk. De partijen stemmen ermee in zich te onderwerpen aan de jurisdictie van dergelijke rechtbanken."; en
    15. De voetnoten bij de goedgekeurde SCC's van de EU maken geen deel uit van het addendum, met uitzondering van de voetnoten 8, 9, 10 en 11.

    Wijzigingen van dit addendum

    16. De partijen kunnen overeenkomen om clausules 17 en/of 18 van het Addendum EU SCC's te wijzigen om te verwijzen naar de wetten en/of rechtbanken van Schotland of Noord-Ierland.

    17. Indien de partijen de opmaak van de informatie in deel 1: Tabellen van het goedgekeurde addendum wensen te wijzigen, kunnen zij dit doen door de wijziging schriftelijk overeen te komen, op voorwaarde dat de wijziging de passende waarborgen niet beperkt.

    18. Van tijd tot tijd kan de ICO een herzien Goedgekeurd Addendum uitgeven dat:

    1. redelijke en evenredige wijzigingen aanbrengt in het Goedgekeurd Addendum, met inbegrip van het corrigeren van fouten in het Goedgekeurd Addendum; en/of

    2. wijzigingen in de Britse wetgeving inzake gegevensbescherming weerspiegelt;

    In het herziene Goedgekeurde Addendum zal worden aangegeven vanaf welke datum de wijzigingen in het Goedgekeurde Addendum van kracht zijn en of de Partijen dit Addendum inclusief de Bijlage Informatie moeten herzien. Dit Addendum wordt automatisch gewijzigd zoals uiteengezet in het herziene Goedgekeurde Addendum vanaf de aangegeven begindatum.

    19. Indien de ICO een herzien Goedgekeurd Addendum uitbrengt krachtens artikel 18, indien een Partij geselecteerd in Tabel 4 "Beëindiging van het Addendum wanneer het Goedgekeurd Addendum wijzigt", als direct gevolg van de wijzigingen in het Goedgekeurd Addendum een substantiële, disproportionele en aantoonbare toename heeft in:
    1. zijn directe kosten om zijn verplichtingen onder het Addendum na te komen; en/of
    2. haar risico onder het Addendum,

    en in beide gevallen heeft zij eerst redelijke stappen ondernomen om die kosten of risico's te verminderen zodat het niet substantieel en onevenredig is, dan kan die Partij dit Addendum beëindigen aan het einde van een redelijke opzegtermijn, door schriftelijke kennisgeving voor die periode aan de andere Partij voor de ingangsdatum van het herziene Goedgekeurde Addendum.

    20. De Partijen hebben geen toestemming van derden nodig om wijzigingen aan te brengen in dit Addendum, maar eventuele wijzigingen moeten worden aangebracht in overeenstemming met de voorwaarden ervan.