Gegevensverwerkingsovereenkomst
Tussen
De Gegevensbeheerder:
Gebruiker van Players 1st-software zoals gespecificeerd in de hoofdovereenkomst tussen de Gegevensbeheerder en de Gegevensverwerker.
en
De Gegevensverwerker
Players 1st
CVR 34694222
Stadion Allé 70
8000 Aarhus C
Denemarken
1 Inhoud
2 Basis van de gegevensverwerkingsovereenkomst
3 De rechten en plichten van de gegevensbeheerder
4 De gegevensverwerker dient te handelen in overeenstemming met ontvangen instructies
5 Vertrouwelijkheid
6 Verwerkingsbeveiliging
7 Gebruik van gegevensverwerkers in onderaanneming
8 Overdracht van informatie aan derde landen of internationale organisaties
9 Assistentie aan de gegevensbeheerder
10 Kennisgeving van inbreuken op de beveiliging van persoonsgegevens
11 Verwijdering en teruggave van gegevens
12 Toezicht en controle
13 Overeenkomsten van de partijen met betrekking tot andere aangelegenheden
14 Aanvang en beëindiging
15 Contactpersonen/contactmomenten met de gegevensverwerker
Bijlage A Informatie over verwerking
Bijlage B Voorwaarden met betrekking tot het gebruik door de gegevensverwerker van gegevensverwerkers in onderaanneming en een lijst van geautoriseerde gegevensverwerkers in onderaanneming
B.1 Voorwaarden met betrekking tot het gebruik door de gegevensverwerker van
alle, in onderaanneming opererende gegevensverwerkers
B.2 Geautoriseerde gegevensverwerkers in onderaanneming
Bijlage C Instructies voor de verwerking van persoonsgegevens
C.1 De betrokkene/instructies voor verwerking
C.2 Verwerkingsbeveiliging
C.3 Bewaartermijn/procedures voor verwijdering
C.4 Verwerkingslocatie
C.5 Instructies of toestemming betreffende de overdracht van persoonsgegevens
aan derde landen
C.6 Procedures voor het toezicht door de gegevensbeheerder op de verwerking die
plaatsvindt in de gebouwen van de gegevensverwerker
C.7 Procedures voor het toezicht op de verwerking die plaatsvindt in de gebouwen
van gegevensverwerkers in onderaanneming
Bijlage D De governance van de partijen over andere zaken
D.1 Hoofdovereenkomst
D.2 Verzoeken om aanvullende veiligheidsmaatregelen te nemen
2 Basis van de gegevensverwerkingsovereenkomst
Deze overeenkomst beschrijft de rechten en plichten die van toepassing zijn wanneer de gegevensverwerker persoonsgegevens verwerkt namens de gegevensbeheerder.
De overeenkomst is opgesteld om te verzekeren dat de partijen voldoen aan artikel 28, lid 3 van de EU-verordening 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen aangaande de verwerking van persoonsgegevens en de vrije uitwisseling van die gegevens, en tot intrekking van Richtlijn 95/46/EU (Algemene verordening gegevensbescherming), welke specifieke eisen stelt aan de inhoud van een gegevensverwerkingsovereenkomst.
De verwerking door de gegevensverwerker van persoonsgegevens vindt plaats om te voldoen aan de 'hoofdovereenkomst' van de partijen, welke de overeenkomst is die de gegevensbeheerder heeft gesloten met de gegevensverwerker of een andere centrale sportorganisatie die de gegevensbeheerder vertegenwoordigt.
De gegevensverwerkingsovereenkomst en de 'hoofdovereenkomst' zijn onderling afhankelijk en kunnen niet afzonderlijk worden beëindigd. Niettemin kan de gegevensverwerkingsovereenkomst zonder beëindiging van de 'hoofdovereenkomst' worden vervangen door een andere geldige gegevensverwerkingsovereenkomst.
Deze gegevensverwerkingsovereenkomst heeft voorrang op gelijkaardige bepalingen in andere overeenkomsten tussen de partijen, inclusief de 'hoofdovereenkomst'.
Er zijn vier bijlagen bij deze overeenkomst. De bijlagen fungeren als integraal onderdeel van de gegevensverwerkingsovereenkomst.
De inhoud van de gegevensverwerkingsovereenkomst Bijlage A bevat nadere informatie over de verwerking, inclusief het doel en de aard van de verwerking, het type persoonsgegevens, de categorie betrokkenen en de duur van de verwerking.
De gegevensverwerkingsovereenkomst Bijlage B bevat de door de gegevensbeheerder gestelde voorwaarden aan de gegevensverwerker die gebruikmaakt van enige gegevensverwerkers in onderaanneming, evenals een overzicht van alle gegevensverwerkers in onderaanneming die door de gegevensbeheerder zijn goedgekeurd.
De gegevensverwerkingsovereenkomst Bijlage C bevat overige instructies aangaande de verwerking die de gegevensverwerker namens de voor de verwerking verantwoordelijke gegevensbeheerder (het verwerkingsdoel) zal uitvoeren, de minimale veiligheidsmaatregelen die in acht genomen dienen te worden, alsmede hoe het toezicht op de gegevensverwerker en alle gegevensverwerkers in onderaanneming wordt uitgevoerd.
De gegevensverwerkingsovereenkomst Bijlage D omvat de governance (de handeling of de wijze van besturen, de gedragscode en het toezicht op organisaties) door de partijen van omstandigheden die niet zijn vastgelegd in de gegevensverwerkingsovereenkomst of de 'hoofdovereenkomst' van de partijen.
De gegevensverwerkingsovereenkomst en bijbehorende bijlagen worden gearchiveerd door beide partijen, waaronder op elektronische wijze.
Deze gegevensverwerkingsovereenkomst ontheft de gegevensverwerker niet van verplichtingen die rechtstreeks voortvloeien uit de Algemene verordening gegevensbescherming (AVG) of uit andere wetgeving.
3 De rechten en plichten van de gegevensbeheerder
De gegevensbeheerder is in het algemeen verantwoordelijk om te waarborgen dat de verwerking van persoonsgegevens plaatsvindt binnen de beperkingen van de AVG en de Deense Wet bescherming persoonsgegevens.
De gegevensbeheerder heeft derhalve zowel het recht als de plicht om beslissingen te nemen over de doeleinden waarvoor de verwerking moet worden uitgevoerd en welke instrumenten moeten worden gebruikt.
De gegevensbeheerder is onder meer verantwoordelijk voor het waarborgen van een wettelijke basis voor de verwerking die de gegevensverwerker moet uitvoeren.
4 De gegevensverwerker dient te handelen in overeenstemming met ontvangen instructies
De gegevensverwerker verwerkt alleen persoonsgegevens in overeenstemming met gedocumenteerde instructies van de gegevensbeheerder, tenzij anders vereist in overeenstemming met EU-wetgeving of nationale wetgeving in de lidstaten waarin de gegevensverwerker is gevestigd; in dat geval stelt de gegevensverwerker de gegevensbeheerder voorafgaand aan de verwerking in kennis van dergelijke wettelijke vereisten, tenzij de wetgeving in kwestie een dergelijke kennisgeving om zwaarwegende redenen in de weg staat, cf. artikel 28, derde lid, onderdeel a.
De gegevensverwerker stelt de gegevensbeheerder onmiddellijk op de hoogte als hij van mening is dat een instructie in strijd is met de Algemene verordening gegevensbescherming of bepalingen inzake gegevensbescherming in andere EU-wetgeving of nationale wetgeving in EU-lidstaten.
5 Vertrouwelijkheid
De gegevensverwerker zorgt ervoor dat alleen de daartoe gemachtigde personen toegang hebben tot de persoonsgegevens die worden verwerkt namens de gegevensbeheerder. Toegang tot informatie wordt daarom onmiddellijk geweigerd in geval de vergunning wordt ingetrokken of vervalt.
Alleen personen die toegang moeten hebben tot persoonsgegevens om de verplichtingen van de gegevensverwerker jegens de gegevensbeheerder na te komen, worden gemachtigd.
De gegevensverwerker zorgt ervoor dat de personen die bevoegd zijn om persoonsgegevens namens de gegevensbeheerder te verwerken, hebben ingestemd met vertrouwelijkheid of onderworpen zijn aan de toepasselijke wettelijke vereisten inzake niet-openbaarmaking.
De gegevensverwerker dient op verzoek van de gegevensbeheerder te kunnen aantonen dat de betrokken werknemers onderworpen zijn aan de bovengenoemde vertrouwelijkheid.
6 Verwerkingsbeveiliging
De gegevensverwerker implementeert alle vereiste maatregelen in verband met artikel 32 van de Algemene verordening gegevensbescherming, waarin onder meer wordt bepaald dat, na rekening te hebben gehouden met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en het doel van de verwerking, alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, de gegevensbeheerder en gegevensverwerker passende technische en organisatorische maatregelen nemen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd.
Bovengenoemde verplichtingen houden in dat de gegevensverwerker een risicobeoordeling moet uitvoeren en vervolgens maatregelen moet nemen om de geïdentificeerde risico's te beheren. Dit zou, afhankelijk van de relevantie, de volgende maatregelen kunnen omvatten:
a. Pseudonimisering en versleuteling van persoonsgegevens
b. Het vermogen een duurzame vertrouwelijkheid, integriteit, toegankelijkheid en flexibiliteit van verwerkingssystemen en -diensten te waarborgen
c. Het vermogen de beschikbaarheid en toegang tot persoonsgegevens tijdig te herstellen in het geval van een fysiek of technisch incident
d. Een procedure voor het regelmatig testen, beoordelen en evalueren van de efficiëntie van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen
In verband met het bovenstaande, en in alle omstandigheden, moet de gegevensverwerker ten minste de beveiligingsniveaus en -maatregelen implementeren die in Bijlage C van deze overeenkomst nader worden beschreven.
Elke governance/overeenkomst betreffende de vergoeding van de partijen of vergelijkbaar in verband met verzoeken van de gegevensbeheerder of latere verzoeken van de gegevensverwerker voor het vaststellen van veiligheidsmaatregelen, wordt opgenomen in de 'hoofdovereenkomst' van de partijen of in bijlage D van deze overeenkomst.
7 Gebruik van gegevensverwerkers in onderaanneming
Om een andere gegevensverwerker (gegevensverwerker is onderaannemer) te kunnen gebruiken, moet de gegevensverwerker voldoen aan de voorwaarden bedoeld in artikel 28, tweede en vierde lid van de AVG.
Als zodanig kan de gegevensverwerker geen andere gegevensverwerker (gegevensverwerker in onderaanneming) gebruiken om de gegevensverwerkingsovereenkomst na te komen zonder voorafgaande specifieke of algemene schriftelijke goedkeuring van de gegevensbeheerder.
In geval van algemene schriftelijke goedkeuring stelt de gegevensverwerker de verantwoordelijke gegevensbeheerder in kennis van geplande wijzigingen betreffende de toevoeging of vervanging van andere gegevensverwerkers, waardoor de gegevensbeheerder de gelegenheid wordt geboden bezwaar aan te tekenen tegen dergelijke wijzigingen.
De verdere voorwaarden gesteld door de gegevensbeheerder voor het gebruik door gegevensverwerker van gegevensverwerkers in onderaanneming zijn te vinden in Bijlage B van deze overeenkomst.
De goedkeuring van de gegevensbeheerder voor het gebruik van enige specifieke gegevensverwerkers werkzaam als onderaannemer is te vinden in Bijlage B van deze overeenkomst.
Zodra de gegevensverwerker toestemming heeft gekregen van de gegevensbeheerder voor het gebruik van gegevensverwerker in onderaanneming, zorgt de gegevensverwerker ervoor dat de gegevensverwerker in onderaanneming gebonden is door dezelfde gegevensbeschermingsverplichtingen als die welke in deze gegevensverwerkingsovereenkomst zijn vastgelegd, door het gebruik van een contract of een ander juridisch document in overeenstemming met EU-wetgeving of nationale wetgeving van de lidstaten waarin de nodige garanties worden geboden, om zo te waarborgen dat de onderaannemer van de gegevensverwerker op zodanige wijze passende technische en organisatorische maatregelen zal nemen dat de verwerking voldoet aan de vereisten vastgelegd in de AVG.
Als zodanig is de gegevensverwerker verantwoordelijk, door de uitvoering van een gegevensverwerkingsovereenkomst met de onderaannemer, te waarborgen dat de gegevensverwerker in onderaanneming ten minste wordt onderworpen aan de verplichtingen die de gegevensverwerker zelf op grond van de gegevensbeschermingsvoorschriften zijn opgelegd; evenals deze gegevensverwerkingsovereenkomst en bijbehorende bijlagen.
Een kopie van de gegevensverwerkingsovereenkomst met de onderaannemer en eventuele latere wijzigingen daarvan moeten op verzoek van de gegevensbeheerder worden verstrekt, die daardoor de gelegenheid heeft zich ervan te vergewissen dat een geldige overeenkomst tussen de gegevensverwerker en de gegevensverwerker in onderaanneming is aangegaan. Alle commerciële voorwaarden, bijvoorbeeld prijzen die geen invloed hebben op de wetgevingsinhoud van de gegevensbescherming in de gegevensverwerkingsovereenkomst met de onderaannemer, dienen niet aan de gegevensbeheerder te worden verstrekt.
In zijn overeenkomst met gegevensverwerkers in onderaanneming dient de gegevensverwerker de gegevensbeheerder als een derde begunstigde op te nemen in het geval van een faillissement van de gegevensverwerker, zodat de gegevensbeheerder de rechten van de gegevensverwerker kan overnemen en tegen gegevensverwerker in onderaanneming kan inroepen, bijvoorbeeld zodat de gegevensbeheerder de gegevensverwerker in onderaanneming opdracht kan geven tot het verwijderingen of retourneren van gegevens.
Ingeval de gegevensverwerker in onderaanneming zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, is de gegevensverwerker volledig aansprakelijk jegens de gegevensbeheerder voor de nakoming van de verplichtingen van de gegevensverwerker in onderaanneming.
8 Overdracht van informatie aan derde landen of internationale organisaties
De gegevensverwerker verwerkt alleen persoonsgegevens in overeenstemming met gedocumenteerde instructies van de gegevensbeheerder, inclusief de overdracht (openbaarmaking, overdracht en intern gebruik) van persoonsgegevens aan derde landen of internationale organisaties, tenzij dit vereist is in overeenstemming met EU-wetgeving of nationale wetgeving van lidstaten waaraan de gegevensverwerker is onderworpen; in dat geval stelt de gegevensverwerker de gegevensbeheerder voorafgaand aan de verwerking in kennis van dergelijke wettelijke vereisten, tenzij de wetgeving in kwestie een dergelijke kennisgeving om zwaarwegende redenen in de weg staat, cf. artikel 28, derde lid, onderdeel a.
Zonder instructies of goedkeuring van de gegevensbeheerder kan de gegevensverwerker daarom niet, binnen de beperkingen van de gegevensverwerkingsovereenkomst:
a. persoonsgegevens bekendmaken aan een gegevensbeheerder in een derde land of in een internationale organisatie,
b. de verwerking van persoonsgegevens overbrengen naar een gegevensverwerker in onderaanneming in een derde land,
c. de verwerking van gegevens in een andere vestiging van de gegevensverwerker in een derde land.
Alle instructies of goedkeuringen van de verantwoordelijke gegevensbeheerder voor de overdracht van persoonsgegevens naar een derde land zijn te vinden in Bijlage C van deze overeenkomst.
9 Assistentie aan de gegevensbeheerder
De gegevensverwerker assisteert, afhankelijk van de aard van de verwerking en voor zover mogelijk, de gegevensbeheerder in het toepassen van technische en organisatorische maatregelen om te voldoen aan de verplichting van de gegevensbeheerder te reageren op verzoeken om de rechten van de betrokkene uit te oefenen zoals vastgelegd in Hoofdstuk 3 van de Algemene verordening gegevensbescherming.
Dit betekent dat de gegevensverwerker, voor zover mogelijk, de gegevensbeheerder assisteert in verband met de naleving door gegevensbeheerder van:
a. de informatieplicht in verband met de verzameling van persoonsgegevens van de betrokkene
b. de informatieplicht indien persoonsgegevens niet van de betrokkene zijn verzameld
c. het inzagerecht van betrokkene
d. het recht op rectificatie
e. het recht om vergeten te worden
f. het recht op beperking van de verwerking
g. de informatieplicht in verband met correctie of verwijdering van persoonsgegevens of beperkte verwerking
h. het recht op overdraagbaarheid van gegevens
i. het recht om bezwaar te maken
j. het recht om bezwaar te maken tegen de resultaten van automatische individuele beslissingen, inclusief profilering
De gegevensverwerker assisteert de verantwoordelijke gegevensbeheerder in het waarborgen van de naleving van de verplichtingen van de gegevensverwerker ingevolge de artikelen 32-36 van de AVG met betrekking tot de aard van de verwerking en de gegevens waarover de gegevensverwerker beschikt, cf. artikel 28, lid 3, punt f.
Dit betekent dat de gegevensverwerker, afhankelijk van de aard van de verwerking, de gegevensbeheerder assisteert bij het naleven van:
a. de plicht om passende technische en organisatorische maatregelen te nemen voor waarborging van beveiligingsniveaus die gepast zijn voor de risico's die aan de verwerking zijn verbonden
b. de plicht om inbreuken op persoonsgegevens te melden aan de toezichthoudende autoriteiten (Deense gegevensbeschermingsautoriteit) zonder onnodige vertraging en niet later dan 72 uur nadat de gegevensbeheerder kennis heeft gekregen van de inbreuk, tenzij het onwaarschijnlijk is dat de inbreuk op de beveiliging van persoonsgegevens gepaard gaat met een risico voor de rechten en vrijheden van natuurlijke personen.
c. de plicht om, zonder onnodig uitstel, de betrokkene(n) op de hoogte te stellen van inbreuken op de privacybescherming wanneer een dergelijke inbreuk waarschijnlijk een groot risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt
d. de plicht om een impactanalyse uit te voeren met betrekking tot gegevensbescherming als een verwerkingssoort waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen
e. de plicht om de toezichthoudende autoriteit (Deense gegevensbeschermingsautoriteit) voorafgaand aan de verwerking te raadplegen indien uit een gegevensbescherming-impactanalyse blijkt dat de verwerking tot een hoog risico zou leiden vanwege ontoereikende, door de gegevensbeheerder genomen maatregelen om dit risico te beperken
Enige governance/overeenkomst betreffende de vergoeding van de partijen of iets soortgelijks in verband met de assistentie van de gegevensverwerker aan de gegevensbeheerder zal worden opgenomen in de 'hoofdovereenkomst' van de partijen of in bijlage D van deze overeenkomst.
10 Kennisgeving van inbreuken op de beveiliging van persoonsgegevens
De gegevensverwerker stelt de gegevensbeheerder onverwijld in kennis nadat deze kennis heeft genomen van een inbreuk op de beveiliging van persoonsgegevens door de gegevensverwerker of een in onderaanneming werkende gegevensverwerker.
De kennisgeving van de gegevensverwerker aan de gegevensbeheerder vindt, indien mogelijk, uiterlijk 36 uur plaatst nadat deze kennis heeft gekregen van de inbreuk, om ervoor te zorgen dat de verantwoordelijke gegevensbeheerder de gelegenheid heeft om te voldoen aan zijn verplichting om de inbreuk binnen 72 uur aan de toezichthoudende autoriteiten te melden.
In overeenstemming met sectie 10.2, punt b, van deze overeenkomst, assisteert de gegevensverwerker, afhankelijk van de aard van de verwerking en de beschikbare informatie, de gegevensbeheerder bij het melden van inbreuken aan de toezichthoudende autoriteiten.
Dit zou kunnen betekenen dat de gegevensverwerker moet assisteren bij het verkrijgen van de volgende informatie, die volgens artikel 33, subsectie 3 van de AVG, moet worden opgenomen in het rapport van de verantwoordelijke gegevensbeheerder aan de toezichthoudende autoriteit:
a. De aard van de inbreuk op de beveiliging van persoonsgegevens, inclusief, indien mogelijk, de categorieën en het geschatte aantal getroffen betrokkenen, evenals de categorieën en geschatte hoeveelheid getroffen gegevensbestanden
b. Mogelijke gevolgen van de inbreuk op de beveiliging van persoonsgegevens
c. Maatregelen die zijn genomen of worden voorgesteld om de inbreuk op de beveiliging van persoonsgegevens te beheren, inclusief maatregelen om de potentiële schade te beperken, indien relevant
11 Verwijdering en teruggave van gegevens
Na beëindiging van de aan de verwerking gerelateerde diensten is de gegevensverwerker verplicht om alle persoonsgegevens te verwijderen of te retourneren naar de verantwoordelijke gegevensbeheerder, en alle bestaande exemplaren te verwijderen, tenzij opslag van de persoonsgegevens op grond van EU-wetgeving of nationale wetgeving is vereist.
12 Toezicht en controle
De gegevensverwerker moet alle informatie verstrekken die nodig is om de conformiteit van de gegevensverwerker met artikel 28 van de Algemene verordening gegevensbescherming en deze overeenkomst aan de gegevensbeheerder aan te tonen en moet controles mogelijk maken en daaraan bijdragen, inclusief inspecties uitgevoerd door de gegevensbeheerder of een andere erkende auditeur.
De procedure voor het toezicht van de gegevensbeheerder op de gegevensverwerker is te vinden in Bijlage C van deze overeenkomst.
Het toezicht van de verantwoordelijke gegevensbeheerder op alle gegevensverwerkers in onderaanneming dient in het algemeen plaats te vinden via de gegevensverwerker. De procedure hiervoor is te vinden in Bijlage C van deze overeenkomst.
De gegevensverwerker is verplicht de autoriteiten die, op grond van de toepasselijke wetgeving en op elk willekeurig moment, toegang hebben tot de gegevensbeheerder alsmede de faciliteiten van de gegevensverwerker, of vertegenwoordigers die namens de autoriteiten optreden, toegang te verlenen tot de fysieke faciliteiten van de gegevensverwerker op vertoon van juiste identificatie.
13 Overeenkomsten van de partijen met betrekking tot andere aangelegenheden
Enige (specifieke) governance van de gevolgen van de schending door de partijen van de gegevensverwerkingsovereenkomst is te vinden in de 'hoofdovereenkomst' van de partijen of in Bijlage D van deze overeenkomst.
Enige governance van andere aangelegenheden tussen de partijen is te vinden in de 'hoofdovereenkomst' van de partijen of in Bijlage D van deze overeenkomst.
14 Aanvang en beëindiging
Deze overeenkomst treedt automatisch in werking na gebruik van Players 1st-software door de verantwoordelijke gegevensbeheerder.
Beide partijen behouden zich het recht voor heronderhandeling van de overeenkomst te verzoeken in geval van wetswijzigingen of ongemakken in de overeenkomst die daartoe aanleiding geven.
De gegevensverwerkingsovereenkomst kan worden beëindigd in overeenstemming met de beëindigingsvoorwaarden, inclusief opzegtermijn, zoals gespecificeerd in de 'hoofdovereenkomst'.
De overeenkomst is van toepassing zolang de verwerking plaatsvindt. Ongeacht de beëindiging van de 'hoofdovereenkomst' en/of de gegevensverwerkingsovereenkomst, blijft de gegevensverwerkingsovereenkomst van kracht tot het einde van de verwerking en de verwijdering van de gegevens door de gegevensverwerker en eventuele in onderaanneming opererende gegevensverwerkers.
15 Contactpersonen/contactmomenten met de gegevensverwerker
Alle contacten met de gegevensverwerker aangaande gegevensverwerking vinden plaats via: privacy@players1stgroup.com
Bijlage A Informatie over verwerking
Het doel van de verwerking van persoonsgegevens door de gegevensverwerker namens de gegevensbeheerder is:
De gegevensbeheerder wenst de voortdurende meting van de ervaringen van clubleden of -gasten te implementeren. Hiertoe worden gegevens met betrekking tot leden en/of gasten overgedragen, zodat de gegevensverwerker elektronische vragenlijsten kan uitgeven over de ervaring bij de club van de gast of het lid. De antwoorden worden gerapporteerd en in geaggregeerde vorm aan de gegevensbeheerder beschikbaar gesteld via een elektronisch dashboard dat door de gegevensverwerker wordt beheerd.
De gegevensbeheerder zal ook individuele open reacties op de antwoorden ontvangen. Dit zal uitsluitend plaatsvinden in gevallen waarin de respondent actief heeft ingestemd met de gegevensbeheerder dat deze de opmerking bekijkt, en indien de respondent zijn contactgegevens heeft verstrekt, zodat de gegevensbeheerder de gelegenheid heeft contact op te nemen met de respondent, zoals overeengekomen met de uitdrukkelijke toestemming van de respondent.
De verwerking door de gegevensverwerker van persoonsgegevens namens de gegevensbeheerder heeft voornamelijk betrekking op (aard van de verwerking):
de verzending van e-mails met een link naar een elektronische vragenlijst.
Illustreren van enquêteresultaten in een webdashboard en rapporten. Resultaten worden gereproduceerd in geaggregeerd en/of anoniem formaat
Verwerking omvat de volgende soorten persoonsgegevens met betrekking tot betrokkenen:
Naam, lidmaatschapstype, geslacht, leeftijd, e-mailadres en informatie over het tijdstip en de plaats van het bezoek aan de club in het geval dit bezoek verband houdt met een activiteit van de respondent die gekoppeld is aan de specifieke activiteit in de club. Er worden alleen persoonsgegevens verwerkt.
Verwerking omvat de volgende categorieën betrokkenen:
Personen die lid zijn van de club of die hebben deelgenomen aan een activiteit georganiseerd door de club of in samenwerking met de club.
De verwerking door de gegevensverwerker van persoonsgegevens namens de verantwoordelijke gegevensbeheerder kan worden gestart bij aanvang van deze overeenkomst. De duur van de verwerking is als volgt:
De verwerking kent geen tijdslimiet en blijft van kracht totdat alle licentieperioden door beide partijen zijn beëindigd.
Bijlage B Voorwaarden met betrekking tot het gebruik door de gegevensverwerker van gegevensverwerkers in onderaanneming en een lijst van geautoriseerde gegevensverwerkers in onderaanneming
B.1 Voorwaarden met betrekking tot het gebruik door de gegevensverwerker van alle, in onderaanneming opererende gegevensverwerkers
De gegevensverwerker beschikt over de algemene goedkeuring van de gegevensbeheerder om in onderaanneming opererende gegevensverwerkers te gebruiken. Niettemin moet de gegevensverwerker de gegevensbeheerder in kennis stellen van geplande wijzigingen met betrekking tot de toevoeging of vervanging van andere gegevensverwerkers, waardoor de gegevensbeheerder de mogelijkheid wordt geboden bezwaar aan te tekenen tegen dergelijke wijzigingen. Een dergelijke kennisgeving moet uiterlijk 30 dagen voordat het gebruik of de wijziging van kracht wordt, door de gegevensbeheerder zijn ontvangen. In het geval dat de gegevensbeheerder bezwaar maakt tegen de wijzigingen, moet de gegevensbeheerder de gegevensverwerker hiervan binnen 14 dagen na ontvangst van de kennisgeving op de hoogte stellen. De gegevensbeheerder kan alleen bezwaar maken als de gegevensbeheerder daarvoor redelijke, specifieke redenen heeft.
B.2 Geautoriseerde gegevensverwerkers in onderaanneming
Bij aanvang van de gegevensverwerkingsovereenkomst heeft de gegevensbeheerder het gebruik van de volgende gegevensverwerkers in onderaanneming goedgekeurd:
Naam | CVR-nr. | Adres | Beschrijving van verwerking |
Microsoft Azure | Datacenters van Azure in Ierland, Nederland, Virginia (VS), Texas (VS), Californië (VS) en Canberra (Australië) | Hosting en gegevensopslag vindt plaats in: Europa voor Europese klanten van de gegevensverwerker, de VS voor Noord-Amerikaanse klanten van de gegevensverwerker, Australië voor Australische klanten van de gegevensverwerker | |
SendGrid | Denver, CO 1801 California Street, Suite 500, Denver, CO 80202 | E-mailservice | |
MailJet | FR67524536992 | Mailjet SAS 37 bis Rue du Sentier 75002 Paris FRANKRIJK | E-mailservice |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, VS | Beheer van ondersteuningsvragen | |
Google Analytics | 1600 Amphithe-atre Parkway, Mountain View, CA, 94043 | Gegevens over het gebruik van de website worden verzameld in Google Analytics |
Bij aanvang van de gegevensverwerkingsovereenkomst heeft de gegevensbeheerder specifiek toestemming gegeven voor het gebruik van de bovengenoemde gegevensverwerkers in onderaanneming voor de verwerking die voor elke partij is beschreven. De gegevensverwerker kan, zonder specifieke schriftelijke toestemming van de gegevensbeheerder, geen gebruikmaken van gegevensverwerkers in onderaanneming voor 'andere' verwerkingen dan hetgeen is overeengekomen, of een andere verwerker in onderaanneming toestaan de gespecificeerde verwerking uit te voeren.
Bijlage C Instructies voor de verwerking van persoonsgegevens
C.1 De betrokkene/instructies voor verwerking
De verwerking van persoonsgegevens door de gegevensverwerker namens de gegevensbeheerder geschiedt door de gegevensverwerker die een of meer van de volgende handelingen verricht:
het vastleggen van de noodzakelijke lidmaatschapsinformatie met betrekking tot de leden van de gegevensbeheerder indien een ledenonderzoek is of ledenonderzoeken zijn geselecteerd.
verwerking van informatie over green fee-rondes gespeeld met de gegevensbeheerder als gastonderzoek(en) zijn geselecteerd.
De gegevensverwerker verwerkt informatie indien nodig en relevant om de instructies van de gegevensbeheerder door te voeren. Informatie wordt verzameld hetzij rechtstreeks van de gegevensbeheerder hetzij van een andere gegevensverwerker (gegevensverwerking door derden) die door de gegevensbeheerder wordt aangewezen en gespecificeerd. De gegevensbeheerder zal overeenkomsten aangaan met externe verwerkers betreffende de openbaarmaking van de noodzakelijke gegevens aan de gegevensverwerker uit hoofde van deze overeenkomst.
C.2 Verwerkingsbeveiliging
Het beveiligingsniveau weerspiegelt:
Verwerking van algemene persoonsgegevens
De gegevensverwerker is daardoor gerechtigd en verplicht om beslissingen te nemen met betrekking tot de technische en organisatorische beveiligingsmaatregelen die zullen worden ingezet om het noodzakelijke (en overeengekomen) beveiligingsniveau aangaande de gegevens tot stand te brengen. Niettemin is de gegevensverwerker verplicht het volgende te waarborgen:
Alle communicatiedata met het Players 1st-systeem worden standaard versleuteld verzonden via 'https'.
Players 1st zal alle gegevens opslaan en verwerken met internationaal erkende IT-bedrijven.
De hosting van Players 1st dient versleuteld en vertrouwelijk te zijn.
Players 1st heeft volledige documentatie aangaande functionaliteit, gegevensregistratie en gegevensbeveiliging.
Players 1st verwerkt persoonsgegevens alleen na instructie van de gegevensbeheerder.
Players 1st dient te waarborgen dat alle personen die persoonsgegevens beheren onderworpen zijn aan geheimhoudingsovereenkomsten.
C.3 Bewaartermijn/procedures voor verwijdering
Persoonsgegevens worden door de gegevensverwerker opgeslagen totdat de gegevensbeheerder de verwijdering of teruggave van de gegevens verzoekt.
Na 24 maanden voert de gegevensverwerker automatisch pseudonimisering uit van alle persoonsgegevens die van de gegevensbeheerder worden ontvangen. In verband met pseudonimisering worden persoonsgegevens verwijderd die niet langer relevant zijn.
Na 10 jaar zal de gegevensverwerker automatisch alle persoonsgegevens verwijderen.
C.4 Verwerkingslocatie
Verwerking van de persoonsgegevens die onder de overeenkomst vallen, kan zonder voorafgaande schriftelijke toestemming van de gegevensbeheerder niet plaatsvinden op andere locaties dan:
Naam | Adres | Opmerkingen |
Microsoft Azure | Datacenters van Azure in Ierland, Nederland, Virginia (VS), Texas (VS), Californië (VS) en Canberra (Australië) | Hosting en gegevensopslag vindt plaats in: Europa voor Europese klanten van de gegevensverwerker, de VS voor Noord-Amerikaanse klanten van de gegevensverwerker, Australië voor Australische klanten van de gegevensverwerker |
SendGrid | 1801 California Street, Suite 500, Denver, CO 80202 | |
MailJet | Mailjet SAS, 37 bis Rue du Sentier, 75002 Parijs, FRANKRIJK | |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, VS | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | |
Players 1st | Stadion Allé, 8000 Aarhus C, Denemarken |
C.5 Instructies of toestemming betreffende de overdracht van persoonsgegevens aan derde landen
De gegevensverwerker draagt, via gegevensverwerkers in onderaanneming, persoonsgegevens over aan derden, aangezien e-mailadressen worden overgedragen aan een Amerikaanse leverancier (SendGrid) voor gebruik bij het uitgeven en verzenden van e-mails (dit geldt echter niet voor Duitse e-mailadressen). Zendesk zal worden gebruikt voor het beheren van ondersteuningsverzoeken van spelers en clubs die via e-mail contact kunnen opnemen met de ondersteuning van Players 1st. Het e-mailadres van de aanvrager wordt na contact overgedragen aan Zendesk. Google Analytics wordt op geaggregeerd niveau gebruikt om de door gebruikers gebruikte browsers en apparaten te monitoren. Informatie wordt gebruikt om de gebruikerservaring in de vragenlijsten te optimaliseren.
Overdracht vindt plaats op basis van de Privacybeschermingsovereenkomst, cf. artikel 46 van de Algemene verordening gegevensbescherming. De gegevensverwerker is ervoor verantwoordelijk dat gegevensverwerkers in onderaanneming in derde landen voldoen aan de verplichtingen van de gegevensverwerker zoals uiteengezet in deze overeenkomst.
C.6 Procedures voor het toezicht door de gegevensbeheerder op de verwerking die plaatsvindt in de gebouwen van de gegevensverwerker
Eenmaal per jaar dient de gegevensverwerker een controleverklaring te verkrijgen van een onafhankelijke derde partij met betrekking tot de naleving door de gegevensverwerker van deze gegevensverwerkingsovereenkomst en bijbehorende bijlagen. De auditverklaring zal voor het eerst in 2019 worden verkregen, en de auditverklaring zal aan de gegevensbeheerder ter beschikking worden gesteld.
Totdat de bovengenoemde auditverklaring beschikbaar is, krijgt de gegevensbeheerder de gelegenheid om jaarlijks fysiek of schriftelijk toezicht uit te oefenen op de naleving van deze gegevensverwerkingsovereenkomst.
Naast gepland toezicht, kan toezicht op de gegevensverwerker ook worden uitgevoerd wanneer de gegevensbeheerder van mening is dat dit nodig is.
Eventuele door de verantwoordelijke gegevensbeheerder gemaakte kosten in verband met fysiek of schriftelijk toezicht worden door de gegevensbeheerder zelf gedragen. Niettemin is de gegevensverwerker verplicht om de middelen (voornamelijk tijd) toe te wijzen die redelijk en noodzakelijk zijn voor de gegevensbeheerder om een dergelijk toezicht uit te oefenen.
C.7 Procedures voor het toezicht op de verwerking die plaatsvindt in de gebouwen van gegevensverwerkers in onderaanneming.
Eenmaal per jaar dient de gegevensverwerker een auditverklaring te verkrijgen van een onafhankelijke derde partij met betrekking tot de naleving door de gegevensverwerker van deze gegevensverwerkingsovereenkomst en bijbehorende bijlagen.
De partijen zijn overeengekomen dat de volgende typen auditverklaringen kunnen worden gebruikt: ISAE 3402 type 2-rapporten
De auditverklaring wordt via de dashboardoplossing van de gegevensverwerker aan de gegevensbeheerder beschikbaar gesteld.
Bijlage D De governance van de partijen over andere zaken
D.1 Hoofdovereenkomst
Omstandigheden die buiten deze overeenkomst vallen, worden tussen de partijen geregeld in de hoofdovereenkomst.
D.2 Verzoeken om aanvullende veiligheidsmaatregelen te nemen
Schadeloosstellingen of dergelijken betreffende de verzoeken van de gegevensbeheerder of latere verzoeken van de gegevensverwerker om aanvullende beveiligingsmaatregelen te nemen naast die vermeld in deze overeenkomst, worden betaald door de partij die het verzoek indient. Schadeloosstellingen omvatten doorgaans de tijd besteed aan het vaststellen van de uitgebreide veiligheidsmaatregelen.