Deze Overeenkomst voor Gegevensverwerking (de "Partner DPA") is opgenomen in de overeenkomst(en) die u ("Partner") en BROSH, Inc. ("BROSH") zijn aangegaan en regelt de gegevensuitwisseling tussen u en BROSH (maar met uitzondering van klantovereenkomsten tussen Partner en BROSH die de aankoop en het gebruik van BROSH-producten en -diensten door Partner regelen) ("Partnerovereenkomst").

Deze Partner DPA heeft betrekking op de verwerking van: (1) Persoonsgegevens die de Partner uploadt, overdraagt of op een andere manier verstrekt aan BROSH in verband met een Partnerovereenkomst; en (2) Persoonsgegevens die BROSH (of haar klanten) uploadt, overdraagt of op een andere manier verstrekt aan Partner in verband met de Partnerovereenkomst.

Gezamenlijk worden deze Partner DPA (inclusief de SCC's, zoals hieronder gedefinieerd) en de Partnerovereenkomst in deze Partner DPA de "Overeenkomst" genoemd. In het geval van een conflict of inconsistentie tussen een van de voorwaarden van de Overeenkomst, prevaleren de bepalingen van de volgende documenten (in volgorde van voorrang): (a) de SCC's, (b) deze Partner DPA en (c) de Partnerovereenkomst.

Het doel van deze Partner DPA is om een kader te creëren voor het aanpakken van scenario's waarin:

1. BROSH en Partner kunnen, in verband met de Partnerovereenkomst, ieder Verwerkingsverantwoordelijke (zoals hieronder gedefinieerd) zijn van Europese Persoonsgegevens en, in bepaalde gevallen, die Europese Persoonsgegevens overdragen aan de andere partij, zodat die andere partij kan optreden als Verwerkingsverantwoordelijke van die Europese Persoonsgegevens;
2. BROSH en Partner kunnen elk Verwerkingsverantwoordelijke zijn van Europese Persoonsgegevens en in bepaalde gevallen die Europese Persoonsgegevens overdragen aan de andere partij, zodat die andere partij bepaalde diensten aan de andere partij kan verlenen als Verwerker (bijvoorbeeld het uitvoeren van diensten als Solutions Partner of het uitvoeren van een API-oproep); of
3. BROSH en Partner kunnen elk Verwerker zijn van de Europese Persoonsgegevens van een Gezamenlijke Klant en deze gegevens aan de andere partij overdragen ter verwerking op verzoek van die Gezamenlijke Klant.

1. DEFINITIES

'Bedrijf' en 'Dienstverlener' hebben de betekenis die daaraan is toegekend in de CCPA.

"Persoonlijke gegevens uit Californië" betekent Persoonsgegevens die onder de bescherming van de CCPA vallen.

"CCPA" betekent California Civil Code Sec. 1798.100 en volgende (ook bekend als de California Consumer Privacy Act van 2018).

Onder ‘verwerkingsverantwoordelijke’ wordt verstaan de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of een ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

"Wetten inzake gegevensbescherming" betekent alle toepasselijke wereldwijde wetgeving of regelgeving met betrekking tot gegevensbescherming en privacy die van toepassing is op de respectieve partij in de rol van Verwerking van Persoonsgegevens in kwestie onder de Overeenkomst, met inbegrip van, maar niet beperkt tot, Europese wetten inzake gegevensbescherming, de CCPA en de wetten inzake gegevensbescherming en privacy van Australië en Singapore; in elk geval zoals van tijd tot tijd gewijzigd, ingetrokken, geconsolideerd of vervangen. "Europa" betekent de Europese Unie, de Europese Economische Ruimte en/of hun lidstaten, Zwitserland en het Verenigd Koninkrijk.

"Europese wetten inzake gegevensbescherming" betekent wetten inzake gegevensbescherming die van toepassing zijn in Europa, waaronder: (i) Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) ("AVG"); (ii) Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie; en (iii) toepasselijke nationale implementaties van (i) en (ii); of (iii) AVG zoals deze deel uitmaakt van het nationale recht van het Verenigd Koninkrijk krachtens artikel 3 van de European Union (Withdrawal) Act 2018 ("VK AVG"); en (iv) de Zwitserse federale wet inzake gegevensbescherming van 19 juni 1992 en de bijbehorende verordening ("Zwitserse DPA"); in elk geval zoals gewijzigd, vervangen of vervangen.

"Europese Persoonsgegevens" betekent Persoonsgegevens waarvan de uitwisseling overeenkomstig deze Overeenkomst wordt gereguleerd door de Europese wetgeving inzake gegevensbescherming.

Onder "Gezamenlijke klant" wordt verstaan een klant van zowel Partner als BROSH.

Onder "Persoonsgegevens van Gezamenlijke Klanten" worden alle Persoonsgegevens verstaan waarvoor een Gezamenlijke Klant optreedt als Verwerkingsverantwoordelijke.

"BROSH Persoonsgegevens" betekent alle Persoonsgegevens waarvoor BROSH optreedt als Verwerkingsverantwoordelijke.

"Partner Persoonsgegevens" betekent alle Persoonsgegevens waarvoor Partner optreedt als Verwerkingsverantwoordelijke.

Onder "Persoonsgegevens" wordt verstaan alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon, indien deze informatie is opgenomen in BROSH-persoonsgegevens, Partnerpersoonsgegevens of Gezamenlijke Klantpersoonsgegevens en op dezelfde wijze wordt beschermd als persoonlijke gegevens of persoonlijk identificeerbare informatie krachtens de toepasselijke wetgeving inzake gegevensbescherming.

Onder "inbreuk op persoonsgegevens" wordt verstaan elke onopzettelijke of onrechtmatige vernietiging, elk verlies, elke wijziging, elke ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

"Verwerking" betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, afstemmen of combineren, beperken of wissen van Persoonsgegevens. De termen "Verwerken", "Verwerken" en "Verwerkt" worden dienovereenkomstig uitgelegd.

Onder ‘verwerker’ wordt verstaan een natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Onder "Standaardcontractbepalingen" of "SCC's" worden de standaardcontractbepalingen verstaan die zijn gehecht aan Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021.

Onder "subverwerker" wordt verstaan elke entiteit die verwerkingsdiensten levert aan een verwerker.

Onder "toezichthoudende autoriteit" wordt verstaan een onafhankelijke overheidsinstantie die is opgericht door een lidstaat van de Europese Economische Ruimte, Zwitserland of het Verenigd Koninkrijk.

"UK Addendum" betekent het International Data Transfer Addendum (versie B.1.0) uitgegeven door de UK ICO onder sectie 119A van de Data Protection Act 2018, zoals deze kan worden gewijzigd, vervangen of vervangen.

2. NALEVING VAN WETTEN

Partijen verklaren en garanderen dat zij hun respectieve verplichtingen en plichten onder de toepasselijke wetgeving inzake gegevensbescherming zullen nakomen.

3. SCENARIO'S VOOR GEZAMENLIJKE VERWERKERS

Elke partij zal, voor zover zij, samen met de andere partij, optreedt als Verwerker met betrekking tot Gezamenlijke Klant Persoonsgegevens, (i) voldoen aan de instructies en beperkingen die zijn uiteengezet in enige overeenkomst(en) met de Gezamenlijke Klant; en (ii) redelijkerwijs samenwerken met de andere partij om de uitoefening van gegevensbeschermingsrechten mogelijk te maken zoals uiteengezet in de toepasselijke Gegevensbeschermingswetten. De partijen erkennen en stemmen ermee in dat elke partij optreedt als Verwerker voor de Gezamenlijke Klant en dat geen van beide partijen de andere inschakelt als Subverwerker.

4. SCENARIO'S VAN VERWERKINGSVERANTWOORDELIJKE TOT VERWERKINGSVERANTWOORDELIJKE

Elke partij zal, voor zover zij samen met de andere partij optreedt als verwerkingsverantwoordelijke met betrekking tot persoonsgegevens, redelijkerwijs met de andere partij samenwerken om de uitoefening van de gegevensbeschermingsrechten zoals uiteengezet in de toepasselijke wetgeving inzake gegevensbescherming mogelijk te maken.

Partijen erkennen en stemmen ermee in dat zij ieder onafhankelijk optreden als verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens en dat de partijen geen gezamenlijke verwerkingsverantwoordelijken zijn in de zin van de Europese wetgeving inzake gegevensbescherming.

5. SCENARIO'S VAN VERWERKER TOT VERWERKER

A. Relatie tussen de partijen. De rechten, verantwoordelijkheden en verplichtingen van de partijen met betrekking tot secties 6 – 9 van deze DPA zijn als volgt:

Voor verwerkingsactiviteiten waarbij BROSH Persoonsgegevens namens Partner en op aanwijzing van Partner verwerkt, verwijst de term "Verwerker" naar BROSH, verwijst de term "Controller" naar Partner en verwijst de term "Persoonsgegevens" naar Persoonsgegevens van Partner. Voor gegevensverwerkingsactiviteiten waarbij Partner Persoonsgegevens namens BROSH en op aanwijzing van BROSH verwerkt, verwijst de term "Verwerker" naar Partner, verwijst de term "Controller" naar BROSH en verwijst de term "Persoonsgegevens" naar Persoonsgegevens van BROSH.

B. Omvang van de verwerking .

In de context van de scenario's beschreven in Sectie 5.a hierboven, stemt elke partij ermee in om Persoonsgegevens alleen te verwerken voor de doeleinden uiteengezet in de toepasselijke Partnerovereenkomst en/of de overeenkomst(en) van de Partner met de Gezamenlijke Klant. Om twijfel te voorkomen, worden de categorieën van verwerkte Persoonsgegevens en de categorieën van betrokkenen die onderworpen zijn aan deze DPA beschreven in Bijlage A bij deze DPA.

6. VERPLICHTINGEN VAN DE VERWERKINGSVERANTWOORDELIJKE

De partijen komen in hun hoedanigheid van Verwerkingsverantwoordelijke overeen:

A. Instructies verstrekken aan de Verwerker en de doeleinden en middelen bepalen van de verwerking van Persoonsgegevens door de Verwerker in overeenstemming met de Overeenkomst; en

B. Voldoen aan de beschermings-, beveiligings- en andere verplichtingen met betrekking tot Persoonsgegevens die zijn voorgeschreven door de toepasselijke wetgeving inzake gegevensbescherming voor een Verwerkingsverantwoordelijke door: (i) een procedure vast te stellen en te handhaven voor de uitoefening van de rechten van de personen wiens Persoonsgegevens namens de Verwerkingsverantwoordelijke worden verwerkt; (ii) uitsluitend gegevens te verwerken die rechtmatig en geldig zijn verzameld en ervoor te zorgen dat dergelijke gegevens relevant en evenredig zijn voor het respectieve gebruik; en (iii) ervoor te zorgen dat de bepalingen van deze DPA worden nageleefd door het personeel of door een derde partij die namens het personeel toegang heeft tot Persoonsgegevens of deze gebruikt.

7. VERPLICHTINGEN VAN DE VERWERKER
A. Verwerkingsvereisten . De partijen in hun hoedanigheid als Verwerker komen overeen om:

a. Persoonsgegevens verwerken (i) uitsluitend met het doel om de producten en diensten van de Verwerker te leveren, ondersteunen en verbeteren (inclusief het verstrekken van inzichten en andere rapportages), met behulp van passende technische en organisatorische beveiligingsmaatregelen; en (ii) in overeenstemming met de instructies ontvangen van de Verwerkingsverantwoordelijke. De Verwerker zal Persoonsgegevens niet gebruiken of verwerken voor enig ander doel. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk schriftelijk informeren indien hij niet kan voldoen aan de vereisten onder Secties 6 - 9 van deze DPA, in welk geval de Verwerkingsverantwoordelijke de Overeenkomst en elke toepasselijke Partnerovereenkomst kan beëindigen of andere redelijke maatregelen kan nemen, inclusief het opschorten van gegevensverwerkingsactiviteiten;

b. De Verwerkingsverantwoordelijke onmiddellijk en zonder onnodige vertraging informeren indien de Verwerker van mening is dat een instructie van de Verwerkingsverantwoordelijke in strijd is met de toepasselijke wetgeving inzake gegevensbescherming;

c. Indien de Verwerker namens de Verwerkingsverantwoordelijke Persoonsgegevens van personen verzamelt, dient u de instructies van de Verwerkingsverantwoordelijke met betrekking tot dergelijke verzameling van Persoonsgegevens te volgen;

d. Commercieel redelijke stappen ondernemen om ervoor te zorgen dat (i) personen die bij haar in dienst zijn en (ii) andere personen die zijn ingehuurd om namens de Verwerker te werken, zich houden aan de voorwaarden van de Overeenkomst en de toepasselijke Partnerovereenkomsten;

e. Verklaren en garanderen dat haar werknemers, geautoriseerde agenten en eventuele Subprocessors onderworpen zijn aan een strikte geheimhoudingsplicht (hetzij een contractuele plicht of een wettelijke plicht), en dat zij niet zullen toestaan dat een persoon de persoonsgegevens verwerkt die niet onder een dergelijke geheimhoudingsplicht valt;

f. Indien het voornemens is om Subverwerkers in te schakelen om het te helpen bij het nakomen van zijn verplichtingen in overeenstemming met deze DPA of om alle of een deel van de verwerkingsactiviteiten te delegeren aan dergelijke Subverwerkers, (i) de Verwerkingsverantwoordelijke een lijst te verstrekken van Subverwerkers die momenteel door de Verwerker zijn ingeschakeld (een dergelijke lijst voor BROSH is online beschikbaar op https://www.brosh.io/pagex/nl/sub-processors-page.html ), en de Verwerkingsverantwoordelijke ten minste 30 dagen van tevoren op de hoogte te stellen van de inschakeling van nieuwe Subverwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid krijgt bezwaar te maken; (ii) aansprakelijk te blijven jegens de Verwerkingsverantwoordelijke voor de handelingen en omissies van de Subverwerkers met betrekking tot gegevensbescherming wanneer dergelijke Subverwerkers handelen op instructies van de Verwerker; en (iii) contractuele afspraken te maken met dergelijke Subverwerkers die hen verplichten hetzelfde niveau van gegevensbescherming en informatiebeveiliging te bieden als hierin is voorzien;

g. Op verzoek de Verwerkingsverantwoordelijke voorzien van het privacy- en beveiligingsbeleid van de Verwerker; en

h. De Verwerkingsverantwoordelijke informeren indien de Verwerker een onafhankelijke beveiligingsbeoordeling uitvoert.

B. Kennisgeving aan de Verwerkingsverantwoordelijke . De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk en zonder onnodige vertraging informeren als de Verwerker op de hoogte raakt van:

a. Elke niet-naleving door Verwerker of diens werknemers van de artikelen 6 tot en met 9 van deze DPA of van de toepasselijke wetten inzake gegevensbescherming met betrekking tot de bescherming van Persoonsgegevens die worden verwerkt onder deze DPA;

b. Elk juridisch bindend verzoek tot openbaarmaking van Persoonsgegevens door een rechtshandhavings- of overheidsinstantie, tenzij de Verwerker anderszins bij wet verboden is de Verwerkingsverantwoordelijke te informeren, bijvoorbeeld om de vertrouwelijkheid van een onderzoek door rechtshandhavingsinstanties te bewaren;

c. Elke kennisgeving, onderzoek of onderzoek door een toezichthoudende autoriteit met betrekking tot persoonsgegevens; of

d. Elke klacht of verzoek (met name verzoeken om toegang tot, rectificatie of blokkering van Persoonsgegevens) die rechtstreeks van betrokkenen van de Verwerkingsverantwoordelijke wordt ontvangen. De Verwerker zal niet op een dergelijk verzoek reageren zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.

C. Assistentie aan de Controller. De Processor zal de Controller tijdig en redelijkerwijs assisteren met betrekking tot:

a. Reageren op elk verzoek van een individu om rechten uit te oefenen onder de toepasselijke wetten inzake gegevensbescherming (inclusief de rechten op toegang, correctie, bezwaar, wissen en gegevensportabiliteit, indien van toepassing) en de Verwerker stemt ermee in de Verwerkingsverantwoordelijke onmiddellijk te informeren als een dergelijk verzoek rechtstreeks wordt ontvangen;

b. Het onderzoek naar inbreuken op de persoonsgegevens en de melding aan de toezichthoudende autoriteit en de verwerkingsverantwoordelijke van de betrokkenen met betrekking tot dergelijke inbreuken op de persoonsgegevens; en

c. waar passend, het opstellen van gegevensbeschermingseffectbeoordelingen en, indien nodig, het uitvoeren van raadplegingen met toezichthoudende autoriteiten.

D. Vereiste verwerking.

Indien de Verwerker op grond van de Wet bescherming persoonsgegevens verplicht is om Persoonsgegevens te verwerken voor een andere reden dan in verband met de Overeenkomst, zal de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking op de hoogte stellen van deze verplichting, tenzij het de Verwerker wettelijk verboden is om de Verwerkingsverantwoordelijke op de hoogte te stellen van een dergelijke verwerking (bijvoorbeeld als gevolg van geheimhoudingsvereisten die kunnen bestaan op grond van toepasselijke wetgeving van EU-lidstaten).

E. Beveiliging . De Verwerker zal:

a. Handhaaf passende organisatorische en technische beveiligingsmaatregelen (inclusief met betrekking tot personeel, faciliteiten, hardware en software, opslag en netwerken, toegangscontroles, monitoring en logging, detectie van kwetsbaarheden en inbreuken, respons op incidenten, encryptie van Persoonsgegevens tijdens het transport en in rust) om te beschermen tegen ongeautoriseerde of onbedoelde toegang, verlies, wijziging, openbaarmaking of vernietiging van Persoonsgegevens;

b. Verantwoordelijk zijn voor de toereikendheid van de beveiligings-, privacy- en vertrouwelijkheidswaarborgen van al het personeel van de Verwerker met betrekking tot Persoonsgegevens en aansprakelijk zijn voor elk falen van dergelijk Verwerkerpersoneel om te voldoen aan de voorwaarden van deze DPA;

c. Passende maatregelen nemen om te bevestigen dat al het personeel van de Verwerker de veiligheid, privacy en vertrouwelijkheid van Persoonsgegevens beschermt in overeenstemming met de vereisten van deze DPA; en

d. De Verwerkingsverantwoordelijke onverwijld en in ieder geval binnen 48 uur na kennisname van een inbreuk op de Persoonsgegevens in kennis stellen van een inbreuk op de Persoonsgegevens door de Verwerker, diens Subverwerkers of andere derden die namens de Verwerker handelen.

F. Aanvullende bepalingen voor persoonlijke informatie uit Californië .

Wanneer de Processor California Personal Information verwerkt in overeenstemming met de instructies die zijn ontvangen van de Controller, erkennen en stemmen de partijen ermee in dat de Controller een Bedrijf is en de Processor een Service Provider voor de doeleinden van de CCPA. De partijen komen overeen dat de Processor California Personal Information zal verwerken als Service Provider, strikt met het doel om de diensten van de Processor te leveren, ondersteunen en verbeteren (inclusief het verstrekken van inzichten en andere rapportages) (het "Bedrijfsdoel") of zoals anderszins toegestaan door de CCPA.

8. AUDIT, CERTIFICERING

A. Audit van de toezichthoudende autoriteit .

Indien een toezichthoudende autoriteit een audit vereist van de gegevensverwerkingsfaciliteiten waaruit de verwerker persoonsgegevens verwerkt om naleving van de wetgeving inzake gegevensbescherming vast te stellen of te controleren, zal de verwerker meewerken aan een dergelijke audit. De verwerkingsverantwoordelijke zal de verwerker vergoeden voor de redelijke kosten die hij heeft gemaakt om mee te werken aan de audit, tenzij een dergelijke audit de niet-naleving van deze DPA door de verwerker aan het licht brengt.

B. Processorcertificering .

De Verwerker moet, op verzoek van de Verwerkingsverantwoordelijke (niet meer dan één verzoek per kalenderjaar) per e-mail (indien BROSH de Verwerker is, moeten dergelijke e-mails worden verzonden naar privacy@brosh.io; indien Partner de Verwerker is, moet Partner BROSH op verzoek een centraal contactpunt voor e-mailcorrespondentie met betrekking tot gegevensbescherming aanwijzen en ter beschikking stellen), schriftelijk certificeren dat deze DPA wordt nageleefd.

9. GEGEVENS RETOURNEREN EN VERWIJDEREN

De partijen komen overeen dat bij beëindiging van de gegevensverwerkingsdiensten of op redelijk verzoek van de Verwerkingsverantwoordelijke, de Verwerker redelijke maatregelen zal nemen om ervoor te zorgen dat alle Subverwerkers, naar keuze van de Verwerkingsverantwoordelijke, alle Europese Persoonsgegevens en kopieën van dergelijke gegevens aan de Verwerkingsverantwoordelijke retourneren of op veilige wijze vernietigen en aan de tevredenheid van de Verwerkingsverantwoordelijke aantonen dat zij dergelijke maatregelen hebben genomen, tenzij de Wetten inzake Gegevensbescherming de Verwerker verhinderen alle of een deel van de bekendgemaakte Europese Persoonsgegevens te retourneren of te vernietigen. In dat geval stemt de Verwerker ermee in de vertrouwelijkheid van de door hem bewaarde Europese Persoonsgegevens te bewaren en dat hij dergelijke Europese Persoonsgegevens na die datum alleen actief zal verwerken om te voldoen aan de toepasselijke wetten.

10. GEGEVENSOVERDRACHTEN

Wanneer Persoonsgegevens buiten het land van herkomst worden overgedragen, zorgt elke partij ervoor dat dergelijke overdrachten plaatsvinden in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming.

a. Persoonsgegevens van partners . Voor overdrachten van Europese Persoonsgegevens van Partner naar BROSH voor verwerking door BROSH in een rechtsgebied buiten Europa dat geen adequaat beschermingsniveau biedt voor Persoonsgegevens (in de zin van de toepasselijke Europese wetgeving inzake gegevensbescherming), komen de partijen overeen dat:

(i) Standaardcontractbepalingen : De partijen komen overeen zich te houden aan de SCC's en deze te verwerken in overeenstemming met deze bepalingen, zoals opgenomen in artikel 10(c) hieronder.

(ii) Privacy Shield : Hoewel BROSH, Inc. zich niet beroept op het EU-VS Privacy Shield als wettelijke basis voor de overdracht van Persoonsgegevens in het licht van het arrest van het Hof van Justitie van de EU in zaak C-311/18, zal BROSH Inc., zolang BROSH, Inc. zelfgecertificeerd is voor het Privacy Shield, Europese Persoonsgegevens verwerken in overeenstemming met de Privacy Shield-beginselen en Partner laten weten indien BROSH, Inc. niet aan deze vereiste kan voldoen.

De partijen komen overeen dat betrokkenen voor wie een BROSH-entiteit Europese Persoonsgegevens verwerkt, derde begunstigden zijn onder de SCC's. Als BROSH niet in staat is of niet in staat is om aan deze vereisten te voldoen, worden Europese Persoonsgegevens uitsluitend verwerkt en gebruikt binnen het grondgebied van een lidstaat van de Europese Unie en vereist elke verplaatsing van Europese Persoonsgegevens naar een niet-EU-land de voorafgaande schriftelijke toestemming van Partner met betrekking tot Europese Persoonsgegevens. BROSH stelt Partner onmiddellijk op de hoogte van elk onvermogen van BROSH om te voldoen aan de bepalingen van deze Sectie 10(a).

b. BROSH Persoonsgegevens. Voor overdrachten van Europese Persoonsgegevens van BROSH naar Partner voor verwerking door Partner in een rechtsgebied buiten Europa dat geen adequaat beschermingsniveau biedt voor Persoonsgegevens (in de zin van de toepasselijke Europese wetgeving inzake gegevensbescherming), komen de partijen overeen dat:

(i) Standaardcontractbepalingen : De partijen komen overeen zich te houden aan de SCC's en deze te verwerken in overeenstemming met deze bepalingen, zoals opgenomen in artikel 10(c) hieronder.

(ii) Privacy Shield : Zolang BROSH, Inc. zelfgecertificeerd is voor het Privacy Shield, zal Partner Europese Persoonsgegevens verwerken in overeenstemming met de Privacy Shield-principes en BROSH laten weten als Partner niet aan deze vereiste kan voldoen.

De partijen komen overeen dat betrokkenen voor wie Partner Europese Persoonsgegevens verwerkt, derde begunstigden zijn onder de SCC's. Als Partner niet in staat is of niet in staat is om aan deze vereisten te voldoen, worden Europese Persoonsgegevens uitsluitend verwerkt en gebruikt binnen het grondgebied van een lidstaat van de Europese Unie en vereist elke verplaatsing van Europese Persoonsgegevens naar een niet-EU-land de voorafgaande schriftelijke toestemming van BROSH met betrekking tot Persoonsgegevens. Partner stelt BROSH onmiddellijk op de hoogte van elk onvermogen van Partner om te voldoen aan de bepalingen van deze Sectie 10(b).

c. Standaardcontractbepalingen. De Partijen erkennen en stemmen ermee in dat voor de doeleinden van de SCC's: (i) met betrekking tot Partner Persoonsgegevens de "gegevensexporteur" Partner is en de "gegevensimporteur" BROSH (handelend namens zichzelf en haar Gelieerde Ondernemingen); (ii) met betrekking tot BROSH Persoonsgegevens de "gegevensexporteur" BROSH is (handelend namens zichzelf en haar Gelieerde Ondernemingen) en de "gegevensimporteur" Partner is; (iii) de Module Eén-voorwaarden van toepassing zijn wanneer beide partijen Verwerkingsverantwoordelijken zijn en de Module Twee-voorwaarden van toepassing zijn wanneer de partij die Persoonsgegevens ontvangt onder de SCC's optreedt als Verwerker namens de andere partij als Verwerkingsverantwoordelijke; (iv) in Clausule 7 de optionele docking-clausule van toepassing is; (v) in Clausule 9 Optie 2 van Module Twee van toepassing is en de Verwerker autorisatie verkrijgt voor Subverwerkers in overeenstemming met Sectie 7(a) van deze DPA; (vi) in Clausule 11 de optionele taal wordt geschrapt; (vii) in Clausule 17 en Clausule 18(b) worden de SCC's beheerst door de wetten van en worden geschillen beslecht door de rechtbanken van de Republiek Ierland of de EER-lidstaat waar de BROSH-rechtspersoon die de Overeenkomst is aangegaan, is gevestigd of, indien BROSH niet in de EER is gevestigd, de Republiek Ierland; (viii) in Bijlage I van de SCC's zijn de gegevens van de partijen opgenomen in de Overeenkomst; en (ix) wordt de resterende informatie in Bijlage I en Bijlage II van de SCC's geacht te zijn aangevuld met de informatie uiteengezet in Bijlage A van deze DPA.

d. UK-overdrachten. Met betrekking tot Persoonsgegevens die onder de UK AVG vallen, zijn de SCC's van toepassing in overeenstemming met Sectie 10(c) hierboven en de volgende aanvullende wijzigingen: (i) de SCC's worden gewijzigd zoals gespecificeerd in het UK Addendum, dat bij verwijzing wordt opgenomen; (ii) Tabellen 1 tot en met 3 in Deel 1 van het UK Addendum worden ingevuld met relevante informatie zoals uiteengezet in Bijlage A van deze DPA; (iii) Tabel 4 in Deel 1 van het UK Addendum wordt als voltooid beschouwd door "geen van beide" te selecteren; en (iv) elk conflict tussen de SCC's en het UK Addendum wordt opgelost in overeenstemming met Sectie 10 en Sectie 11 van het UK Addendum.

e. Zwitserse overdrachten. Met betrekking tot Persoonsgegevens die onder de Zwitserse DPA vallen, zijn de SCC's van toepassing in overeenstemming met Sectie 10(c) hierboven en de volgende aanvullende wijzigingen: (i) verwijzingen naar "Verordening (EU) 2016/679" en specifieke artikelen daarin worden geïnterpreteerd als verwijzingen naar de Zwitserse DPA en de equivalente artikelen of secties daarin; (ii) verwijzingen naar "EU", "Unie" en "Lidstaat" worden vervangen door verwijzingen naar "Zwitserland"; (iii) verwijzingen naar de "bevoegde toezichthoudende autoriteit" en "bevoegde rechtbanken" worden vervangen door verwijzingen naar de "Zwitserse federale commissaris voor gegevensbescherming" en "toepasselijke rechtbanken van Zwitserland"; en (iv) in Clausule 17 en Clausule 18(b) worden de SCC's beheerst door de wetten van en worden geschillen beslecht door de rechtbanken van Zwitserland.

11. TERM

Deze DPA blijft van kracht zolang een van beide partijen Persoonsgegevensverwerkingen uitvoert op de Persoonsgegevens die door de andere partij zijn geüpload of op andere wijze zijn verstrekt krachtens en in overeenstemming met de Partnerovereenkomst.

12. VRIJWARING

Elke Partij zal de andere Partij en haar dochterondernemingen, filialen en haar respectieve functionarissen, directeuren, werknemers en agenten verdedigen, schadeloos stellen en vrijwaren van en tegen alle verliezen, schade, aansprakelijkheden, tekortkomingen, acties, vonnissen, rente, toekenningen, straffen, boetes, kosten of uitgaven van welke aard dan ook, inclusief redelijke advocaatkosten, de kosten van het afdwingen van enig recht op schadeloosstelling hieronder, en de kosten van het vervolgen van verzekeringsmaatschappijen, voortvloeiend uit of resulterend uit enige claim van derden tegen de andere voortvloeiend uit of resulterend uit het niet nakomen door de inbreukmakende partij van enige van haar verplichtingen onder deze DPA of de toepasselijke wetten, voorschriften of beginselen vervat in de Europese wetten inzake gegevensbescherming. De aansprakelijkheid van elke Partij is onderworpen aan de beperking van aansprakelijkheid in de toepasselijke Partnerovereenkomst.

BIJLAGE A

BIJLAGE A - BESCHRIJVING VAN DE OVERDRACHT

1. Categorieën van betrokkenen . De overgedragen persoonsgegevens hebben betrekking op de volgende categorieën van betrokkenen, afhankelijk van de overeenkomst tussen de gegevensimporteur en de gegevensexporteur:

BROSH-leden; potentiële en huidige klanten en werknemers van de gegevensexporteur; verkoop- en marketingleads van de gegevensexporteur; en derden die een commerciële relatie met de gegevensexporteur hebben of kunnen hebben (bijv. adverteerders, klanten, zakelijke abonnees, contractanten en productgebruikers).

2. Categorieën van persoonsgegevens . De overgedragen persoonsgegevens betreffen de volgende categorieën van gegevens:

De overgedragen gegevens zijn de persoonlijke gegevens die door de gegevensexporteur aan de gegevensimporteur zijn verstrekt in verband met de Partnerovereenkomst. Dergelijke persoonlijke gegevens kunnen voornaam, achternaam, e-mailadres, contactgegevens, opleiding en werkgeschiedenis en andere informatie bevatten die is verstrekt in BROSH-ledenprofielen, cv's, CRM-gegevens met betrekking tot verkoopleads en klantenlijsten, alle aantekeningen die door de gegevensexporteur zijn verstrekt met betrekking tot het voorgaande en andere activiteiten van BROSH-leden die op het BROSH-platform zijn uitgevoerd.

1. Gevoelige gegevens (indien van toepassing) . De overgedragen persoonsgegevens kunnen betrekking hebben op de volgende bijzondere categorieën van gegevens:
   Geen.
2. Frequentie van overdracht .
   De persoonsgegevens worden doorlopend overgedragen.
3. Aard en doel van de verwerking . De overdracht wordt gedaan voor de volgende doeleinden:
   De overdracht is bedoeld om de relatie tussen de partijen die in de Partnerovereenkomst worden overwogen, mogelijk te maken. De "Partnerovereenkomst" is de overeenkomst(en) die door de gegevensimporteur en de gegevensexporteur zijn aangegaan en die het delen van gegevens tussen die partijen regelen (maar met uitzondering van klantovereenkomsten tussen Partner en BROSH die de aankoop van BROSH-producten en -diensten door Partner regelen).
4. Bewaartermijn van persoonsgegevens :
   De persoonlijke gegevens die tussen de partijen worden overgedragen, mogen alleen worden bewaard gedurende de periode die is toegestaan onder de Partnerovereenkomst. De partijen komen overeen dat elke partij, voor zover zij, samen met de andere partij, optreedt als een Controller met betrekking tot Persoonlijke Gegevens, redelijkerwijs zal samenwerken met de andere partij om de uitoefening van gegevensbeschermingsrechten mogelijk te maken zoals uiteengezet in de Wetten inzake Gegevensbescherming.
5. Onderwerp, aard en duur van de verwerking .
   Het onderwerp, de aard en de duur van de verwerking worden beschreven in de Overeenkomst, met inbegrip van deze DPA.
6. Bevoegde toezichthoudende autoriteit . Voor de doeleinden van de Standaard Contractuele Bepalingen is de bevoegde toezichthoudende autoriteit de autoriteit van de EER-lidstaat waarin Partner of de EER-vertegenwoordiger van Partner is gevestigd (met betrekking tot Persoonsgegevens van Partner) of de [Ierse Commissaris voor Gegevensbescherming] (met betrekking tot Persoonsgegevens van BROSH). Voor de doeleinden van overdrachten naar het Verenigd Koninkrijk en Zwitserland is de bevoegde toezichthoudende autoriteit de Information Commissioner van het Verenigd Koninkrijk of de Zwitserse Federal Data Protection Information Commissioner (indien van toepassing).

BIJLAGE B – VEILIGHEIDSMAATREGELEN

Wij gebruiken verschillende beveiligingstechnologieën en -procedures om uw Persoonsgegevens te beschermen. Alle Persoonsgegevens worden beschermd met behulp van passende fysieke, technische en organisatorische maatregelen. Voor meer informatie over Beveiliging bij BROSH, zie https://www.brosh.io/pagex/nl/Security-Policy.html .