Inhoudsopgave
Inhoudsopgave
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
Ingangsdatum: 17 september 2024
Dit Addendum Verwerking klantgegevens ("AVk") wordt aangegaan tussen RealtimeBoard, Inc, h.o.d.n. Miro ("Miro" of "gegevensimporteur") en de entiteit die wordt geïdentificeerd als de Klant ("Klant" of "gegevensexporteur") en wordt toegevoegd aan ofwel (i) de Miro Mantelovereenkomst voor Clouddiensten of Servicevoorwaarden (zoals van toepassing); dan wel aan (ii) elke andere elektronische of schriftelijke overeenkomst waarin dit AVk wordt opgenomen en die de toegang en het gebruik van het Miro-platform en de gerelateerde diensten door de Klant regelt (de "Overeenkomst"). Termen die in dit AVk met hoofdletters vermeld staan maar die niet zijn gedefinieerd, hebben de betekenis die aan dergelijke termen is toegekend in de Overeenkomst.
De partijen komen overeen dat dit AVk wordt opgenomen in en deel uitmaakt van de Overeenkomst en onderworpen is aan de bepalingen daarin.
Als de Klant schrappingen of herzieningen aanbrengt in dit AVk, worden deze schrappingen of herzieningen verworpen en ongeldig verklaard, tenzij Miro ermee akkoord gaat. De ondertekenaar van de Klant verklaart en garandeert dat hij/zij bevoegd is om de Klant aan dit AVk te binden.
"Toepasselijke Privacywetgeving" betekent alle wet- en regelgeving op het gebied van gegevensbescherming en privacy, waaronder de Wet bescherming persoonsgegevens, die van toepassing is op de verwerking van Persoonsgegevens van Klanten door Miro.
"Persoonsgegevens van de Klant" betekent alle Content van Klant die Persoonsgegevens en/of Persoonlijke Informatie betreft zoals gedefinieerd en beschermd door de Toepasselijke Privacywetgeving.
"Data Privacy Framework" of "DPF" betekent het Data Privacy Framework tussen de EU en de VS, het Data Privacy Framework tussen Zwitserland en de VS, en de Britse uitbreiding van het Data Privacy Framework tussen de EU en de VS d.m.v. zelfcertificering (indien van toepassing) van het Amerikaanse ministerie van Handel, met de mogelijkheid om van tijd tot tijd gewijzigd of vervangen te worden.
"Beginselen van het Data Privacy Framework" of "Beginselen van het DPF" betekent de Beginselen van het Data Privacy Framework en de Aanvullende beginselen zoals vastgelegd in het relevante Data Privacy Framework, met de mogelijkheid om van tijd tot tijd gewijzigd of vervangen te worden.
"Wet bescherming persoonsgegevens" betekent: (i) Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming) (de "EUGDPR"); (ii) de GDPR zoals opgenomen in de wetgeving van het Verenigd Koninkrijk krachtens sectie 3 van de European Union (Withdrawal) Act 2018 van het Verenigd Koninkrijk en de UK Data Protection Act 2018 (gezamenlijk de "UKGDPR"); (iii) de richtlijn betreffende privacy en elektronische communicatie van de EU (Richtlijn 2002/58/EG); (iv) de Zwitserse federale wet op de gegevensbescherming ("Zwitserse wet op gegevensbescherming"), en (v) alle toepasselijke nationale wetten op de gegevensbescherming die zijn gemaakt op grond van of die van toepassing zijn in combinatie met een van (i), (ii) (iii) of (iv); altijd met de mogelijkheid om van tijd tot tijd gewijzigd of vervangen te worden;
"Dochteronderneming van Miro" betekent elke entiteit die direct of indirect onder zeggenschap staat van, zeggenschap uitoefent over of onder gemeenschappelijke zeggenschap staat met Miro.
"Beperkte overdracht" betekent: (i) wanneer de EU GDPR van toepassing is, betreft dit de overdracht van Persoonsgegevens van de EER naar een land buiten de EER dat niet onderworpen is aan een vaststelling van gepastheid door de Europese Commissie; (ii) wanneer de UK GDPR van toepassing is, betreft dit de overdracht van Persoonsgegevens van het Verenigd Koninkrijk naar een ander land dat niet onderworpen is aan een regeling van gepastheid overeenkomstig Sectie 17A van de United Kingdom Data Protection Act 2018; en (iii) wanneer de Zwitserse wet op gegevensbescherming van toepassing is, betreft dit de overdracht van Persoonsgegevens van Zwitserland naar een ander land waarvan de Federale Commissie voor Gegevensbescherming en Informatie (Federal Data Protection and Information Commission) of de Federale Raad (indien van toepassing) niet heeft vastgesteld dat er passende bescherming aanwezig is voor Persoonsgegevens.
"Modelcontractbepalingen" betekent: (i) wanneer de EU GDPR of de Zwitserse wet op gegevensbescherming van toepassing is, betreft dit de standaardcontractbepalingen die als bijlage zijn toegevoegd aan het Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021 ("EU SCC's"); en (ii) wanneer de UK GDPR van toepassing is, betreft dit de standaardbepalingen inzake gegevensbescherming voor verwerkers zoals deze zijn bepaald overeenkomstig artikel 46(2)(c) of (d) van de UK GDPR (meer specifiek het International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) ("UK SCC's"), zoals van toepassing overeenkomstig Sectie 8 (Gegevensoverdracht).
"Beveiligingsincident" betekent elke ongeoorloofde of onwettige inbreuk op de beveiliging die leidt tot toevallige of onwettige vernietiging, verlies of wijziging, ongeoorloofde bekendmaking van of ongeoorloofde toegang tot Persoonsgegevens van de Klant. Onder "Beveiligingsincident" vallen niet: onsuccesvolle pogingen of activiteiten die de beveiliging van Persoonsgegevens van de Klant niet in gevaar brengen, zoals onsuccesvolle inlogpogingen, pings, poortscans, denial of service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
"Subverwerker" betekent elke Verwerker die door Miro wordt ingeschakeld om Persoonsgegevens van Klanten te verwerken.
De termen "Bedrijf", "Verwerkingsverantwoordelijke","Betrokkene", "Persoonsgegevens","Persoonlijke informatie", "Verwerker", "verwerking (verwerken)", "Verkoop", "Dienstverlener" en "Delen" hebben de betekenis die eraan wordt gegeven in de Toepasselijke Privacywetgeving. Als en voor zover de Toepasselijke Privacywetgeving dergelijke termen niet definieert, dan zijn de definities in de Wet bescherming persoonsgegevens van toepassing.
2.1 De partijen erkennen dat met betrekking tot de verwerking van de Persoonsgegevens van de Klant, de Klant de Verantwoordelijke is en Miro de Persoonsgegevens van de Klant verwerkt als Verwerker namens de Klant.
2.2 Miro verwerkt Persoonsgegevens van de Klant uitsluitend in overeenstemming met de gedocumenteerde instructies van de Klant en verwerkt geen Persoonsgegevens van de Klant voor eigen doeleinden, behalve zoals bepaald in de Overeenkomst en in dit AVk of indien vereist door de toepasselijke wetgeving. De Overeenkomst, inclusief dit AVk, samen met de configuratie door de Klant van alle instellingen of opties in de Diensten (zoals de Klant die van tijd tot tijd kan wijzigen), vormen de volledige en definitieve instructies van de Klant aan Miro met betrekking tot de Verwerking van Persoonsgegevens van de Klant, inclusief ten behoeve van de modelcontractbepalingen, zoals van toepassing. Voor aanvullende Verwerkingsinstructies (indien van toepassing) is voorafgaande schriftelijke overeenstemming tussen de partijen vereist.
2.3 Elke partij zal voldoen aan haar verplichtingen onder de Toepasselijke Privacywetgeving met betrekking tot Persoonsgegevens van Klanten. Onverminderd het voorgaande, is de Klant verantwoordelijk voor het bepalen of de Diensten geschikt zijn voor de opslag en verwerking van Persoonsgegevens van de Klant onder de Toepasselijke Privacywetgeving en voor de nauwkeurigheid, kwaliteit en wettigheid van de Persoonsgegevens van de Klant en de middelen waarmee hij Persoonsgegevens van de Klant heeft verkregen. De Klant verklaart verder dat hij Miro en haar Subverwerkers op de hoogte heeft gesteld en alle toestemmingen en rechten heeft verkregen die nodig zijn om de Persoonsgegevens van de Klant rechtmatig te verwerken voor de doeleinden die in de Overeenkomst (inclusief dit AVk) worden overwogen.
2.4 Miro stelt de Klant onmiddellijk op de hoogte als Miro vaststelt dat de instructies van de Klant in strijd zijn met de Toepasselijke Privacywetgeving (maar zonder verplichting om actief toezicht te houden op de naleving van de Toepasselijke Privacywetgeving door de Klant), en in zo'n geval is Miro niet verplicht om een dergelijke Verwerking uit te voeren totdat de Klant zijn verwerkingsinstructies heeft bijgewerkt en Miro heeft vastgesteld dat het geval van niet-naleving is opgelost.
2.5 Details van Gegevensverwerking:
2.5.1 Onderwerp: Het onderwerp van de gegevensverwerking onder dit AVk zijn de Persoonsgegevens van de Klant.
2.5.2 Duur: Tussen Klant en Miro is de duur van de verwerking de duur van de Overeenkomst plus de periode na beëindiging of afloop van de Overeenkomst waarin Miro Persoonsgegevens van Klant zal verwerken in overeenstemming met de Overeenkomst.
2.5.3 Doel: Miro verwerkt de Persoonsgegevens van de Klant zoals noodzakelijk is voor het aanbieden van de Diensten krachtens de Overeenkomst en zoals verder geïnstrueerd door de Klant in zijn gebruik van de Diensten.
2.5.4 Aard van de verwerking: Het aanbieden van de Diensten zoals beschreven in de Overeenkomst en van tijd tot tijd geïnitieerd door de Klant.
2.5.5 Soorten Persoonsgegevens van de Klant: Alle Persoonsgegevens van de Klant die onder het Miro-account van de Klant naar de Diensten worden verzonden.
2.5.6 Categorieën van betrokkenen: De betrokkenen kunnen werknemers, adviseurs, agenten en derden van de Klant zijn die gemachtigd zijn om toegang te krijgen tot de Diensten en deze te gebruiken als Gebruiker onder het Miro-account van de Klant en alle andere betrokkenen van wie Persoonsgegevens van de Klant door de Klant en/of zijn Gebruikers via de Diensten aan Miro worden verstrekt.
3.1 De Klant verleent Miro een algemene machtiging om de verwerking van Persoonsgegevens van de Klant uit te besteden aan Subverwerkers, waaronder de Subverwerkers die vermeld staan op: https://miro.com/static/legal/Miro-Current-Subprocessors-List.pdf (of een andere latere URL) ("Subverwerkerslijst").
3.2 Als Miro een nieuwe of vervangende Subverwerker inschakelt, zal Miro:
3.2.1 de Subverwerkerslijst bijwerken;
3.2.2 aan een door haar ingeschakelde Subverwerker in wezen dezelfde voorwaarden op het gebied van gegevensbescherming opleggen als hetgeen in dit AVk is opgenomen (met inbegrip van bepalingen ten aanzien van gegevensoverdracht, indien van toepassing); en
3.2.3 aansprakelijk blijven jegens de Klant voor elke schending van dit AVk die het gevolg is van een handeling, fout of nalatigheid van die Subverwerker.
3.3 Als de Klant ten minste tien (10) dagen vóór het door Miro inschakelen van een nieuwe of vervangende Subverwerker op de hoogte wil worden gesteld, moet de Klant zich hier aanmelden voor dergelijke kennisgevingen via het portal daarvoor;
3.4 De Klant kan binnen dertig (30) dagen na ontvangst van de kennisgeving in overeenstemming met (3.2.1) schriftelijk bezwaar maken tegen het inschakelen door Miro van een nieuwe of vervangende Subverwerker, en op redelijke gronden die verband houden met het vermogen van de Subverwerker om te voldoen aan de Toepasselijke Privacywetgeving. In een dergelijk geval zullen de partijen de bezorgdheid van de Klant te goeder trouw bespreken om tot een commercieel redelijke oplossing te komen. Als de partijen niet tot een dergelijke oplossing kunnen komen, heeft Miro het recht om, naar eigen goeddunken, ofwel de betwiste Subverwerker niet aan te stellen, ofwel de Klant toe te staan de toepasselijke Order en/of de Overeenkomst op te schorten of te beëindigen. Deze procedures vormen het exclusieve rechtsmiddel van de Klant en de volledige aansprakelijkheid van Miro voor het oplossen van bezwaren van de Klant tegen het inschakelen van Subverwerkers door Miro onder dit AVk.
4.1 Miro werkt redelijkerwijs met Klant samen om Klant in staat te stellen te reageren op verzoeken, klachten of andere mededelingen van betrokkenen en regelgevende of gerechtelijke instanties met betrekking tot de verwerking van Persoonsgegevens van Klant, met inbegrip van verzoeken van betrokkenen die hun rechten onder Toepasselijke Privacywetgeving willen uitoefenen. In het geval dat een dergelijk(e) verzoek, klacht of communicatie rechtstreeks aan Miro wordt gericht, zal Miro, zodra Miro heeft vastgesteld dat het verzoek afkomstig is van of betrekking heeft op een betrokkene voor wie de Klant verantwoordelijk is, dit doorgeven aan de Klant en niet reageren op dergelijke communicatie zonder de uitdrukkelijke toestemming van de Klant (tenzij dit verplicht is om te voldoen aan de toepasselijke wetgeving).
4.2 Voor zover Miro hiertoe verplicht is onder de Toepasselijke Privacywetgeving, zal Miro de Klant bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling en, indien wettelijk vereist, overleg plegen met toepasselijke gegevensbeschermingsautoriteiten met betrekking tot elke voorgestelde verwerkingsactiviteit die een hoog risico inhoudt voor betrokkenen.
4.3 Rekening houdend met de aard van de verwerking, stemt de Klant ermee in dat het onwaarschijnlijk is dat Miro zou weten dat Persoonsgegevens van de Klant die worden overgedragen onder het DPF en/of modelcontractbepalingen, zoals van toepassing, onjuist of verouderd zijn. Desalniettemin zal Miro, indien Miro te weten komt dat de Persoonsgegevens van de Klant die zijn overgedragen onder de DPF en/of modelcontractbepalingen, zoals van toepassing, onjuist of verouderd zijn, de Klant hiervan zonder onnodige vertraging op de hoogte stellen. Miro werkt redelijkerwijs met de Klant samen om onnauwkeurige of verouderde overgedragen Persoonsgegevens van de Klant te verwijderen of te corrigeren.
5.1 Miro zorgt ervoor dat medewerkers die belast zijn met de verwerking van Persoonsgegevens van de Klant zich houden aan een passende geheimhoudingsplicht (hetzij contractueel of wettelijk) en dat zij Persoonsgegevens van de Klant uitsluitend verwerken ten behoeve van het aanbieden van de Diensten.
5.2 Miro zal redelijke en passende technische en organisatorische beveiligingsmaatregelen implementeren en onderhouden met het doel de Persoonsgegevens van de Klant te beschermen tegen Beveiligingsincidenten in overeenstemming met de maatregelen opgesomd in Bijlage 2 ("Beveiligingsmaatregelen"). De Klant erkent dat de Beveiligingsmaatregelen onderhevig zijn aan technische vooruitgang en ontwikkeling en dat Miro de Beveiligingsmaatregelen van tijd tot tijd kan bijwerken of wijzigen, mits dergelijke updates en wijzigingen de algehele beveiliging van de Diensten niet verslechteren of verminderen.
In het geval van een Beveiligingsincident stelt Miro de Klant hiervan zonder onnodige vertraging op de hoogte en verstrekt Miro schriftelijke details van het Beveiligingsincident aan de Klant, met inbegrip van het type van de getroffen gegevens en de identiteit van de getroffen perso(o)n(en), zodra dergelijke informatie bekend of beschikbaar wordt voor Miro. Miro zal, voor zover mogelijk, tijdig informatie verstrekken aan en samenwerken met de Klant, zodat de Klant kan voldoen aan zijn meldingsplicht voor datalekken onder de Toepasselijke Privacywetgeving, en Miro zal redelijke stappen ondernemen om de gevolgen van het Beveiligingsincident te verhelpen of te beperken. De hier vermelde verplichtingen zijn niet van toepassing op Beveiligingsincidenten die door de Klant of zijn Gebruikers worden veroorzaakt.
7.1 Op verzoek verstrekt Miro kopieën van alle certificeringen, samenvattingen van auditrapporten en/of andere relevante documentatie waarover Miro beschikt, indien dit redelijkerwijs door de Klant wordt vereist om de naleving van dit AVk door Miro te controleren.
7.2 Hoewel het wat controle van de naleving van dit AVk door Miro betreft de intentie van de partijen is om te vertrouwen op de verplichtingen voor Miro zoals bepaald in Sectie 7.1, kan de Klant, na een bevestigd Beveiligingsincident of wanneer een gegevensbeschermingsautoriteit dit vereist, Miro dertig (30) dagen op voorhand schriftelijk laten weten dat een derde partij een audit zal uitvoeren van de activiteiten en faciliteiten van Miro ("Audit"); op voorwaarde dat: (i) elke Audit wordt uitgevoerd op kosten van de Klant; (ii) de partijen wederzijds overeenstemming bereiken over de omvang, timing en duur van de Audit; en (iii) de Audit geen onredelijke invloed heeft op de reguliere activiteiten van Miro.
7.3 Op alle schriftelijke reacties of Audits die in deze Sectie 7 worden beschreven, zijn de vertrouwelijkheidsbepalingen van de Overeenkomst van toepassing. De partijen komen overeen dat auditbepalingen zoals beschreven in clausule 8.9 van EU SCC's, indien van toepassing, zullen worden uitgevoerd in overeenstemming met deze Sectie 7 (Veiligheidsrapporten en instructies).
8.1 Persoonsgegevens van Klanten die Miro krachtens de Overeenkomst verwerkt, mogen worden verwerkt in elk land waar Miro, dochterondernemingen van Miro en Subverwerkers van Miro faciliteiten onderhouden om de Diensten uit te voeren, zoals nader omschreven in de Subverwerkerslijst. Miro zal geen Persoonsgegevens van Klanten verwerken of overdragen (noch toestaan dat dergelijke gegevens worden verwerkt of overgedragen) buiten de EER, Zwitserland of het Verenigd Koninkrijk, tenzij Miro eerst alle nodige maatregelen neemt om ervoor te zorgen dat de overdracht gebeurt in overeenstemming met de Wet bescherming persoonsgegevens.
8.2 De partijen komen overeen dat het DPF van toepassing is met betrekking tot de Beperkte Overdracht van Persoonsgegevens van Klanten naar de VS vanuit de EER en/of Zwitserland, aangezien Miro gecertificeerd is onder het DPF-programma en voldoet aan de Beginselen van het DPF bij het verwerken van dergelijke Persoonsgegevens van Klanten. Als de certificering van Miro onder het DPF wordt ingetrokken of anderszins ongeldig wordt verklaard, zal Miro, indien van toepassing, de Klant hiervan op de hoogte stellen en op verzoek redelijke en passende stappen ondernemen om eventuele onbevoegde verwerkingen ongedaan te maken door een Alternatief Overdrachtsmechanisme te bieden (zoals modelcontractbepalingen), zoals in deze Sectie bepaald.
8.3 De partijen komen overeen dat wanneer het DPF niet van toepassing is met betrekking tot een Beperkte Overdracht, de modelcontractbepalingen zullen worden toegevoegd en van toepassing zullen zijn, aangevuld met de volgende wijzigingen, voor zover van toepassing:
8.3.1 Wanneer de Klant een Verantwoordelijke is van Persoonsgegevens van de Klant die beschermd worden door de EU GDPR: Module 2 van de EU SCC's is van toepassing tussen de Klant als "gegevensexporteur" (ongeacht het feit dat de Klant een entiteit kan zijn die buiten de EER is gevestigd) en Miro als "gegevensimporteur" op de volgende basis: (i) in clausule 7 is de optionele docking-clausule van toepassing, (ii) in clausule 9 is optie 2 van toepassing, en de termijn voor voorafgaande kennisgeving van wijzigingen m.b.t. Subverwerkers is zoals uiteengezet in dit AVk, (iii) in clausule 11 is de optionele taal niet van toepassing, (iv) in clausule 17 is optie 1 van toepassing, en op de EU SCC's is het Nederlands recht van toepassing, (v) in Clausule 18(b) worden geschillen beslecht door de Nederlandse rechtbanken, (vi) Bijlage 1 bij de EU SCC's wordt geacht Bijlage 1 bij dit AVk te omvatten en (vii) Bijlage 2 bij de EU SCC's wordt geacht Bijlage 2 bij dit AVk te omvatten.
8.3.2 Wanneer de Klant een Verantwoordelijke is van Persoonsgegevens van de Klant die beschermd worden door de Zwitserse wet op gegevensbescherming: Module 2 van de EU SCC's is van toepassing tussen Klant als "gegevensexporteur" en Miro als "gegevensimporteur" op de voorgaande basis en bovendien: (i) is de bevoegde toezichthoudende autoriteit in Clausule 13 de Zwitserse Federale Commissie voor Gegevensbescherming en Informatie; (ii) mag de term Lidstaat niet zodanig worden geïnterpreteerd dat Betrokkenen in Zwitserland worden uitgesloten van het afdwingen van hun rechten in hun gewone verblijfplaats in overeenstemming met Clausule 18(c), (iii) en worden alle verwijzingen naar de EU GDPR in dit AVk ook geacht te verwijzen naar de Zwitserse wet op gegevensbescherming.
8.3.3 Wanneer de Klant een Verwerker is namens een derde Verantwoordelijke van Persoonsgegevens van de Klant die beschermd worden door de EU GDPR: Module 3 van de EU SCC's is van toepassing tussen de Klant als "gegevensexporteur" (ongeacht het feit dat de Klant of de derde Verantwoordelijke een buiten de EER gevestigde entiteit kan zijn) en Miro als "gegevensimporteur" op de volgende basis: (i) in clausule 7 is de optionele docking-clausule van toepassing, (ii) in clausule 9 is optie 2 van toepassing, de termijn voor voorafgaande kennisgeving van wijzigingen m.b.t. Subverwerkers is zoals uiteengezet in dit AVk, en Miro voldoet aan haar verplichtingen inzake kennisgeving aan Subverwerkers zoals bepaald in dit AVk; (iii) in clausule 11 is de optionele taal niet van toepassing, (iv) in clausule 17 is optie 1 van toepassing en is Nederlands recht van toepassing op de EU SCC's, (v) in clausule 18(b) worden geschillen beslecht door de Nederlandse rechtbanken, (vi) bijlage 1 bij de EU SCC's wordt geacht Bijlage 1 bij dit AVk te omvatten en (vii) bijlage 2 bij de EU SCC's wordt geacht Bijlage 2 bij dit AVk te omvatten.
8.3.4 Wanneer de Klant een Verwerker is namens een derde Verantwoordelijke die Persoonsgegevens van de Klant beheert die beschermd worden door de Zwitserse wet op gegevensbescherming: Module 3 van de EU SCCs is van toepassing tussen Klant als "gegevensexporteur" en Miro als "gegevensimporteur" op de voorgaande basis en bovendien: (i) is de bevoegde toezichthoudende autoriteit in Clausule 13 de Zwitserse Federale Commissie voor Gegevensbescherming en Informatie; (ii) mag de term lidstaat niet zodanig worden geïnterpreteerd dat betrokkenen in Zwitserland worden uitgesloten van het afdwingen van hun rechten in hun gewone verblijfplaats in overeenstemming met Clausule 18(c), (iii) en worden alle verwijzingen naar de EU GDPR in dit AVk ook geacht te verwijzen naar de Zwitserse wet op gegevensbescherming.
8.3.5 Wanneer de Klant een Verantwoordelijke of Verwerker is van Persoonsgegevens van de Klant die beschermd worden door de UK GDPR, zijn de EU SCC's van toepassing, aangevuld met de volgende wijzigingen, voor zover van toepassing: elke partij wordt geacht het "UK Addendum to the EU Standard Contractual Clauses" ("UK Addendum") te hebben ondertekend, uitgegeven door het Information Commissioner's Office krachtens Sectie 119 A van de Britse Data Protection Act 2018, (ii) de EU SCC's worden geacht te zijn gewijzigd zoals bepaald in het UK Addendum met betrekking tot de overdracht van Persoonsgegevens van de Klant, (iii) in Tabel 1 van het UK Addendum is de contactinformatie van de partijen te vinden in Bijlage 1 van dit Addendum, (iv) in Tabel 2 van het UK Addendum, informatie over de modelcontractbepalingen, modules en geselecteerde clausules is te vinden in Sectie 8.3 hierboven, (v) Tabel 3 van het UK Addendum wordt geacht te zijn aangevuld met de informatie in Bijlage 1 en 2 van dit Addendum, en (vi) in Tabel 4 van het UK Addendum kan elke partij het UK Addendum beëindigen in overeenstemming met de voorwaarden ervan en het respectieve vakje voor elk wordt geacht te zijn aangevinkt ("UK SCC's").
8.4 Als Miro een alternatief rechtmatig gegevensexportmechanisme aanneemt voor de overdracht van Persoonsgegevens van Klanten dat niet in dit AVk wordt beschreven ("Alternatief overdrachtsmechanisme"), zal het Alternatieve overdrachtsmechanisme van toepassing zijn in plaats van elk toepasselijk overdrachtsmechanisme dat in deze DPA wordt beschreven (maar alleen voor zover een dergelijk Alternatief overdrachtsmechanisme voldoet aan de Wet bescherming persoonsgegevens en zich uitstrekt tot de grondgebieden waarnaar de relevante Persoonsgegevens van Klanten worden overgedragen).
Op verzoek van de Klant tijdens de Abonnementsperiode van de Overeenkomst en/of bij beëindiging of afloop van dit AVk zal Miro alle Persoonsgegevens van de Klant die in haar bezit zijn verwijderen of aan de Klant terugbezorgen in overeenstemming met de op dat moment geldende tijdlijnen en beleidsregels voor het verwijderen van gegevens van Miro, waar de Klant te allen tijde om kan verzoeken. Deze verplichting geldt niet wanneer Miro op grond van toepasselijke wetgeving verplicht is om sommige of alle Persoonsgegevens van de Klant te bewaren, of voor Persoonsgegevens van de Klant die zijn gearchiveerd op back-upsystemen, in welk geval Miro deze gegevens apart zal zetten en beschermen tegen verdere verwerking, behalve wanneer dergelijke wetgeving dit vereist. De partijen komen overeen dat de bevestiging van het verwijderen van de Persoonsgegevens van de Klant op schriftelijk verzoek van de Klant door Miro aan de Klant zal worden bezorgd.
Voor zover Miro Persoonsgegevens van Klanten verwerkt van Gebruikers die ingezetenen zijn van de Amerikaanse staat Californië, komen de partijen het volgende overeen:
10.1 Klant is een Bedrijf en Miro is een Dienstverlener. De overdracht van Persoonsgegevens van de Klant aan Miro is geen Verkoop en Miro verstrekt geen geld of andere waardevolle tegenprestatie aan de Klant in ruil voor Persoonsgegevens van de Klant. Miro verwerkt Persoonsgegevens van de Klant uitsluitend als Dienstverlener namens de Klant voor een of meer zakelijke doeleinden zoals bepaald in de Overeenkomst of zoals anderszins toegestaan voor Dienstverleners onder Toepasselijke Privacywetgeving.
10.2 Miro zal de Persoonsgegevens van de Klant niet "Verkopen" of "Delen" en Miro verklaart te zullen voldoen aan alle toepasselijke verplichtingen van de CCPA zoals gewijzigd door de CPRA, en indien en voor zover schriftelijk overeengekomen tussen de Klant en Miro zoals in dit AVk nader is bepaald.
10.3 Voor zover van toepassing op de Diensten, zal Miro de Klant redelijkerwijs assisteren bij het reageren (op kosten van de Klant) op verzoeken van een betrokkene (inclusief "controleerbare verzoeken van consumenten", zoals deze term is gedefinieerd in de CCPA), met betrekking tot de verwerking van Persoonsgegevens van de Klant in het kader van de Overeenkomst.
11.1 Met uitzondering van de wijzigingen die door dit AVk zijn aangebracht, blijft de Overeenkomst ongewijzigd en volledig van kracht. Als er een conflict zou bestaan tussen een bepaling in dit AVk en een bepaling in de Overeenkomst, heeft dit AVk voorrang. Met ingang van de ingangsdatum maakt dit AVk deel uit van de Overeenkomst.
11.2 Dit AVk beperkt in geen geval de rechten van een betrokkene of van een bevoegde toezichthoudende autoriteit.
11.3 Elke claim of verhaalsmogelijkheid die de Klant kan hebben ten opzichte van Miro, haar werknemers, agenten en Subverwerkers, voortvloeiend uit of in verband met dit AVk, hetzij contractueel, op grond van onrechtmatige daad (inclusief nalatigheid) of op grond van enige andere aansprakelijkheidsleer, is voor zover wettelijk toegestaan onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid in de Overeenkomst. Dienovereenkomstig betekent elke verwijzing in de Overeenkomst naar de aansprakelijkheid van een partij de totale aansprakelijkheid van die partij onder en in verband met de Overeenkomst en dit AVk samen.
11.4 Dit AVk wordt beheerst door en geïnterpreteerd in overeenstemming met het toepasselijk recht en de bevoegdheidsbepalingen in de Overeenkomst, tenzij anders vereist door de Toepasselijke Privacywetgeving.
11.5 Als een deel van dit AVk onuitvoerbaar wordt verklaard, heeft dit geen enkele invloed op de geldigheid van de overige delen.
A. LIJST VAN PARTIJEN
Gegevensexporteur(s):
Naam: De entiteit die in het AVk als "Klant" wordt geïdentificeerd.
Adres: Het adres van de Klant dat aan zijn Miro-account is gekoppeld of anderszins in het AVk of deze Overeenkomst is vermeld.
Naam, functie en contactgegevens van de contactpersoon: De contactgegevens die aan het account van de Klant zijn gekoppeld of die anderszins in dit AVk of de Overeenkomst zijn bepaald.
Activiteiten die relevant zijn voor de gegevens die worden doorgegeven krachtens deze Clausules: De activiteiten vermeld in Bijlage 1(B) van het AVk.
Handtekening en datum: Zie het uitvoeringsblok in het AVk waaraan deze Clausules zijn toegevoegd.
Rol (verantwoordelijke/verwerker): Verantwoordelijke
Gegevensimporteur(s):
Naam: RealtimeBoard, Inc. h.o.d.n. Miro ("Miro")
Adres: 201 Spear Street, Suite 1100, San Francisco, CA 94105
Naam, functie en contactgegevens van de contactpersoon: privacy(a)miro.com
Activiteiten die relevant zijn voor de gegevens die worden doorgegeven krachtens deze Clausules: De activiteiten vermeld in Bijlage 1(B) van het AVk.
Handtekening en datum: Zie het uitvoeringsblok in het AVk waaraan deze Clausules zijn toegevoegd.
Rol (verantwoordelijke/verwerker): Verwerker
В. BESCHRIJVING VAN OVERDRACHT
Categorieën van betrokkenen van wie persoonsgegevens worden overgedragen: De categorieën van betrokkenen worden beschreven in Sectie 2.5 (Details van Gegevensverwerking) van het AVk.
Categorieën van doorgegeven persoonsgegevens: De persoonsgegevens worden beschreven in Sectie 2.5 (Details van Gegevensverwerking) van het AVk.
Gevoelige gegevens die zijn overgedragen (indien van toepassing) en toegepaste beperkingen of maatregelen die volledig rekening houden met de aard van de gegevens en de risico's, zoals een strikte beperking van het doel, toegangsbeperkingen (waaronder toegang alleen voor personeel dat een gespecialiseerde opleiding heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen voor verdere overdracht of aanvullende beveiligingsmaatregelen: N.v.t. Het is de gegevensexporteur verboden om speciale gegevenscategorieën te verzenden naar de Diensten.
De frequentie van de overdracht (bijv. of de gegevens eenmalig of doorlopend worden overgedragen): Doorlopend, afhankelijk van het gebruik van de Diensten door gegevensexporteur.
Aard van de verwerking: De aard van de verwerking wordt beschreven in Sectie 2.5 (Details van Gegevensverwerking) van het AVk.
Doel(en) van de gegevensoverdracht en verdere verwerking: De verwerkingsdoeleinden worden beschreven in Sectie 2.5 (Details van Gegevensverwerking) van het AVk.
Hoelang de persoonsgegevens bewaard zullen blijven, of, als dat niet mogelijk is, de criteria die gebruikt worden om die periode te bepalen: De gegevensexporteur bepaalt de duur van de verwerking in overeenstemming met de voorwaarden van het AVk.
Vermeld bij overdracht aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking: Het onderwerp, de aard en de duur van de verwerking worden beschreven in Sectie 2.5 (Details van Gegevensverwerking) van het AVk.
C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
De bevoegde toezichthoudende autoriteit van de Klant wordt bepaald in overeenstemming met de Wet bescherming persoonsgegevens.
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE VEILIGHEID VAN DE GEGEVENS TE WAARBORGEN
Beschrijving van de technische en organisatorische maatregelen die door de gegevensimporteur(s) zijn geïmplementeerd (inclusief relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, het toepassingsgebied, de context en het doel van de verwerking, en de risico's voor de rechten en vrijheden van natuurlijke personen:
Miro gebruikt redelijke technische en organisatorische maatregelen om de Dienst en de Content van Klant te beschermen, zoals beschreven in het Beveiligingsbeleid.
Beschrijf voor overdracht naar (sub)verwerkers ook de specifieke technische en organisatorische maatregelen die de (sub)verwerker moet nemen om bijstand te kunnen verlenen aan de verantwoordelijke en, voor overdracht van een verwerker naar een subverwerker, aan de gegevensexporteur:
De technische en organisatorische maatregelen die door de gegevensimporteur worden genomen om de gegevensexporteur te helpen bij het nakomen van zijn verplichtingen om te reageren op verzoeken van betrokkenen die hun rechten willen uitoefenen krachtens Verordening (EU) 2016/679, worden uiteengezet in Sectie 4 (Samenwerking) van het AVk.