Het doel van deze bijlage is om de voorwaarden vast te leggen waaronder FYGR, in zijn hoedanigheid van onderaannemer en in het kader van de diensten die in het document worden gedefinieerd, zich ertoe verbindt om verwerkingen van persoonsgegevens uit te voeren voor rekening van zijn gebruikers in overeenstemming met de toepasselijke bepalingen inzake de bescherming van persoonsgegevens, in het bijzonder de gewijzigde wet van 6 januari 1978 betreffende gegevensverwerking, gegevensbestanden en individuele vrijheden en Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 van toepassing sinds 25 mei 2018 (hierna "RGPD").
In het kader hiervan treedt FYGR dus op als "onderaannemer" in de volgende gevallen: wanneer de klant persoonlijke informatie over derden opslaat of er toegang toe verschaft via het gebruik van de Powens service, Bridge API of Fintecture.
De gebruiker wordt verondersteld op te treden als een "verantwoordelijke voor de verwerking" in de zin van de definities van de RGPD.
In het kader van hun contractuele betrekkingen verbinden de partijen zich er aldus toe om, elk voor zich, de geldende reglementering inzake de verwerking van persoonsgegevens na te leven.
In het kader van hun contractuele betrekkingen verbinden de partijen zich er aldus toe om, elk voor zich, de geldende reglementering inzake de verwerking van persoonsgegevens na te leven.
Persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (hierna de "betrokkene" genoemd); een "identificeerbare natuurlijke persoon" is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online identificator, of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.
Gevoelige gegevens of bijzondere categorieën gegevens: persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook genetische gegevens, biometrische gegevens die de unieke identificatie van een natuurlijke persoon tot doel hebben, gegevens die de gezondheid betreffen of gegevens die het seksleven of de seksuele geaardheid van een natuurlijke persoon betreffen (artikel 9 van de RGPD).
Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van gegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, beperken, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke : de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt; Subverwerker: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, namens de verwerkingsverantwoordelijke, persoonsgegevens verwerkt.
Ontvanger: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of andere instantie die persoonsgegevens ontvangt, al dan niet een derde partij. Overheidsinstanties die persoonsgegevens kunnen ontvangen in het kader van een specifiek onderzoek overeenkomstig de EU-wetgeving of de wetgeving van een gebruikersstaat, worden echter niet als ontvangers beschouwd; de verwerking van dergelijke gegevens door de overheidsinstanties in kwestie voldoet aan de toepasselijke gegevensbeschermingsregels overeenkomstig de doeleinden van de verwerking.
FYGR is gemachtigd om, als onderaannemer die handelt in opdracht van de gebruiker, de persoonsgegevens van de verantwoordelijke voor de verwerking te verwerken in de mate die nodig is voor de levering van de diensten.
De aard van de operaties die FYGR uitvoert met betrekking tot Persoonsgegevens kan de opslag van informatie zijn en/of andere diensten zoals beschreven in de TOS. Het type Persoonsgegevens en de categorieën van betrokken personen worden door de gebruiker naar eigen goeddunken bepaald en gecontroleerd. De verwerkingsactiviteiten worden uitgevoerd door FYGR gedurende de periode die is bepaald in de AGV.
Als onderaannemer verbindt FYGR zich ertoe om :
1. Persoonsgegevens uitsluitend verwerken ten behoeve van het verlenen van de Diensten;
2. Persoonlijke gegevens niet in te zien of te gebruiken voor andere doeleinden dan die welke noodzakelijk zijn voor de uitvoering van de diensten;
3. Persoonlijke gegevens verwerken in overeenstemming met de gedocumenteerde instructies van de gebruiker;
4. De gebruiker informeren indien, naar haar mening en rekening houdend met de informatie waarover zij beschikt, een van de instructies een inbreuk vormt op de GDPR of op een andere bepaling van het recht van de Unie of van de wetgeving van de Gebruikersstaten met betrekking tot gegevensbescherming;
5. De vertrouwelijkheid van persoonsgegevens die worden verwerkt in het kader van de uitvoering van haar taken te waarborgen;
6. Waar van toepassing, ervoor zorgen dat de gebruikers van haar personeel die bevoegd zijn om Persoonsgegevens te verwerken :
7. In haar tools, producten, toepassingen en diensten rekening houden met de principes van gegevensbescherming door ontwerp en gegevensbescherming door standaard;
8.
8. Onderaannemers: FYGR kan een andere onderaannemer inschakelen om de Persoonsgegevens te verwerken voor de uitvoering van de diensten ("Onderaannemer").
De gebruiker geeft FYGR de uitdrukkelijke toestemming om deze bedrijven aan te stellen als Onderaannemer. In elk geval is de Onderaannemer verplicht om de verplichtingen van dit contract na te leven in naam van en volgens de instructies van FYGR. Het is de verantwoordelijkheid van FYGR om ervoor te zorgen dat de onderaannemer dezelfde voldoende garanties biedt betreffende de implementatie van gepaste technische en organisatorische maatregelen zodat de verwerking voldoet aan de vereisten van de Europese Verordening Gegevensbescherming. Als de onderaannemer zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft FYGR volledig verantwoordelijk tegenover de gebruiker voor het nakomen van zijn verplichtingen door de andere onderaannemer.
9.
Recht op informatie van betrokkenen: De gebruiker is als verantwoordelijke voor de verwerking volledig verantwoordelijk voor het informeren van betrokkenen over hun rechten en voor het waarborgen dat deze rechten worden gerespecteerd, waaronder het recht op toegang, rectificatie, wissing, beperking of overdraagbaarheid.
10.
10. Uitoefening van de rechten van individuen: FYGR zal de medewerking en bijstand verlenen die redelijkerwijs nodig is om te reageren op verzoeken van betrokkenen. Dergelijke redelijke samenwerking en bijstand kan het volgende omvatten: (a) de gebruiker op de hoogte brengen van elk verzoek dat rechtstreeks van de betrokkene wordt ontvangen en (b) de Gegevensverwerker in staat stellen om de technische en organisatorische maatregelen te ontwerpen en te implementeren die nodig zijn om te reageren op de verzoeken van de betrokkenen.
De gebruiker, als verantwoordelijke voor de verwerking, is als enige verantwoordelijk voor de antwoorden op dergelijke verzoeken. De gebruiker erkent en stemt ermee in dat, in het geval dat dergelijke samenwerking en bijstand aanzienlijke middelen vereist van FYGR, dit in rekening kan worden gebracht aan de gebruiker op voorwaarde dat de gebruiker hiervan op voorhand op de hoogte wordt gebracht en hiermee akkoord gaat.
11.
11. Kennisgeving van inbreuken op persoonsgegevens: FYGR verbindt zich ertoe de gebruiker op om het even welke manier op de hoogte te brengen van inbreuken op persoonsgegevens binnen een termijn van maximaal 72 (tweeënzeventig) uur nadat hij er kennis van heeft gekregen. Deze kennisgeving gaat vergezeld van alle nuttige documentatie zodat de gebruiker, indien nodig, de bevoegde toezichthoudende autoriteit (CNIL) op de hoogte kan brengen van deze inbreuk.
12.
Bijstand van FYGR in het kader van de naleving van de verplichtingen door de gebruiker: FYGR verbindt zich ertoe om, in de mate van het mogelijke en indien nodig, de gebruiker bij te staan bij het uitvoeren van impactanalyses met betrekking tot gegevensbescherming. FYGR verbindt zich er eveneens toe om, indien nodig, de gebruiker bij te staan bij het uitvoeren van voorafgaand overleg met de toezichthoudende autoriteit (CNIL).
13.
Beveiligingsmaatregelen: FYGR implementeert passende technische en organisatorische maatregelen om de veiligheid, vertrouwelijkheid en integriteit van de gegevensverwerking te waarborgen en om gegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.
14.
Lot van gegevens: Aan het einde van de dienstverlening (met inbegrip van de beëindiging van de TOS) verbindt FYGR zich ertoe om alle inhoud (met inbegrip van gegevens, bestanden, enz.
) gereproduceerd, opgeslagen, gehost of op een andere manier gebruikt door de gebruiker in het kader van de diensten, tenzij een verzoek van een bevoegde wettelijke of gerechtelijke instantie, of de toepasselijke wetgeving van de Europese Unie of van een lidstaat van de Europese Unie, anders vereist. De gebruiker is er als enige verantwoordelijk voor dat de handelingen die nodig zijn (zoals back-up, overdracht naar een oplossing van een derde partij, enz.) voor het bewaren van de Persoonsgegevens worden uitgevoerd, in het bijzonder voor de beëindiging of afloop van de diensten, en voor het uitvoeren van een handeling om de diensten te verwijderen, bij te werken of opnieuw te installeren.
In dit verband wordt de gebruiker geïnformeerd dat de beëindiging en het aflopen van de service om welke reden dan ook, evenals bepaalde handelingen om de services bij te werken of opnieuw te installeren, automatisch kunnen leiden tot de onomkeerbare verwijdering van alle inhoud die door de gebruiker wordt gereproduceerd, opgeslagen, gehost of anderszins gebruikt als onderdeel van de services, met inbegrip van eventuele back-ups.
15.
Register van categorieën van verwerkingsactiviteiten: FYGR verklaart dat het een schriftelijk register bijhoudt van alle categorieën van verwerkingsactiviteiten die ten behoeve van de gebruiker worden uitgevoerd, waaronder:
16.
Documentatie: FYGR zal aan zijn gebruikers de documentatie ter beschikking stellen die nodig is om de naleving van al zijn verplichtingen aan te tonen en om audits mogelijk te maken en bij te staan, met inbegrip van inspecties, die door de gebruiker of een andere door hem aangestelde auditor moeten worden uitgevoerd. In de context van dergelijke audits zal de gebruiker of de door hem aangestelde auditor echter geen toegang krijgen tot de bedrijfsgeheimen van FYGR, de strategische informatie van FYGR of informatie die FYGR heeft toegezegd vertrouwelijk te houden met betrekking tot zijn andere klanten en/of partners. FYGR kan zich verzetten tegen elke controlemaatregel door de gebruiker of de auditor aangesteld door FYGR die hen toegang kan verlenen tot dergelijke gegevens of informatie. FYGR zal er in elk geval voor zorgen dat de auditor en meer algemeen het personeel dat de audit uitvoert, onderworpen zijn aan gepaste vertrouwelijkheidsverplichtingen.
De gebruiker verbindt zich ertoe te voldoen aan de verplichtingen die krachtens de RGPD op hem rusten als verantwoordelijke voor de verwerking van gegevens. In dit opzicht is het de verantwoordelijkheid van de gebruiker om ervoor te zorgen dat:
Bovendien verbindt de gebruiker zich ertoe om :