Bijlage Verwerking Persoonsgegevens
BIJLAGE B
Bijlage Verwerking Persoonsgegevens
Deze Bijlage behandelt de verplichtingen die worden beschreven in de AVG (zoals hieronder gedefinieerd) en is van toepassing op organisaties waarbij, op basis van een Opdracht, diensten van SHL aan het Bedrijf worden geleverd en die in Europa zijn gevestigd en/of producten en diensten aanbieden aan natuurlijke personen in Europa en/of die het gedrag van natuurlijke personen in Europa monitoren. Deze Bijlage maakt deel uit van de Overeenkomst. Indien een Opdracht voorwaarden bevat die niet in overeenstemming zijn met deze Bijlage, dan heeft deze Bijlage voorrang.
Wetgeving Inzake Gegevensbescherming betekent de Wet Bescherming Persoonsgegevens en Richtlijn 1995/46/EC, en alle andere toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens en privacy, inclusief wijzingen, herzieningen en vervangers van die wetgeving en inclusief de van toepassing wordende Algemene Verordening Gegevensbescherming (EU) 2016/679 (“AVG”).
A. Verwerking Persoonsgegevens in overeenstemming met Artikel 28 (Verwerker) van de AVG
1. Artikel 28 (1) – Passende technische en organisatorische maatregelen
Dit artikel wordt als volgt behandeld in Artikel 3.3 van de Algemene Voorwaarden:
Als Verwerker zal SHL (i) Persoonsgegevens verwerken overeenkomstig de redelijke instructies van het Bedrijf of anderszins, zoals toegestaan onder de Overeenkomst en (ii) toereikende administratieve, technische en fysieke beveiligingsmaatregelen implementeren om Persoonsgegevens te beschermen tegen ongeautoriseerde toegang, gebruik of openbaarmaking, ongeautoriseerde aanpassing, illegale verwijdering en onbedoeld verlies. SHL Group zal medewerking verlenen aan ieder verzoek van het Bedrijf met betrekking tot Persoonsgegevens die door of via het Bedrijf aan SHL Group zijn verstrekt, onder de voorwaarde dat een dergelijk verzoek niet in strijd is met de bepalingen van de Overeenkomst.
2. Artikel 28 (2) – Toestemming Sub-verwerkers
Dit artikel wordt behandeld in Artikel 3.4 en 10.5 van de Algemene Voorwaarden, zoals weergegeven in respectievelijk onderdeel (a) en (b) hieronder:
(a) SHL en aan haar Gelieerde Partijen hebben slechts in de hiernavolgende gevallen het recht om Persoonsgegevens te openbaren aan Derden (zoals hierna gedefinieerd): (i) wanneer SHL, of een relevante aan haar Gelieerde Partij, enig zakelijk vermogen verkrijgt of verkoopt (niet omvattende enige marketinglijst of voor marketingdoeleinden); (ii) wanneer SHL, of enige aan haar Gelieerde Partij, een overeenkomst sluit met een Derde om bepaalde diensten te verlenen namens SHL of een aan haar Gelieerde Partij of (iii) wanneer SHL, of een aan haar Gelieerde Partij, daartoe wordt verplicht op basis van een wettelijke regeling. SHL en aan haar Gelieerde partijen zullen een koper van hun vermogen waaronder Persoonsgegevens vallen, of een derde die Diensten namens hen verleent, contractueel verplichten om hetzelfde niveau van bescherming van Persoonsgegevens te bieden als opgenomen in de Overeenkomst en zoals vereist conform toepasselijke wetten inzake bescherming van persoonsgegevens. “Derde” in dit artikel betekent een persoon of entiteit anders dan het Bedrijf, aan SHL Gelieerde Partijen, de Verwerkingsverantwoordelijke of de Verwerker of een persoon geautoriseerd om gegevens te verwerken voor de Verwerkingsverantwoordelijke.
(b) In het kader van de nakoming van haar verplichtingen onder de Overeenkomst, mag SHL aan haar Gelieerde Partijen of bekwame onderaannemers inschakelen. In zo een geval zullen Gelieerde Partijen niet worden beschouwd als onderaannemers en blijft SHL te allen tijde verantwoordelijk.
(c) Om enige twijfel uit te sluiten en voor de doeleinden van onderdeel 2. (b) hierboven: SHL blijft te allen tijde verantwoordelijk voor alle Gelieerde Ondernemingen en bekwame onderaannemers
3. Artikel 28 (3) (a) – Instructies van de verwerkingsverantwoordelijke
SHL zal Persoonsgegevens alleen verwerken in overeenstemming met de voorwaarden van de Overeenkomst, een Opdracht die van toepassing is en de redelijke schriftelijke instructies van het Bedrijf, tenzij SHL op basis van een toepasselijk wettelijk voorschrift verplicht is om Persoonsgegevens te verwerken. In dat laatste geval stelt SHL het Bedrijf, voorafgaand aan die verwerking van Persoonsgegevens, in kennis van dat wettelijke voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
4. Artikel 28 (3) (b) – Geheimhouding
SHL staat er voor in dat personeel dat bevoegd is om Persoonsgegevens van het Bedrijf te verwerken, onderworpen is aan een bindende geheimhoudingsplicht met betrekking tot die Persoonsgegevens.
5. Artikel 28 (3) (c) – Maatregelen vereist op basis van Artikel 32
(a) SHL heeft, en zal in stand houden, een effectief informatiebeveiligingssysteem dat: (i) administratieve, technische en fysieke waarborgen omvat en (ii) passende technische en organisatorische maatregelen biedt. Het informatiebeveiligingssysteem is in elk geval toereikend om: de veiligheid en vertrouwelijkheid van Persoonsgegevens te bewaken, Persoonsgegevens te beschermen tegen mogelijke bedreigingen of gevaren voor de veiligheid of integriteit, te beschermen tegen ongeoorloofde toegang tot of gebruik van Persoonsgegevens, te beschermen tegen onrechtmatige verwerkingen of verwerkingen anders dan in overeenstemming met de voorwaarden van de Overeenkomst en om Persoonsgegevens te beschermen tegen onopzettelijk verlies, vernietiging, beschadiging, wijziging of openbaarmaking.
(b) Onverminderd het voorgaande, zullen zulke waarborgen en maatregelen passend zijn om bescherming te bieden tegen nadelen die kunnen voortvloeien uit een ongeoorloofde of onwettige verwerking, gebruik of openbaarmaking, onbedoeld verlies, vernietiging of beschadiging van Persoonsgegevens, dit alles in relatie tot de aard van de Persoonsgegevens. De waarborgen en maatregelen omvatten (ten minste): (i) het implementeren van de maatregelen die zijn voorgeschreven door Wetgeving Inzake Gegevensbescherming en andere relevante voorwaarden of bepalingen van de Overeenkomst of Opdracht; (ii) het treffen van redelijk maatregelen om de betrouwbaarheid van werknemers die toegang hebben tot de Persoonsgegevens te waarborgen; en (iii) het implementeren en handhaven van trainingen van SHL-personeel dat toegang heeft tot Persoonsgegevens en het treffen van redelijke maatregelen om Persoonsgegevens te kunnen vernietigen of teruggeven.
6. Artikel 28 (3) (d) – Aanstellen Sub-verwerkers
Zonder voorafgaande schriftelijke toestemming van het Bedrijf, zal SHL geen Persoonsgegevens van een Bedrijf door een sub-verwerker laten verwerken, behalve voor zover uiteengezet in de Overeenkomst.
7. Artikel 28 (3) (e) – Passende technische en organisatorische maatregelen met betrekking tot rechten van de betrokkene.
Indien een Kandidaat zijn rechten van de betrokkene, zoals vastgelegd in Hoofstuk III van de AVG, uit wil oefenen, zal SHL, voor zover redelijkerwijs mogelijk, het Bedrijf ondersteunen bij het nakomen van de verplichtingen van het Bedrijf met betrekking tot het verzoek van de betrokkene, zoals in bedoeld in Hoofdstuk II van de AVG.
8. Artikel 28 (3) (f) – Naleving van artikelen 32 tot 36
SHL zal de informatie en ondersteuning bieden die redelijkerwijs door het Bedrijf wordt verzocht, binnen het tijdsbestek dat redelijkerwijs door het Bedrijf wordt aangegeven, om het voor het Bedrijf mogelijk te maken om te voldoen aan verplichtingen die het Bedrijf heeft op basis van de toepasselijke Wetgeving Inzake Gegevensbescherming. Daaronder wordt in ieder geval gestaan, voor zover redelijkerwijs mogelijk, het Bedrijf ondersteunen bij: (i) het voldoen aan de verplichtingen van het bedrijf om ervoor te zorgen dat Persoonsgegevens veilig worden verwerkt en opgeslagen; (ii) voldoen aan de verplichtingen van het Bedrijf om Kandidaten te informeren over ernstige inbreuken op Persoonsgegevens; (iii) Uitvoeren van gegevensbeschermingeffectbeoordelingen en audits om de naleving van de gegevensbeschermingeffectbeoordelingen te controleren; en (iv) indien nodig, het raadplegen van de toepasselijke toezichthoudende autoriteit, na een gegevensbeschermingseffectbeoordeling.
9. Artikel 28 (3) (g) – Verwijderen van Persoonsgegevens
SHL zal, na een daartoe strekkend schriftelijk verzoek van het Bedrijf, onmiddellijk en veilig: (i) de Persoonsgegevens aan het Bedrijf teruggeven; of (ii) de Persoonsgegevens vernietigen (tenzij de voortdurende opslag door SHL vereist is volgens van toepassing zijnde wetgeving).
10. Artikel 28 (3) (h) – Audit
(a) SHL zal aan het Bedrijf alle informatie verstrekken die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen die zijn vastgelegd in Artikel 28 (Verwerker) van de Algemene Verordening Gegevensbescherming (EU) 2016/679. Het Bedrijf stemt ermee in dat de huidige ISO 27001-certificering van SHL zal worden gebruikt om te voldoen aan alle audit- of inspectieverzoeken van of namens het bedrijf en SHL zal dergelijke rapporten ter beschikking stellen aan het Bedrijf.
(b) SHL zal het Bedrijf onmiddellijk informeren indien, naar het oordeel van SHL, een instructie die door het Bedrijf is gegeven op basis van onderdeel A.10 (a) in strijd is met enige bepaling van Wetgeving Inzake Gegevensbescherming.
B. Aansprakelijkheid
1. Aansprakelijkheid voor inbreuken op de AVG
Onder voorbehoud van Artikel 5.1 en 5.3 van de Algemene Voorwaarden, is de totale aansprakelijkheid van SHL, die rechtstreeks voortvloeit uit de niet-nakoming door SHL van haar verplichtingen als Verwerker onder de AVG, beperkt tot het bedrag dat direct kan worden toegerekend aan de handelingen van SHL, of het niet naleven van de AVG door SHL, bij de uitvoering van zijn diensten. De volgende schadeposten worden, voor zover ze voortvloeien uit een inbreuk op de AVG, beschouwd als directe schade die op grond van de Overeenkomst voor vergoeding in aanmerking komt, en geen van de partijen zal eisen of stellen dat dergelijke schade indirecte, speciale, incidentele, gevolg-, punitieve of anderszins niet-verhaalbare schade is: (i) alle kosten en uitgaven die door het Bedrijf worden gemaakt om schade aan gegevens van het Bedrijf (inclusief Persoonsgegevens) te onderzoeken en te herstellen; (ii) alle kosten die door het Bedrijf worden gemaakt in verband met een wettelijk vereiste kennisgeving aan derden (met inbegrip van de betreffende betrokkenen) van ongeoorloofde toegang tot of gebruik van gegevens van het Bedrijf (inclusief Persoonsgegevens) die gerelateerd zijn aan die personen; (iii) sancties, boetes, en rente daarover welke zijn opgelegd aan het Bedrijf als gevolg van de schending; en (iv) redelijke honoraria van advocaten.
C. Samenvatting van de verwerking
1. Partijen komen de volgende door de AVG vereiste informatie overeen:
| Onderwerp van de verwerking | SHL talent assessment diensten. |
| Duur van de verwerking | Persoonsgegevens worden verwijderd of teruggegeven op verzoek en instructie van het Bedrijf. |
| Aard en doel van de verwerking | De betrokkene zal het assessment uitvoeren met behulp van de online assessmentsystemen van SHL. De assessments zullen worden beoordeeld om een assessmentsrapport met resultaten op te stellen dat door SHL aan het Bedrijf wordt verstrekt. SHL kan enquêtes of andere verwerkingen uitvoeren op verzoek van het Bedrijf. Het Bedrijf heeft toegang tot kandidaat gegevens, inclusief de resultaten van assessments, en de platforminterface. |
| Soort persoonsgegevens | Naam, E-mailadres, Geslacht, Taal, Bedrijfs-ID, demografische werknemersgegevens, antwoorden op assessments en andere enquêtes, andere gegevens die door het Bedrijf worden verzocht. |
| Categorieën van betrokkenen | Kandidaten en/of werknemers van het Bedrijf |