Termen voor XTRF-gegevensverwerking

    Inhoud

    1. Doel van deze voorwaarden voor gegevensverwerking

    1. Afhankelijk van de omstandigheden handelt XTRF jegens u als beheerder (gegevensbeheerder; zie punt III hieronder) of als zogenaamde verwerker (zie punten IV-VII hieronder).

    2. In principe treedt XTRF op als beheerder wanneer XTRF beslist over het doel van en de middelen voor de verwerking van persoonsgegevens. XTRF treedt op haar beurt op als verwerker wanneer de Persoonsgegevens door de Zakenpartner of Verkoper in de Diensten van XTRF worden ingevoerd. Houd er echter rekening mee dat de rol waarin XTRF optreedt afhankelijk is van de omstandigheden waarin de Persoonsgegevens verwerkt worden.

    3. De Diensten van XTRF zullen zich voortdurend ontwikkelen, wat ook verwijst naar deze Voorwaarden voor gegevensverwerking. Bovendien kan het gebeuren dat de wet of de technologie met betrekking tot de verwerking van persoonsgegevens verandert. Bezoek daarom regelmatig deze Voorwaarden voor gegevensverwerking.

    4. Voor termen die hieronder niet specifiek gedefinieerd zijn, verwijzen wij u naar uw andere Documenten, in het bijzonder uw Algemene Voorwaarden, als u optreedt als Zakenpartner van XTRF of uw Leveranciersvoorwaarden, als u optreedt als Verkoper.

    2. Gedefinieerde termen (Definities)

    1. Persoonsgegevens - informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene") waarop de Voorwaarden voor Gegevensverwerking van toepassing zijn en gespecificeerd in de Instructies (indien van toepassing); een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van de natuurlijke persoon;

    2. Persoonsgegevens van klanten - Persoonsgegevens van uw klanten, werknemers, aannemers of personen van wie de Persoonsgegevens opgenomen zijn in uw materialen die gebruikt worden in het Project.

    3. Systeem - de Dienst waartoe XTRF toegang heeft verleend onder de Overeenkomst. De verwerking van Persoonsgegevens door XTRF vindt plaats wanneer het Systeem aan u beschikbaar wordt gesteld onder de SaaS service, of wanneer u de OnPremise Service afneemt, die vervolgens door XTRF gehost wordt;

    4. Implementatiedienst - de dienst beschreven in het XTRF document getiteld "Voorwaarden Implementatiedienst", waaronder u tijdelijk Persoonsgegevens aan XTRF toevertrouwt voor verwerking;

    5. Geautoriseerde Personen - dit zijn personen die op grond van de Overeenkomst gemachtigd zijn om Opdrachten te geven, in het bijzonder de Zakelijke Contactpersoon, en ook om informatie te verkrijgen die verband houdt met het onderwerp van de Overeenkomst, inclusief Geautoriseerde Gebruikers die zijn aangesteld in overeenstemming met de bepalingen van punt IV.2.4. hieronder van dit document; aan de kant van XTRF zijn dit personen die op grond van de interne procedures van XTRF gemachtigd zijn om Opdrachten te accepteren en Persoonsgegevens te verwerken, en ook om de Geautoriseerde Personen te voorzien van alle informatie met betrekking tot het onderwerp van de Overeenkomst;

    6. Bevoegde Gebruiker - een Gebruiker voor wie een individueel account is aangemaakt; een dergelijk account is beveiligd met een voldoende ingewikkeld wachtwoord, in overeenstemming met de huidige stand van de technische kennis met betrekking tot gegevensbeveiliging;

    7. Opdrachten - een opdracht voor de verwerking van Persoonsgegevens die door de Gemachtigde aan XTRF wordt gegeven, waarmee telkens de Persoonsgegevens in het Systeem worden ingevoerd of waarmee telkens de overdracht van Persoonsgegevens aan een Gemachtigde van XTRF plaatsvindt als onderdeel van de Implementatiedienst;

    8. GDPR - Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming); wanneer in dit document wordt verwezen naar verwerking heeft dit de betekenis zoals gedefinieerd in de GDPR.

    3. XTRF als beheerder van persoonsgegevens

    1. De beheerder (data controller) van de Persoonsgegevens is XTRF Management Systems Spółka Akcyjna (Joint Stock Company), statutair gevestigd in Krakau, Polen op het adres: Puszkarska 7K, 30-644 Kraków, BTW-nummer: 679-304-51-69, ingeschreven in het register van ondernemers bij de Nationale Rechtbank door de Arrondissementsrechtbank voor Krakau-Downtown onder het nummer (KRS): 735467 met een aandelenkapitaal van 105.000,00 PLN volledig betaald, dat kan worden gecontacteerd op office@xtrf.eu.

    2. XTRF verklaart dat het een functionaris voor gegevensbescherming heeft aangesteld en geeft zijn/haar contactgegevens op: iod@xtrf.eu

    3. Om toegang te krijgen tot de XTRF Diensten dient u ten minste e-mail, naam en achternaam, telefoonnummer op te geven. Indien de wet dit vereist, in het bijzonder boekhoudkundige principes of belastingwetgeving, kan XTRF van u verlangen dat u aanvullende gegevens verstrekt.

    4. Om de XTRF Diensten te verbeteren en de prestaties ervan te beoordelen, verwerkt XTRF persoonsgegevens met betrekking tot uw activiteit binnen de Diensten, met andere woorden, informatie over de datasessies van uw apparaat, besturingssystemen, unieke ID, IP-adres, locatie, hoeveel tijd u besteedt aan bepaalde functionaliteit van de XTRF Diensten.

    5. Het verstrekken van sommige gegevens is een voorwaarde voor het gebruik van bepaalde Diensten en accountfunctionaliteit (verplichte gegevens). Ons systeem markeert automatisch verplichte gegevens. Als u dergelijke gegevens niet verstrekt, kunnen wij bepaalde diensten en functionaliteiten niet leveren. In tegenstelling tot gegevens die als verplicht zijn gemarkeerd, is het verstrekken van andere Persoonsgegevens vrijwillig.

    6. Wij verwerken uw Persoonsgegevens als dit noodzakelijk is

      1. om een Overeenkomst met XTRF aan te gaan (artikel 6 lid 1B GDPR);

      2. om uw Overeenkomst met XTRF uit te voeren (artikel 6 lid 1B GDPR);

      3. voor het afhandelen van meldingen die u aan XTRF doet, zodat wij uw klachten, claims en verzoeken kunnen verwerken en uw vragen kunnen beantwoorden (artikel 6 lid 1B en 1F van de GDPR);

      4. om te voldoen aan fiscale en boekhoudkundige verplichtingen van XTRF onder de toepasselijke wetgeving (artikel 6 lid 1C van GDPR);

      5. om vorderingen vast te stellen, te onderzoeken en af te dwingen en om u te verdedigen tegen vorderingen in juridische procedures die een legitiem belang van XTRF vormen (artikel 6 lid 1C en 1F van de GDPR);

      6. om statistieken te maken van het gebruik van bepaalde functionaliteiten van de Diensten en om onze Diensten te verbeteren, wat een legitiem belang van XTRF is (artikel 6 sectie 1A en 1F van GDPR);

      7. om Diensten van XTRF aan u te verkopen (artikel 6 lid 1A en 1F van GDPR).

    7. XTRF gebruikt uw gegevens voor profilering om statistieken te maken van het gebruik van bepaalde functionaliteiten van de Diensten en om onze Diensten te verbeteren. Uw persoonsgegevens met betrekking tot voorkeuren, gedrag en selectie van content kunnen worden gebruikt als basis voor het nemen van automatische beslissingen om de verkoopmogelijkheden van XTRF te bepalen.

    8. Wij geven uw persoonsgegevens door aan de volgende categorieën ontvangers:

      1. overheidsinstanties, bijv. Openbaar Ministerie, Politie, Voorzitter van het Bureau Bescherming Persoonsgegevens, Voorzitter van het Bureau Mededinging en Consumentenbescherming, indien zij hierom verzoeken,

      2. dienstverleners die beschikbaar zijn via de volgende link: https://legal.xtrf.io/XTRF_DataProcessingTerms_SubProcessors.pdf

    9. Persoonsgegevens worden verwerkt voor de periode die nodig is om Diensten uit te voeren, marketingactiviteiten uit te voeren en andere Diensten aan de Gebruiker te leveren. Persoonsgegevens worden in de volgende gevallen verwijderd

      1. wanneer de betrokkene vraagt om verwijdering of zijn/haar toestemming intrekt;

      2. wanneer de betrokkene meer dan 10 jaar geen actie onderneemt (inactief contact);

      3. na ontvangst van informatie dat de opgeslagen gegevens verouderd of onjuist zijn.

    10. Sommige gegevens, waaronder e-mailadres, naam en achternaam, kunnen de komende 6 jaar worden opgeslagen voor bewijsdoeleinden, voor de behandeling van klachten en claims met betrekking tot door XTRF geleverde Diensten - in dat geval worden deze gegevens niet gebruikt voor marketingdoeleinden.

    11. Gegevens met betrekking tot bestellingen voor betaalde Diensten worden 5 jaar bewaard vanaf het einde van het kalenderjaar waarin de fiscale betalingstermijn is verstreken.

    12. XTRF garandeert uw rechten onder GDPR, dat wil zeggen:

      1. het recht op toegang tot informatie en informatieplicht;

      2. het recht op toegang tot uw gegevens en om kopieën ervan te verkrijgen;

      3. het recht om uw gegevens te corrigeren

      4. het recht om uw gegevens te verwijderen, recht om vergeten te worden;

      5. het recht om de verwerking van Persoonsgegevens te beperken (restrictie);

      6. het recht om verzet aan te tekenen tegen de verwerking van Persoonsgegevens;

      7. het recht om de gegevens over te dragen

      8. het recht om een klacht in te dienen bij de toezichthoudende autoriteit.

    13. Als u van mening bent dat er geen gronden zijn voor onze verwerking van uw gegevens, kunt u verzoeken om deze te verwijderen, de verwerking ervan te beperken tot uitsluitend de opslag ervan of de uitvoering van activiteiten die uitdrukkelijk met u zijn overeengekomen. Als u van mening bent dat wij over onjuiste gegevens beschikken, hebt u het recht om correctie daarvan te verzoeken.

    14. U kunt uw toestemming voor de verwerking van uw persoonsgegevens te allen tijde intrekken. Intrekking van de toestemming voor de verwerking van persoonsgegevens heeft geen invloed op de rechtmatigheid van de verwerking op basis van uw toestemming voordat deze werd ingetrokken.

    15. U hebt het recht om uw persoonsgegevens te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat en om ze door te sturen naar een andere beheerder van persoonsgegevens. U kunt ons ook verzoeken om uw persoonsgegevens rechtstreeks aan een andere verwerkingsverantwoordelijke door te geven (indien technisch mogelijk).

    16. Om al uw rechten uit te oefenen, kunt u contact met ons opnemen via: iod@xtrf.eu per e-mail of per traditionele post op de hierboven vermelde zetel van XTRF.

    17. Als u van mening bent dat de verwerking van uw gegevens in strijd is met de GDPR, hebt u het recht om een klacht in te dienen bij de toezichthoudende autoriteit, met name in de lidstaat van uw gewone verblijfplaats, uw werkplek of de plaats van de vermeende inbreuk. In Polen is de voorzitter van de Autoriteit Bescherming Persoonsgegevens de toezichthoudende autoriteit in de zin van de GDPR. Klachten bij de voorzitter van de Autoriteit Persoonsgegevens kunnen worden ingediend op het volgende adres: Stawki 2 Street, 00-193 Warsaw, POLEN.

    4. Overeenkomst voor het toevertrouwen en verwerken van persoonlijke gegevens

    1. De onderstaande punten van IV tot VII van deze Voorwaarden voor gegevensverwerking hebben betrekking op het toevertrouwen aan XTRF van de Verwerking van de Persoonsgegevens van de Klant in overeenstemming met de Instructies.

    2. Door de Overeenkomst en de Voorwaarden voor gegevensverwerking met XTRF uit te voeren, verklaart u dat u XTRF opdraagt de toevertrouwde Persoonsgegevens te verwerken met het oog op en voor zover XTRF dit nodig heeft om haar verplichtingen onder de Overeenkomst na te komen. U:

      1. vertrouwt hierbij de volgende Persoonsgegevens van de Klant toe aan XTRF: gewone gegevens.

      2. vertrouwt XTRF geen gevoelige gegevens toe, dat wil zeggen gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige overtuiging of levensbeschouwing, het lidmaatschap van een vakbond blijkt, het verwerken van genetische gegevens, biometrische gegevens, met als doel eenduidige identificatie van een natuurlijk persoon of gegevens betreffende de gezondheid, seksualiteit of seksuele geaardheid van een dergelijk persoon, tenzij XTRF volgens de toepasselijke wetgeving gemachtigd is om dergelijke gegevens te verwerken;
      3. Geautoriseerde Personen aan te stellen om de Overeenkomst uit te voeren. Onder de Bevoegde Personen zijn er Bevoegde Gebruikers;
      4. kan Geautoriseerde Gebruikers ontslaan door hun accounts in het Systeem te deactiveren.
    3. XTRF:
      1. verplicht zich hierbij tot het verrichten van handelingen die verband houden met de verwerking van Persoonsgegevens van Klanten, teneinde en voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst;
      2. stelt haar eigen Bevoegde Personen aan om de Voorwaarden voor Gegevensverwerking en de Overeenkomst uit te voeren en zal een lijst van dergelijke Bevoegde Personen opstellen, zoals beschreven in punt V hieronder;
      3. verwerkt de toevertrouwde Persoonsgegevens uitsluitend voor zover vereist en om de bepalingen van de Overeenkomst op basis van Instructies uit te voeren; de methode voor het verwerken van Persoonsgegevens die aan XTRF zijn toevertrouwd, omvat: opslag, lezen, toegang, bewerken, archiveren en wissen;
      4. verwerkt Persoonsgegevens op continue wijze - zoals vereist door de specifieke aard van XTRF OnCloud of OnPremise Diensten, of voor de duur van de uitvoering van de Implementatiedienst;
      5. verricht de verwerkingshandelingen met betrekking tot het geheel van de toevertrouwde Persoonsgegevens.
    4. Op het moment van het sluiten van de Overeenkomst maakt XTRF gebruik van diensten van andere verwerkende entiteiten (subverwerkers), op basis van een overeenkomst die hen verplicht zich te houden aan de maatregelen en plichten op het gebied van de bescherming van persoonsgegevens die aan XTRF toekomen en die hierin worden beschreven. De belangrijkste subverwerkers staan vermeld in Bijlage nr. 1 bij de Voorwaarden voor gegevensverwerking. XTRF zal op uw verzoek een volledige lijst van subverwerkers of categorieën subverwerkers presenteren.
    5. Op het moment dat u de Overeenkomst aangaat, geeft u algemene toestemming voor het gebruik van diensten van andere verwerkingsbedrijven door XTRF, voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst, en stemt u in het bijzonder in met de opslag van persoonsgegevens van klanten op servers van derden die vermeld staan in Bijlage nr. 1 bij de Voorwaarden voor gegevensverwerking, onder voorbehoud zoals beschreven in punt 6-8 hieronder.
    6. U beperkt de openbaarmaking van Persoonsgegevens van de Klant tot alleen die gegevens die zijn beschreven in de toepasselijke Implementatiedienst, Overeenkomst, Voorwaarden voor Gegevensverwerking.
    7. In overeenstemming met artikel 28 lid 2 van de GDPR zal XTRF u op de hoogte stellen van verwachte wijzigingen met betrekking tot het toevoegen of vervangen van andere verwerkingsentiteiten, zodat u binnen 5 (vijf) dagen na ontvangst van de kennisgeving schriftelijk bezwaar kunt maken tegen dergelijke wijzigingen.
    8. Indien u verzet aantekent zoals hierboven beschreven in punt 7, hebt u het recht om deze Voorwaarden voor gegevensverwerking en de Overeenkomst zonder kosten te beëindigen en hebt u recht op terugbetaling van alle bedragen met betrekking tot de periode na beëindiging.
    9. Indien de verwerkende entiteit van wiens diensten XTRF gebruik maakt, haar verplichtingen met betrekking tot gegevensbescherming niet nakomt, ligt de verantwoordelijkheid voor dergelijke acties bij XTRF in overeenstemming met artikel 28 lid 4 van de GDPR.
    10. XTRF is uitsluitend gerechtigd tot openbaarmaking van toevertrouwde Persoonsgegevens binnen de subverwerking die wordt uitgevoerd in overeenstemming met het bovenstaande punt 4 en in omstandigheden zoals hieronder beschreven.
    11. XTRF is gerechtigd om de toevertrouwde persoonsgegevens bekend te maken aan de toezichthoudende autoriteit en in het geval van het verkrijgen van een passend verzoek of besluit van een bevoegde overheidsinstantie, afgegeven op basis van de toepasselijke wetsbepaling, die deze autoriteit toestaat om openbaarmaking van de aan XTRF toevertrouwde gegevens te bevelen, onder voorbehoud van de mogelijkheid om een bewijsdocument van een dergelijk verzoek of besluit te overleggen.
    12. XTRF is verplicht u onmiddellijk op de hoogte te stellen van elk wettelijk gebaseerd verzoek tot openbaarmaking van persoonsgegevens door een bevoegde overheidsinstantie, tenzij de Europese wet of de toepasselijke wetgeving van een lidstaat of een andere staat XTRF niet verbiedt een dergelijke kennisgeving te doen vanwege een zwaarwegend algemeen belang.
    13. In andere omstandigheden is XTRF uitsluitend gerechtigd om toevertrouwde Persoonsgegevens te openbaren op basis van een Opdracht.
    14. Niettegenstaande punt 15 hieronder, verwerkt XTRF de toevertrouwde persoonsgegevens uitsluitend op het grondgebied van de Europese Economische Ruimte, die bestaat uit alle lidstaten van de Europese Unie, IJsland, Liechtenstein en Noorwegen.
    15. XTRF zal de toevertrouwde persoonsgegevens alleen op basis van een schriftelijke instructie verwerken of overdragen aan een derde staat of internationale organisatie. Dit is niet van toepassing indien de plicht om gegevens over te dragen voortvloeit uit de wetgeving van de Europese Unie of andere toepasselijke wetgeving waaraan XTRF onderworpen is. In een dergelijk geval zal XTRF u voorafgaand aan de verwerking op de hoogte stellen van een wettelijk gebaseerd verzoek tot openbaarmaking van Persoonsgegevens door een bevoegde overheidsinstantie, tenzij de Europese wetgeving of de toepasselijke wetgeving van een lidstaat of andere staat XTRF niet verbiedt een dergelijke kennisgeving te doen vanwege een zwaarwegend algemeen belang.

    5. Verklaringen en verplichtingen van de partijen

    1. U verklaart hierbij dat u een gegevensbeheerder bent in de zin van artikel 4 sectie 7 van de GDPR met betrekking tot gegevens die aan XTRF zijn toevertrouwd.

    2. XTRF verklaart hierbij dat zij namens u een verwerker van persoonsgegevens van klanten is in de zin van artikel 4, lid 8 van de GDPR. XTRF is verplicht de aan u toevertrouwde persoonsgegevens te verwerken in overeenstemming met de Voorwaarden voor gegevensverwerking, GDPR en andere toepasselijke wetgeving.

    3. XTRF is verantwoordelijk voor de verwerking van de aan haar toevertrouwde Persoonsgegevens in strijd met de Voorwaarden voor gegevensverwerking, GDPR of andere toepasselijke wetgeving, in het bijzonder voor de onbedoelde of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde bekendmaking of het toestaan van ongeoorloofde toegang tot Persoonsgegevens die zijn verzonden, opgeslagen of op andere wijze verwerkt in het kader van de uitvoering van de Overeenkomst.

    4. XTRF verklaart verder dat:

      1. beschikt over voldoende technische en organisatorische middelen, die het mogelijk maken om Persoonsgegevens te verwerken op een manier die de rechten beschermt van de personen op wie de Persoonsgegevens betrekking hebben en die het mogelijk maken om te voldoen aan de vereisten van de toepasselijke wetgeving, in het bijzonder artikel 32 van de GDPR;

      2. uitsluitend procedures, diensten en IT-diensten gebruikt die voldoen aan de GDPR-vereisten;

      3. de toevertrouwde Persoonsgegevens verwerkt in ruimten en IT-systemen die beveiligd zijn tegen toegang door onbevoegde derden;

      4. een documentatie bijhoudt die de methode van Verwerking van Persoonsgegevens beschrijft, zoals vereist volgens de wettelijke bepalingen;

      5. houdt XTRF een register bij van alle categorieën verwerkingen van Persoonsgegevens die namens u zijn uitgevoerd, in overeenstemming met artikel 30 lid 2 en 3 van de GDPR, indien de uitsluiting van artikel 30 lid 5 van de GDPR niet van toepassing is; XTRF zal het register presenteren op verzoek van de toezichthoudende autoriteit.

    5. Hierbij verklaart u dat de Persoonsgegevens van de Klant die in het Systeem zijn ingevoerd of aan XTRF zijn verstrekt in het kader van de Implementatiedienst, zijn verzameld en worden verwerkt op een wijze die in overeenstemming is met de toepasselijke wetgeving, en in het bijzonder dat u de vereiste toestemmingen hebt verkregen, in de vereiste juridische vorm, of dat er een andere juridische grondslag bestaat voor de verwerking van de Persoonsgegevens van de Klant door u.

    6. In het bijzonder verklaart u dat u begrijpt dat u verantwoordelijk blijft voor de rechtmatigheid van de verwerking van Persoonsgegevens volgens de Instructies en bij de uitvoering van de Overeenkomst, en dat XTRF deze verantwoordelijkheid alleen draagt voor zover dit noodzakelijk is om de beveiliging van dergelijke Persoonsgegevens in het Systeem te garanderen en wanneer deze worden toevertrouwd ten behoeve van de Implementatiedienst.

    7. De uitvoering van deze Voorwaarden voor gegevensverwerking brengt geen betalingen van uw kant met zich mee en elke financiële verrekening vindt plaats uit hoofde van de Overeenkomst.

    8. XTRF verplicht zich hierbij dat:

      1. XTRF een register bijhoudt van Bevoegde Personen (van de kant van XTRF), in overeenstemming met de toepasselijke wetgeving;

      2. XTRF vertrouwelijk omgaat met de Persoonsgegevens van Klanten en in het bijzonder met informatie die handelsgeheimen vormen, waartoe XTRF toegang kan krijgen in verband met de uitvoering van de bepalingen van de Voorwaarden voor gegevensverwerking of de Overeenkomst, ook na afloop of beëindiging van de Primaire Overeenkomst;

      3. bij het uitvoeren van de bepalingen van de Voorwaarden voor gegevensverwerking de zorgvuldigheid in acht te nemen die vereist is in verband met de professionele aard van de handelingen en activiteiten die daarbij worden uitgevoerd;

      4. XTRF dient u onverwijld, uiterlijk binnen 48 uur, op de hoogte te stellen van elk geval van inbreuk op de beveiliging van Persoonsgegevens van Klanten die XTRF in verband met of tijdens de uitvoering van de Overeenkomst ter beschikking stelt; waaronder, in het bijzonder, in het geval van een schending van de beginselen voor de bescherming van Persoonsgegevens;

      5. Geautoriseerde Personen van XTRF, die geautoriseerd zijn om te beschikken over Persoonsgegevens van Klanten die in verband met de uitvoering van de Overeenkomst worden verstrekt, zijn onderworpen aan geheimhoudingsverplichtingen en/of aan een toepasselijke wettelijke geheimhoudingsplicht;

      6. XTRF stelt u onverwijld op de hoogte van elk geval van schending van de verplichtingen die voortvloeien uit de Voorwaarden voor gegevensverwerking, echter uiterlijk binnen 2 (twee) werkdagen nadat is vastgesteld dat een schending heeft plaatsgevonden;

      7. in overeenstemming met artikel 28 sectie 3E van GDPR, in de mate van het mogelijke en rekening houdend met de aard van de verwerking van de toevertrouwde Persoonsgegevens, het ter beschikking stellen van passende technische en organisatorische middelen die u zullen helpen om te voldoen aan de verplichting om te antwoorden op verzoeken van personen op wie de Persoonsgegevens betrekking hebben, binnen de mate van uitvoering van de rechten van dergelijke personen zoals beschreven in artikelen 12 - 22 van GDPR;

      8. in overeenstemming met artikel 28 sectie 3F van GDPR, met inachtneming van de aard van de verwerking en de beschikbare informatie, om u te helpen bij het nakomen van de verplichtingen beschreven in artikelen 32 - 36 van GDPR;

      9. u te informeren over elke omstandigheid die gevolgen heeft of kan hebben voor de veiligheid van de toevertrouwde Persoonsgegevens of de beoordeling daarvan of voor de uitoefening van rechten door personen op wie de Persoonsgegevens betrekking hebben, in het bijzonder over:

        1. onbevoegde toegang tot Persoonsgegevens die aan XTRF zijn toevertrouwd;

        2. elke inbreuk op de principes voor de bescherming van de Persoonsgegevens die aan XTRF zijn toevertrouwd;
        3. elk verzoek van de personen die namens u gegevens verwerken;
        4. het opstarten van controlerende of administratieve procedures, het uitvaardigen van administratieve besluiten of het onderzoeken van klachten door overheidsinstanties, in het bijzonder toezichthoudende autoriteiten, met betrekking tot de toevertrouwde persoonsgegevens. Bovenstaande kennisgeving dient schriftelijk of per e-mail te worden gedaan en binnen 24 uur nadat XTRF kennis heeft genomen van de feiten die aanleiding geven tot het doen van de kennisgeving.
      10. u op de hoogte te stellen indien naar de mening van XTRF een instructie in strijd is met de GDPR of andere toepasselijke wetgeving;
      11. in overeenstemming met artikel 28 lid 3H van de GDPR u te voorzien van informatie die nodig is om aan te tonen dat u aan de hierin beschreven verplichtingen voldoet, in het bijzonder met betrekking tot de wijze waarop Persoonsgegevens worden beveiligd en verwerkt;
      12. in overeenstemming met artikel 28 sectie 3H van de GDPR u of uw geautoriseerde auditors in staat te stellen audits uit te voeren van de uitvoering van de toewijzing van Persoonsgegevens, inclusief inspecties, in het bijzonder door geautoriseerde auditors toegang te verlenen tot ruimten waarin de verwerking van Persoonsgegevens plaatsvindt en door de gegevensdragers en IT-systemen beschikbaar te stellen die worden gebruikt voor de verwerking van de toevertrouwde Persoonsgegevens; U bent verplicht XTRF 7 (zeven) kalenderdagen voor aanvang van de audit op de hoogte te stellen van de geplande audit; na afloop van de audit stellen u en XTRF een protocol op in twee exemplaren, dat door beide partijen ondertekend wordt; elke partij kan binnen 7 (zeven) kalenderdagen na ondertekening wijzigingen in het protocol aanbrengen; het protocol is een basis voor de beoordeling van de naleving van de verwerking van de toevertrouwde Persoonsgegevens tegen de achtergrond van deze Voorwaarden voor gegevensverwerking en de toepasselijke wetgeving;
    9. De verplichtingen uit de punten 8.11. en 8.12. zijn van kracht gedurende de looptijd van deze Voorwaarden voor gegevensverwerking en binnen 7 (zeven) kalenderdagen na beëindiging daarvan. Als de handelingen die XTRF in verband met het bovenstaande uitvoert een aanzienlijke hoeveelheid werk van XTRF vergen, heeft XTRF recht op een passende vergoeding volgens de markttarieven die voor dit soort diensten gelden, behalve als deze kosten ontstaan doordat XTRF deze Voorwaarden voor gegevensverwerking niet naleeft.
    10. U verplicht zich hierbij om:
      1. alle door u in het systeem ingevoerde persoonsgegevens terug te halen of XTRF opdracht te geven alle toevertrouwde persoonsgegevens uit het systeem te verwijderen - samen met beëindiging van de overeenkomst en deze Voorwaarden voor gegevensverwerking. Als er binnen 30 dagen geen actie wordt ondernomen, is XTRF gerechtigd de Persoonsgegevens te verwijderen zonder u daarvan op de hoogte te stellen. Als u ervoor kiest om eerder aan XTRF toevertrouwde persoonsgegevens terug te halen, zal XTRF ook alle reservekopieën van de persoonsgegevens verwijderen. Het bovenstaande is niet van toepassing indien de Europese wet of andere toepasselijke wetgeving voorziet in andere gevolgen van beëindiging met betrekking tot Persoonsgegevens. De verplichtingen van XTRF in verband met de beëindiging van de Voorwaarden voor gegevensverwerking zijn van overeenkomstige toepassing op andere verwerkingsentiteiten aan wie XTRF Persoonsgegevens voor subverwerking heeft toevertrouwd.
      2. XTRF te ontslaan van alle verplichtingen tot kennisgeving en het verkrijgen van toestemming die bestaan met betrekking tot personen van wie Persoonsgegevens worden verwerkt onder Opdrachten, en voorts deze verplichtingen zelf uit te voeren en daarvoor aansprakelijk te zijn onder toepasselijk recht, op straffe van enige aansprakelijkheid waarin wordt voorzien door relevante wettelijke regelgeving, alsmede op straffe van aansprakelijkheid voor schade jegens XTRF;
      3. zelfstandig Geautoriseerde Personen aan te stellen en te ontslaan, en ook de accounts van de genoemde Geautoriseerde Personen en/of Geautoriseerde Gebruikers zodanig te beheren dat onbevoegden geen toegang hebben tot de Persoonsgegevens van Klanten, noch enige mogelijkheid hebben om Opdrachten aan XTRF te verstrekken.
    11. Wijziging van de Geautoriseerde Personen vormt geen wijziging van deze Verwerkingsvoorwaarden en vereist geen bijlage. Wijziging van de lijst van subverwerkers waarnaar hierboven wordt verwezen, hoeft alleen per e-mail aan u te worden meegedeeld. U hebt het recht om binnen 7 werkdagen na de datum van kennisgeving bezwaar te maken.

    6. Duur van de overeenkomst voor het toevertrouwen en verwerken van persoonsgegevens

    1. Deze Voorwaarden voor gegevensverwerking blijven gedurende de looptijd van de Overeenkomst van kracht. XTRF verwerkt de persoonsgegevens van de Klant uitsluitend gedurende de looptijd van de Overeenkomst.

    2. Beëindiging van de Overeenkomst heeft tot gevolg dat XTRF niet langer gebonden is aan de Voorwaarden voor gegevensverwerking.

    3. Beëindiging van de Voorwaarden voor gegevensverwerking maakt verdere uitvoering van de Primaire Overeenkomst door XTRF onmogelijk.

    4. Elke partij heeft het recht om de Voorwaarden voor gegevensverwerking zonder opgaaf van redenen te beëindigen met inachtneming van een opzegtermijn van één maand.

    5. XTRF heeft het recht om de Voorwaarden voor gegevensverwerking zonder kennisgeving te beëindigen in geval van:

      1. schending van de bepalingen door u;

      2. het onvermogen van XTRF om de Voorwaarden voor gegevensverwerking verder uit te voeren, in het bijzonder om technische en organisatorische middelen te verschaffen die voldoende bescherming van de toevertrouwde persoonsgegevens mogelijk maken.