Privacy
Het onderhavige Privacybeleid bepaalt de voorwaarden en modaliteiten waaronder de persoonsgegevens (hierna de “Gegevens” genoemd) en cookies worden verwerkt. De vennootschappen Wonderbox Business Group NL, WONDERBOX NL B.V., en WONDERBOX SAS (hierna gezamenlijk “WONDERBOX” genoemd) hechten veel belang aan de bescherming van uw Gegevens en aan de manier waarop die kunnen worden verwerkt op de site www.wonderbox.nl (hierna de “site” genoemd). Ze zien erop toe en verbinden zich ertoe dat de gegevens worden ingezameld in overeenstemming met de Europese Verordening 2016/679 (hierna de “Verordening” genoemd).
Elk gebruik van de site impliceert dat u onderhavig document, dat de overhand heeft op elk ander document, zonder voorbehoud aanvaardt en er zich ten volle bij aansluit, behoudens bijzondere voorwaarden die uitdrukkelijk schriftelijk zijn toegestaan door WONDERBOX.
Het onderhavig Privacybeleid treedt in werking op 1 oktober 2021. Het annuleert en vervangt alle eerdere versies. WONDERBOX behoudt zich het recht voor om het op ieder ogenblik te wijzigen door er een nieuwe versie van te publiceren op de site. Bijgevolg verzoeken wij u om deze pagina regelmatig te bezoeken.
De nietigheid van een bepaling heeft niet de nietigheid tot gevolg van alle bepalingen van het Privacybeleid. De tijdelijke of blijvende niet-toepassing van een of meerdere bepalingen door WONDERBOX geldt niet als verzaking van haar kant.
1 - VERWERKINGSVERANTWOORDELIJKE
De verwerkingsverantwoordelijke is:
WONDERBOX SAS, vereenvoudigde vennootschap op aandelen met een kapitaal van 10 279 961 euro, met maatschappelijke zetel gevestigd in 34 avenue des Champs Elysées, 75008 PARIJS, ingeschreven in het Handels- en Vennootschappenregister van Parijs onder nr. 508 244 548.
2 - AARD VAN DE VERWERKTE GEGEVENS
Bij uw gebruik van de site kunnen bepaalde gegevens worden verwerkt. Het betreft de volgende gegevens:
- Gegevens verbonden aan uw identiteit: Naam, voornaam, factuuradres, leveringsadres, e-mailadres, telefoonnummer, geboortedatum
- Verbindingsgegevens: IP-adres, logins
- Gegevens betreffende de opvolging van de bestelling: Aangekocht product, uitgevoerde prestatie, historiek van de bestellingen, mening over de prestatie, geraadpleegde producten, gebruik van een promotiecode, leveringsmiddelen en -kosten, detail van de aankoop, nr. van de cadeaubon
- Gegevens betreffende de betaling: Betaalwijze, betaalkaartgegevens, transactienummer
- Het abonnement dat u eventueel hebt afgesloten (newsletters, enz.).
Een sterretje geeft aan of het invoeren van de gegevens verplicht is of facultatief. Sommige gegevens worden automatisch ingezameld bij uw handelingen op de Site.
3 - DOEL VAN DE GEGEVENSVERWERKING - DUUR
Doeleinde | Bewaringsduur | Wettelijke basis |
---|---|---|
1. Verzending van nieuwsbrieven, tips en commerciële aanbiedingen van Wonderbox, loyalty campagnes, acties en campagnes gericht op hen die interesse hebben getoond in het product, producttests, reclame- en promotieacties |
3 jaar na de inzameling of het laatste contact, in overeenstemming met de vereenvoudigde norm nr. NS-048 van de CNIL. |
Deze verwerking gebeurt op basis van uw toestemming in overeenstemming met artikel 6 paragraaf 1 a) van de Verordening. |
2. Verzending van commerciële aanbiedingen van de partners van Wonderbox |
3 jaar na de inzameling of het laatste contact, in overeenstemming met de vereenvoudigde norm nr. NS-048 van de CNIL. |
Deze verwerking gebeurt op basis van uw toestemming in overeenstemming met artikel 6 paragraaf 1 a) van de Verordening. |
3. Uitvoering van statistische studies en/of websitegebruikers onderzoek, het aantal bekeken pagina's of het aantal sitebezoeken |
13 maanden na de inzameling van de gegevens |
Deze verwerking (i) gebeurt op basis van uw toestemming in overeenstemming met artikel 6 paragraaf 1 a) van de Verordening of (ii) is noodzakelijk voor de uitvoering van onze respectievelijke contractuele verplichtingen in overeenstemming met artikel 6 paragraaf 1 b) van de Verordening. |
4. Fraudebestrijding |
3 jaar na het einde van de handelsrelatie voorheen die interesse hebben getoond in het product en voor hen die dat niet hebben gedaan in overeenstemming met de vereenvoudigde norm nr. NS-048 van de CNIL, of 3 jaar na de wanbetaling in geval van niet-regularisatie |
Zonder bestelling gebeurt deze verwerking op basis van uw toestemming in overeenstemming met artikel 6 paragraaf 1 a) van de Verordening. In het kader van een bestelling gebeurt deze verwerking voor de behartiging van onze gerechtvaardigde belangen (goed beheer van de onderneming) in overeenstemming met artikel 6 paragraaf 1 f) van de Verordening. |
5. Uitvoering van bestellingen op de Site en van de procedure voor opvolging van de bestellingen |
3 jaar na het einde van de handelsrelatie voor hen die interesse hebben getoond in het product en voor hen die dat niet hebben gedaan, in overeenstemming met de vereenvoudigde norm nr. NS-048 van de CNIL. Voor contracten afgesloten langs elektronische weg bedraagt de bewaringsduur 10 jaar |
Deze verwerking is noodzakelijk voor de uitvoering van onze respectievelijke contractuele verplichtingen in overeenstemming met artikel paragraaf 1 b) van de Verordening. |
6. Bankkaartgegevens |
De gegevens worden gedurende 14 dagen bewaard in overeenstemming met Beschikking van de CNIL nr. 2017-222 van 20 juli 2017. |
Deze verwerking is noodzakelijk voor de uitvoering van onze respectievelijke contractuele verplichtingen in overeenstemming met artikel paragraaf 1 b) van de Verordening. |
7. Beheer van de omruil- of verlengingsaanvragen |
3 jaar na het einde van de handelsrelatie voor hen die interesse hebben getoond in het product en voor hen die dat niet hebben gedaan, in overeenstemming met de vereenvoudigde norm nr. NS-048 van de CNIL. |
Deze verwerking is noodzakelijk voor de uitvoering van onze respectievelijke contractuele verplichtingen in overeenstemming met artikel paragraaf 1 b) van de Verordening. |
8. Terbeschikkingstelling van een klantenaccount op de site (openen van uw klantenaccount, enz.) |
3 jaar na het einde van de handelsrelatie of de inzameling of het laatste contact door de betrokkene, in overeenstemming met de vereenvoudigde norm nr. NS-048 van de CNIL. |
Deze verwerking is noodzakelijk voor de uitvoering van onze respectievelijke contractuele verplichtingen en van de maatregelen vóór het sluiten van een overeenkomst in overeenstemming met artikel paragraaf 1 b) van de Verordening. |
9. Personalisering van de inhoud van onze site en/of van de reclameaanbiedingen die op onze site worden weergegeven en/of van de reclameaanbiedingen die u ziet wanneer u op internet surft |
13 maanden na de inzameling van de gegevens |
Deze verwerking gebeurt op basis van uw toestemming in overeenstemming met artikel 6 paragraaf 1 a) van de Verordening. |
10. Deelname aan loyalty programma’s, wedstrijden, enz. |
3 jaar na de inzameling of het laatste contact, in overeenstemming met de vereenvoudigde norm nr. NS-048 van de CNIL. |
Deze verwerking is noodzakelijk voor de uitvoering van onze respectievelijke contractuele verplichtingen in overeenstemming met artikel paragraaf 1 b) van de Verordening. |
4 - ONTVANGERS VAN DE PERSOONSGEGEVENS
De op de site verzamelde gegevens zijn bestemd voor WONDERBOX SAS, voor alle bedrijven waarover zij controle heeft en/of voor de partners en de verwerkers van WONDERBOX.
5 - DOORGEVEN VAN GEGEVENS
Uit principe zien wij erop toe dat de gegevens niet worden doorgegeven buiten de Europese Unie of aan een land dat niet het voorwerp heeft uitgemaakt van een gelijkwaardigheidsbeschikking van de Europese Unie.
De gegevens kunnen echter buiten de Europese Unie worden doorgegeven in het kader van de volgende activiteiten:
- Klantenrelatie
- Exploitatie van de gegevens naar de sociale netwerken
- Computerprestaties
In dat geval biedt WONDERBOX de passende waarborgen in overeenstemming met artikel 46. 2. d) van de Verordening in de vorm van de standaard contractbepalingen van de Europese Commissie.
In toepassing van artikel 13.1 f) van de Verordening worden de passende waarborgen hierna ter beschikking gesteld in artikel 13 van het onderhavige Privacy beleid.
6 - WIJZE VAN INZAMELING VAN DE PERSOONSGEGEVENS
Uw gegevens kunnen worden ingezameld wanneer u:
- een bestelling plaatst op onze Site;
- een e-ticket aanmaakt op onze Site
- deelneemt aan een spel of wedstrijd;
- op onze Site surft en producten bekijkt;
- contact opneemt met onze klantendienst;
7 - TOESTEMMING VAN MINDERJARIGEN
Om te voldoen aan de wetgeving ter bescherming van minderjarigen, verzamelt noch verwerkt WONDERBOX persoonsgegevens van minderjarigen.
De op deze site beschikbare diensten zijn dus uitsluitend bestemd voor personen ouder dan 18 jaar. Personen jonger dan 18 jaar die een bestelling willen plaatsen of een account willen aanmaken moeten hun wettelijk vertegenwoordiger vragen om dat voor hen te doen.
8 - COOKIES
8.1 BELEID MET BETREKKING TOT HET GEBRUIK VAN COOKIES
Bij de raadpleging van de Site worden er cookies geplaatst op uw computer, gsm of tablet. Bij het ontwerp van onze Site werd zoveel mogelijk rekening gehouden met de behoeftes en verwachtingen van onze klanten. Deze pagina legt u uit hoe de cookies functioneren en hoe u ze kunt instellen.
8.2 DEFINITIE VAN EEN COOKIE
Een cookie is een tekstbestand dat bij het bezoek van een website of de raadpleging van een advertentie op uw computer wordt geplaatst. Het heeft tot doel om informatie in te zamelen over uw surfgedrag en om u door te verwijzen naar de diensten die geschikt zijn voor uw apparaat (computer, gsm of tablet). De cookies worden met name beheerd door uw internetbrowser.
8.3 DE VERSCHILLENDE UITGEVERS
De cookies van de Site: dit zijn cookies die door wonderbox.nl op uw apparaat worden geplaatst om te voldoen aan de behoefte tot raadpleging, optimalisering en personalisering van de diensten op de site.
Cookies van derden: het betreft cookies die worden geplaatst door derde ondernemingen (bijvoorbeeld partners) om uw belangencentra te identificeren en eventueel de reclameberichten die u worden gestuurd op en buiten onze Site te personaliseren.
Ze kunnen worden geplaatst wanneer u de Site raadpleegt of wanneer u klikt in de reclameruimten van de Site.
8.4 TOELICHTING VERSCHILLENDE SOORTEN COOKIES
Technische cookies
Deze cookies zijn noodzakelijk voor het navigeren op de site. Ze laten u toe om de belangrijkste functionaliteiten van de Site te gebruiken en om uw verbinding te beveiligen.
Functionele cookies
Deze cookies zijn noodzakelijk voor het navigeren op de site. Ze verlenen u toegang tot de tijdelijke functionaliteiten van de Site (bijvoorbeeld opslaan van uw winkelmandje of van uw login gegevens). Daarnaast laten ze toe om de grafische weergave van de site aan te passen aan de weergavevoorkeuren van uw apparaat. Deze cookies helpen u dus om vlot en op maat op de site te navigeren. Ze worden gedurende 24 uur bewaard zonder dat u daarvoor uw toestemming hoeft te geven.
Bovendien geven deze cookies ons informatie over het gebruik en de prestaties van onze Site, over de bezoekersaantallen en over het gebruik van de verschillende elementen van onze Site (geraadpleegde inhoud, klikpad). Zo kunnen wij statistieken opmaken en het belang en de design en gebruiksvriendelijkheid van onze diensten verbeteren (meest bezochte pagina’s of rubrieken, meest gelezen artikels, ...). Aan de hand van de cookies weten wij ook hoeveel bezoekers een pagina hebben geraadpleegd.
Punctueel kunnen deze cookies worden geplaatst om, op basis van samengevoegde en anonieme statistische gegevens, de efficiëntie van de reclamecampagnes van Wonderbox te meten.
Optionele functionele cookies
Het betreft dezelfde functionele cookies die voor langere duur, maximaal 13 maanden, worden bewaard wanneer u daarvoor toestemming geeft.
Cookies voor gepersonaliseerde inhoud
Deze cookies worden gebruikt om u gepersonaliseerde inhoud aan te bieden op onze Site en om uw klantentrouw te belonen (bijvoorbeeld: sponsoringsprogramma). De weigering van deze cookies heeft geen impact op het gebruik van onze Site.
Reclamecookies op andere sites
Deze cookies worden gebruikt om u aangepaste informatie te bieden, volgens uw belangencentra, bij het navigeren op het internet. De weigering van deze cookies heeft geen impact op het gebruik van onze Site. Het weigeren van reclamecookies heeft echter niet tot gevolg dat u tijdens het navigeren geen advertenties meer ziet. Het enige gevolg is dat er bij de weergave van advertenties geen rekening wordt gehouden met uw persoonlijke instellingen of voorkeuren wanneer u op internet navigeert.
Aan de hand van de cookies die worden geplaatst door reclame-instellingen kunnen de sitegebruikers anoniem worden geïdentificeerd. Er worden enkel gegevens doorgegeven waarmee u niet kunt worden geïdentificeerd, zoals de url van de bezochte pagina’s, de zoektermen die worden ingevoerd in de zoekmachines of de interacties met de advertenties.
Het kan ook gaan om cookies van partners van WONDERBOX die de bezoekers van onze Site identificeren om hen reclameberichten te kunnen sturen. Dat kan gebeuren per e-mail, ook als u uw e-mailadres niet hebt meegedeeld aan WONDERBOX. Deze verwerking gebeurt door toedoen van dienstverleners gespecialiseerd in retargeting die uw e-mailadres en uw toestemming om reclameberichten te ontvangen hebben verkregen via hun partners.
U kunt uw cookie voorkeuren hier instellen
Cookie voorkeuren instellen9 - HYPERTEKSTLINKS
De Site kan bepaalde links bevatten naar andere sites waarvan wij de content niet kunnen controleren en die niet gedekt zijn door het onderhavige Privacy beleid. Wij zijn niet verantwoordelijk voor de content van deze sites, noch voor de manier waarop uw gegevens daar worden verzameld en verwerkt.
10 - BEVEILIGING VAN DE PERSOONSGEGEVENS
Wij verbinden ons ertoe om alle nodige maatregelen te nemen om de beveiliging van de gegevens te garanderen. Het betreft passende technische en organisatorische maatregelen die een gepast veiligheidsniveau garanderen. Deze maatregelen zijn onder meer:
- pseudonimisering en encryptie van de gegevens;
- de middelen om op permanente basis de betrouwbaarheid, integriteit, beschikbaarheid en resilience van de verwerkingssystemen en diensten te garanderen;
- de middelen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de gegevens tijdig te herstellen;
- een procedure voor het regelmatig testen, beoordelen en evalueren van de efficiëntie van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Met dat doel verzoeken wij u om uw gift details (code en pin) te houden en het aan niemand mee te delen. U blijft verantwoordelijk voor alle gevolgen van het niet geheim houden van het wachtwoord dat u hebt gekozen om toegang te verkrijgen tot uw account.
Ten behoeve van de betalingen worden de betaalkaartgegevens ingezameld door Buckaroo, onze dienstverlener op het gebied van betalingen. Dit is de enige ontvanger van de ingezamelde Gegevens en hij staat in voor de bewaring ervan. De Gegevens worden opgeslagen op de servers van Buckaroo en worden op geen enkel ogenblik doorgestuurd naar de servers van WONDERBOX. Buckaroo is belast met het vragen van toestemming aan de bank en stuurt ons het transactienummer door dat de transacties mogelijk maakt. Buckaroo bewaart de gegevens zolang als nodig is voor de uitvoering van de transactie en de uitoefening van het herroepingsrecht.
11- RECHTEN OP UW PERSOONSGEGEVENS
In overeenstemming met de wetgeving hebt u het recht op inzage, verwijdering of overdraagbaarheid van de u betreffende gegevens en kunt u zich verzetten tegen de verwerking van deze gegevens of aan deze verwerking beperkingen opleggen. Ten slotte hebt u het recht om een klacht in te dienen bij de toezichthoudende overheid.
Bij het navigeren op de Site hebt u op ieder ogenblik toegang tot uw gegevens via uw klantenruimte. U kunt uw gegevens wijzigen als de situatie verandert of zich verzetten tegen de inzameling van uw gegevens voor reclamedoeleinden.
Bepaalde gegevens zijn echter noodzakelijk voor de behandeling van uw bestelling. Zonder deze gegevens kunnen wij geen gevolg geven aan uw bestelling.
U kunt tenslotte op ieder ogenblik uw rechten uitoefenen. Daarvoor hoeft u enkel een aanvraag te sturen, met vermelding van uw naam, voornaam, e-mailadres en adres, naar het volgende adres: [email protected]
In overeenstemming met de geldende wetgeving moet uw aanvraag ondertekend zijn en vergezeld van een identiteitsbewijs zodat wij kunnen nagaan of de aanvraag afkomstig is van de betrokkene. Binnen 1 maand na de ontvangst van de aanvraag zal u een antwoord worden gestuurd. In voorkomend geval, als de aanvraag complex is of als wij veel aanvragen ontvangen, kan deze termijn met 2 maanden worden verlengd.
U kunt uw rechten ook uitoefenen door uw aanvraag te versturen via het contactformulier onder het tabblad “Contact”.
12 - FUNCTIONARIS VOOR GEGEVENSBESCHERMING
De functionaris voor gegevensbescherming (hierna de"DPO" genoemd) is WONDERBOX en kan per post worden gecontacteerd op het volgende adres:
DPO – MULTIPASS
71 rue Desnouettes
75015 PARIS
U kunt de DPO ook contacteren door uw aanvraag te versturen via het contactformulier onder het tabblad “Contact”.
13 - PASSENDE WAARBORGEN STANDAARD CONTRACTBEPALINGEN VAN TOEPASSING OP VERWERKERS DIE GEGEVENS DOORGEVEN BUITEN DE EU
De Partijen zijn de volgende contractbepalingen (hierna de “bepalingen” genoemd) OVEREENGEKOMEN teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en van de fundamentele vrijheden en rechten van de personen bij de transfer van de in bijlage 1 bedoelde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.
1. Definities
Voor de toepassing van de bepalingen:
a) gelden voor “persoonsgegevens”, “bijzondere categorieën gegevens”, “verwerken/verwerking”, “verwerkingsverantwoordelijke”, “verwerker”, “betrokkene” en “toezichthoudende autoriteit” dezelfde definities als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
b) wordt onder “gegevensexporteur” verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
c) wordt onder “gegevensimporteur” verstaan: de verwerker die accepteert van de gegevensexporteur persoonsgegevens te ontvangen om deze na een transfer namens de gegevensexporteur te verwerken in overeenstemming met zijn instructies en de voorwaarden van de bepalingen, en die niet is onderworpen aan een regeling van een derde land dat passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
d) wordt onder “sub-verwerker” verstaan: een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende sub-verwerker is aangenomen en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende sub-verwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de transfer, in overeenstemming met de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake sub-verwerking;
e) wordt onder “toepasselijk recht inzake gegevensbescherming” verstaan: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;
f) wordt onder “technische en organisatorische beveiligingsmaatregelen” verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.
2. Bijzonderheden betreffende de transfer
De bijzonderheden betreffende de transfer, met name, in voorkomend geval, van bijzondere categorieën persoonsgegevens, worden nader omschreven in bijlage 1, die wezenlijk deel uitmaakt van de bepalingen.
3. Derdenbeding
1. De betrokkenen kunnen deze bepaling en bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde begunstigden tegenover de gegevensexporteur afdwingen.
2. De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
3. De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de sub-verwerker afdwingen in die gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de sub-verwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
4. De partijen verzetten zich er niet tegen dat de betrokkenen door een vereniging of andere instelling worden vertegenwoordigd, indien de betrokkenen dit uitdrukkelijk wensen en dit in het nationale recht is toegestaan.
4. Verplichtingen van de gegevensexporteur
De gegevensexporteur stemt ermee in en garandeert dat:
a) de verwerking van de persoonsgegevens, met inbegrip van de transfer zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
b) hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, om de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen te verwerken;
c) de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in bijlage 2 bij dit contract worden omschreven;
d) deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico’s een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging;
e) hij op de naleving van deze beveiligingsmaatregelen zal toezien;
f) wanneer de transfer bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de transfer ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in Richtlijn 95/46/EG;
g) hij in overeenstemming met bepaling 5, onder b), en bepaling 8, lid 3, ontvangen kennisgevingen van de gegevensimporteur of een sub-verwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer hij (dat wil zeggen de gegevensexporteur) besluit de transfer voort te zetten of de opschorting op te heffen;
h) hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van bijlage 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor sub-verwerkingsdiensten dat in overeenstemming met de bepalingen dient te worden opgesteld; indien de bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen;
i) in geval van sub-verwerking de verwerkingsactiviteiten worden uitgevoerd in overeenstemming met bepaling 11 door een sub-verwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkenen waarborgt als de gegevensimporteur in overeenstemming met deze bepalingen; en
j) hij zal toezien op de naleving van bepaling 4, onder a) tot en met i).
5. Verplichtingen van de gegevensimporteur
De gegevensimporteur stemt ermee in en garandeert dat:
a) hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevenstransfer mag opschorten en/of het contract mag beëindigen;
b) hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevenstransfer mag opschorten en/of het contract mag beëindigen;
c) hij de in bijlage 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft getroffen;
d) hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
i) een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat tot doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
ii) iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad;
iii) hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan;
e) hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens;
f) hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten, welke wordt uitgevoerd door de gegevensexporteur of door een controleorgaan waarvan de leden onafhankelijk zijn, over de vereiste beroepskwalificaties beschikken, tot geheimhouding verplicht zijn en door de gegevensexporteur worden aangewezen, waar van toepassing in overleg met de toezichthoudende autoriteit;
g) hij, wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen, hem op verzoek een afschrift van de bepalingen alsmede eventuele sub-verwerkingscontracten ter beschikking stelt, met uitzondering van bijlage 2 die door een beknopte beschrijving van de beveiligingsmaatregelen wordt vervangen; indien de bepalingen of contracten commerciële informatie bevatten, mag de gegevensimporteur deze commerciële informatie verwijderen;
h) hij, wanneer sub-verwerking plaatsvindt, de gegevensexporteur tevoren heeft ingelicht en diens schriftelijke toestemming heeft verkregen;
i) de verwerkingsdiensten van de sub-verwerker in overeenstemming met bepaling 11 zullen worden uitgevoerd;
j) hij van elk sub-verwerkingscontract dat hij in het kader van de bepalingen aangaat, onverwijld een afschrift doet toekomen aan de gegevensexporteur.
6. Aansprakelijkheid
1. De partijen komen overeen dat elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 of bepaling 11 door een partij of een sub-verwerker schade heeft geleden, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen.
2. Wanneer de betrokkene geen vordering tot schadevergoeding wegens niet-nakoming door de gegevensimporteur of diens sub-verwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen, als bedoeld in lid 1, tegen de gegevensexporteur kan instellen doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden.
De gegevensimporteur kan zich niet aan zijn aansprakelijkheid onttrekken door zich te beroepen op niet-nakoming van verplichtingen door de sub-verwerker.
3. Wanneer de betrokkene de in lid 1 of 2 bedoelde vordering wegens niet-nakoming door de sub-verwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen niet tegen de gegevensexporteur of de gegevensimporteur kan instellen doordat zowel de gegevensexporteur als de gegevensimporteur feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, stemt de sub-verwerker ermee in dat de betrokkene een vordering kan instellen tegen de sub-verwerker, met betrekking tot diens eigen verwerkingsactiviteiten krachtens de bepalingen, alsof deze de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De aansprakelijkheid van de sub-verwerker blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
7. Bemiddeling en rechtsmacht
1. De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding krachtens de bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:
a) om het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
b) om het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de gegevensexporteur is gevestigd.
2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken.
8. Samenwerking met de toezichthoudende autoriteiten
1. De gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen, indien deze daarom verzoekt of indien dit krachtens het toepasselijke recht inzake gegevensbescherming vereist is.
2. De partijen komen overeen dat de toezichthoudende autoriteit bevoegd is bij de gegevensimporteur en eventuele sub-verwerkers een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als die welke krachtens het toepasselijke recht inzake gegevensbescherming voor haar controle van de gegevensexporteur zouden gelden.
3. Indien er wetgeving bestaat die op de gegevensimporteur of een sub-verwerker van toepassing is en die de uitvoering van controles als in lid 2 bedoeld op de gegevensimporteur of een sub-verwerker verbiedt, stelt de gegevensimporteur de gegevensexporteur daarvan onverwijld in kennis. In een dergelijk geval mag de gegevensexporteur de in bepaling 5, onder b), bedoelde maatregelen nemen.
9. Toepasselijk recht
Op de bepalingen is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing, te weten het Franse recht.
10. Wijziging van het contract
De partijen verbinden zich ertoe de bepalingen niet te wijzigen. De partijen blijven vrij om andere bepalingen van commerciële aard toe te voegen, indien zij dit nodig achten, mits deze niet in strijd zijn met de onderhavige bepalingen.
11. Sub-verwerking
1. De gegevensimporteur besteedt de verwerkingsactiviteiten die hij in overeenstemming met de bepalingen namens de gegevensexporteur uitvoert niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur met toestemming van de gegevensexporteur zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de sub-verwerker een schriftelijk contract te sluiten waarbij aan de sub-verwerker dezelfde verplichtingen worden opgelegd als die waaraan de gegevensimporteur uit hoofde van de bepalingen moet voldoen (3). Indien de sub-verwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de uitvoering van de verplichtingen van de sub-verwerker uit hoofde van dat contract.
2. In het vooraf tussen de gegevensimporteur en de sub-verwerker te sluiten schriftelijke contract dient tevens een derdenbeding te zijn opgenomen zoals vervat in bepaling 3, dat voorziet in gevallen dat de betrokkene geen vordering tot schadevergoeding als bedoeld in bepaling 6, lid 1, kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolger is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de sub-verwerker blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
3. Op de bepalingen betreffende de gegevensbeschermingsaspecten van de sub-verwerking uit hoofde van het in lid 1 bedoelde contract is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing, te weten het Franse recht.
4. De gegevensexporteur houdt een lijst bij van sub-verwerkingscontracten die krachtens de bepalingen zijn gesloten en door de gegevensimporteur in overeenstemming met bepaling 5, onder j), zijn aangemeld, en werkt deze ten minste eenmaal per jaar bij. Deze lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming die op de gegevensexporteur toezicht houdt.
12. Verplichting na de beëindiging van de verwerking van persoonsgegevens
1. De partijen komen overeen dat de gegevensimporteur en de sub-verwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of, indien de gegevensexporteur dat verkiest, alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens in acht zal nemen en dat hij de doorgegeven gegevens niet langer actief zal verwerken.
2. De gegevensimporteur en de sub-verwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun verwerkingsvoorzieningen voor een controle van de in lid 1 bedoelde maatregelen beschikbaar zullen stellen.