Bijlage SHL Wereldwijde Verwerkersovereenkomst

Last Updated: 6 June 2023

 

Deze SHL Wereldwijde Verwerkersovereenkomst en zijn Bijlagen (“Verwerkersovereenkomst”) geven de afspraken van partijen weer met betrekking tot de Verwerking van Persoonsgegevens door ons namens u in verband met (het gebruik van) de SHL Producten en Diensten onder de SHL Algemene Voorwaarden tussen u en ons (in deze Verwerkersovereenkomst ook wel de “Overeenkomst” genoemd).

Deze Verwerkersovereenkomst is een aanvulling op, en maakt integraal deel uit van, de Overeenkomst en is van kracht zodra zij in de Overeenkomst is opgenomen, hetgeen in de Overeenkomst, een Opdracht of een uitgevoerde wijziging op de Overeenkomst kan worden gespecificeerd. In geval van tegenstrijdigheid of inconsistentie met de voorwaarden van de Overeenkomst hebben de voorwaarden van deze Verwerkersovereenkomst voorrang op de tegenstrijdige of inconsistente voorwaarden van de Overeenkomst.

De looptijd van deze Verwerkersoveree nbreuk op Persoonsgegevens” nkomst volgt de looptijd van de Overeenkomt. Termen die niet anderszins in deze Verwerkersovereenkomst zijn gedefinieerd, hebben de betekenis zoals vastgelegd in de Overeenkomst. In deze Verwerkersovereenkomst wordt naar het Bedrijf verwezen als “u” en naar SHL als “ons” of “wij”

1. Definities

“Californische Persoonsgegevens” betekent Persoonsgegevens die zijn onderworpen aan de bescherming van de CCPA.
“CCPA" betekent California Civil Code Sec. 1798.100 et seq. (ook bekend als de California Consumer Privacy Act of 2018).
"Consumer", "Business", "Sell" en "Service Provider" hebben de betekenis die daaraan in de CCPA wordt gegeven. 
“Verwerkingsverantwoordelijke” betekent de persoon, entiteit of andere instantie die het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; voor Zuid-Afrika omvat dit de Responsible Party in de zin van POPIA en voor de Volksrepubliek China betekent de Verwerkingsverantwoorde de data handler zoals gedefinieerd onder PIPL.
“Verwerker” betekent de persoon, entiteit of andere instantie (anders dan een werknemer van de Verwerkingsverantwoordelijke) die Persoonsgegevens Verwerkt namens de Verwerkingsverantwoordelijke; voor Zuid-Afrika omvat dit de Operator in de zin van POPIA en voor de Volksrepubliek China betekent de Verwerker de entrusted party zoals gedefinieerd onder PIPL.
“Gegevensbeschermingswetten” betekent alle toepasselijke wereldwijde wetgeving op het gebied van gegevensbescherming en privacy die van toepassing is op een partij in het kader van de Verwerking van Persoonsgegevens onder de Overeenkomst met inbegrip van, maar niet beperkt tot, Europese Gegevensbeschermingswetten; in alle gevallen zoals van tijd tot tijd gewijzigd, ingetrokken, geconsolideerd of vervangen.
“Betrokkene” betekent het individu op wie de Persoonsgegevens betrekking hebben.
"Europa" betekent de Europese Unie, de Europees Economische Ruimte en/of hun lidstaten, Zwitserland en het Verenigd Koninkrijk.
“Europese Persoonsgegevens” betekent Persoonsgegevens die onderworpen zijn aan de bescherming van Europese Gegevensbeschermingswetten.
"Europese Gegevensbeschermingswetten" betekent gegevensbeschermingswetten die van toepassing zijn in Europa waaronder: (i) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming) (“AVG”); (ii) Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie; en (iii) de toepasselijke nationale implementatiewetten van (i) en (ii); of (iii) met betrekking tot het Verenigd Koninkrijk, alle toepasselijke nationale wetgeving die de AVG of enige andere wetgeving met betrekking tot gegevensbescherming en privacy vervangt of in nationaal recht omzet als gevolg van het feit dat het Verenigd Koninkrijk de Europese Unie verlaat; en (iv) de Zwitserse Federale Wet op de Gegevensbescherming van 19 juni 1992 en de bijbehorende Verordening; in alle gevallen zoals deze kunnen worden gewijzigd, vervangen of aangepast.
“Instructies” betekenen de schriftelijke, gedocumenteerde instructies van de Verwerkingsverantwoordelijke aan de Verwerker, waarmee aan de Verwerker een algemene of specifieke opdracht wordt gegeven met betrekking tot Persoonsgegevens (waaronder, maar niet beperkt tot, het depersonaliseren, blokkeren, wissen, ter beschikking stellen).
"Toegelaten Gelieerde Partijen" betekent elk van uw Gelieerde Partijen die (i) toestemming hebben om de Producten en/of Diensten te gebruiken op grond van de Overeenkomst, maar die niet zelf een overeenkomst met ons hebben, (ii) kwalificeren als een Verwerkingsverantwoordelijke van Persoonsgegevens die door ons Verwerkt worden, en (iii) die zijn onderworpen aan Europese Gegevensbeschermingswetten.
“Persoonsgegevens” betekent alle gegevens of informatie die door u worden verstrekt, of die door ons worden verzameld in het kader van de levering van Producten en/of Diensten, en die betrekking hebben op een levende persoon die aan de hand van die gegevens geïdentificeerd kan worden, maar omvat geen Geaggregeerde Onderzoeksgegevens of Benchmarks.
“Inbreuk op Persoonsgegevens” betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Persoonsgegevens die door ons of onze Sub-Verwerkers worden doorgezonden, opgeslagen of anderszins Verwerkt in het kader van de levering van Producten en/of Diensten. “Inbreuk op Persoonsgegevens” omvat geen onsuccesvolle pogingen of activiteiten die de beveiliging van Persoonsgegevens niet in gevaar brengen met inbegrip van onsuccesvolle inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
"PIPL” betekent de Personal Information Protection Law van de Volksrepubliek China zoals op 1 november 2021 in werking getreden en alle andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens en privacy, zoals deze wetgeving van tijd tot tijd wordt gewijzigd, herzien of vervangen.
“PIPL Persoonsgegevens” betekent Persoonsgegevens die onderworpen zijn aan de bescherming van PIPL.
“POPIA” betekent de South Africa Protection of Personal Information Act, 2013 (Act 4 of 2013) en alle andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens en privacy, zoals deze wetgeving van tijd tot tijd wordt gewijzigd, herzien of vervangen
“POPIA Persoonsgegevens” betekent Persoonsgegevens die onderworpen zijn aan de bescherming van POPIA.
“Verwerking” betekent een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens. De termen “Verwerken” en “Verwerkt” hebben een dienovereenkomstige betekenis.
“SHL Toegelaten Gelieerde Partijen” betekent de aan SHL Gelieerde Partijen die toestemming hebben om Persoonsgegevens te Verwerken zoals bepaald door de locatie voor het Platform die u selecteert wanneer u gebruik maakt van Diensten van SHL. De tabel met SHL Toegestane Gelieerde Partijen is hier beschikbaar: https://www.shl.com/legal/shl-permitted-affiliates/
“Modelcontracten” betekent de modelcontracten voor Verwerkers zoals vastgesteld met het Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, in de vorm zoals uiteengezet op: www.shl.com/legal/terms-and-conditions/shl-pre-signed-european-standard-contractual-clauses ; en zoals deze gewijzigd, herzien of vervangen kan worden.
“Derde-Partij Sub-Verwerker” betekent elke Verwerker die door ons, of een aan ons Gelieerde Partij, wordt ingeschakeld om ons te helpen bij het nakomen van onze verplichtingen met betrekking tot de levering van Producten en/of Diensten onder de Overeenkomst. De huidige lijst met Derde-Partij Sub-Verwerkers is hier beschikbaar: https://www.shl.com/legal/security-and-compliance/platforms-sub-processors/

2. Verantwoordelijkheden van het Bedrijf

a. Naleving van wetten. Binnen het toepassingsgebied van de Overeenkomst, en bij uw gebruik van de Producten en/of Diensten, bent u verantwoordelijk voor de naleving van alle vereisten die op u van toepassing zijn onder de toepasselijke Gegevensbeschermingswetten en de Instructies die u aan ons verstrekt. In het bijzonder, maar zonder afbreuk te doen aan de algemeenheid van het voorgaande, erkent u en stemt u ermee in dat u als enige verantwoordelijk bent: (i) voor de juistheid, kwaliteit en rechtmatigheid van Bedrijfseigendommen en de manieren waarop u Persoonsgegevens heeft verkregen; (ii) voor het voldoen aan alle noodzakelijke transparantie- en rechtmatigheidsvereisten onder de toepasselijke Gegevensbeschermingswetten voor het verzamelen en het gebruiken van Persoonsgegevens, inclusief het verkrijgen van noodzakelijke toestemmingen en autorisaties; (iii) om ervoor te zorgen dat u het recht heeft om de Persoonsgegevens aan ons over te dragen, of ons daar toegang toe te verlenen, zodat wij die kunnen Verwerken in overeenstemming met de Overeenkomst (inclusief deze Verwerkersovereenkomst); (iv) om ervoor te zorgen dat uw Instructies aan ons in het kader van de Verwerking van Persoonsgegevens in overeenstemming zijn met toepasselijke wetgeving, inclusief Gegevensbeschermingswetten; en (v) voor de naleving van alle toepasselijke wetgeving (inclusief Gegevensbeschermingswetten). U zult ons zonder onnodige vertraging informeren indien u niet in staat bent om te voldoen aan uw verantwoordelijkheden onder dit artikel 2.a.
b. Instructies van de Verwerkingsverantwoordelijke. De partijen komen overeen dat de Overeenkomst (inclusief deze Verwerkersovereenkomst), tezamen met uw gebruik van de Producten en/of Diensten in overeenstemming met de Overeenkomst, uw volledige en definitieve Instructies aan ons vormen met betrekking tot de Verwerking van Persoonsgegevens en dat voor aanvullende instructies, buiten het toepassingsgebied van de Instructies, een voorafgaande schriftelijke overeenkomst tussen u en ons noodzakelijk is.

3. Verplichtingen van SHL

a. Naleven van Instructies. Wij zullen Persoonsgegevens alleen Verwerken voor de doeleinden zoals beschreven in deze Verwerkersovereenkomst of zoals anderszins overeengekomen binnen de reikwijdte van uw rechtmatig gegeven Instructies, behalve indien en voor zover anders vereist door toepasselijke wetgeving. Wij zijn niet verantwoordelijk voor het naleven van enige Gegevensbeschermingswetten die op u of uw branche van toepassing zijn voor zover die over het algemeen niet ook op ons van toepassing zijn. Wij zullen meewerken aan elk verzoek van u met betrekking tot Persoonsgegevens die door of via u aan ons zijn verstrekt, voor zover van toepassing, op voorwaarde dat een dergelijk verzoek niet in strijd is met de voorwaarden van de Overeenkomst.
b. Strijdigheid van Wetten. Als wij ons er van bewust worden dat we Persoonsgegevens niet in overeenstemming met uw Instructies kunnen Verwerken vanwege een wettelijk vereiste onder enig toepasselijk recht, dan zullen we (i) u onverwijld op de hoogte stellen van dat wettelijke vereiste uitsluitend binnen de reikwijdte van, en voor zover toegestaan onder dat toepasselijke recht; en (ii) indien noodzakelijk, alle Verwerkingen staken (anders dan het louter bewaren en handhaven van de beveiliging van de betreffende Persoonsgegevens) tot het moment dat u nieuwe Instructies verstrekt waar wij aan kunnen voldoen. Indien wij een beroep op deze bepaling doen, zullen wij onder de Overeenkomst niet aansprakelijk jegens u zijn voor het niet leveren en/of verrichten van de betreffende Producten en/of Diensten totdat u nieuwe rechtmatige Instructies voor de Verwerking verstrekt.
c. Beveiliging. Wij zullen een doeltreffend informatiebeveiligingsprogramma implementeren en onderhouden dat: (i) administratieve, technische en fysieke waarborgen omvat en (ii) passende technische en organisatorische maatregelen heeft om Persoonsgegevens te beschermen tegen Inbreuken op Persoonsgegevens, zoals beschreven in Bijlage 2 bij deze Verwerkersovereenkomst (“Beveiligingsmaatregelen”). De Beveiligingsmaatregelen zijn afdoende om de veiligheid en vertrouwelijkheid van de Persoonsgegevens te waarborgen en te beschermen tegen: (1) voorzienbare bedreigingen of gevaren voor de veiligheid of integriteit van Persoonsgegevens, (2) ongeoorloofde toegang tot of ongeoorloofd gebruik van de Persoonsgegevens, (3) onrechtmatige verwerkingen of verwerkingen die niet in overeenstemming zijn met de Overeenkomst, en (4) onbedoeld verlies, vernietiging, beschadiging, wijziging of openbaarmaking van Persoonsgegevens. De Beveiligingsmaatregelen zullen omvatten (ten minste): (i) het uitvoeren van de door de Gegevensbeschermingswetten en/of de Overeenkomst voorgeschreven maatregelen; (ii) het nemen van redelijke maatregelen om de betrouwbaarheid van personeel dat toegang heeft tot de Persoonsgegevens te waarborgen; en (iii) het nemen en handhaven van redelijke maatregelen met betrekking tot verwijdering en van opleiding van personeel dat toegang heeft tot Persoonsgegevens. Niettegenstaande enige andersluidende bepaling, kunnen wij de Beveiligingsmaatregelen naar eigen goeddunken aanpassen of bijwerken op voorwaarde dat een dergelijke aanpassing of bijwerking niet leidt tot een wezenlijke verslechtering van de door de Beveiligingsmaatregelen geboden bescherming.
d. Vertrouwelijkheid. We zullen ervoor zorgen dat elk personeelslid aan wie we toestemming geven om namens ons Persoonsgegevens te Verwerken gebonden is aan passende vertrouwelijkheidsverplichtingen (hetzij op basis van een overeenkomst of op basis van de wet) met betrekking tot die Persoonsgegevens.
e. Inbreuk op Persoonsgegevens. We zullen (i) u zonder onnodige vertraging, en uiterlijk binnen 48 uur, informeren nadat wij kennis hebben genomen van een Inbreuk op Persoonsgegevens en zullen u tijdig informatie verstrekken in verband met de Inbreuk op Persoonsgegevens naarmate deze bekend wordt of redelijkerwijs door u wordt gevraagd; en (ii) Derden niet inlichten over de betrokkenheid van Persoonsgegevens van het Bedrijf bij de Inbreuk op Persoonsgegevens zonder de voorafgaande toestemming van het Bedrijf, welke toestemming niet op onredelijke gronden zal worden onthouden. Wij zullen onmiddellijk een onderzoek instellen en passende corrigerende maatregelen nemen om de gevolgen van de Inbreuk op Persoonsgegevens te beperken, in overeenstemming met de toepasselijke wet- en regelgeving en industrienormen. Op uw verzoek zullen we (i) u onverwijld de redelijke bijstand verlenen die noodzakelijk is om u in staat te stellen de relevante Inbreuken op Persoonsgegevens bij de bevoegde autoriteiten en/of de getroffen Betrokkenen te melden indien u daartoe op grond van de Gegevensbeschermingswetten verplicht bent; en (ii) u voorzien van een samenvattend verslag met betrekking tot onze onderzoeks- en herstelactiviteiten.
f. Verwijdering of Teruggave van Persoonsgegevens. Wij zullen alle Bedrijfseigendommen, inclusief Persoonsgegevens (en kopieën daarvan) die conform deze Verwerkersovereenkomst zijn Verwerkt, op basis van uw schriftelijke verzoek vernietigen of retourneren, met dien verstande dat het voorgaande niet van toepassing is indien wij op basis van toepasselijke wetgeving verplicht zijn om alle, of een deel van de, Bedrijfseigendommen te bewaren of indien wij de Bedrijfseigendommen hebben gearchiveerd op back-up systemen in welk geval we de gegevens veilig isoleren en beschermen tegen enige verdere Verwerking en zullen vernietigen in overeenstemming met het vernietigingsbeleid.

4. Rechten van Betrokkenen

Na uw schriftelijke verzoek daartoe zullen wij u redelijke bijstand verlenen om u in staat te stellen om te reageren op eventuele Verzoeken van Betrokkenen of verzoeken van gegevensbeschermingsautoriteiten met betrekking tot de Verwerking van Persoonsgegevens in het kader van de Overeenkomst. U zult ons de redelijke kosten die voortvloeien uit deze bijstand vergoeden. Indien een verzoek van een Betrokkene of een andere mededeling met betrekking tot de Verwerking van Persoonsgegevens onder de Overeenkomst rechtstreeks aan ons wordt gedaan, zullen wij de Betrokkene een standaardantwoord versturen waarin wij de Betrokkene adviseren om hun verzoek bij u in te dienen. U bent als enige verantwoordelijk voor het inhoudelijk beantwoorden van dergelijke Verzoeken van Betrokkenen of andere mededelingen met betrekking tot Persoonsgegevens.

5. Sub-Verwerkers

U stemt ermee in dat wij Derde-Partij Sub-Verwerkers en SHL Toegelaten Gelieerde Partijen (tezamen de “Sub-Verwerkers”) kunnen inschakelen om Persoonsgegevens namens u te Verwerken. Indien zich aanmeldt voor het ontvangen van notificatie e-mailberichten (door het formulier in te vullen dat beschikbaar is op https://www.shl.com/legal/security-and-compliance/) dan zullen wij u vooraf infomeren over het toevoegen of verwijderen van Sub-Verwerkers. Indien wij Sub-Verwerkers inschakelen dan leggen wij hen, met betrekking tot de bescherming van persoonsgegevens, voorwaarden op die ten minste hetzelfde beschermingsniveau voor Persoonsgegevens bieden als deze Verwerkersovereenkomst (daaronder ook begrepen, indien van toepassing, de Modelcontracten), voor zover van toepassing op de aard van de diensten die door dergelijke Sub-Verwerkers worden verleend. Wij blijven verantwoordelijk voor de naleving door iedere Sub-Verwerker van de verplichtingen van deze Verwerkersovereenkomst en voor elk handelen of nalaten van dergelijke Sub-Verwerker waardoor wij een van zijn verplichtingen krachtens deze Verwerkersovereenkomst niet nakomen.

6. Doorgifte van Persoonsgegevens

U erkent en stemt ermee in dat wij op een wereldwijde schaal toegang kunnen hebben tot Persoonsgegevens en deze kunnen Verwerken, zoals noodzakelijk is om de Producten en/of Diensten te leveren in overeenstemming met de Overeenkomst, en in het bijzonder dat Persoonsgegevens zullen worden doorgegeven aan, en Verwerkt door SHL, in andere jurisdicties waar Sub-Verwerkers actief zijn. Wij zullen ervoor zorgdragen dat dergelijke doorgiften in overeenstemming zijn met Gegevensbeschermingswetten.

7. Aanvullende Bepalingen voor Europese Persoonsgegevens

a. Toepassingsgebied van Artikel 7. Dit artikel met ‘Aanvullende bepalingen voor Europese Persoonsgegevens’ is alleen van toepassing op Europese Persoonsgegevens.
b. Rollen van de Partijen. Wanneer in overeenstemming met uw Instructies Europese Persoonsgegevens worden verwerkt, erkennen en komen partijen overeen dat u de Verwerkingsverantwoordelijke voor deze Europese Persoonsgegevens bent en wij de Verwerker.
c. Instructies. Als wij van mening zijn dat uw Instructie een inbreuk op Europese Gegevensbeschermingswetten vormt (indien van toepassing) dan zullen we u onverwijld daarover informeren, binnen het kader van en voor zover toegestaan door die Europese Gegevensbeschermingswetten.
d. Kennisgeving en bezwaar tegen nieuwe Sub-Verwerkers. Wij zullen u op de hoogte brengen van alle wijzigingen in Sub-Verwerkers door middel van het kennisgevingsmechanisme zoals uiteengezet in artikel 5 van deze Verwerkersovereenkomst. We zullen u de gelegenheid geven om binnen 30 dagen na het versturen van een dergelijke kennisgeving, op redelijke gronden met betrekking tot de bescherming van Persoonsgegevens, bezwaar te maken tegen de aanstelling van een nieuwe Sub-Verwerker. Indien u bezwaar maakt, zullen de partijen uw bezwaren te goeder trouw bespreken om tot een commercieel redelijke oplossing te komen. Indien een dergelijke oplossing niet kan worden bereikt, zullen wij, naar eigen goeddunken, ofwel de nieuwe Sub-Verwerker niet aanstellen, ofwel u toestaan de betreffende Producten en/of Diensten op te schorten of te beëindigen in overeenstemming met de beëindigingsbepalingen van de Overeenkomst zonder dat een van de partijen aansprakelijk is jegens de ander (maar onverminderd eventuele door u voorafgaand aan de opschorting of beëindiging gemaakte kosten).
e. Gegevensbeschermingseffectbeoordeling (DPIA) en Overleg met Toezichthoudende Autoriteiten. Voor zover de vereiste informatie redelijkerwijs beschikbaar is voor ons, en u niet anderszins toegang hebt tot die vereiste informatie, zullen wij u, binnen door u redelijkerwijs gevraagde termijnen, redelijke bijstand verlenen, bij alle gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met toezichthoudende autoriteiten of andere bevoegde autoriteiten op het gebied van gegevensbescherming, voor zover vereist onder Europese Gegevensbeschermingswetten.
f. Mechanismen voor Doorgifte van Persoonsgegevens. 
(A) SHL zal geen Europese Persoonsgegevens doorgeven aan landen of ontvangers die niet erkend zijn als landen of ontvangers die een passend beschermingsniveau bieden voor de bescherming van Persoonsgegevens (in de zin van de toepasselijke Europese Gegevensbeschermingswetten), tenzij SHL eerst alle maatregelen neemt die nodig zijn om te waarborgen dat de doorgifte voldoet aan de toepasselijke Europese Gegevensbeschermingswetten. Dergelijke maatregelen kunnen inhouden (maar zijn niet beperkt tot) dat dergelijke gegevens worden doorgegeven aan een ontvanger die valt onder een passend kader of een ander juridisch adequaat doorgiftemechanisme dat door de relevante autoriteiten of rechtbanken wordt erkend als dat het een passend beschermingsniveau biedt voor Persoonsgegevens, aan een ontvanger die bindende bedrijfsvoorschriften (binding corporate rules) heeft goedgekeurd in overeenstemming met de Europese Gegevensbeschermingswetten, of aan een ontvanger die passende standaardcontractbepalingen heeft afgesloten zoals vastgesteld of goedgekeurd in overeenstemming met de toepasselijke Europese Gegevensbeschermingswetten.

(B) De partijen erkennen en komen het volgende overeen:

(i) Modelcontracten: SHL stemt ermee in zich te houden aan, en Europese Persoonsgegevens te verwerken in overeenstemming, met de Modelcontracten. SHL Group is een concernovereenkomst aangegaan die de Modelcontracten bevat voor de Verwerking van Persoonsgegevens buiten de EER. Op verzoek van het Bedrijf zullen SHL en de door SHL Toegelaten Gelieerde Ondernemingen de Modelcontracten aangaan als vertegenwoordiger namens het Bedrijf voor de doorgifte van Persoonsgegevens buiten de EER.
(ii) Partijen komen overeen dat (i) uitsluitend ten behoeve van de beschrijvingen in de Modelcontracten, SHL wordt beschouwd als de "gegevensimporteur" en het Bedrijf als de "gegevensexporteur" (niettegenstaande het feit dat u zelf buiten Europa gevestigd bent en/of optreedt als verwerker namens een derde-partij verwerkingsverantwoordelijke); en (ii) indien en voor zover de Modelcontracten (indien van toepassing) in strijd zijn met enige bepaling van deze Verwerkersovereenkomst, de Modelcontracten voorrang hebben op de punten waar sprake is van een strijdigheid.

g. Aantonen van Naleving. Wij zullen alle informatie verstrekken die redelijkerwijs nodig is om de naleving van de verplichtingen in Artikel 29 (Verwerker) van de AVG aan te tonen. U erkent en stemt ermee in dat onze op dat moment geldende ISO 27001-certificering zal worden gebruikt om te voldoen aan eventuele audit- of inspectieverzoeken door of namens u, en wij zullen dergelijke rapporten op verzoek aan u beschikbaar stellen. Verder zullen wij op uw schriftelijk verzoek, schriftelijk antwoorden (op vertrouwelijke basis) op alle redelijke verzoeken van u om informatie die nodig is om onze naleving van deze Verwerkersovereenkomst te bevestigen, met dien verstande dat u dit recht niet meer dan eenmaal per kalenderjaar zult uitoefenen.

8. Aanvullende Bepalingen voor Californische Persoonsgegevens

a. Toepassingsgebied van Artikel 8. ‘Aanvullende bepalingen voor Californische Persoonsgegevens’ is alleen van toepassing op Californische Persoonsgegevens.
b. Rollen van de Partijen. Wanneer in overeenstemming met uw Instructies Californische Persoonsgegevens worden verwerkt, erkennen en komen partijen voor het doel van de CCPA overeen dat u de Business bent en wij de Service Provider.
c. Verantwoordelijkheden. Partijen komen overeen dat wij Californische Persoonsgegevens slechts Verwerken met als doel de levering van de Producten en/of Diensten onder de Overeenkomst (de “Business Purpose”) of zoals anderszins toegestaan onder de CCPA.

9. Aanvullende Bepalingen voor POPIA Persoonsgegevens

a. Toepassingsgebied van Artikel 9. Dit artikel van de Verwerkersovereenkomst met 'Aanvullende Bepalingen voor POPIA Persoonsgegevens’ is alleen van toepassing op POPIA Persoonsgegevens.
b. Rollen van de Partijen. Wanneer in overeenstemming met uw Instructies POPIA Persoonsgegevens worden verwerkt, erkennen en komen partijen voor het doel van POPIA overeen dat u de ‘Responsible Party’ bent en wij de ‘Operator’.
c. Verantwoordelijkheden. Partijen komen overeen dat SHL, als ‘Operator’, de POPIA Persoonsgegevens slechts Verwerkt met als doel de levering van de Producten en/of Diensten onder de Overeenkomst (de “Business Purpose”) of zoals anderszins toegestaan onder POPIA.

10. Aanvullende Bepalingen voor PIPL Persoonsgegevens

a. Toepassingsgebied van Artikel 10. Dit artikel van de Verwerkersovereenkomst met 'Aanvullende Bepalingen voor PIPL Persoonsgegevens’ is alleen van toepassing op PIPL Persoonsgegevens.
b. Rollen van de Partijen. Wanneer in overeenstemming met uw Instructies PIPL Persoonsgegevens worden verwerkt, erkennen en komen partijen voor het doel van PIPL overeen dat u de ‘data handler’ bent en wij de ‘entrusted party’.
c. Verantwoordelijkheden. Partijen komen overeen dat SHL, als ‘entrusted party’, de PIPL Persoonsgegevens slechts Verwerkt met als doel de levering van de Producten en/of Diensten onder de Overeenkomst (de “Business Purpose”) of zoals anderszins toegestaan onder PIPL.

11. Algemene Bepalingen

a. Wijzigingen. Onverminderd enige andersluidende bepaling in de Overeenkomst en zonder afbreuk te doen aan artikel 3.a. (Naleven van Instructies) en artikel 3.c. (Beveiliging) van deze Verwerkersovereenkomst behouden wij ons het recht voor om deze Verwerkersovereenkomst bij te werken en aan te passen.
b. Scheidbaarheid. Indien wordt vastgesteld dat een bepaling van deze Verwerkersovereenkomst ongeldig of niet-afdwingbaar is, heeft dit geen invloed op de geldigheid of afdwingbaarheid van de overige bepalingen van deze Verwerkersovereenkomst.
c. Beperking van Aansprakelijkheid. Met in achtneming van de bepalingen van de Overeenkomst is de totale aansprakelijkheid van SHL, als gevolg van niet-nakoming van haar verplichtingen als Verwerker onder deze Verwerkersovereenkomst, beperkt tot het bedrag dat direct toe te schrijven is aan het handelen of nalaten van SHL onder deze Verwerkersovereenkomst bij de levering van Producten en/of het uitvoeren van Diensten. De volgende schades wordt beschouwd als directe schade die op grond van de Overeenkomst verhaald kan worden, voor zover deze direct voortvloeit uit schending door SHL van deze Verwerkersovereenkomst: (i) alle kosten en uitgaven die u heeft gemaakt om schade aan Persoonsgegevens te onderzoeken en te herstellen; (ii) alle kosten die u heeft gemaakt in verband met wettelijk voorgeschreven kennisgevingen; (iii) boetes, straffen en rente die wegens de schending aan u zijn opgelegd; en (iv) redelijke advocaatkosten.
d.Toepasselijk Recht. Deze Verwerkersovereenkomst wordt beheerst door en uitgelegd volgens het recht en de jurisdictie zoals vastgelegd in de Overeenkomst, tenzij Gegevensbeschermingswetten anders voorschrijven.

12. Partijen bij deze Verwerkersovereenkomst

a. Toegelaten Gelieerde Partijen. Door ondertekening van de Overeenkomst sluit u deze Verwerkersovereenkomst af namens uzelf en, voor zover vereist onder toepasselijke Gegevensbeschermingswetten, in naam en voor rekening van uw Toegelaten Gelieerde Partijen, waardoor een afzonderlijke Verwerkersovereenkomst tot stand komt tussen ons en elk van deze Toegelaten Gelieerde Partijen, die onderworpen is aan de Overeenkomst en artikel 11 'Algemene Bepalingen' en artikel 12 'Partijen bij deze Verwerkersovereenkomst ' van deze Verwerkersovereenkomst. Elke Toegelaten Gelieerde Partij stemt ermee in gebonden te zijn aan de verplichtingen krachtens deze Verwerkersovereenkomst en, voor zover van toepassing, de Overeenkomst. Uitsluitend voor de doeleinden van deze Verwerkersovereenkomst, en tenzij anders aangegeven, zullen de termen "Bedrijf", "u" en "uw" u en dergelijke Toegelaten Gelieerde Partijen omvatten.
b. Machtiging. De rechtspersoon die als Bedrijf instemt met deze Verwerkersovereenkomst verklaart dat hij bevoegd is om in te stemmen met deze Verwerkersovereenkomst en deze aan te gaan voor en namens zichzelf en, voor zover van toepassing, elk van zijn Toegelaten Gelieerde Partijen.
c. Rechtsmiddelen. Tenzij de toepasselijke Gegevensbeschermingswetten vereisen dat een Toegelaten Gelieerde Partij rechtstreeks en zelf tegen ons een recht, op grond van deze Verwerkersovereenkomst, uitoefent of een rechtsmiddel aanwendt, komen de partijen overeen dat (i) uitsluitend het Bedrijf dat de contractspartij is bij de Overeenkomst namens haar Gelieerde Partijen een recht zal uitoefenen of een rechtsmiddel zal aanwenden dat een Toegelaten Gelieerde Partij kan aanwenden op grond van deze Verwerkersovereenkomst, en (ii) Het Bedrijf dat de contractspartij is bij de Overeenkomst dergelijke rechten op grond van deze Verwerkersovereenkomst niet afzonderlijk voor elke Toegelaten Gelieerde Partij zal uitoefenen, maar op een gecombineerde manier voor zichzelf en al haar Toegelaten Gelieerde Partijen tezamen. Het Bedrijf dat de contractspartij is, is verantwoordelijk voor de coördinatie van alle communicatie met ons in het kader van de Verwerkersovereenkomst en zal het recht hebben om mededelingen in verband met deze Verwerkersovereenkomst te versturen en te ontvangen namens haar Toegelaten Gelieerde Ondernemingen.
d. Andere rechten. Partijen komen overeen dat u, bij de beoordeling van onze naleving van deze Verwerkersovereenkomst overeenkomstig artikel 7.g "Aantonen van naleving", alle redelijke maatregelen zult nemen om de eventuele gevolgen voor ons en aan ons Gelieerde Partijen te beperken door verschillende controleverzoeken, van de contractspartij en de Toegelaten Gelieerde Partijen van de contractspartij, in één enkele controle te combineren.

Bijlage 1 bij de Verwerkersovereenkomst - Details van de Verwerking

Deze Bijlage vormt een onderdeel bij de Verwerkersovereenkomst. 

A: Onderwerp van de Verwerking

Producten en Diensten van SHL, namelijk diensten op het gebied van talent assessment (talentbeoordeling).

B: Aard en Doel van de Verwerking

Wij zullen Persoonsgegevens Verwerken zoals noodzakelijk om de Producten en/of Diensten op grond van de Overeenkomst te leveren, zoals nader gespecificeerd in de Opdracht, en zoals nader geïnstrueerd door u bij uw gebruik van de Producten en/of Diensten.

De Betrokkene zal de beoordeling (‘assessment’) afleggen met behulp van de online beoordelingssystemen van SHL. De antwoorden op het assessment zullen worden geëvalueerd om een assessmentrapport met resultaten op te stellen dat SHL aan het Bedrijf zal verstrekken. SHL kan op verzoek van het Bedrijf enquêtes of andere verwerkingen uitvoeren. Het Bedrijf zal toegang hebben tot de gegevens van de kandidaten, met inbegrip van de resultaten van assessments, en tot de interface van het platform.

C.  Doel van de Verwerking 

Onder voorbehoud van artikel 3.f. van deze Verwerkersovereenkomst 'Verwijdering of Teruggave van Persoonsgegevens', zullen wij Persoonsgegevens verwerken voor de duur van de Overeenkomst, tenzij schriftelijk anders is overeengekomen.

D: Categorieën van Betrokkenen

U en uw eindgebruikers kunnen Persoonsgegevens verstrekken tijdens het gebruik van de Producten en/of Diensten, waarvan de omvang naar eigen goeddunken door u/hun wordt bepaald en gecontroleerd en die kunnen bestaan uit, maar niet beperkt zijn tot, Persoonsgegevens met betrekking tot de volgende categorieën van Betrokkenen:

Kandidaten voor een vacature en/of werknemers van het Bedrijf

E: Categorieën van Persoonsgegevens

U en uw eindgebruikers kunnen Persoonsgegevens verstrekken tijdens het gebruik van de Producten en/of Diensten, waarvan de omvang naar eigen goeddunken door u/hun wordt bepaald en gecontroleerd en die kunnen bestaan uit, maar niet beperkt zijn tot, de volgende categorieën van Persoonsgegevens:

  • Naam, E-mailadres, Geslacht, Taal, Bedrijfs-ID, demografische informatie over/van werknemers, reacties op beoordelingen (‘assessments’) of enquêtes, geluidsopnamen, visuele beelden

  • Alle andere Persoonsgegevens die worden opgevraagd, ingediend, verstuurd of ontvangen door u of uw eindgebruikers bij het gebruik van de Producten en/of Diensten. A

F: Bijzondere categorieën van gegevens (indien van toepassing)

De partijen voorzien geen overdracht van bijzondere categorieën van gegevens..

G: Verwerkingen

Persoonsgegevens worden Verwerkt in overeenstemming met de Overeenkomst (inclusief deze Verwerkersovereenkomst) en kunnen worden onderworpen aan de volgende Verwerkingsactiviteiten: 

a. Opslag en andere Verwerkingen die nodig zijn om de aan u geleverde Producten en/of Diensten Storage te leveren, onderhouden en verbeteren; en/of

b. Openbaarmaking in overeenstemming met de Overeenkomst (inclusief deze Verwerkersovereenkomst) en/of zoals verplicht onder toepasselijk recht.

Bijlage 2 bij de Verwerkersovereenkomst - Beveiligingsmaatregelen

Wij nemen momenteel de Beveiligingsmaatregelen in acht die beschreven staan in het Informatiebeveiligingsbeleid van SHL dat hier beschikbaar is: https://www.shl.com/legal/security-and-compliance/information-security/