Verwerkingsovereenkomst AVG

VERWERKINGSOVEREENKOMST
(conform artikel 28 AVG)

TUSSEN:

De Vereniging van Mede-Eigenaars
Hierna genoemd: “de Verwerkingsverantwoordelijke”;

EN

Immo Robijns bvba, met maatschappelijke zetel te 3440 Zoutleeuw Smitsweg 6, kbo: 0474.550.328
Hierna genoemd: “de Verwerker”;
Samen “de Partijen” of afzonderlijk “Partij” genoemd.

WORDT VOORAFGAANDELIJK UITEENGEZET:

I. De Verwerkingsverantwoordelijke heeft met de Verwerker een overeenkomst gesloten als syndicus, hierna genoemd: “de Opdracht overeenkomst”,
II. In het kader van de Opdracht overeenkomst worden persoonsgegevens verwerkt door de Verwerker in opdracht van de Verwerkingsverantwoordelijke,
III. Partijen wensen in dit kader deze verwerkingsovereenkomst te sluiten (hierna: “de Overeenkomst”) waarin hun wederzijdse rechten en verplichtingen worden beschreven.

WORDT OVEREENGEKOMEN ALS VOLGT:

Artikel 1. Definities
1.1 AVG: de Algemene Verordening Gegevensbescherming, zijnde verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens, inclusief de Belgische uitvoeringswetten van deze verordening;
1.2 Autoriteit: de Autoriteit Persoonsgegevens zoals bedoeld in artikel 51 AVG; de zelfstandige overheidsinstantie, genaamd Gegevensbeschermingsautoriteit (GBA), die in België bij wet als toezichthouder is aangesteld voor het toezicht op de verwerking van persoonsgegevens
1.3 Betrokkene: een geïdentificeerde of Identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
1.4 Bijzondere categorieën van persoonsgegevens: Persoonsgegevens als bedoeld in artikel 9 van de AVG; zijnde gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, alsook genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon of gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
1.5 Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de persoonsgegevens te verwerken in de zin van artikel 4.10 AVG;
1.6 Opdracht overeenkomst: de in de aanhef vermelde overeenkomst(en) betreffende de levering van producten en/of diensten;
1.7 Functionaris gegevensbescherming of data protection officer (DPO): de functionaris voor de gegevensbescherming zoals bedoeld in afdeling vier AVG (artikelen 37, 38 en 39);
1.8 Identificeerbaar: wanneer een natuurlijke persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
1.9 Inbreuk (in verband met Persoonsgegevens): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens in de zin van artikel 4.12 AVG;
1.10 Persoonsgegeven: alle informatie over een geïdentificeerde of Identificeerbare natuurlijke persoon (de Betrokkene), in de zin van artikel 4.1 AVG;
1.11 Pseudonimisering: het verwerken van Persoonsgegevens op zodanige wijze dat de Persoonsgegevens niet meer aan een specifieke Betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de Persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;
1.12 Sub-Verwerker: iedere niet-ondergeschikte partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Opdracht overeenkomst, niet zijnde haar werknemers of medewerkers;
1.13 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen, dit alles in de zin van artikel 4.7 AVG;
1.14 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt in de zin van artikel 4.8 AVG;
1.15 Verwerkingsovereenkomst: de onderhavige overeenkomst. Deze Verwerkingsovereenkomst maakt integraal onderdeel uit van de Opdracht Overeenkomst;
1.16 Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, waaronder in ieder geval het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, in de zin van artikel 4.2 AVG.

Artikel 2. Voorwerp van de Overeenkomst
2.1 De Verwerkingsverantwoordelijke maakt aan de Verwerker de persoonsgegevens over genoemd in Bijlage 1 bij huidige Overeenkomst.
2.2 Voor de volledige duurtijd van huidige Overeenkomst zal de Verwerker deze persoonsgegevens verwerken volgens de voorwaarden die in huidige Overeenkomst worden bepaald.
2.3 Huidige Overeenkomst maakt onverbrekelijk deel uit van de Opdracht overeenkomst. Voor zover het bepaalde in huidige Overeenkomst strijdig is met het bepaalde in de Opdracht overeenkomst, prevaleert het bepaalde in huidige Overeenkomst.

Artikel 3. Duurtijd van de Overeenkomst
3.1 De duurtijd van huidige Overeenkomst is gelijk aan de duurtijd van de Opdracht overeenkomst, zonder afbreuk te doen aan de bepalingen van artikel 11 van huidige Overeenkomst.

Artikel 4. De verwerking
4.1 De Verwerker en al wie onder zijn verantwoordelijkheid of gezag handelt en toegang heeft tot de persoonsgegevens, zal deze persoonsgegevens uitsluitend verwerken volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke, en dit in functie van de in Bijlage 1 beschreven doeleinden.
De Verwerker zal alle instructies van de Verwerkingsverantwoordelijke in verband met de verwerking van persoonsgegevens opvolgen. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien de Verwerker van oordeel is dat de instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.
4.2 Artikel 4.1 kan de Verwerker buiten beschouwing laten indien een op de Verwerker zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht.
In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
4.3 De verwerking vindt plaats onder de verantwoordelijkheid van de Verwerkingsverantwoordelijke. De Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor de Verwerkingsverantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. De Verwerkingsverantwoordelijke moet er voor zorgen dat zij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij de Verwerker.
De Verwerkingsverantwoordelijke is wettelijk verplicht de AVG na te leven. In het bijzonder dient de Verwerkingsverantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag (zoals toestemming) voor het Verwerken van Persoonsgegevens.
4.4 De Verwerker garandeert dat hij passende technische en organisatorische maatregelen zal nemen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen is gewaarborgd..

Artikel 5. Sub-verwerkers
5.1 De Verwerker neemt geen andere verwerker (onderaannemer of sub-verwerker) in dienst zonder de voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke.
In het geval van een algemene schriftelijke toestemming, licht de Verwerker de Verwerkingsverantwoordelijke in over alle beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
In geval van bezwaar kan dit in sommige gevallen betekenen dat de Verwerker de Opdracht overeenkomst moet beëindigen, hetgeen de Verwerkingsverantwoordelijke aanvaardt. Of de Opdracht overeenkomst om deze redenen moet worden beëindigd, is ter uitsluitende beoordeling van de Verwerker.
5.2 Wanneer de Verwerker een andere verwerker in dienst neemt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de huidige Overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker zijn opgenomen. Het betreft met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in huidige Overeenkomst en de AVG voldoet.
Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.

Artikel 6. Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treft de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Waar passend dienden deze maatregelen onder meer te omvatten:
a) De pseudonimisering en versleuteling van persoonsgegevens
b) Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen,
c) Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen,
d) Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking
Bij de beoordeling van het passend beveiligingsniveau zal de Verwerker met name rekening houden met de verwerkingsrisico’s, vooral als gevolg van vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerker gegevens, hetzij per ongelijk, hetzij onrechtmatig.
6.2 De Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Verwerker zal zich inspannen om de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
6.3 De Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen die de Verwerker heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
De Verwerkingsverantwoordelijke stelt dan ook enkel Persoonsgegevens ter verwerking aan de Verwerker ter beschikking, indien de Verwerkingsverantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

Artikel 7. Vertrouwelijkheid
7.1 De Verwerker zal erover waken dat enkel haar medewerkers toegang hebben tot de Persoonsgegevens voor wie de toegang noodzakelijk is voor hun werkzaamheden.
7.2 De Verwerker zorgt er voor dat haar medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

Artikel 8. Bijstand
8.1 De Verwerker zal aan de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken tot uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene, te beantwoorden.
De Verwerker zal op eerste verzoek van de Verwerkingsverantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen 5 werkdagen nadat het verzoek is gedaan, aan de Verwerkingsverantwoordelijke schriftelijk alle informatie verstrekken die de Verwerkingsverantwoordelijke nodig mocht hebben om te kunnen voldoen aan de in artikel 15 AVG vervatte mededelingsplicht.
De Verwerker zal op eerste verzoek van de Verwerkingsverantwoordelijke opgeslagen Persoonsgegevens verbeteren, aanvullen, verwijderen of afschermen. De Verwerker zal aan dit verzoek voldoen binnen zodanige termijn dat de Verwerkingsverantwoordelijke niet in overtreding is van het bepaalde in artikel 17.1 AVG.
De Verwerker kan voor beide verzoeken kosten in rekening brengen.
8.2 Rekening houdend met de aard van de verwerking en de aan de Verwerker ter beschikking staande informatie, verleent de Verwerker de Verwerkingsverantwoordelijke bijstand bij het nakomen van diens verplichtingen betreffende:
I. Het beveiligen van de verwerking conform artikel 32 van de AVG
II. Het melden van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit conform artikel 33 van de AVG (voor België: de Gegevensbeschermingsautoriteit)
III. Het mededelen van een inbreuk in verband met persoonsgegevens aan de betrokkene conform artikel 34 van de AVG
IV. Het uitvoeren van de Gegevensbeschermingseffectbeoordeling conform artikel 35 van de AVG
V. Het voorafgaand aan een voorgenomen verwerking raadplegen van de toezichthoudende autoriteit, waanneer dit na een Gegevensbeschermingseffectbeoordeling nodig zou blijken, conform artikel 36 van de AVG

Artikel 9. Informatieverplichting
9.1 De Verwerker informeert de Verwerkingsverantwoordelijke binnen de 48 uur zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
De melding van de inbreuk aan de Gegevensbeschermingsautoriteit en (eventueel) Betrokkene(n) is altijd de eigen verantwoordelijkheid van de Verwerkingsverantwoordelijke.
Het bijhouden van een register van inbreuken is de eigen verantwoordelijkheid van de Verwerkingsverantwoordelijke.
9.2 De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen van de Verwerker ingevolge huidige Overeenkomst aan te tonen.
De Verwerker maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk en draagt eraan bij. De Verwerkingsverantwoordelijke zal de Verwerker minstens 10 dagen voorafgaand aan het uitvoeren van de controle schriftelijk (inclusief e-mail) hierover inlichten; een dergelijke audit zal niet vaker dan 1 keer per contractjaar plaatsvinden. De kosten van deze audit zijn voor rekening van de Verwerkingsverantwoordelijke.
In dit verband stelt de Verwerker de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

Artikel 10. Aansprakelijkheid en waarborgen
10.1 De Verwerker staat er voor in dat de Verwerking van Persoonsgegevens op basis van huidige Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van de Betrokkene(n).
De Verwerker zal op geen enkele wijze aansprakelijk zijn voor schade die voortvloeit uit instructies van de Verwerkingsverantwoordelijke.
10.2 De Verwerkingsverantwoordelijke staat er voor in dat de inhoud, het gebruik en de opdracht tot de Verwerking van de Persoonsgegevens zoals bedoeld in huidige Overeenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden, en dat er is voldaan aan alle extra waarborgen die gelden voor de verwerking van bijzondere persoonsgegevens. De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen alle aanspraken en claims die hiermee verband houden.
10.3 Iedere aansprakelijkheid van de Verwerker voor enige andere vorm van schade is uitgesloten, daaronder begrepen aanvullende schadevergoeding in welke vorm dan ook, alsmede vergoeding van indirecte schade of gevolgschade of schade wegens gederfde omzet of winst, boetes die aan de Verwerkingsverantwoordelijke worden opgelegd bijvoorbeeld – maar niet uitsluitend – door de Gegevensbeschermingsautoriteit, vertragingsschade, schade wegens verlies van gegevens, schade wegens overschrijding van termijnen als gevolg van gewijzigde omstandigheden, diefstal, verlies of beschadiging van data en zaken en schade wegens door de Verwerker gegeven inlichtingen of adviezen waarvan de inhoud niet uitdrukkelijk onderdeel van de verplichtingen van de Verwerker vormt.
De hoogte van enige vergoeding, die de Verwerker verschuldigd is in het geval van aansprakelijkheid, is gemaximeerd op het bedrag dat door de aansprakelijkheidsverzekeraar van de Verwerker in het betreffende geval wordt uitgekeerd, dan wel tot een maximaal bedrag van 2.500 euro.
10.4 De Verwerker garandeert dat iedere verwerking van Persoonsgegevens, welke door of namens de Verwerkingsverantwoordelijke, met inbegrip van de door haar ingeschakelde Derden, wordt verricht in verband met het uitvoeren van de Opdracht overeenkomst, slechts binnen de Europese Economische Ruimte (EER) zal plaatsvinden.
Zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke mag de Verwerker geen Persoonsgegevens doorgeven naar, of opslaan in een land buiten de EER, of Persoonsgegevens toegankelijk maken vanuit een niet-EER land. Aan deze toestemming kan de Verwerkingsverantwoordelijke voorwaarden verbinden, waaronder, maar niet beperkt tot, de verplichting voor de Verwerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
Dit geldt eveneens voor Subverwerkers.

Artikel 11. Einde van de overeenkomst
11.1 Deze overeenkomst eindigt wanneer de Opdracht overeenkomst een einde neemt.
11.2 Als de Opdracht overeenkomst wordt beëindigd zal de Verwerker de door de Verwerkingsverantwoordelijke aan de Verwerker verstrekte Persoonsgegevens aan de Verwerkingsverantwoordelijke terug overdragen of – als de Verwerkingsverantwoordelijke de Verwerker daarom verzoekt – vernietigen. De Verwerker zal uitsluitend een kopie van de Persoonsgegevens bewaren als zij hiertoe op grond van wet- of (beroeps)regelgeving verplicht is.
11.3 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Opdracht overeenkomst zijn voor rekening van de Verwerkingsverantwoordelijke. Dit is eveneens het geval voor de kosten van de vernietiging van de Persoonsgegevens.

Artikel 12. Diverse bepalingen
12.1 Indien gelijk welke bepaling van huidige Overeenkomst wordt vernietigd of op eender welke andere wijze ongeldig wordt verklaard, blijft de rest van de overeenkomst bestaan en wordt de bewuste bepaling vervangen door een geldige bepaling die zo goed mogelijk de initiële bedoeling van Partijen weergeeft.
12.2 Wijzigingen van of aanvullingen op huidige Overeenkomst worden tussen de Verwerkingsverantwoordelijke en de Verwerker schriftelijk overeengekomen. Wijzigingen of aanvullingen worden vastgelegd in een nieuwe Bijlage bij deze Verwerkersovereenkomst en zijn pas bindend als deze Bijlage door beide partijen is ondertekend.

Artikel 13. Toepasselijk recht en bevoegde rechtbank
13.1 De Overeenkomst en de uitvoering daarvan worden uitsluitend beheerst door het Belgische recht.
13.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met huidige Overeenkomst, zullen worden voorgelegd aan de bevoegde rechtbank met afdelingszetel in het gerechtelijk arrondissement waar de Verwerker haar maatschappelijke zetel heeft.

 

Bijlage
In het kader van de Opdracht overeenkomst, voert de Verwerker op de onderstaande persoonsgegevens de verwerkingen uit waarvan per gegevenssoort de aard van de verwerking, alsmede het doel ervan en de categorieën van betrokkenen worden vermeld.

Soort persoonsgegeven : Naam, adres, identificatie van de kavel en aandeel mede-eigendom, telefoonnummer, e-mailadres

Aard van de verwerking : Verwerking gegevens mede-eigenaars

Doel van de verwerking : Vervullen verplichtingen als syndicus

Categorie(ën) van betrokkenen : Mede-eigenaars