Verwerkersovereenkomst.

Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de Smarteaming-servicevoorwaarden tussen MBP Enterprises LTD, een vennootschap geregistreerd in Engeland en Wales (registratienummer 16058795), met statutaire zetel te 128 City Road, Londen, EC1V 2NX, Verenigd Koninkrijk ("Smarteaming", optredend als Verwerker) en de klant die zich op de Smarteaming-dienst abonneert ("Klant", optredend als Verwerkingsverantwoordelijke). Zij is van toepassing op alle verwerkingen van persoonsgegevens die Smarteaming namens de Klant uitvoert via de Smarteaming-marketingwebsite, de webapplicatie, de mobiele applicatie en de API. In geval van tegenstrijdigheid met de servicevoorwaarden heeft deze DPA voorrang voor zaken betreffende gegevensbescherming.

Termen die in deze DPA niet anderszins zijn gedefinieerd, hebben de betekenis die daaraan is toegekend in Verordening (EU) 2016/679 (de "AVG") en, waar van toepassing, de UK Data Protection Act 2018 (de "UK AVG"). "Persoonsgegevens", "Betrokkene", "Verwerking", "Verwerkingsverantwoordelijke", "Verwerker", "Subverwerker" en "Inbreuk in verband met persoonsgegevens" hebben de betekenis zoals vastgelegd in de AVG. "Persoonsgegevens van de Klant" betekent persoonsgegevens die Smarteaming namens de Klant via de dienst verwerkt.

Smarteaming verwerkt Persoonsgegevens van de Klant uitsluitend om de planning-, shiftbevestiging-, tijdregistratie-, salarisexport-, verlofbeheer-, accountbeheer- en ondersteunende functies van de dienst te leveren, om transactionele meldingen aan gebruikers te versturen en om ondersteuning aan de Klant te bieden. De verwerking gebeurt geautomatiseerd.

De categorieën Persoonsgegevens van de Klant die in het kader van deze DPA worden verwerkt, omvatten doorgaans: (a) identificatiegegevens — voornaam, achternaam, e-mailadres, telefoonnummer, profielfoto, taalvoorkeur; (b) arbeidsgegevens — toegewezen rollen, competenties, werkroosters, shiftbevestigingen, verlofaanvragen, uurregistraties, loontarieven ingevoerd door de Klant; (c) technische gegevens — IP-adres, apparaattype, push-notificatietoken; en (d) wanneer de Klant de salarisfunctie activeert, beperkte financiële gegevens zoals IBAN. De categorieën betrokkenen omvatten werknemers, contractanten en geautoriseerde beheerders van de Klant.

Smarteaming verwerkt Persoonsgegevens van de Klant voor de duur van de abonnementsovereenkomst tussen Smarteaming en de Klant en gedurende een periode van maximaal dertig (30) dagen daarna, ten behoeve van teruggave of verwijdering overeenkomstig de sectie "Teruggave en verwijdering" hieronder, tenzij een langere bewaartermijn wettelijk is vereist.

Smarteaming verwerkt Persoonsgegevens van de Klant uitsluitend op basis van de gedocumenteerde instructies van de Klant, met inbegrip van die vastgelegd in deze DPA, de servicevoorwaarden en de configuratie en het gebruik van de functies van de dienst door de Klant. Smarteaming zal de Klant onverwijld informeren indien een instructie naar zijn mening inbreuk maakt op de AVG of andere toepasselijke gegevensbeschermingswetgeving.

Smarteaming zorgt ervoor dat personeel dat is gemachtigd om Persoonsgegevens van de Klant te verwerken, gebonden is aan passende vertrouwelijkheidsverplichtingen, hetzij van contractuele hetzij van wettelijke aard. De toegang tot Persoonsgegevens van de Klant wordt verleend op basis van strikte noodzaak (need-to-know).

Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking alsmede de risico's voor betrokkenen, neemt Smarteaming passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De getroffen maatregelen worden beschreven in de sectie "Bijlage II: Technische en organisatorische maatregelen" hieronder.

De Klant verleent Smarteaming een algemene toestemming om de subverwerkers in te schakelen die zijn opgenomen in de sectie "Bijlage III: Goedgekeurde subverwerkers", voor de hierboven beschreven doeleinden. Smarteaming zal de Klant ten minste dertig (30) dagen vooraf in kennis stellen van elke voorgenomen toevoeging of vervanging van een subverwerker, zodat de Klant de mogelijkheid heeft om daartegen bezwaar te maken op redelijke gegevensbeschermingsgronden. Indien het bezwaar van de Klant niet kan worden opgelost, kan de Klant het betrokken deel van de dienst beëindigen. Smarteaming legt aan elke subverwerker gegevensbeschermingsverplichtingen op die materieel gelijkwaardig zijn aan die in deze DPA.

De primaire Persoonsgegevens van de Klant worden opgeslagen op DigitalOcean-servers in Frankfurt, Duitsland (Europese Unie). Bepaalde subverwerkers (Mailgun en Expo Push Service) kunnen beperkte persoonsgegevens buiten de Europese Economische Ruimte verwerken. Wanneer Persoonsgegevens van de Klant buiten de EER worden doorgegeven, baseert Smarteaming zich op de modelcontractbepalingen van de Europese Commissie zoals vastgelegd in Uitvoeringsbesluit (EU) 2021/914, of op certificering van de ontvanger onder het EU-VS Data Privacy Framework waar dat van toepassing is.

Rekening houdend met de aard van de verwerking staat Smarteaming de Klant bij met passende technische en organisatorische maatregelen, voor zover mogelijk, bij het vervullen van zijn plicht om te reageren op verzoeken van betrokkenen die hun rechten onder Hoofdstuk III van de AVG uitoefenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar, en het recht om niet te worden onderworpen aan uitsluitend geautomatiseerde besluitvorming). Wanneer een betrokkene zich rechtstreeks tot Smarteaming wendt met betrekking tot Persoonsgegevens van de Klant, stuurt Smarteaming het verzoek zonder onnodige vertraging door naar de Klant en zal niet aan de betrokkene reageren, behalve om hem of haar door te verwijzen naar de Klant, tenzij anders geïnstrueerd.

Smarteaming stelt de Klant zonder onnodige vertraging en in elk geval binnen tweeënzeventig (72) uur na kennisname in kennis van elke Inbreuk in verband met persoonsgegevens die Persoonsgegevens van de Klant treft. De melding bevat, voor zover bekend, de aard van de inbreuk, de categorieën en het geschatte aantal betrokkenen en records, de waarschijnlijke gevolgen, alsmede de genomen of voorgestelde maatregelen om de inbreuk aan te pakken en de nadelige effecten te beperken. De melding wordt gestuurd naar het administratieve contact van de Klant dat in onze administratie is geregistreerd.

Wanneer redelijkerwijs verzocht en op kosten van de Klant, verleent Smarteaming de Klant bijstand bij gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen van toezichthoudende autoriteiten op grond van de artikelen 35 en 36 AVG, rekening houdend met de aard van de verwerking en de informatie waarover Smarteaming beschikt.

Smarteaming stelt de Klant op redelijk voorafgaand schriftelijk verzoek de informatie ter beschikking die noodzakelijk is om de naleving van deze DPA en van artikel 28 AVG aan te tonen, en staat audits toe en draagt daaraan bij, uitgevoerd door de Klant of een door de Klant gemachtigde derde-auditor die gebonden is aan vertrouwelijkheid. Audits worden ten hoogste eenmaal per kalenderjaar uitgevoerd (behalve wanneer vereist na een substantiële Inbreuk in verband met persoonsgegevens of door een toezichthoudende autoriteit), tijdens normale kantooruren, met redelijke voorafgaande kennisgeving en op een wijze die de dienst niet onredelijk verstoort. De auditkosten zijn voor rekening van de verzoekende partij.

Op keuze van de Klant verwijdert of retourneert Smarteaming alle Persoonsgegevens van de Klant na beëindiging van de dienstverlening en wist bestaande kopieën, tenzij het bewaren van Persoonsgegevens van de Klant is vereist door het recht van de Unie of het recht van een lidstaat. Teruggave of verwijdering vindt plaats binnen dertig (30) dagen na het schriftelijke verzoek van de Klant na beëindiging, onder voorbehoud van wettelijke bewaarverplichtingen (bijvoorbeeld financiële documenten die onder het Britse belastingrecht tot zes jaar moeten worden bewaard).

De aansprakelijkheid van elke partij die voortvloeit uit of verband houdt met deze DPA, hetzij contractueel, hetzij uit onrechtmatige daad, hetzij op enige andere grondslag, is onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid zoals vastgelegd in de servicevoorwaarden.

Onderwerp: levering van de Smarteaming-dienst zoals beschreven in de sectie "Aard en doel van de verwerking". Duur: de looptijd van de abonnementsovereenkomst, vermeerderd met de periode nodig voor teruggave of verwijdering. Aard en doel van de verwerking: zoals beschreven in de sectie "Aard en doel van de verwerking". Categorieën van persoonsgegevens en betrokkenen: zoals beschreven in de sectie "Categorieën van gegevens en betrokkenen". Frequentie van de verwerking: continu.

Toegangscontrole: op rollen gebaseerde toegang met unieke geauthenticeerde accounts en het principe van minimale bevoegdheden. Versleuteling: TLS 1.2 of hoger voor data in transit; hashing van gebruikerswachtwoorden met adaptieve algoritmen volgens de stand van de techniek. Applicatiebeveiliging: Content Security Policy-headers met per-request nonces, HTTP Strict Transport Security (HSTS) in productie. Netwerk- en infrastructuurbeveiliging: geharde servers, firewallregels, regelmatige beveiligingscontroles, overgeërfde fysieke beveiligingscontroles van gecertificeerde EU-datacenters beheerd door DigitalOcean. Back-ups: versleutelde back-ups van productiegegevens, bewaard volgens een intern bewaarschema. Logging en monitoring: applicatie- en toegangslogboeken met beperkte zichtbaarheid voor geautoriseerd personeel. Personeel: vertrouwelijkheidsverplichtingen voor alle medewerkers met toegang tot Persoonsgegevens van de Klant, en bewustmakingspraktijken rond beveiliging.

DigitalOcean, LLC — cloudhosting en database-infrastructuur, Frankfurt (Duitsland, EU). Stripe Payments Europe, Limited — verwerking van abonnementsbetalingen; Stripe verwerkt factureringsgegevens als onafhankelijke Verwerkingsverantwoordelijke onder haar eigen privacybeleid. Mailgun (Sinch Group) — verzending van transactionele e-mails, Verenigde Staten. Expo Push Service (beheerd door 650 Industries, Inc.) — verzending van mobiele push-notificaties, Verenigde Staten. Google Ireland Limited — conversietracking op de marketingwebsite, uitsluitend geactiveerd met de marketing-cookietoestemming van de bezoeker. Een actuele lijst is op verzoek beschikbaar via contact@smarteaming.com.

Deze DPA wordt beheerst door het recht van Engeland en Wales. Geschillen die voortvloeien uit of verband houden met deze DPA vallen onder de exclusieve bevoegdheid van de rechtbanken van Londen, Engeland, behalve waar dwingend recht anders bepaalt ter bescherming van betrokkenen. Voor vragen over deze DPA neemt u contact op met: MBP Enterprises LTD, 128 City Road, Londen, EC1V 2NX, Verenigd Koninkrijk — e-mail: contact@smarteaming.com.