In dit document hebben de volgende begrippen dezelfde betekenis als in de GDPR:
Persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (hierna de "betrokkene" genoemd); een "identificeerbare natuurlijke persoon" is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online identificator, of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.
Gevoelige gegevens of bijzondere categorieën gegevens: persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook genetische gegevens, biometrische gegevens die de unieke identificatie van een natuurlijke persoon tot doel hebben, gegevens die de gezondheid betreffen of gegevens die het seksleven of de seksuele geaardheid van een natuurlijke persoon betreffen (artikel 9 van de RGPD).
Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van gegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, beperken, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke : de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt; Subverwerker: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, namens de verwerkingsverantwoordelijke, persoonsgegevens verwerkt.
Ontvanger: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of andere instantie die persoonsgegevens ontvangt, al dan niet een derde partij. Overheidsinstanties die persoonsgegevens kunnen ontvangen in het kader van een specifiek onderzoek overeenkomstig de EU-wetgeving of de wetgeving van een gebruikersstaat, worden echter niet als ontvangers beschouwd; de verwerking van dergelijke gegevens door de overheidsinstanties in kwestie voldoet aan de toepasselijke gegevensbeschermingsregels overeenkomstig de doeleinden van de verwerking.
Als onderaannemer verbindt FYGR zich ertoe om :
1. Persoonsgegevens uitsluitend verwerken ten behoeve van het verlenen van de diensten;
2. De Persoonsgegevens niet in te zien of te gebruiken voor andere doeleinden dan die welke noodzakelijk zijn voor de uitvoering van de diensten;
3. Persoonsgegevens verwerken in overeenstemming met de gedocumenteerde instructies van de gebruiker;
4. De Gebruiker informeren indien, naar haar mening en rekening houdend met de informatie waarover zij beschikt, een van de instructies een inbreuk vormt op de GDPR of een andere bepaling van het recht van de Unie of het recht van de Staten van Gebruiker met betrekking tot gegevensbescherming.
5. De vertrouwelijkheid van persoonsgegevens die worden verwerkt bij de uitvoering van haar taken te waarborgen;
6.
Waar van toepassing, ervoor zorgen dat gebruikers van haar personeel die Persoonsgegevens mogen verwerken: - zich verbinden tot geheimhouding of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht; - de nodige training krijgen in de bescherming van Persoonsgegevens;
7. In haar tools, producten, toepassingen en diensten rekening houden met de principes van gegevensbescherming door ontwerp en gegevensbescherming door standaard.
8. Latere onderaannemers :
FYGR kan een andere onderaannemer inschakelen om Persoonsgegevens te verwerken in verband met de uitvoering van de Diensten ("Onderaannemer"). De gebruiker geeft FYGR de uitdrukkelijke toestemming om deze bedrijven in te schakelen als Onderaannemer.
In elk geval is de Onderaannemer verplicht om de verplichtingen van dit contract na te komen in naam van en volgens de instructies van FYGR. Het is de verantwoordelijkheid van FYGR om ervoor te zorgen dat de onderaannemer dezelfde voldoende garanties biedt met betrekking tot de implementatie van gepaste technische en organisatorische maatregelen zodat de verwerking voldoet aan de vereisten van de Europese Verordening Gegevensbescherming. Als de onderaannemer zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft FYGR ten opzichte van de gebruiker volledig verantwoordelijk voor het nakomen van zijn verplichtingen door de andere onderaannemer.
9. Recht op informatie van de betrokkenen :
De gebruiker is als verantwoordelijke voor de verwerking volledig verantwoordelijk voor het informeren van betrokkenen over hun rechten en voor het waarborgen dat deze rechten worden gerespecteerd, waaronder het recht op toegang, rectificatie, wissing, beperking of overdraagbaarheid.
10. Uitoefening van individuele rechten :
FYGR verleent de medewerking en bijstand die redelijkerwijs nodig is om te reageren op verzoeken van betrokkenen. Dergelijke redelijke samenwerking en bijstand kan het volgende inhouden (a) het meedelen aan de gebruiker van elk verzoek dat rechtstreeks van de betrokkene wordt ontvangen en (b) het in staat stellen van de verantwoordelijke voor de verwerking om de technische en organisatorische maatregelen te ontwerpen en in te voeren die nodig zijn om te reageren op verzoeken van betrokkenen.
De gebruiker, als verantwoordelijke voor de verwerking, is als enige verantwoordelijk voor het beantwoorden van deze verzoeken.
De gebruiker erkent en stemt ermee in dat in het geval dat dergelijke samenwerking en bijstand aanzienlijke middelen vereist van de kant van FYGR, dit kan worden aangerekend aan de gebruiker na voorafgaande kennisgeving en akkoord.
11. Melding van inbreuken in verband met persoonsgegevens :
FYGR verbindt zich ertoe om de gebruiker op om het even welke manier op de hoogte te brengen van elke inbreuk op de persoonsgegevens binnen een termijn van maximaal 72 (tweeënzeventig) uur nadat hij er kennis van heeft gekregen. Deze kennisgeving gaat vergezeld van alle nuttige documentatie om de gebruiker in staat te stellen om, indien nodig, deze schending te melden aan de bevoegde controleautoriteit (CNIL).
12. Hulp van FYGR bij het nakomen van de verplichtingen van de gebruiker :
FYGR verbindt zich ertoe de gebruiker in de mate van het mogelijke en indien nodig bij te staan bij het uitvoeren van impactanalyses met betrekking tot gegevensbescherming.
FYGR verbindt zich er ook toe om, indien nodig, de gebruiker bij te staan bij de voorafgaande raadpleging van de toezichthoudende autoriteit (CNIL).
13. Veiligheidsmaatregelen :
FYGR implementeert gepaste technische en organisatorische maatregelen om de veiligheid, vertrouwelijkheid en integriteit van de gegevensverwerking te garanderen en om gegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot persoonsgegevens die worden doorgegeven, opgeslagen of anderszins verwerkt.
14. Gegevensuitvoer :
Bij beëindiging van de dienst (met inbegrip van beëindiging van de TOS) verbindt FYGR zich ertoe om alle inhoud te verwijderen (met inbegrip van gegevens, bestanden, enz.) die gereproduceerd, opgeslagen, gehost of op een andere manier gebruikt werd door de gebruiker in verband met de diensten, tenzij anders vereist door een verzoek van een bevoegde wettelijke of gerechtelijke autoriteit, of door de toepasselijke wetgeving van de Europese Unie of van een lidstaat van de Europese Unie.
De gebruiker is zelf verantwoordelijk voor het uitvoeren van de noodzakelijke handelingen (zoals het maken van back-ups, het overbrengen naar een oplossing van een derde partij, etc.) voor het bewaren van Persoonsgegevens, in het bijzonder voor het beëindigen of verlopen van de diensten en voor het uitvoeren van handelingen voor het verwijderen, bijwerken of opnieuw installeren van de diensten.
In dit verband wordt de gebruiker geïnformeerd dat de beëindiging en het aflopen van de service om welke reden dan ook, evenals bepaalde handelingen om de services bij te werken of opnieuw te installeren, automatisch kunnen leiden tot de onomkeerbare verwijdering van alle inhoud die door de gebruiker wordt gereproduceerd, opgeslagen, gehost of anderszins gebruikt als onderdeel van de services, inclusief eventuele back-ups.
15. Register van categorieën van verwerkingsactiviteiten :
FYGR verklaart een schriftelijk dossier bij te houden van alle categorieën van verwerkingsactiviteiten die namens de gebruiker worden uitgevoerd, inclusief:
- de naam en contactgegevens van de gebruiker namens wie het optreedt, eventuele onderaannemers en, indien van toepassing, de functionaris voor gegevensbescherming;
- de categorieën van verwerking die namens de gebruiker worden uitgevoerd ;
- indien van toepassing, doorgiften van persoonsgegevens naar een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van doorgiften als bedoeld in artikel 49, lid 1, tweede alinea, van de GDPR, documenten die het bestaan van passende waarborgen aantonen;
- voor zover mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
16. Documentatie :
FYGR stelt zijn gebruikers de documentatie ter beschikking die nodig is om aan te tonen dat alle verplichtingen worden nageleefd en om audits mogelijk te maken en bij te staan, met inbegrip van inspecties, door de gebruiker of een andere auditor die door de gebruiker is aangesteld.
In het kader van dergelijke audits zal de gebruiker of de door hem aangestelde auditor echter geen toegang krijgen tot de bedrijfsgeheimen van FYGR, de strategische informatie van FYGR of informatie die FYGR vertrouwelijk heeft gehouden tegenover zijn andere klanten en/of partners. FYGR kan bezwaar maken tegen elke controlemaatregel door de gebruiker of de auditor die door FYGR is aangesteld, waardoor ze toegang krijgen tot dergelijke gegevens of informatie. FYGR zal er in elk geval voor zorgen dat de auditor en meer algemeen het personeel dat de audit uitvoert, onderworpen zijn aan gepaste vertrouwelijkheidsverplichtingen.
De gebruiker verbindt zich ertoe te voldoen aan de verplichtingen die krachtens de RGPD op hem rusten als verantwoordelijke voor de verwerking van gegevens. In dit opzicht is het de verantwoordelijkheid van de gebruiker om ervoor te zorgen dat:
- de verwerking van persoonsgegevens heeft een passende rechtsgrondslag (bijvoorbeeld de toestemming van de betrokkene, het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of een wettelijke bepaling, enz;)
- gegevensverwerkingsregisters worden bijgehouden;
- alle vereiste formaliteiten en procedures (zoals een effectbeoordeling, kennisgeving of vergunningsaanvraag bij de toezichthoudende autoriteit of een andere instantie) zijn uitgevoerd, indien van toepassing;
- Betrokkenen worden op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier geïnformeerd over de verwerking van persoonsgegevens;
- betrokkenen de mogelijkheid hebben om hun rechten uit te oefenen, zoals bepaald in de RGPD ;
- technische en organisatorische maatregelen worden geïmplementeerd binnen haar eigen systemen en operaties buiten de reikwijdte van de diensten om de veiligheid van de verwerking van persoonsgegevens te garanderen.
Bovendien verbindt de gebruiker zich ertoe om :
- alle instructies met betrekking tot de verwerking van gegevens schriftelijk vastleggen ;
- ervoor zorgen dat FYGR vooraf en tijdens de gehele verwerkingsperiode voldoet aan de verplichtingen die zijn vastgelegd in de RGPD;
- toezicht houden op de verwerking, met inbegrip van het uitvoeren van audits en inspecties van FYGR, onder de hierboven beschreven voorwaarden.
