Overeenkomst inzake Gegevensverwerking voor Gegevenshersteldiensten

Deze Overeenkomst inzake Gegevensverwerking is van toepassing op: (i) KLDiscovery Ontrack B.V., hierna te noemen “Ontrack”, gevestigd en kantoor houdend aan De Brand 22, 3823 LJ Amersfoort, Nederland (KvK 56256655) (“Ontrack”); en (ii) de betreffende Klant die een bestelling plaatst voor diensten onder de op die diensten toepasselijke voorwaarden (de “Voorwaarden”).
Partijen komen overeen dat de voorwaarden van deze Gegevensverwerkingsovereenkomst van toepassing zullen zijn op de Verwerking van Persoonsgegevens (zoals hierna gedefinieerd) die nodig is om Ontrack in staat te stellen de diensten aan de betreffende Klant te leveren.

Definities

De volgende definities gelden in deze Overeenkomst inzake Gegevensverwerking:

Verwerkingsverantwoordelijke heeft de betekenis die aan dit begrip is gegeven in Wetgeving betreffende Gegevensbescherming;
Verwerker heeft de betekenis die aan dit begrip is gegeven in Wetgeving betreffende Gegevensbescherming;
Wetgeving betreffende Gegevensbescherming betekent alle toepasselijke wetgeving betreffende gegevensbescherming waaraan de Klant, Ontrack gebonden is en/of verband houdt met de diensten waaronder: (i) de AVG en/of overeenkomstige of gelijkwaardige nationale wet- en regelgeving; en (ii) in lidstaten van de Europese Unie, alle relevante wet- en regelgeving ter uitvoering van of overeenkomstig de AVG;
Betrokkene heeft de betekenis die aan dit begrip is gegeven in Wetgeving betreffende Gegevensbescherming;
Verzoek Betrokkene betekent een door een Betrokkene gedaan verzoek om rechten uit te oefenen die Betrokkenen onder Wetgeving betreffende Gegevensbescherming hebben;
AVG betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679;
Persoonsgegevens heeft de betekenis die aan dit begrip is gegeven in Wetgeving betreffende Gegevensbescherming, omvat alle persoonsgegevens die de Klant aan Ontrack heeft verstrekt en zijn gegevens vervat in de Media and vervolgens hersteld door Ontrack;
Inbreuk op Persoonsgegevens betekent elke inbreuk op de beveiliging dat zorgt voor onbedoelde of onrechtmatige vernietiging, verlies, verandering, ongeoorloofde openbaring van, of toegang tot enige Persoonsgegevens;
Personeel
  		betekent iedere huidige, voormalige of toekomstige werknemer, consultant, tijdelijke werker, uitzendkracht, stagiaire, overige niet-vaste werknemer, leverancier, gedetacheerde of overig personeelslid;
Verwerking heeft de betekenis die aan dit begrip is gegeven in Wetgeving betreffende Gegevensverwerking (en aanverwante termen zoals ‘verwerken’, hebben overeenkomstige betekenissen);
Sub-Verwerker betekent een door Ontrack ingehuurde Verwerker die in opdracht van Ontrack Klantgegevens verwerkt voor diensten die direct verband houden met de Diensten. Dit omvat niet aanvullende diensten, zoals telecommunicatiediensten, generieke post/vervoersdiensten, onderhoud or gebruikersondersteunende diensten of het afvoeren van gegevensdragers en papieren documenten evenals andere software en hardware gerelateerde handelingen; en
Toezichthouder betekent iedere plaatselijke, nationale of multinationale instantie, ministerie, ambtenaar, parlement, publiekrechtelijke persoon of overheids- of officiële instantie, regelgevende of toezichthoudende autoriteit, bestuur of overig orgaan verantwoordelijk voor de uitvoering van Wetgeving betreffende Gegevensbescherming.

 

Bepalingen Gegevensverwerking

1              Verwerker en Verwerkingsverantwoordelijke

1.1          Partijen komen overeen dat met betrekking tot Persoonsgegevens de Klant de Verwerkingsverantwoordelijke zal zijn en Ontrack de Verwerker. Overeengekomen is dat de Klant met uitsluiting verantwoordelijk zal zijn voor de nauwkeurigheid, kwaliteit, integriteit en betrouwbaarheid van alle Persoonsgegevens en voor de middelen waarmee het dergelijke Persoonsgegevens verkregen heeft.

1.2          De Klant garandeert en verklaart dat: (i) alle Persoonsgegevens die in verband met de Diensten gebruikt worden in alle opzichten zullen voldoen aan de Wetgeving betreffende Gegevensbescherming; (ii) alle door de Klant aan Ontrack gegeven instructies met betrekking tot de Persoonsgegevens te allen tijde in overeenstemming zullen zijn met de Wetgeving betreffende Gegevensbescherming; (iii) hij alle vereiste toestemmingen verkregen heeft van iedere Betrokkene waarvan de Persoonsgegevens onderdeel vormen van de Persoonsgegevens of anderszins een geldige rechtsgrond heeft om de Persoonsgegevens aan Ontrack te verstrekken; en (iv) hij de voorwaarden zal vervullen van deze Overeenkomst inzake Gegevensverwerking.

1.3          Ontrack garandeert en verklaart hierbij dat het: (i) de Persoonsgegevens uitsluitend zal Verwerken voor zover noodzakelijk in verband met de Diensten; (ii) de Persoonsgegevens zal Verwerken overeenkomstig de schriftelijke instructies van de Klant en de vereisten van de Wetgeving betreffende Gegevensbescherming; (iii) de Klant onverwijld op de hoogte zal brengen, indien Ontrack meent dat de instructies van de Klant in strijd zijn met de Wetgeving betreffende Gegevensbescherming, of indien Ontrack de instructies van de Klant voor de Verwerking van Persoonsgegevens niet langer kan opvolgen (ongeacht of dit het gevolg is van een wijziging in toepasselijke wetgeving of een wijziging in de instructies van de Klant); en (iv) de voorwaarden van deze Overeenkomst inzake Gegevensverwerking zal nakomen.

2              Instructies en bijzonderheden Verwerking

2.1          De verwerking van Persoonsgegevens die Ontrack op grond van deze Overeenkomst inzake Gegevensverwerking uitvoert, bestaat uit de Verwerkingen die nodig zijn voor Ontrack om de Diensten te verlenen.

3              Technische en organisatorische maatregelen

3.1          Ontrack zal op eigen kosten passende technische en organisatorische maatregelen nemen en in stand te houden met betrekking tot de Verwerking en beveiliging van Persoonsgegevens overeenkomstig de Wetgeving betreffende Gegevensbescherming en met name overeenkomstig artikel 32 t/m 34 van de AVG. Ontrack zal ervoor zorgen dat dergelijke technische en organisatorische maatregelen passend zijn voor de risico’s die de Verwerkingswerkzaamheden met zich meebrengen, en met name gericht zijn om de Persoonsgegevens te beschermen tegen onbedoelde of onrechtmatige vernietiging, verlies, verandering, ongeoorloofde openbaring daarvan, of toegang daartoe.

4              Gebruik Personeel en Sub-Verwerkers

4.1          Met uitzondering van hetgeen bepaald is in artikel 4.2 mag Ontrack geen Sub-Verwerker aannemen voor de uitvoering van enige Verwerkingswerkzaamheden met betrekking tot de Persoonsgegevens, zonder voorafgaande schriftelijke toestemming van de Klant. In het geval dat toestemming is verleend, dient Ontrack schriftelijke voorwaarden overeen te komen met de Sub-Verwerker die gelijkwaardig zijn aan welke in deze Overeenkomst inzake Gegevensverwerking vastgelegd zijn. Hierbij wordt erkend en aanvaard dat ongeacht enige andersluidende bepaling in deze Overeenkomst inzake Gegevensverwerking Ontrack volledig aansprakelijk zal blijven tegenover de Klant  voor naleving van de verplichtingen van iedere Sub-Verwerker. Ontrack dient de Klant op de hoogte te brengen van eventuele veranderingen (waaronder begrepen toevoegingen of vervanging) met betrekking tot de Sub-Verwerkers en Klant redelijke gelegenheid te geven om tegen dergelijke wijzigingen of vervangingen op redelijke gronden bezwaar te maken.

4.2          De ten tijde van deze Overeenkomst inzake Gegevensverwerking goedgekeurde Sub-Verwerkers worden in Annex 1 vermeld.

4.3          Ontrack dient te zorgen dat het Personeel, dat toegang heeft tot Persoonsgegevens, betrouwbaar is en dat het Personeel deze Persoonsgegevens uitsluitend verwerkt voor zover dat voor de diensten noodzakelijk is, dat het volledig op de hoogte is van de door te voeren maatregelen en de te volgen procedure bij het Verwerken van Persoonsgegevens met betrekking tot Wetgeving betreffende Gegevensbescherming en dat het zich verbonden heeft de vertrouwelijkheid van de Persoonsgegevens niet te schenden, en gebonden is aan een geheimhoudingsplicht (hetzij bij schriftelijke overeenkomst of anderszins) met betrekking tot de Persoonsgegevens.

5              Bijstand met betrekking tot compliance door de Klant en de rechten van Betrokkene

5.1          Ontrack dient alle ontvangen Verzoeken Betrokkene, onverwijld door te zenden aan de Klant. Ontrack dient de Klant zodanige redelijke bijstand te verlenen als de Klant redelijkerwijze nodig heeft (rekening houdend met de aard van de Verwerking en de voor Ontrack beschikbare informatie) om te zorgen voor naleving van de verplichtingen van de Klant op grond van Wetgeving betreffende Gegevensbescherming met betrekking tot: (i) de beveiliging van de Verwerking; (ii) gegevensbeschermingseffectbeoordelingen (zoals uitgelegd in Wetgeving betreffende Gegevensbescherming); (iii) overleg vooraf met een Toezichthouder over Verwerking met een hoog risico; en (iv) meldingen aan de Toezichthouder en/of mededelingen aan Betrokkenen van de Klant als reactie op eventuele Inbreuk op Persoonsgegevens, en (v) het Verwerken van Verzoek(en) Betrokkene.

6              Internationale gegevensdoorgifte

6.1          Persoonsgegevens worden door Ontrack gehost en verwerkt binnen het Verenigd Koninkrijk en de Europese Economische Ruimte (“EER”) en Ontrack zal geen Persoonsgegevens doorgeven buiten de EER zonder voorafgaande schriftelijke toestemming van de Klant. De Klant erkent dat, op de datum van deze Overeenkomst inzake Gegevensverwerking, Ontrack Persoonsgegevens die onderworpen zijn aan de AVG, zal Verwerken in het Verenigd Koninkrijk op de wettelijke grondslag toegestaan onder de Handels- en Samenwerkingsovereenkomst tussen de Europese Unie en het Verenigd Koninkrijk ("Handelsovereenkomst"). Conform de bepalingen van de Handelsovereenkomst zal, in het geval dat aan het Verenigd Koninkrijk een adequaatheidsbesluit wordt verleend overeenkomstig artikel 45 van de AVG, elke Verwerking van Persoonsgegevens door Ontrack in het Verenigd Koninkrijk onderworpen zijn aan de toepasselijke bepalingen van het adequaatheidsbesluit en aanverwante artikelen van de AVG. Behoudens in verband met het Verenigd Koninkrijk zal Ontrack geen Persoonsgegevens doorgeven of Verwerken buiten de EER zonder de voorafgaande schriftelijke toestemming van de Klant.

6.2          In het geval dat de aanwijzing van het Verenigd Koninkrijk als een "derde land" onder de Handelsovereenkomst wordt gewijzigd, en/of het adequaatheidsbesluit door de Europese Unie niet binnen de in de Handelsovereenkomst bepaalde termijn wordt genomen, zullen Partijen de op het toepasselijke moment geldende EU Verwerkingsverantwoordelijke-Verwerker Standaard Contractbepalingen invoeren om rechtmatige Verwerking van Persoonsgegevens door Ontrack in het Verenigd Koninkrijk te verzekeren.

7              Opslag, informatie en controle

7.1          Ontrack dient een volledig en nauwkeurig archief met betrekking tot alle Verwerkingen van Persoonsgegevens aan te leggen, bij te werken en in stand te houden. 

7.2          Ontrack verleent de Klant het recht om, maximaal één maal per kalenderjaar en na en minste 30 (dertig) dagen voorafgaand verzoek daartoe, onderzoek uit te voeren met betrekking tot de Verwerking van Persoonsgegevens. Het onderzoek zal gedurende normale kantoortijden plaatsvinden en eventueel onderworpen zijn aan een redelijke geheimhoudingsverklaring om zodanige documenten in te zien en daarvan kopieën te maken die betrekking hebben op de Verwerking van Persoonsgegevens. Ontrack zal de Klant alle redelijke bijstand verlenen bij de uitoefening van zijn controlerechten. Dit controlerecht strekt zich niet uit tot enig datacentrum van een derde of tot andere derde bij wie servers ondergebracht zijn en waar uitsluitend visuele en begeleide inspectie toegestaan is.

7.3          Ontrack zal op verzoek en op kosten van de Klant onverwijld alle informatie aan de Klant verstrekken die nodig is om de Klant in staat te stellen aan te tonen dat hij zijn verplichtingen op grond van de Wetgeving betreffende Gegevensbescherming naleeft, uitsluitend indien en voor zover Ontrack in staat is dergelijke informatie te verstrekken.

8              Melding inbreuk

8.1          Met betrekking tot eventuele Inbreuk op Persoonsgegevens, zal Ontrack onverwijld: (i) de Klant van de Inbreuk op de Persoonsgegeven op de hoogte brengen; en (ii) de Klant bijzonderheden verstrekken van de Inbreuk op de Persoonsgegevens. 

9              Wissen of retourneren Persoonsgegevens en kopieën

9.1          Ontrack zal op schriftelijk verzoek van de Klant alle Persoonsgegevens wissen of aan de Klant retourneren, in zodanige vorm als de Klant in alle redelijkheid verzoekt, binnen een redelijke termijn en na, al naar gelang zich het eerst voordoet: (i) het einde van de levering van de Diensten; of (ii) zodra de Verwerking door Ontrack van eventuele Persoonsgegevens niet langer vereist is voor het doel van de uitvoering door Ontrack van zijn relevante verplichtingen op grond van deze Overeenkomst inzake Gegevensverwerking. Ontrack zal in dat geval bestaande kopieën wissen (tenzij bewaring van enige Persoonsgegevens onder toepasselijke wetgeving vereist is, in welk geval Ontrack de Klant van een dergelijk vereiste op de hoogte dient te brengen). Ontrack zal ervoor zorgdragen dat zijn Sub-Verwerkers dezelfde handelingen zullen verrichten met betrekking tot Persoonsgegevens.  

9.2          In het geval dat Persoonsgegevens in het bezit of onder controle van Ontrack blijven gedurende enige termijn die langer is dan 12 (twaalf) maanden zonder enige actieve instructies van de Klant, dient Ontrack dergelijke Persoonsgegevens te wissen.   

10           Vrijwaring

10.1        Iedere Partij (de “Vrijwarende Partij”) dient de andere Partij (de “Gevrijwaarde Partij”), nu en in de toekomst, te vrijwaren van alle vorderingen, rechtszaken, rechtsmaatregelen en boetes van een bevoegde overheidsinstantie en/of een Betrokkene tegen de Gevrijwaarde Partij (en alle door een dergelijke vordering, rechtszaak, rechtsmaatregel of boete veroorzaakte kosten) voortvloeiend uit of verband houdend met de niet-nakoming door de Vrijwarende Partij van deze Overeenkomst inzake Gegevensverwerking en/of overtreding van Wetgeving betreffende Gegevensbescherming.

11           Aansprakelijkheid

11.1        De totale aansprakelijkheid van een der Partijen op grond van deze Overeenkomst inzake Gegevensverwerking zal in geen geval de in de Voorwaarden vastgelegde en overeengekomen contractuele beperkingen overschrijden (met inbegrip van artikel 12 van de Voorwaarden). De in artikel 12.4 van de Voorwaarden vastgelegde en overeengekomen contractuele beperkingen zijn eveneens van toepassing op de vrijwaringsplicht die in artikel 10 van deze Overeenkomst inzake Gegevensverwerking is vastgelegd.

12           Duur en beëindiging

12.1        Deze Overeenkomst inzake Gegevensverwerking vangt aan op de datum waarop een bestelling voor diensten onder de Voorwaarden is geplaatst en blijft van kracht zolang Ontrack doorgaat met Verwerking van Persoonsgegevens, tenzij Partijen deze Overeenkomst inzake Gegevensverwerking met wederzijdse goedkeuring eerder beeindigen.

13           Forumkeuze en geschillenbeslechting

13.1        Op deze Overeenkomst inzake Gegevensverwerking zijn de bepalingen omtrent rechtskeuze en geschillenbeslechting zoals vastgelegd in de Voorwaarden van toepassing.

 Datum: 1 mei 2021