Versie: 1 februari 2023
Dit Addendum Gegevensverwerking ("Data Processing Addendum" of "DPA") vormt een integraal onderdeel van de Overeenkomst tussen Klant en CM.com met betrekking tot het gebruik van de Diensten door Klant.
De begrippen in deze Algemene Voorwaarden die aanvankelijk met een hoofdletter zijn geschreven, zijn gedefinieerd en hebben de betekenis als vermeld in dit artikel.
Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.
Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon met betrekking tot Persoonsgegevens.
Technische en Organisatorische Maatregelen: maatregelen om Persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, en tegen alle andere onwettige vormen van Verwerking.
Inbreuk op Persoonsgegevens: een inbreuk op de beveiliging die leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.
Verwerker: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Verwerken: elke verwerking of elke set aan verwerkingen met betrekking tot Persoonsgegevens of een set van Persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen of combineren, beperken, wissen of vernietigen.
Subverwerker: Een partij die door CM.com wordt ingeschakeld voor verwerkingsactiviteiten waarvoor CM.com een Verwerker is onder deze DPA, zoals vermeld op: www.cm.com/trust-center/privacy/.
Trust Center: www.cm.com/trust-center/.
De uitdrukking "Data Protection Impact Assessment," heeft de betekenis die eraan wordt toegekend in de Toepasselijke Wetgeving inzake Gegevensbescherming.
1.2. Verwijzingen naar de Toepasselijke Wetgeving inzake Gegevensbescherming worden vervangen door of omvatten verwijzingen naar wetten die deze Toepasselijke Wetgeving inzake Gegevensbescherming vervangen of wijzigen, en de gelijkwaardige termen die in dergelijke wetten worden gedefinieerd, zodra deze van kracht en van toepassing zijn.
1.3. Deze DPA is uitsluitend van toepassing op de verwerking van Persoonsgegevens door CM.com als Verwerker namens Klant. In geval van conflict hebben de bepalingen van deze DPA voorrang op de bepalingen van de Algemene Voorwaarden van de Overeenkomst. Wanneer individuele bepalingen van deze DPA ongeldig of niet-afdwingbaar zijn, heeft dit geen invloed op de geldigheid en afdwingbaarheid van de andere bepalingen.
2.1 Deze DPA is van toepassing op de verwerkingsactiviteiten van Persoonsgegevens, waarvoor CM.com als Verwerker onderworpen is aan de Toepasselijke Wetgeving inzake Gegevensbescherming.
2.2 CM.com is Verwerker voor de in artikel 6 van deze DPA beschreven verwerkingsactiviteiten.
3.1 Klant zal bij het gebruik van de Dienst Persoonsgegevens verwerken in overeenstemming met de vereisten van Toepasselijke Wetgeving inzake Gegevensbescherming. De instructies van Klant voor de Verwerking van Persoonsgegevens moeten voldoen aan de Toepasselijke Wetgeving inzake Gegevensbescherming. Klant is verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettigheid van Persoonsgegevens en de middelen waarmee Klant Persoonsgegevens heeft verkregen. Klant zal ervoor zorgen dat hij voldoet aan alle vereisten voor de verwerking en overdracht van de Persoonsgegevens onder de Toepasselijke Wetgeving, inclusief maar niet beperkt tot, het waarborgen van een rechtmatige grond voor verwerking en/of grensoverschrijdende overdracht. Klant zal CM.com onverwijld informeren indien hij niet langer kan voldoen aan zijn verplichtingen met betrekking tot de verwerking van Persoonsgegevens onder de Toepasselijke Wetgeving en/of de Overeenkomst.
3.2 Zonder de algemeenheid van een andere bepaling van de Overeenkomst te beperken, zal Klant voorafgaand aan het gebruik van de Dienst verifieerbare geïnformeerde toestemming verkrijgen van de Eindgebruikers of in staat zijn om bevestiging te verstrekken van enige andere toepasselijke wettelijke basis voor de Verwerking, en zal deze een dossier bijhouden van iedere toestemming en/of wettelijke basis daarvoor. Na redelijke schriftelijke kennisgeving zal Klant informatie verstrekken over de wettelijke basis zoals gevraagd en waar vereist door CM.com, een Operator, regelgevende instantie of andere bevoegde autoriteit.
4.1 Instructies
4.1.1 CM.com zal Persoonsgegevens verwerken in overeenstemming met deze DPA en de Overeenkomst, en voor de doeleinden en op de manier die van tijd tot tijd door Klant in de Overeenkomst worden gespecificeerd en volgens verdere instructies binnen het toepassingsgebied van de Overeenkomst.
4.2 Technische en Organisatorische Maatregelen
4.2.1 Rekening houdend met de stand van de techniek, de aard, het toepassingsgebied, de context en de doeleinden van de Verwerking, evenals het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal CM.com passende Technische en Organisatorische Beveiligingsmaatregelen implementeren (waaronder bescherming tegen ongeoorloofde of onwettige Verwerking en tegen onopzettelijke of onwettige vernietiging, verlies, wijziging of beschadiging, ongeoorloofde openbaarmaking van, of toegang tot, Persoonsgegevens) om een beveiligingsniveau te garanderen dat passend is voor het risico. Actuele informatie over Technische en Organisatorische Maatregelen is te vinden op www.cm.com/trust-center/security/.
4.2.2 CM.com zal de effectiviteit van de Technische en Organisatorische Beveiligingsmaatregelen testen, beoordelen en evalueren om de veiligheid van de verwerking op een doorlopende basis te waarborgen. CM.com zal de Technische en Organisatorische Beveiligingsmaatregelen waar nodig voortdurend intensiveren en verbeteren.
4.3 Personeelsvereisten
4.3.1 CM.com waarborgt dat personen die bevoegd zijn om de Persoonsgegevens te Verwerken, zich hebben verbonden aan het beginsel van vertrouwelijkheid of een passende wettelijke geheimhoudingsplicht hebben. Toegang tot Persoonsgegevens is beperkt tot personeel dat toegang nodig heeft om de Diensten onder de Overeenkomst uit te voeren.
4.4. Vertrouwelijkheid
4.4.1 CM.com gaat ermee akkoord dat het de Persoonsgegevens vertrouwelijk zal houden. CM.com gaat er in het bijzonder mee akkoord dat het geen Persoonsgegevens die zijn verstrekt aan CM.com door, voor of namens Klant, aan derden zal bekendmaken zonder voorafgaande toestemming van Klant, behalve zoals voorzien en vereist voor de uitvoering van de Dienst onder de Overeenkomst of het dwingend recht.
4.5. Rechten van Betrokkenen
4.5.1 Wanneer Klant dit opdraagt aan CM.com, zal CM.com Persoonsgegevens doorgeven, corrigeren, verwijderen of blokkeren als Klant een verzoek ontvangt van een Betrokkene tot uitoefening van het recht op toegang, het recht op rectificatie, het recht op beperking van Verwerking, het recht op verwijdering (“recht om te worden vergeten”), het recht op gegevensoverdraagbaarheid, het recht op bezwaar tegen de Verwerking of het recht om niet te worden onderworpen aan een geautomatiseerde individuele besluitvorming (“Verzoek van Betrokkene”).
4.5.2 CM.com zal Klant op de hoogte stellen als CM.com een Verzoek van een Betrokkene ontvangt. Rekening houdend met de aard van de Verwerking, zal CM.com Klant assisteren in het reageren op een Verzoek van een Betrokkene op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming. CM.com zal Klant hierbij assisteren voor zover wettelijk is toegestaan en het antwoord op een dergelijk Verzoek van een Betrokkene is vereist onder de Toepasselijke Wetgeving inzake Gegevensbescherming.
4.6 Hulp bij compliance door Klant
4.6.1 CM.com zal Klant verdere assistentie bieden die redelijkerwijs nodig is om de compliance van de verplichtingen van Klant op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming te garanderen, waaronder met betrekking tot:
(a) een gegevensbeschermingseffectbeoordeling door het verstrekken van dergelijke informatie en het bieden van samenwerking waar Klant om kan vragen om Klant te helpen bij het uitvoeren van een gegevensbeschermingseffectbeoordeling en periodieke evaluaties om te beoordelen of de Verwerking van Persoonsgegevens wordt uitgevoerd in overeenstemming met de gegevensbeschermingseffectbeoordeling;
(b) Voorafgaand overleg met een toezichthoudende gegevensbeschermingsautoriteit met betrekking tot Verwerking met een hoog risico.
4.7 Compliance, informatie en audit
4.7.1 CM.com heeft certificeringen van derden verkregen, zoals uiteengezet in het gedeelte Beveiliging & Compliance op de website van CM.com (www.cm.com/trust-center/), dat informatie biedt over Technische en Organisatorische Beveiligingsmaatregelen. Op schriftelijk verzoek van Klant, en met inachtneming van de vertrouwelijkheidsverplichtingen zoals uiteengezet in de Overeenkomst, zal CM.com aan Klant (of de onafhankelijke, externe auditor van Klant die geen concurrent is van CM.com) een exemplaar beschikbaar stellen van CM.com’s meest recente certificeringen en informatie van derden met betrekking tot de IT-architectuur en -beveiliging, zoals van toepassing en redelijkerwijs gevraagd. Klant is verantwoordelijk voor het beoordelen van de informatie die door CM.com beschikbaar wordt gesteld en voor het bepalen of deze voldoet aan de eisen en verplichtingen van Klant onder de Toepasselijke Wetgeving inzake Gegevensbescherming. Klant gaat ermee akkoord dat de informatie die hieronder wordt verstrekt, dient om te voldoen aan de auditrechten van Klantt onder de Toepasselijke Wetgeving inzake Gegevensbescherming.
4.7.2 Indien de door CM.com verstrekte informatie onvoldoende is om naleving van deze DPA aan te tonen, heeft Klant het recht om maximaal één keer per jaar een erkende externe deskundige aan te stellen om de procedures met betrekking tot de gegevensverwerking voor Klant te controleren. Na een redelijke voorafgaande schriftelijke kennisgeving van niet minder dan tien Werkdagen zal CM.com aan een dergelijke audit meewerken. Klant zal CM.com alle tijd vergoeden die CM.com besteedt aan een dergelijke audit volgens de dan geldende tarieven voor professionele diensten van CM.com, die op verzoek aan Klant beschikbaar worden gesteld. Voor aanvang van een dergelijke audit zullen de Partijen onderling overeenstemming bereiken over het toepassingsgebied en de timing en duur van de audit, naast het vergoedingstarief waarvoor Klant verantwoordelijk is.
4.7.3 CM.com heeft het recht om te verzoeken dat de externe deskundige ten gunste van CM.com een vertrouwelijkheidsverklaring ondertekent. De vertrouwelijkheidsverklaring bevat de algemene voorwaarden die gebruikelijk zijn voor dit type verklaring. Alle rapporten of verklaringen die door de externe expert worden verstrekt, moeten beschikbaar worden gesteld aan CM.com. Klant moet ervoor zorgen dat de audit de activiteiten van CM.com zo weinig mogelijk belemmert.
4.8 Administratie
4.8.1 CM.com zal een volledige, nauwkeurige en actuele administratie bijhouden van verwerkingsactiviteiten die namens zijn Klanten worden uitgevoerd.
4.9 Gelieerde ondernemingen en Subverwerkers
4.9.1 Enkele of alle verplichtingen van CM.com onder de Overeenkomst kunnen worden uitgevoerd door Gelieerde ondernemingen van CM.com. CM.com is verantwoordelijk voor de compliance van deze Overeenkomst door zijn Gelieerde ondernemingen.
4.9.2 Klant erkent en gaat ermee akkoord dat (a) Gelieerde ondernemingen van CM.com kunnen worden aangesteld als Subverwerkers; en (b) CM.com en Gelieerde ondernemingen van CM.com externe Subverwerkers kunnen inschakelen in verband met de levering van de Diensten. Dit echter op voorwaarde dat CM.com of een Gelieerde onderneming van CM.com altijd met elke Subverwerker een schriftelijke overeenkomst is aangegaan die verplichtingen inzake gegevensbescherming bevat die niet minder beschermend zijn dan de verplichtingen in deze Overeenkomst met betrekking tot de bescherming van Persoonsgegevens, voor zover van toepassing op de aard van de Dienst die door een dergelijke Subverwerker wordt geleverd, en CM.com een actuele lijst van Subverwerkers bijhoudt. De huidige lijst van Subverwerkers van CM.com is beschikbaar op: www.cm.com/trust-center/privacy/. CM.com zal Klant dertig (30) dagen van tevoren op de hoogte stellen van wijzigingen met betrekking tot de lijst van Subverwerkers. Binnen deze termijn kan Klant bezwaar maken tegen de wijziging van de lijst van Subverwerkers, mits dit bezwaar schriftelijk wordt ingediend en gebaseerd is op redelijke gronden met betrekking tot de Toepasselijke Wetgeving inzake Gegevensbescherming. De Partijen zullen zich te goeder trouw inspannen om het bezwaar van Klant op te lossen. Indien het bezwaar niet binnen dertig (30) dagen is opgelost, kan elke Partij de Overeenkomst beëindigen.
4.9.3 CM.com is in dezelfde mate verantwoordelijk voor elk van zijn Subverwerkers als dat CM.com verantwoordelijk zou zijn voor het rechtstreeks uitvoeren van de Diensten.
4.10 Melding van inbreuk
4.10.1 Met betrekking tot een Inbreuk op persoonsgegevens zal CM.com:
(a) Klant onverwijld op de hoogte stellen van een Inbreuk op persoonsgegevens waarbij CM.com of een Subverwerker betrokken is (maar in geen geval later dan achtenveertig uur nadat CM.com op de hoogte is gesteld van de Inbreuk op persoonsgegevens).
(b) redelijke medewerking en assistentie verlenen aan Klant met betrekking tot handelingen die moeten worden ondernomen in reactie op een Inbreuk op persoonsgegevens onder de Toepasselijke Wetgeving inzake Gegevensbescherming, zoals artikel 33, lid 3, en 34, lid 3 van de AVG, waaronder met betrekking tot elke communicatie over de Inbreuk op persoonsgegevens met de Betrokkene en de gegevensbeschermingsautoriteiten.
4.10.2 CM.com zal onmiddellijk een Inbreuk op persoonsgegevens onderzoeken en redelijke maatregelen nemen om de onderliggende oorzaak/oorzaken te identificeren en herhaling te voorkomen. Wanneer informatie wordt verzameld of anderszins beschikbaar komt, zal CM.com, tenzij dit bij wet verboden is, Klant een beschrijving geven van de Inbreuk op persoonsgegevens, het type gegevens dat het onderwerp was van de Inbreuk op persoonsgegevens en andere informatie waar Klant redelijkerwijs om kan vragen. De Partijen komen overeen in goed vertrouwen het opstellen van de inhoud van alle gerelateerde openbare verklaringen of vereiste kennisgevingen voor de Betrokkenen en/of de relevante gegevensbeschermingsautoriteiten te coördineren.
5.1 Voor zover het inschakelen van een Subverwerker een grensoverschrijdend overdrachtmechanisme vereist onder Toepasselijke Wetgeving inzake Gegevensbescherming om Persoonsgegevens rechtmatig door te geven vanuit een rechtsgebied (d.w.z. de Europese Economische Ruimte, het Verenigd Koninkrijk of enig ander relevant rechtsgebied) aan een derde partij buiten dat rechtsgebied, zijn de volgende voorwaarden van toepassing. klant machtigt CM.com om Persoonsgegevens over te dragen buiten het rechtsgebied waarin CM.com is gevestigd en de Persoonsgegevens voor het eerst werden ontvangen, op voorwaarde dat CM.com ervoor zorgt dat dergelijke overdrachten worden uitgevoerd in overeenstemming met deze DPA en een rechtmatig mechanisme voor gegevensoverdracht dat een adequaat beschermingsniveau biedt onder de Toepasselijke Wetgeving inzake Gegevensbescherming.
CM.com zal gegevens, waaronder Persoonsgegevens, verwerken en bewaren in overeenstemming met het Toepasselijk recht en de toepasselijke voorschriften, waaronder, maar niet beperkt tot, nationale regelgeving inzake telecommunicatie en de Toepasselijke Wetgeving inzake Gegevensbescherming. De gegevens, waaronder Persoonsgegevens, die worden ingediend bij het platform van CM.com worden verwerkt en opgeslagen in overeenstemming met het gegevensretentiebeleid van CM.com. De Persoonsgegevens worden niet langer bewaard dan nodig is voor het leveren van de Diensten onder de Overeenkomst, voor de doeleinden zoals vermeld de Overeenkomst en voor zover vereist en/of toegestaan onder het Toepasselijk recht. CM.com zal gegevens na de geldende bewaarperiode depersonaliseren en omzetten in geanonimiseerde gegevens. Dit resulteert in gegevens die geen Persoonsgegevens of unieke identificatiemiddelen bevatten die later kunnen worden gebruikt om te verwijzen naar de Persoonsgegevens waaraan de gegevens ooit waren ontleend.
7.1 Aard en doel van de Verwerking
7.1.1 CM.com zal Persoonsgegevens verwerken zoals nodig om de Diensten uit te voeren op grond van de Overeenkomst, zoals verder gespecificeerd in de Overeenkomst, en zoals verder geïnstrueerd door Klant in het kader van de Overeenkomst.
7.2 Duur van de Verwerking
7.2.1 CM.com zal Persoonsgegevens verwerken voor de duur van de Overeenkomst en in overeenstemming met artikel 6 van deze DPA.
7.3 Categorieën van Betrokkenen
7.3.1 Klant kan bij het gebruik van de Dienst gegevens bij CM.com indienen, waarvan de inhoud naar eigen goeddunken wordt bepaald en gecontroleerd door Klant, en die kan omvatten, maar is niet beperkt tot, Persoonsgegevens met betrekking tot de categorieën van Betrokkenen zoals opgenomen in Bijlage 1.
7.4 Soort Persoonsgegevens
7.4.1 Klant kan naar eigen goeddunken Persoonsgegevens indienen bij de Diensten, in de mate die wordt bepaald en gecontroleerd door Klant, en die kunnen omvatten, maar zijn niet beperkt tot de categorieën van Persoonsgegevens zoals opgenomen in Bijlage 1.
Betrokkenen:
Zoals beschreven voor de volgende diensten:
Conversational AI Cloud
Conversational Channels
Customer Data Platform
Mobile Marketing Cloud
• Contactpersonen van de communicatie van Klant via de Mobile Marketing Cloud dienst, zoals (potentiële) klanten, website bezoekers en dergelijke.
Mobile Service Cloud
Sign
SMS
Voice
Categorieën van persoonsgegevens:
Zoals beschreven voor de volgende diensten:
Conversational AI Cloud
Conversational Channels
• Inhoud van de communicatie.
Customer Data Platform
Mobile Marketing Cloud
Mobile Service Cloud
Sign
SMS
• Inhoud van de communicatie.
Voice