OVEREENKOMST VERWERKING PERSOONSGEGEVENS

Deze Gegevensverwerkingsovereenkomst (hierna te noemen de DPA) maakt deel uit van de Algemene Gebruiksvoorwaarden van de diensten van Sendinblue (hierna te noemen de Overeenkomst). Alle termen met een hoofdletter die niet gedefinieerd zijn in deze DPA hebben dezelfde betekenis als uiteengezet in de Overeenkomst.

Deze DPA is bedoeld om de voorwaarden vast te leggen waaronder Sendinblue zich verplicht om namens de Gebruiker de hieronder gedefinieerde gegevensverwerkingen uit te voeren.

In de context van deze DPA treedt de Gebruiker op als Data Controller en Sendinblue als Data Processor in de zin van de EU Data Protection Act.

1 – DEFINITIES

Gebruikersgegevens betekent alle Persoonsgegevens die Sendinblue verwerkt namens de Gebruiker als Gegevensverwerker in het kader van het leveren van de diensten.

Data Controller betekent de Gebruiker (Werku Tools SA).

Gegevensverwerker betekent Sendinblue.

EU Data Protection Law betekent Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (General Data Protection Regulation).

(GDPR).

EER betekent de Europese Economische Ruimte.

Persoonsgegevens betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon.

Verwerking heeft de betekenis die eraan wordt toegekend in de GDPR en verwerken, verwerken en verwerkt worden dienovereenkomstig opgevat.

Subverwerker betekent elke Gegevensverwerker die door Sendinblue wordt ingeschakeld om te helpen bij het vervullen van haar verplichtingen met betrekking tot het leveren van de Diensten in overeenstemming met de Overeenkomst of deze DPA. Subverwerkers kunnen derden of leden van de Sendinblue groep zijn.

2 – DETAILS VAN GEGEVENSVERWERKING

2.1 Sendinblue zal Gebruikersgegevens alleen verwerken voor de doeleinden beschreven in de DPA en alleen in overeenstemming met de gedocumenteerde rechtmatige instructies van de Gebruiker. De Partijen komen overeen dat deze DPA en de Overeenkomst de volledige en definitieve instructies van de Gebruiker aan Sendinblue met betrekking tot de verwerking van Gebruikersgegevens bevatten.

2.2 Duur: Tussen Sendinblue en de Gebruiker is de duur van de gegevensverwerking onder deze DPA tot de beëindiging van de Overeenkomst in overeenstemming met de voorwaarden.

2.3 Doel: Het doel van de gegevensverwerking onder deze DPA is het verzenden van marketing en/of transactie e-mails en/of SMS.

2.4 De gegevensverwerkingen die door Sendinblue namens de Gebruiker worden uitgevoerd, worden hieronder gedefinieerd:

– Opslag van contactlijsten die door de Gebruiker zijn geüpload
– Verzenden van geautomatiseerde of niet-geautomatiseerde e-mail- of sms-berichten (inclusief orderopvolging, orderbevestiging, nieuwsbrieven)
– Bewaren en analyseren van gegevens over e-maildeliverability (retargeting-weergave)
– Verzamelen van afmeldingen en gebruikersinformatie
– Verzamelen van toestemmingen (in het geval dat de Gebruiker het Sendinblue formulier gebruikt om contactgegevens van zijn eigen site op te halen)
– Analyse van het gedrag van e-mail ontvangers (bijhouden van open rates, click-through rates en bounce rates op individueel niveau).

2.5 Onderwerpcategorieën: Elk individu: (i) van wie het e-mailadres is opgenomen in de distributielijst van de Gebruiker; (ii) van wie de gegevens worden opgeslagen of verzameld via de Diensten; of (iii) aan wie de Gebruiker e-mails stuurt of contact opneemt of communiceert via de Diensten en, meer in het bijzonder, klanten en prospects.

2.6 Soorten Gebruikersgegevens: elk type gegevens dat de Gebruiker naar eigen goeddunken bepaalt en beheert in het kader van zijn gebruik en configuratie van de Diensten, zoals contactgegevens (zoals e-mail en telefoonnummer); computergegevens (IP-adressen, cookiegegevens).

3 – VERPLICHTINGEN VAN DE GEBRUIKER

3.1 Indien de Gebruiker in de Europese Unie is gevestigd, of indien zijn Distributielijst Persoonsgegevens van burgers van de Europese Unie bevat, stemt de Gebruiker ermee in dat hij zijn verplichtingen als verantwoordelijke voor de verwerking nakomt onder de EU-wetgeving inzake gegevensbescherming, en in het bijzonder:
– Dat de Persoonsgegevens in de verzonden bestanden zijn verzameld en verwerkt in overeenstemming met de toepasselijke regelgeving
– Dat de Gebruiker de Betrokkenen heeft geïnformeerd in overeenstemming met de toepasselijke regelgeving
– Indien van toepassing, dat de betrokkenen toestemming hebben gegeven voor het verzamelen en verwerken van de gegevens
– Dat de betrokkenen hun rechten kunnen uitoefenen in overeenstemming met de toepasselijke regelgeving
– Dat de Gebruiker zich ertoe verbindt de informatie te laten rectificeren, aanvullen, verduidelijken, bijwerken of verwijderen indien deze onnauwkeurig, onvolledig, dubbelzinnig of verouderd is, of indien de betrokkene de verzameling, het gebruik, de communicatie of de opslag ervan wenst te verbieden

3.2 Er wordt gespecificeerd dat de Gebruiker zelf verantwoordelijk is voor het beheren van de bewaartermijnen van de Persoonlijke Gegevens die hij/zij uploadt naar het Sendinblue platform, en dat het zijn/haar verantwoordelijkheid is om de gegevens te verwijderen wanneer hun bewaartermijn afloopt. Sendinblue is als enige verantwoordelijk voor het verwijderen van deze gegevens aan het einde van haar contractuele relatie met de Gebruiker.

3.3 De Gebruiker verplicht zich om in de distributielijsten die naar het platform worden geüpload geen Persoonsgegevens op te nemen die bekend staan als “gevoelig” in de zin van artikel 9 van de RGPD.

4 – VERPLICHTINGEN VAN SENDINBLUE

4.1 Naleving van de instructies en voorschriften van de Gebruiker.
Sendinblue verbindt zich ertoe om:
– Persoonsgegevens alleen te verwerken voor het in deze DPA uiteengezette doel
– De Persoonsgegevens te verwerken in overeenstemming met de instructies van de verwerkingsverantwoordelijke. Als Sendinblue van mening is dat een instructie een schending van de EU-wetgeving inzake gegevensbescherming inhoudt, zal het de Gebruiker onmiddellijk informeren
– De vertrouwelijkheid van de Persoonsgegevens die onder deze Overeenkomst worden verwerkt waarborgen
– Ervoor zorgen dat personen die bevoegd zijn om Persoonsgegevens te verwerken onder deze DPA:

– Zich ertoe verbinden de vertrouwelijkheid te respecteren of onderworpen zijn aan een passende wettelijke verplichting tot vertrouwelijkheid
– De nodige training krijgen in de bescherming van Persoonsgegevens; een Functionaris voor Gegevensbescherming aanstellen: Jules Jeanroy, dpo@sendinblue.com

– Een register bijhouden met een lijst van verwerkingen die worden uitgevoerd namens de Data Controller, inclusief alle informatie die wordt genoemd in Artikel 30 (2) van de GDPR.

4.2 Beveiliging: Sendinblue verbindt zich ertoe om, rekening houdend met de aard van de Persoonsgegevens en de risico’s die de verwerking met zich meebrengt, alle voorzorgsmaatregelen te nemen die nodig zijn om de beveiliging van de Persoonsgegevens te waarborgen en in het bijzonder om te voorkomen dat deze worden vervormd, beschadigd of toegankelijk zijn voor onbevoegde derden. Sendinblue verplicht zich in dit verband tot het implementeren van passende technische en organisatorische beveiligings- en vertrouwelijkheidsmaatregelen.

4.3 Lekken van gegevens: Bij het bekend worden van een inbreuk op Persoonsgegevens zal Sendinblue de Gebruiker binnen 72 uur na het bekend worden hiervan op de hoogte stellen, door kennisgeving via het klantenaccount van de Gebruiker of per e-mail naar het adres, met name om de Gebruiker in staat te stellen, te voldoen aan de verplichting op grond van artikel 33 van de GDPR.

4.4 Vernietiging: Op elk moment tijdens de uitvoering van de Overeenkomst kan de Gebruiker de door Sendinblue verwerkte Persoonsgegevens rechtstreeks vanuit zijn klantenaccount inzien of verwijderen door op de “exporteer knop” in zijn klantenaccount te klikken. Aan het einde van de contractuele relatie verplicht Sendinblue zich, op verzoek van de Gebruiker, om alle Persoonlijke Gegevens te vernietigen of te retourneren aan de Gebruiker of een andere door hen aangewezen gegevensverwerker, indien dit technisch haalbaar is en binnen een periode van maximaal 3 maanden. De teruggave moet gepaard gaan met de vernietiging van bestaande kopieën in de informatiesystemen van Sendinblue, tenzij enig toepasselijk recht de bewaring ervan vereist. Sendinblue verplicht zich de Gebruiker op verzoek een bewijs van deze vernietiging te verstrekken.

5 – ASSISTENTIE EN AUDIT

5.1 Assistentie: Voor zover de Gebruiker niet zelfstandig toegang kan krijgen tot de relevante Gebruikersgegevens binnen de diensten, zal Sendinblue (op kosten van de Gebruiker) redelijke medewerking verlenen om de Gebruiker te assisteren bij het reageren op verzoeken van individuen of toepasselijke gegevensbeschermingsautoriteiten met betrekking tot de verwerking van Persoonsgegevens onder de Overeenkomst. In het geval dat een dergelijk verzoek rechtstreeks aan Sendinblue wordt gedaan, zal Sendinblue niet rechtstreeks op dergelijke communicatie reageren zonder voorafgaande toestemming van de Gebruiker, tenzij dit wettelijk verplicht is. Als Sendinblue verplicht is om op een dergelijk verzoek te reageren, zal Sendinblue de Gebruiker hiervan onmiddellijk op de hoogte stellen en een kopie van het verzoek verstrekken, tenzij dit wettelijk verboden is.

5.2 Audit: Sendinblue verbindt zich ertoe om de Gebruiker te voorzien van alle informatie en documenten die nodig zijn om de naleving van de verplichtingen zoals uiteengezet in deze DPA aan te tonen. Sendinblue geeft de Gebruiker of een andere externe auditor die niet met Sendinblue concurreert en door de Gebruiker is aangesteld, toestemming om op kosten van de Gebruiker zijn activiteiten voor de verwerking van persoonlijke gegevens te inspecteren en te controleren en verbindt zich ertoe alle redelijke verzoeken van de Gebruiker in te willigen om te controleren of Sendinblue heeft voldaan aan de contractuele verplichtingen die door deze DPA zijn opgelegd. Dergelijke audits mogen niet meer dan één (1) per contractjaar worden uitgevoerd. In alle gevallen moet de Gebruiker Sendinblue minimaal dertig (30) dagen van tevoren op de hoogte stellen, en de audit mag in geen geval de lopende activiteiten van Sendinblue onderbreken. De audit beperkt zich tot de verwerking van persoonsgegevens door Sendinblue namens de Gebruiker, en de Gebruiker heeft geen toegang tot gegevens van andere Sendinblue klanten. Een kopie van het auditrapport wordt gratis aan Sendinblue verstrekt.

6 – GEGEVENSOVERDRACHT EN SUBVERWERKING

6.1 Geautoriseerde Subverwerkers: De Gebruiker wordt geïnformeerd en aanvaardt uitdrukkelijk dat Sendinblue, in verband met het leveren van de dienst onder de Overeenkomst, gebruik kan maken van Subverwerkers, die namens haar de door de Gebruiker toevertrouwde Persoonsgegevens zullen inzien/verwerken. De lijst van de relevante verwerkers is beschikbaar op https://bit.ly/subcontactors-SIB-EN-int.

6.2 Verplichtingen van Sub-verwerkers: Sendinblue zal: (i) een schriftelijke overeenkomst aangaan met Sub-verwerkers waarin gegevensbeschermingsvoorwaarden worden opgelegd die de Sub-verwerker verplichten om Gebruikersgegevens te beschermen volgens de norm die wordt vereist door de EU-wetgeving inzake gegevensbescherming; en (ii) verantwoordelijk blijven voor de naleving van haar verplichtingen onder deze DPA en voor elke handeling of nalatigheid van de Sub-verwerker die ervoor zorgt dat Sendinblue een van haar verplichtingen onder deze DPA schendt.

6.3 Wijzigingen in Sub-verwerkers: In het geval van wijziging van de lijst van haar Sub-verwerkers, zal Sendinblue de Gebruiker per e-mail of door kennisgeving via het klantenaccount op de hoogte stellen, en de Gebruiker heeft de mogelijkheid om de Overeenkomst te beëindigen in geval van bezwaar.

Er wordt gespecificeerd dat deze kennisgeving alle informatie bevat met betrekking tot mogelijke doorgifte van persoonlijke gegevens naar de EER.

7 – DIVERSEN

7.1 Deze DPA kan te allen tijde worden gewijzigd. Alle wijzigingen worden gepubliceerd op de Sendinblue website en via de website aan de Gebruiker meegedeeld.

Tenzij de Gebruiker de Diensten beëindigt door Sendinblue binnen dertig (30) dagen na deze wijzigingen een aangetekende brief met ontvangstbevestiging te sturen, wordt de Gebruiker geacht de wijzigingen te hebben geaccepteerd.

7.2. Deze DPA is opgesteld in verschillende talen. Voor de interpretatie van deze DPA is de Franse versie doorslaggevend.

8 – TOEPASSELIJK RECHT EN BEVOEGDE JURISDICTIE

Het toepasselijk recht en de bevoegde jurisdictie blijven die welke in de Overeenkomst zijn bepaald.