Addendum dataverwerking

Laatst herzien: 21 maart 2023

Dit DPA (addendum met betrekking tot dataverwerking) tussen u, de gebruiker, inclusief eender welk ander bedrijf of andere bedrijfsentiteit die u vertegenwoordigt (indien van toepassing; gezamenlijk de 'Klant') en de Contractafdeling van VistaPrint, zoals van toepassing onder de Overeenkomst ('VistaPrint'), wordt ter referentie opgenomen en is een aanvulling op, en maakt deel uit van, de voorwaarden die gelden voor het gebruik van de verschillende Services van VistaPrint, en deze kunnen van tijd tot tijd worden aangepast (gezamenlijk de 'Overeenkomst'). Dit DPA is van toepassing waar en voor zover VistaPrint handelt als Verwerker of Serviceprovider (waar van toepassing) van Persoonsgegevens namens de Klant onder de Overeenkomst. Dit DPA is geldig vanaf de Startdatum van de Overeenkomst en vervangt en overschrijft eender welke eerder van toepassing zijnde voorwaarden met betrekking tot hun onderwerp. Dit DPA blijft van kracht totdat de Overeenkomst wordt beëindigd.

1. DEFINITIES

'Adequaat land' betekent, waar van toepassing (i) waar de AVG van de EU van toepassing is, de Europese Economische Ruimte ('EER') of een land of territorium waarvan wordt aangenomen dat hier een adequaat beschermingsniveau kan worden gegarandeerd door de Europese Commissie; (ii) waar de AVG van het VK van toepassing is, het VK of een land of territorium waarvan is erkend dat hier adequate gegevensbescherming kan worden gegarandeerd conform Sectie 17A van de UK Data Protection Act 2018 (Britse gegevensbeschermingswet) waar aangepast of vervangen; en (iii) waar de Zwitserse FADP waar aangepast of vervangen van toepassing is, Zwitserland of een land of territorium buiten Zwitserland waarvan is erkend dat daar een adequaat beschermingsniveau kan worden gegarandeerd door de Federale gegevensbeschermings- en informatiecommissaris.

'Zakelijk doeleinde' betekent het beperkte, specifiek in Bijlage I geïdentificeerde doel waarvoor VistaPrint Persoonsgegevens ontvangt of hiertoe toegang wordt verleend.

'Gegevensbeschermingswetten' betreft alle van toepassing zijnde wetten en regelgevingen inzake gegevensbescherming en privacy voor zover dat op een betrokken partij van toepassing is, inclusief maar niet beperkt tot, waar van toepassing, de gegevensbeschermingswetgeving van de EU en de gegevensbeschermingswetgeving van de VS, en eender welke andere federale of nationale gegevensbeschermings-, gegevensprivacy- of gegevensbeveiligingswetten die van toepassing zijn op de strekking van de Services, in elk geval waar van tijd tot tijd aangepast, overschreven of vervangen.

'Persoonsgegevens van Eindgebruikers' betreft Persoonsgegevens behorende bij bezoekers en gebruikers van de Klantenservices en die namens de Klant door VistaPrint worden Verwerkt voor het leveren van de Services.

'Gegevensbeschermingswetten van de EU' verwijst naar (i) Verordening 2016/679 van het Europese Parlement en de Raad voor de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en de vrije beweging van dergelijke gegevens, en de intrekking van Richtlijn 95/46/EC (Algemene Verordening Gegevensbescherming of 'AVG van de EU'), (ii) de AVG zoals opgenomen in de binnenlandse wetgeving van het Verenigd Koninkrijk conform Sectie 3 van de Europese Unie (Intrekking) wet 2018 (de 'AVG van het VK'); (iii) de Federale wet inzake gegevensbescherming van Zwitserland van 19 juni 1992 en de bijbehorende verordeningen ('FADP'); (iv) Europese Richtlijn 2002/58/EC inzake Privacy en elektronische communicatie; en (v) wetgeving in eender welke lidstaat van de EU of het VK die is gemaakt of valt onder items (i) - (iii); in elk geval waar van tijd tot tijd aangepast, overschreven of vervangen.

'Persoonsgegevens', 'Betrokkene', 'Verwerken', 'Verwerking', 'Verwerkingsverantwoordelijke' en 'Verwerker' hebben de betekenis zoals gegeven in de van toepassing zijnde Gegevensbeschermingswetten of, indien deze termen daarin niet zijn gedefinieerd, de AVG, en de termen 'Bedrijf' en 'Serviceprovider' hebben de betekenis zoals die daaraan is gegeven in de CCPA.

'Services' verwijst naar de verschillende services die door VistaPrint via de website aan de Klant worden geleverd, waar en voor zover VistaPrint handelt als Verwerker of Serviceprovider (waar van toepassing) namens de Klant onder de relevante Overeenkomst, inclusief maar niet beperkt tot de ProAdvantage-programmaovereenkomst en de ProShop-gebruiksvoorwaarden.

'Standaard contractuele clausules' of 'SCC's' betekent (i) waar de AVG van de EU en/of de Zwitserse FADP van toepassing is, de standaard contractuele clausules van de EU waar goedgekeurd door de Beslissing van de Europese Commissie (EU) 2021/914 van 4 juni 2021 ('SCC's van de EU'); en (ii) waar de AVG van het VK van toepassing is, de SCC's van de EU waar aangepast door het International Data Transfer Addendum naar de Standaard contractuele clausules van de Europese Commissie zoals uitgegeven door het kantoor van de Information Commissioner van het VK ('Addendum VK'), in elk geval waar van tijd tot tijd aangepast, overschreven of vervangen. De SCC's van de EU en het Addendum VK zijn ter referentie opgenomen en vormen een integraal onderdeel van dit DPA.

'Subverwerker' verwijst naar eender welke entiteit die door VistaPrint, inclusief diens Affiliates, is aangetrokken om te helpen bij het voldoen aan hun verplichtingen conform de Overeenkomst of dit DPA.

'Risicobeoordeling overdracht' verwijst naar de aanvullende garanties ter aanvulling op de garanties die worden geboden door de SCC's en het Addendum VK.

'Gegevensbeschermingswetten van de VS' betreft alle van toepassing zijnde wet- en regelgeving in de Verenigde Staten met betrekking tot privacy, gegevensbescherming of gegevensbeveiliging (in elk geval waar van tijd tot tijd aangepast, overschreven of vervangen), inclusief, zonder beperking, waar van toepassing, de California Consumer Privacy Act, zoals aangepast door de California Privacy Rights Act, in combinatie met de regelgevingen die daaronder zijn uitgevaardigd (gezamenlijk de 'CCPA'); de Virginia Consumer Data Protection Act; de Colorado Privacy Rights Act; de Connecticut Data Privacy Act; en de Utah Consumer Privacy Act.

Andere gebruikte termen die met een hoofdletter beginnen maar die niet in dit DPA zijn gedefinieerd, hebben de betekenis die daaraan is toegewezen in de Overeenkomst.

2. ROLLEN EN STREKKING VAN DE VERWERKING

2.1. Rollen van de betrokken Partijen. De betrokken Partijen komen overeen dat, met betrekking tot de Verwerking van Persoonsgegevens van Eindgebruikers onder dit DPA, de Klant handelt als de Verwerkingsverantwoordelijke of het Bedrijf (waar van toepassing) en VistaPrint handelt als de Verwerker of Serviceprovider (waar van toepassing).

De Klant erkent dat VistaPrint handelt als een onafhankelijke Verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens die zij rechtstreeks van klanten of bezoekers verzamelt via de klantgerichte toepassingen en services.

2.2. Strekking van de Verwerking. Elke betrokken partij houdt zich aan alle van toepassing zijnde Gegevensbeschermingswetten en de respectieve verplichtingen onder de Overeenkomst en dit DPA met betrekking tot hun Verwerking van de Persoonsgegevens van Eindgebruikers, zoals beschreven in Bijlage I. Zonder beperking van het voorgaande levert VistaPrint hetzelfde privacybeschermingsniveau zoals dat van Bedrijven is vereist (zoals gedefinieerd in de CCPA) door de CCPA.

3. VERPLICHTINGEN VAN DE BETROKKEN PARTIJEN

3.1. Verplichtingen van de klant. Bij het gebruik van de Services die door VistaPrint worden geleverd:

(i) garandeert en verklaart de klant dat de Betrokkenen een kennisgeving van hen hebben ontvangen en dat zij alle juridische basis tot stand hebben gebracht en alle benodigde toestemmingen hebben ontvangen onder de van toepassing zijnde Gegevensbeschermingswetten voor VistaPrint, en diens Subverwerkers, voor het Verwerken van de Persoonsgegevens van Eindgebruikers namens de Klant en het leveren van de Services conform de Overeenkomst, inclusief dit DPA.

(ii) is de Klant als enige verantwoordelijk voor de nauwkeurigheid en kwaliteit van de aangeleverde Persoonsgegevens van Eindgebruikers en de legaliteit van de middelen waarmee de Klant Persoonsgegevens van Eindgebruikers verwerft, openbaar maakt en verwerkt. De Klant blijft exclusief aansprakelijk voor diens eigen naleving van de van toepassing zijnde Gegevensbeschermingswetten met betrekking tot eender welke onafhankelijke verzameling en verwerking van Persoonsgegevens die geen betrekking hebben op de Services.

(iii) instrueert de Klant VistaPrint om Persoonsgegevens van Eindgebruikers namens de Klant te verwerken conform dit DPA en zorgt de Klant ervoor dat diens instructies voldoen aan de van toepassing zijnde Gegevensbeschermingswetten. Dit DPA en de Overeenkomst zijn de volledige en definitieve instructies van de Klant aan VistaPrint. Over aanvullende instructies buiten de strekking van de Overeenkomst of dit DPA moet afzonderlijk en schriftelijk overeenstemming worden bereikt, inclusief eender welke aanvullende kosten die mogelijk door de Klant aan VistaPrint moeten worden betaald voor het uitvoeren van dergelijke aanvullende instructies.

3.2. De verplichtingen van VistaPrint. Met betrekking tot de Verwerking van de Persoonsgegevens van de Eindgebruikers, zal VistaPrint:

(i) uitsluitend Persoonsgegevens van Eindgebruikers Verwerken voor het Zakelijke doeleinde en in overeenstemming met de instructies van de Klant, voor zover de instructies compatibel zijn met de Overeenkomst en dit DPA;

(ii) Persoonsgegevens van Eindgebruikers behandelen als vertrouwelijke informatie en deze informatie uitsluitend en zodanig Verwerken voor zover noodzakelijk is om te voldoen aan de verplichtingen onder de Overeenkomst en voor de doeleinden die verder zijn gespecificeerd in onderstaande Bijlage I. VistaPrint mag de Persoonsgegevens van Eindgebruikers voor geen enkel ander doel Verwerken, tenzij VistaPrint dit juridisch verplicht is. In dergelijke gevallen informeert VistaPrint de Klant schriftelijk over die juridische vereiste voorafgaand aan de Verwerking, tenzij die wet dergelijke informatie verbiedt op belangrijke gronden van openbaar belang;

(iii) de Klant helpen te garanderen dat diens verplichtingen onder van toepassing zijnde Gegevensbeschermingswetten worden nageleefd, inclusief maar niet beperkt tot het uitvoeren van een verplichte beoordeling van de gevolgen voor privacy of voorafgaande consultatie met de relevante gegevensbeschermingsautoriteiten na redelijk verzoek van de Klant;

(iv) de Klant informeren als zij van mening is dat de verwerkingsinstructies van de Klant inbreuk maken op van toepassing zijnde Gegevensbeschermingswetten. In dit geval behoudt VistaPrint zich het recht voor om de Verwerking van Persoonsgegevens van Eindgebruikers te stoppen totdat de Klant nieuwe instructies geeft, en VistaPrint kan niet aansprakelijk worden gesteld voor de Klant voor eender welke fout in het leveren van de Services onder de Overeenkomst tijdens een dergelijke periode;

(v) waarborgen dat diens medewerkers en Subverwerkers die toegang hebben tot de Persoonsgegevens van Eindgebruikers onderhevig zijn aan passende verplichtingen inzake vertrouwelijkheid;

(vi) de Klant op de hoogte brengen van eender welke gemaakte beslissing dat ze niet langer kunnen voldoen aan hun verplichtingen onder dit DPA of Gegevensbeschermingswetten;

(vii) de Klant onmiddellijk op de hoogte brengen van aanvragen die door eender welke Betrokkene of handhavingsdienst zijn ingediend met betrekking tot de Verwerking van Persoonsgegevens van Eindgebruikers zodat de Klant op dergelijke aanvragen kan reageren; en

(viii) direct dergelijke medewerking en ondersteuning bieden voor zover dit redelijk door de Klant is vereist om aan diens verplichtingen te voldoen onder Gegevensbeschermingswetten met betrekking tot aanvragen van Betrokkenen of aanvragen van een van toepassing zijnde overheidstoezichthouder of toezichthoudende instantie.

Voor zover toegestaan door van toepassing zijnde Gegevensbeschermingswetten mag VistaPrint intern gebruikmaken van geaggregeerde en geanonimiseerde gegevens afkomstig uit de Persoonsgegevens van Eindgebruikers ('Geanonimiseerde gegevens') voor het opbouwen en verbeteren van de kwaliteit van de Services, mits dergelijke Geanonimiseerde gegevens niet bestaan uit Persoonsgegevens onder de van toepassing zijnde Gegevensbeschermingswetten.

3.3. De verboden verwerkingsactiviteiten van VistaPrint. VistaPrint zal in geen geval:

(i) Persoonsgegevens van Eindgebruikers verkopen of delen (zoals gedefinieerd in de CCPA) of de Persoonsgegevens van Eindgebruikers bewaren, gebruiken of openbaar maken voor eender welk Commercieel doel dan ook (zoals gedefinieerd door de CCPA) of buiten hun directe zakelijke relatie met de Klant en uitsluitend na voorafgaande schriftelijke autorisatie van de Klant; en

(ii) Persoonsgegevens van Eindgebruikers vermengen of combineren met hun eigen gegevens of de gegevens van eender welke externe partij, anders dan strikt noodzakelijk is om de Services uit te voeren.

VistaPrint certificeert dat zij de beperkingen voor het gebruik van Persoonsgegevens van Eindgebruikers in verband met de Services, zoals in dit DPA is uiteengezet, begrijpt en zal naleven.

4. RECHTEN VAN BETROKKENEN

Voor zover VistaPrint hiertoe in staat is, en voor zover dit strookt met van toepassing zijnde wetgeving, zal VistaPrint, rekening houdende met de aard van de Verwerking, redelijke hulp bieden om de Klant in staat te stellen te reageren op eender welke aanvragen van Betrokkenen voor het uitoefenen van hun recht onder van toepassing zijnde Gegevensbeschermingswetten. De Klant dekt alle kosten die door VistaPrint zijn gemaakt in verband met diens levering van dergelijke hulp. Als eender welke aanvraag rechtstreeks bij VistaPrint wordt ingediend, zal VistaPrint de Klant hierover informeren, tenzij dit wettelijk verboden is voor VistaPrint, en de Klant zal als enige verantwoordelijk zijn om een dergelijke aanvraag te beantwoorden. VistaPrint kan niet verantwoordelijk worden gehouden voor informatie die te goeder trouw aan de Klant is geleverd op basis van deze Sectie.

5. SUBVERWERKERS

5.1. Algemene autorisatie. De Klant verleent VistaPrint hierbij een algemene autorisatie voor het aantrekken van Subverwerkers (inclusief diens Affiliates) voor de verwerking van Persoonsgegevens van Eindgebruikers teneinde de Services te leveren en diens verplichtingen te vervullen onder de Overeenkomst en dit DPA. VistaPrint zal, onderhevig aan de vertrouwelijkheidsbepalingen van de Overeenkomst en bij een eerdere aanvraag door de Klant, voor de Klant een lijst beschikbaar maken met de Subverwerkers die ze heeft aangetrokken.

5.2. Verantwoordelijkheden. VistaPrint zal substantieel dezelfde contractuele verplichtingen opleggen aan diens Subverwerkers als de verplichtingen die aan VistaPrint zijn opgelegd onder dit DPA, voor zover van toepassing zijnde op de aard van de services die door elke Subverwerker worden geleverd.

5.3. Recht op bezwaar maken voor nieuwe Subverwerkers. Bij het aantrekken van nieuwe Subverwerkers zal VistaPrint de Klant dit vooraf melden, zo snel als redelijk haalbaar is, wanneer en voor zover dergelijke aantrekking verband houdt met de levering van de van toepassing zijnde Services.

5.3.1. Klant kan binnen een periode van tien (10) werkdagen na ontvangst van de kennisgeving schriftelijk bezwaar maken tegen de benoeming of vervanging van een Subverwerker door VistaPrint op basis van redelijke gronden met betrekking tot de toepasselijke wetgeving inzake gegevensbescherming. In een dergelijk geval kan VistaPrint, naar eigen goeddunken, commerciële redelijke inspanningen leveren (maar is daartoe niet verplicht) om u een alternatieve oplossing ter beschikking te stellen om de Verwerking van Eindgebruikers Persoonsgegevens door de nieuwe of vervangende Subverwerker te voorkomen. Totdat VistaPrint een beslissing heeft genomen over het bezwaar van de Klant, kan VistaPrint verplicht zijn de Verwerking van de betreffende Eindgebruikers Persoonsgegevens tijdelijk op te schorten, inclusief, indien nodig voor deze zaak, het opschorten of beperken van de toegang tot de Account van de Klant of het opschorten of beperken van bepaalde functies van de Diensten die aan de Klant worden aangeboden. Indien VistaPrint redelijkerwijs in staat is om de Diensten aan de Klant te leveren in overeenstemming met de Overeenkomst zonder gebruik te maken van de Subverwerker en naar eigen goeddunken besluit om dit te doen, dan heeft de Klant geen verdere rechten onder dit artikel met betrekking tot het voorgestelde gebruik van de Subverwerker.

5.3.2. Indien VistaPrint, naar eigen goeddunken, het gebruik van de Subverwerker vereist en niet in staat is om het bezwaar van de Klant met betrekking tot het voorgestelde gebruik van de nieuwe of vervangende Subverwerker binnen dertig (30) dagen na ontvangst van uw geldig gemotiveerd bezwaar te voldoen, dan kan de Klant de toepasselijke Overeenkomst beëindigen met ingang van de datum waarop VistaPrint begint met het gebruik van die nieuwe of vervangende Subverwerker uitsluitend met betrekking tot de Diensten die de voorgestelde nieuwe Subverwerker zal gebruiken voor de Verwerking van Persoonsgegevens door schriftelijke kennisgeving aan VistaPrint. Een dergelijke beëindiging zal geen afbreuk doen aan eventuele vergoedingen die door Klant zijn gemaakt voorafgaand aan de beëindiging van de getroffen Diensten en Klant zal geen verdere claims hebben tegen VistaPrint in verband met de beëindiging van de getroffen Diensten.

5.3.3. Indien de Klant niet binnen tien (10) werkdagen na ontvangst van de kennisgeving schriftelijk bezwaar maakt tegen de benoeming van een nieuwe Subverwerker door VistaPrint, stemt de Klant ermee in dat hij geacht wordt te hebben ingestemd met die nieuwe Subverwerker.

5.4. Aansprakelijkheid. VistaPrint blijft aansprakelijk voor elke inbreuk op deze DPA veroorzaakt door een handeling of nalatigheid van zijn Sub-Processors, in dezelfde mate als VistaPrint aansprakelijk is voor zijn eigen, tenzij anders uiteengezet in de Overeenkomst.

6. INTERNATIONALE GEGEVENSOVERDRACHTEN

6.1. In het algemeen. Als onderdeel van het leveren van de Services autoriseert de Klant VistaPrint, diens Affiliates en diens Subverwerkers voor het opslaan, Verwerken en overdragen van Persoonsgegevens van Eindgebruikers waar ook ter wereld waar VistaPrint, diens Affiliates of Subverwerkers gegevensverwerking uitvoeren. In gevallen waar Persoonsgegevens uit de EU, het VK of Zwitserland buiten de EER, het VK of Zwitserland worden overgedragen, zal VistaPrint uitsluitend de Verwerking van Persoonsgegevens uit de EU, het VK of Zwitserland buiten de EER, de VK of Zwitserland toestaan als aan een van de volgende voorwaarden wordt voldaan:

a) Persoonsgegevens van Eindgebruikers uit de EU, het VK of Zwitserland worden overgedragen aan een Adequaat land; of

b) de Standaard contractuele clausules en de Risicobeoordeling van overdrachten zijn tot stand gebracht tussen VistaPrint en de Klant en/of tussen VistaPrint en de Subverwerker, voor zover dat geschikt is.

6.2. Overdracht van Persoonsgegevens in de EU. Voor zover Persoonsgegevens worden overgedragen van eender welk rechtsgebied binnen de EER waarvoor de internationale aard van de overdracht onder de AVG valt, vormen de SCC's van de EU onderdeel van dit DPA, en zij worden als volgt als voltooid beschouwd:

(i) Module 2-voorwaarden (van Verwerkingsverantwoordelijke naar Verwerker) zijn van toepassing waar de Klant een Verwerkingsverantwoordelijke en een gegevensexporteur van Persoonsgegevens is en VistaPrint een Verwerker en gegevensimporteur is met betrekking tot die Persoonsgegevens.

(ii) Module 3-voorwaarden (van Verwerker naar Verwerker) zijn van toepassing waar VistaPrint een Verwerker is die handelt namens een Verwerkingsverantwoordelijke en een gegevensexporteur van Persoonsgegevens is, en de Subverwerker een Verwerker en gegevensimporteur is met betrekking tot die Persoonsgegevens.

(iii) Clausule 7 (a)-(c) is van toepassing;

(iv) Clausule 9, Optie 2 is van toepassing, en de tijdsperiode voor voorafgaande melding van wijzigingen van de Sub-processor zal in overeenstemming zijn met het meldingsproces dat in de bepalingen van de Subverwerker van dit DPA is uiteengezet.

(v) Clausule 11 is niet van toepassing;

(vi) Clausule 17, Optie 1 is van toepassing, en de SCC's van de EU worden bepaald door de wetgeving die in de Overeenkomst is gespecificeerd, op voorwaarde dat die wetgeving afkomstig is uit een EU-lidstaat waarbij de rechten van derden worden erkend; anders is de wetgeving van Nederland van toepassing;

(vii) Clausule 18 (b), geschillen moeten worden opgelost voor de rechtbanken die in de Overeenkomst worden gespecificeerd, op voorwaarde dat deze rechtbanken zich bevinden in een EU-lidstaat, anders zijn die rechtbanken de rechtbanken van Nederland. In eender welk geval zullen Clausule 17 en 18 (b) consistent zijn, in die zin dat de keuze van forum en rechtsgebied zal worden bepaald door het land van de heersende wetgeving;

(viii) De Bijlagen van de SCC's van de EU zullen worden ingevuld met de relevante informatie zoals is uiteengezet in Bijlage I, Bijlage II en Bijlage III van dit DPA; en

(ix) Als en voor zover de SCC's van de EU conflicteren met eender welke bepaling van dit DPA hebben de SCC's van de EU voorrang bij een dergelijk conflict.

6.3. Overdracht van Persoonsgegevens in het VK. Voor zover Persoonsgegevens in het VK worden overgedragen waarvoor de AVG in het VK de internationale aard van de overdracht bepaalt, zijn de SCC's van de EU waarnaar in bovenstaande Sectie 6.2 wordt verwezen van toepassing, in combinatie met het Addendum VK, en zij worden als volgt als voltooid beschouwd:

(i) Tabellen 1 tot en met 3 in Deel 1 van het Addendum VK worden als voltooid beschouwd aan de hand van de informatie in de Bijlagen van dit DPA;

(ii) Tabel 4 in Deel 2 van het Addendum VK wordt als voltooid beschouwd door het selecteren van 'importeur'; en

(iii) Eender welk conflict tussen de SCC's van de EU en het Addendum VK moet worden opgelost in overeenstemming met Sectie 10 en Sectie 11 van het Addendum VK.

6.4. Overdracht van Persoonsgegevens in Zwitserland. Voor zover Persoonsgegevens op zo'n manier worden overgedragen vanuit Zwitserland dat er verplichtingen gelden volgens de Federal Act on Data Protection van Zwitserland ('FADP'), zijn de SCC's van de EU van toepassing op dergelijke overdrachten, en wordt verwacht dat deze zodanig zullen worden aangepast dat ze relevante referenties en definities omvatten waardoor dergelijke SCC's van de EU als een adequaat hulpmiddel voor dergelijke overdrachten kunnen worden beschouwd onder de FADP, inclusief, maar niet beperkt tot het volgende:

(i) De competente toezichthoudende instantie in Bijlage I.C van de SCC's van de EU onder Clausule 13 is de Federale gegevensbeschermings- en informatiecommissaris van Zwitserland;

(ii) De van toepassing zijnde wetgeving voor contractuele claims onder Clausule 17 van de SCC's van de EU is de Zwitserse wetgeving of de wetgeving van een land dat rechten als externe begunstigde toestaat en toekent;

(iii) De term 'lidstaat' die wordt gebruikt in de SCC's van de EU mag niet zodanig worden geïnterpreteerd dat Betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om te dagvaarden voor hun rechten in hun gewoonlijke verblijfplaats (Zwitserland) in overeenstemming met Clausule 18(c); en

(iv) De SCC's van de EU beschermen bovendien de gegevens van rechtspersonen tot het moment dat de herziene FADP geforceerd van kracht wordt.

6.5. Aanvullende beveiligingsmaatregelen. Voor zover VistaPrint Persoonsgegevens verwerkt van Betrokkenen die zijn gevestigd in of onderhevig zijn aan de van toepassing zijnde Gegevensbeschermingswetten van de EER, het VK of Zwitserland, heeft VistaPrint diverse aanvullende maatregelen getroffen betreffende de overdracht van dergelijke Persoonsgegevens uit deze rechtsgebieden. VistaPrint heeft een Risicobeoordeling van overdrachten uitgevoerd die op schriftelijk verzoek, via het e-mailadres [email protected], aan de Klant zal worden overhandigd.

7. MELDING INZAKE GEGEVENSBEVEILIGING EN GEGEVENSLEKKEN

7.1. Beveiligingsmaatregelen. VistaPrint heeft geschikte technische en organisatorische beveiligingsmaatregelen getroffen en zal deze onderhouden voor het beschermen van Persoonsgegevens van Eindgebruikers tegen onbevoegde of onwettige Verwerking en onopzettelijk verlies of aanpassingen ('Beveiligingsincident'). In het bijzonder heeft VistaPrint de technische en organisatorische maatregelen getroffen zoals genoemd in Bijlage II.

7.2. Melding inzake gegevenslekken. In het geval VistaPrint zich bewust wordt van een Beveiligingsincident dat gevolgen heeft voor Persoonsgegevens van Eindgebruikers, zal VistaPrint redelijke stappen ondernemen om de Klant zonder onnodige vertraging hiervan op de hoogte te brengen. Verder zal VistaPrint:

(i) De Klant zo snel als redelijk mogelijk is van dergelijke informatie over het Beveiligingsincident op de hoogte brengen, rekening houdende met de aard van de Services, de informatie die voor VistaPrint beschikbaar is, en eender welke beperkingen inzake het openbaar maken van de informatie, bijvoorbeeld met het oog op vertrouwelijkheid.

(ii) Op aanvraag van de Klant redelijke hulp bieden om de Klant in staat te stellen de van toepassing zijnde autoriteiten op de hoogte te brengen van de getroffen Betrokkenen, voor zover dit is vereist onder van toepassing zijnde Gegevensbeschermingswetten.

Een Beveiligingsincident omvat geen niet-succesvolle pogingen of activiteiten die de beveiliging van Persoonsgegevens van Eindgebruikers niet in gevaar brengen. VistaPrint's melding van of reactie op een Beveiligingsincident is geen erkenning van een fout of aansprakelijkheid met betrekking tot het genoemde Beveiligingsincident.

8. AUDITS

8.1. Auditrapporten. Op basis van een schriftelijke aanvraag van de Klant, met redelijke intervallen (niet vaker dan één keer per jaar) en onderhevig aan verplichtingen inzake vertrouwelijkheid, biedt VistaPrint een kopie van de dan meest recente overzichten van VistaPrint van externe audits, certificeringen of rapporten, waar van toepassing. De betrokken partijen stemmen overeen dat de auditrechten van de Klant die worden beschreven in van toepassing zijnde Gegevensbeschermingswetten worden vervuld door de verschaffing van dergelijke overzichten en/of rapporten door VistaPrint.

8.2. Audit door toezichthoudende instantie. VistaPrint verschaft de Klant redelijke toegang tot diens documentatie en systemen in het geval een audit is verplicht door een overheidstoezichthouder of toezichthoudende instantie voor naleving van de van toepassing zijnde Gegevensbeschermingswetten.

8.3. Vertrouwelijke informatie. Eender welke door VistaPrint verschafte informatie onder deze Sectie 8 betreft vertrouwelijke informatie. VistaPrint kan niet worden verplicht eender welke commerciële geheimen openbaar te maken, inclusief algoritmes, broncode, handelsgeheimen en vergelijkbare informatie.

9. VERWIJDERING VAN GEGEVENS

De betrokken partijen komen overeen dat VistaPrint, bij beëindiging van het DPA of op schriftelijk verzoek van de Klant, alle Persoonsgegevens van Eindgebruikers en eender welke kopieën daarvan zal vernietigen en door eender welke Subverwerkers zal laten vernietigen, zo snel als redelijk werkbaar is in overeenstemming met de voorwaarden van de Overeenkomst en van toepassing zijnde wetgeving. Los van het bovenstaande kan VistaPrint alle of een deel van de Persoonsgegevens van Eindgebruikers die openbaar zijn gemaakt, bewaren als dit is vereist onder de Overeenkomst of door van toepassing zijnde wet- of regelgeving (inclusief van toepassing zijnde Gegevensbeschermingswetten), op voorwaarde dat dergelijke Persoonsgegevens van Eindgebruikers beschermd blijven in overeenstemming met de voorwaarden van dit DPA en van toepassing zijnde Gegevensbeschermingswetten.

10. OVERIG

10.1. Hiërarchie. In het geval van eender welke inconsistenties of een conflict tussen de bepalingen van dit DPA en de bepalingen van de Overeenkomst, gaan de bepalingen van dit DPA voor, voor zover dat conflict verband houdt met de Verwerking van Persoonsgegevens van Eindgebruikers. Voor zover er sprake is van een conflict tussen de Standaard contractuele clausules (waar van toepassing), dit DPA of de Overeenkomst, gaan de Standaard contractuele clausules voor.

10.2. Updates van het DPA. VistaPrint kan dit DPA van tijd tot tijd aanpassen als ze daartoe wordt verplicht en plaatst de meest actuele versie op de website. Dergelijke wijzigingen of aanpassingen zijn van kracht vanaf het moment dat ze worden geplaatst. Door gebruik te blijven maken van of toegang te verkrijgen tot de Services nadat eender welke aanpassingen van kracht worden, gaat de Klant ermee akkoord gebonden te zijn aan het aangepaste DPA.

10.3. Toepasselijk recht. Dit DPA wordt beheerst door en uitgelegd in overeenstemming met de heersende wetgeving en rechtsgebiedsbepalingen in de Overeenkomst, tenzij anderszins is vereist door van toepassing zijnde Gegevensbeschermingswetten.

10.4. Beperking van aansprakelijkheid. Alle activiteiten onder dit DPA (inclusief, zonder beperking, de Verwerking van Persoonsgegevens van Eindgebruikers) blijven onderhevig aan de van toepassing zijnde beperkingen van aansprakelijkheid zoals uiteengezet in de Overeenkomst.

10.5 Contact. Eventuele vragen betreffende dit DPA moeten worden gericht aan de Data Protection Officer via [email protected]. VistaPrint zal proberen eender welke klachten betreffende het gebruik van Persoonsgegevens van Eindgebruikers op te lossen in overeenstemming met dit DPA en de Overeenkomst.

BIJLAGE I - BESCHRIJVING VAN VERWERKING/OVERDRACHT

A. LIJST MET BETROKKEN PARTIJEN

Gegevensexporteur(s):

  • Naam: De entiteit die als de 'Klant' is geïdentificeerd of de naam die is gespecificeerd in het account van de Klant.
  • Adres: Het factuuradres van de Klant dat is gespecificeerd in het account van de Klant.
  • Naam, functie en contactgegevens van de contactpersoon: De contactinformatie die is gespecificeerd in het account van de Klant.
  • Relevante activiteiten voor de gegevens die onder deze clausules zijn overgedragen: Eventuele activiteiten die relevant zijn voor het ontvangen van de Services die worden geleverd door VistaPrint in verband met de Overeenkomst.
  • Handtekening en datum: Door akkoord te gaan met het DPA wordt ervan uitgegaan dat de gegevensexporteur de Standaard contractuele clausules en de Bijlagen die hierin zijn opgenomen heeft ondertekend vanaf de startdatum van het DPA.
  • Rol (Verwerkingsverantwoordelijke/verwerker): Verwerkingserantwoordelijke

Gegevensimporteur(s):

  • Naam: De contractafdeling van VistaPrint voor zover van toepassing onder de Overeenkomst.
  • Adres: Het adres van de contractafdeling van VistaPrint voor zover van toepassing onder de Overeenkomst.
  • Naam, functie en contactgegevens van de contactpersoon: [email protected].
  • Relevante activiteiten voor de gegevens die onder deze clausules zijn overgedragen: Verwerking of Persoonsgegevens in verband met het gebruik van de Services van VistaPrint door de Klant.
  • Handtekening en datum: Door akkoord te gaan met het DPA wordt ervan uitgegaan dat de gegevensimporteur de Standaard contractuele clausules en de Bijlagen die hierin zijn opgenomen heeft ondertekend vanaf de startdatum van het DPA.
  • Rol (verantwoordelijke/verwerker): Verwerker

B. BESCHRIJVING VAN OVERDRACHT

Categorieën van betrokkenen: Betrokkenen zijn inclusief, maar niet beperkt tot:

  • eindgebruikers (natuurlijke personen), zowel bestaande als potentiële klanten, cliënten of bezoekers, die gebruikers zijn van de service voor Klanten;
  • vertegenwoordigers, medewerkers, kandidaten, vertegenwoordigers, consulenten, freelancers, zakenpartners, onderaannemers en/of medewerkers (natuurlijke personen) van huidige, voormalige of potentiële Klanten; en
  • externe individuen waarmee de Klant besluit een betrekking aan te gaan via de Service.

Categorieën van persoonsgegevens: Persoonsgegevens die zijn ingediend binnen de strekking en aard die door de Verantwoordelijke is bepaald naar zijn eigen goeddunken.

Gevoelige gegevens die worden overgedragen (waar van toepassing) en toegepaste beperkingen of veiligheidsmaatregelen: De betrokken partijen nemen niet deel aan de overdracht van gevoelige gegevens.

Frequentie van de overdracht: Continue basis afhankelijk van het gebruik van de Services door de Klant.

Aard van de verwerking: Prestaties van de Services conform de Overeenkomst.

Doeleinde(n) van de gegevensoverdracht en verdere verwerking: Wij kunnen uw Persoonsgegevens gebruiken voor de volgende doeleinden (en taken met betrekking tot dergelijke doeleinden), alles in overeenstemming met de Overeenkomst en op zo'n manier die in verhouding staat tot de Persoonsgegevens van uw Eindgebruikers en deze respecteert:

  • het aan u leveren van de Services;
  • het handelen volgens uw instructies;
  • het uitvoeren en handhaven van de Overeenkomst en dit DPA;
  • het verdedigen van onze rechten;
  • het voorkomen, onderzoeken en oplossen van gegevensbeveiligingsrisico's en incidenten, fraude, fouten en/of illegale of verboden activiteiten;
  • het naleven van de van toepassing zijnde wet- en regelgeving.

Bewaarperiode voor de persoonsgegevens, of, als dat niet mogelijk is, de criteria die worden gebruikt om die periode vast te stellen: VistaPrint bewaart de Persoonsgegevens tot aan de beëindiging van de Overeenkomst en in overeenstemming met Sectie 9 van het DPA, tenzij anders is vastgesteld onder de Overeenkomst.

Voor overdracht naar verwerkers/subverwerkers dient u ook het onderwerp, de aard en de duur van de verwerking op te geven: Subverwerkers Verwerken Persoonsgegevens voor zover dat noodzakelijk is voor het uitvoeren van de Services conform de Overeenkomst en voor de duur van de Overeenkomst, tenzij anderszins schriftelijk is overeengekomen.

C. COMPETENTE TOEZICHTHOUDENDE INSTANTIE

Identificeer de competente toezichthoudende instantie(s) in overeenstemming met Clausule 13: Het College Bescherming Persoonsgegevens, tenzij anderszins is vereist volgens Sectie 6 van het DPA.

BIJLAGE II - TECHNISCHE EN ORGANISATORISCHE MAATREGELEN, INCLUSIEF TECHNISCHE EN ORGANISATORISCHE MAATREGELEN VOOR HET WAARBORGEN VAN DE BEVEILIGING VAN DE GEGEVENS

VistaPrint hanteert momenteel de volgende technische en organisatorische beveiligingsmaatregelen voor de bescherming, vertrouwelijkheid en integriteit van Persoonsgegevens. Houd er rekening mee dat VistaPrint deze werkwijze naar eigen goeddunken kan aanpassen. Eventuele doorgevoerde wijzigingen vormen geen aanzienlijke afbreuk van de algemene beveiliging en bescherming van Persoonsgegevens.

1- Voorkomen dat onbevoegde personen toegang krijgen tot systemen waarmee Persoonsgegevens worden verwerkt of gebruikt (fysiek toegangsbeheer); in het bijzonder door de volgende maatregelen te treffen:

  • Beheerde toegang voor kritieke of gevoelige gebieden
  • Incidentlogboeken
  • Geautomatiseerde toegangsbeheersystemen
  • ID- of chipkaartlezers
  • Bewustzijnstraining over beveiliging

2- Voorkomen dat gegevensverwerkingssystemen worden gebruikt zonder autorisatie (logisch toegangsbeheer); in het bijzonder door de volgende maatregelen te treffen:

  • Netwerkapparaten zoals inbraakdetectiesystemen, routers en firewalls.
  • Beveiligd inloggen met unieke gebruikers-ID/wachtwoord, inclusief vereisten voor complexiteit van het wachtwoord en meervoudige authenticatie, waar van toepassing.
  • Beleidsmandaten die niet-bemande werkstations vergrendelen. Er wordt een wachtwoord voor de schermbeveiliging geïmplementeerd zodat het werkstation automatisch wordt vergrendeld indien de gebruiker het werkstation vergeet te vergrendelen.
  • Logboekvermeldingen en analyse van systeemgebruik.
  • Op rollen gebaseerde toegang voor kritieke systemen die Persoonsgegevens bevatten.
  • Proces voor routineuze systeemupdates voor bekende beveiligingsproblemen.
  • Encryptie van harde schijven van laptops.
  • Bewaking voor beveiligingsproblemen op kritieke systemen.
  • Implementatie en updates van antivirussoftware.
  • Netwerkapparaten zoals inbraakdetectiesystemen, routers en firewalls.
  • Naleving van de databeveiligingsnorm voor de betaalkaartsector.

3- Waarborgen dat personen die gemachtigd zijn om een systeem te gebruiken alleen toegang kunnen krijgen tot de gegevens waarvoor ze een toegangsrecht hebben, en dat, gedurende de Verwerking of het gebruik en ná opslag, Persoonsgegevens niet kunnen worden gelezen, gekopieerd, aangepast of verwijderd zonder autorisatie (toegangsbeheer voor gegevens); in het bijzonder door de volgende maatregelen te treffen:

  • Netwerkapparaten zoals inbraakdetectiesystemen, routers en firewalls.
  • Beveiligd inloggen met unieke gebruikers-ID/wachtwoord, inclusief vereisten voor complexiteit van het wachtwoord en meervoudige authenticatie, waar van toepassing.
  • Logboekvermeldingen en analyse van systeemgebruik.
  • Op rollen gebaseerde toegang voor kritieke systemen die persoonsgegevens bevatten.
  • Encryptie van harde schijven van laptops.
  • Implementatie en updates van antivirussoftware.
  • Naleving van de databeveiligingsnorm voor de betaalkaartsector.

4- Waarborgen dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, aangepast of verwijderd zonder autorisatie tijdens elektronische overdracht, transport of opslag door de volgende maatregelen te treffen:

  • Beveiligd inloggen met unieke gebruikers-ID/wachtwoord, inclusief vereisten voor complexiteit van het wachtwoord en meervoudige authenticatie, waar van toepassing.
  • Protocollen voor beveiligde overdracht.
  • Logboekvermeldingen en analyse van systeemgebruik.
  • Op rollen gebaseerde toegang voor kritieke systemen die persoonsgegevens bevatten.
  • Netwerkapparaten zoals inbraakdetectiesystemen, routers en firewalls.
  • Implementatie van een VPN.

5- Waarborgen dat Persoonsgegevens uitsluitend worden verwerkt in overeenstemming met bedrijfsbeleid door de volgende maatregelen te treffen:

  • Verplichte bewustzijnstraining over beveiliging en privacy voor alle medewerkers.
  • Wervingsprocedures voor medewerkers die de voltooiing van een gedetailleerd sollicitatieformulier vereisen voor essentiële medewerkers met toegang tot significante persoonsgegevens en voor zover dat conform lokale wetgeving is toegestaan.
  • Zorgvuldige selectie van geschikte arbeidsbureaus en serviceproviders.
  • Het aangaan van geschikte overeenkomsten voor gegevensverwerking met Subverwerkers, die geschikte technische en organisatorische beveiligingsmaatregelen omvatten.

6- Waarborgen dat Persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies (beschikbaarheidsbeheer); in het bijzonder door de volgende maatregelen te treffen:

  • Regelmatig testen van de effectiviteit van beveiligingsmaatregelen.
  • Back-upprocedures en herstelsystemen.
  • Redundante servers op een andere locatie.
  • Ononderbroken voeding en noodstroomvoorziening.
  • Externe opslag.
  • Klimaatbewaking en -beheer voor servers.
  • Implementatie en updates van antivirussoftware.
  • Noodherstel- en noodplan.

7- Waarborgen dat gegevens die voor verschillende doeleinden worden verzameld of verschillende belangrijke gegevens afzonderlijk kunnen worden verwerkt (scheidingsbeheer); in het bijzonder door de volgende maatregelen te treffen:

  • Op rollen gebaseerde toegang voor kritieke systemen die persoonsgegevens bevatten.
  • Scheiding van testgegevens en live gegevens.
  • Naleving van de databeveiligingsnorm voor de betaalkaartsector.

BIJLAGE III - LIJST MET SUBVERWERKERS

Er is een lijst met de Subverwerkers die we inzetten, en ons doeleinde voor het inzetten van deze Subverwerkers is op aanvraag van de Klant beschikbaar.