Laatst bijgewerkt op: augustus 2024

Addendum inzake Gegevensbescherming (‘Addendum’)

Door het uitvoeren van een Bestelformulier onder de Overeenkomst dat naar dit Addendum verwijst, gaat de Klant ermee akkoord gebonden te zijn aan dit Addendum.

1. Definities

De onderstaande begrippen hebben in dit Addendum de volgende betekenis:

1.1. "Overeenkomst": de overeenkomst tussen de Klant en Samsara waarin de voorwaarden zijn vastgelegd op grond waarvan de Klant toegang krijgt tot bepaalde Samsara-oplossingen en bepaalde diensten van Samsara afneemt.

1.2. "Persoonsgegevens van de Klant": alle Persoonsgegevens die onderworpen zijn aan de Gegevensbeschermingswetten en vervat zijn in Klantengegevens en die door Samsara namens de Klant worden Verwerkt uit hoofde van de Overeenkomst.

1.3. "Gegevensbeschermingswetten": voor zover van toepassing, (i) de Algemene Verordening Gegevensbescherming van de EU (EU 2016/679) (de "EU AVG"), de opname daarvan in de wetgeving van Engeland en Wales, Schotland en Noord-Ierland krachtens de UK European Union (Withdrawal) Act 2018 (de "VK AVG"); (ii) de Zwitserse Federal Act on Data Protection ("FADP"); (iii) de Amerikaanse federale en/of staatswetgegving inzake gegevensbescherming of gegevensprivacy, met inbegrip van maar niet beperkt tot de Californische Consumer Privacy Act van 2018 zoals gewijzigd door de California Privacy Rights Act (samen met de implementatieverordeningen ervan, de "CPRA"); en/of (iv) alle andere toepasselijke nationale wetgeving in de Europese Economische Ruimte of het Verenigd Koninkrijk die de EU AVG of VK AVG aanvult (indien van toepassing), en/of de toepasselijke wetgeving inzake gegevensprivacy en/of gegevensbescherming in de VS, Canada en Mexico; welke in elk geval van tijd tot tijd gewijzigd of vervangen kunnen worden.

1.4. "Verwerkingsverantwoordelijke": de entiteit die de middelen en doeleinden voor de verwerking van Persoonsgegevens vaststelt.

1.5. "Betrokkene": de persoon op wie de Persoonsgegevens betrekking hebben.

1.6. "EU Modelcontract": het standaard modelcontract welke als bijlage is toegevoegd aan het uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van Persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad.

1.7. "Persoonsgegevens": ‘persoonsgegevens’, ‘persoonlijke informatie’ of ‘tot een persoon herleidbare informatie’ of een soortgelijke term krachtens Gegevensbeschermingswetten, zoals deze termen zijn gedefinieerd in Gegevensbeschermingswetten.

1.8. "Inbreuk op Persoonsgegevens": elke inbreuk op de beveiliging die (i) Samsara op grond van Gegevensbeschermingswetten aan de Klant zou moeten melden; of (ii) de Klant moet melden aan een Toezichthoudende Autoriteit of Betrokkenen, of om een register bij te houden betreffende Persoonsgegevens, volgens dit Addendum.

1.9. "Verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens.

1.10. "Verwerker": een entiteit die Persoonsgegevens verwerkt namens een Verwerkingsverantwoordelijke.

1.11. "Toezichthoudende Autoriteit": een overheids- of regelgevende instantie die verantwoordelijk is voor het beheer en/of de handhaving van de Gegevensbeschermingswetten.

1.12. Begrippen die met hoofdletter worden geschreven en in dit Addendum niet nader worden gedefinieerd, hebben de betekenis die er in de Overeenkomst aan wordt gegeven.

2. Verwerking van Persoonsgegevens van de Klant

2.1. Zoals tussen de partijen overeengekomen, treedt Samsara voor rekening van de Klant op als Verwerker van de Persoonsgegevens van de Klant. Als Verwerker zal Samsara:

2.1.1. De Persoonsgegevens van de Klant Verwerken zoals uiteengezet in dit Addendum, deze Documentatie en/of de schriftelijke instructies van de Klant, of op een andere door de wetgeving waaraan Samsara is onderworpen, voorgeschreven manier (de "Klanteninstructies"). Wanneer het toepasselijke recht Samsara verplicht de Persoonsgegevens van de Klant anders dan overeenkomstig de Klanteninstructies te Verwerken, verbindt Samsara zich ertoe voor zover de toepasselijke wetgeving het toelaat, de Klant voorafgaand aan die Verwerking over die wettelijke verplichting te informeren, tenzij de wetgeving dergelijke informatie vanwege een zwaarwegend belang verbiedt.

2.1.2. Niet verantwoordelijk zijn voor het verkrijgen van toestemming, autorisatie, goedkeuring of instemming zoals vereist kan zijn op grond van toepasselijke wetten of beleid, of voor het verstrekken van kennisgevingen met betrekking tot de Persoonsgegevens van de Klant, om Samsara in staat te stellen de Persoonsgegevens van de Klant te ontvangen en te Verwerken in overeenstemming met de Overeenkomst. De Klant is als enige verantwoordelijk voor de juistheid, kwaliteit en rechtmatigheid van de Persoonsgegevens van de Klant, voor de middelen waarmee hij de Persoonsgegevens van de Klant verkrijgt en gebruikt, en voor de Klanteninstructies betreffende de Verwerking van de Persoonsgegevens van de Klant. De Klant zal ervoor zorgen dat Samsara door zijn handelen of nalaten, met inbegrip van zijn Klanteninstructies, niet in strijd is met de toepasselijke wet- of regelgeving. Wanneer Samsara van mening is dat een instructie in strijd is met de toepasselijke wetgeving of wanneer Samsara heeft vastgesteld dat het niet langer kan voldoen aan zijn verplichtingen onder de CPRA,, zal Samsara de Klant hiervan zonder onnodige vertraging in kennis stellen. Samsara is gerechtigd de uitvoering van een dergelijke instructie op te schorten totdat de Klant de instructie bevestigt of wijzigt. 

3. Personeel van Samsara

3.1. Samsara verbindt zich ertoe Persoonsgegevens van de Klant conform de geheimhoudingsbepalingen van de Overeenkomst als vertrouwelijk te behandelen en van zijn personeel dat toegang tot de Persoonsgegevens van de Klant heeft te eisen dat het alle Persoonsgegevens van de Klant als dusdanig behandelt. Iedere persoon die gerechtigd is om Persoonsgegevens van de Klant te verwerken namens de Klant, is gebonden aan een geheimhoudingsverplichting of onderworpen aan een passende wettelijke geheimhoudingsplicht. Alle geheimhoudingsplichten blijven van kracht na beëindiging of afloop van een dergelijke Verwerking.

4. Beveiliging

4.1. Samsara zal gepaste technische en organisatorische maatregelen treffen om de Persoonsgegevens van de Klant te beschermen en om een gepaste bescherming van de Persoonsgegevens van de Klant te garanderen. Deze maatregelen zullen voldoen aan de vereisten van de Gegevensbeschermingswetten. Samsara zal ten minste de maatregelen uitvoeren die zijn opgenomen in de bijgevoegde Beveiligingsbeschrijving die als Bijlage II bij de Standaardcontractbepalingen is gevoegd. Samsara kan die maatregelen te gelegener tijd aanpassen, mits dergelijke aanpassingen de globale bescherming van de Persoonsgegevens van de Klant niet wezenlijk verminderen.

5. Subverwerking

5.1. De Klant machtigt alle Samsara-filialen, evenals andere derde partijen die in de Documentatie worden genoemd, om subverwerkers te zijn (elk afzonderlijk een "Subverwerker"). Samsara kan met het oog op de verstrekking van de Producten de Persoonsgegevens van de Klant aan zijn Subverwerkers meedelen, mits Samsara zijn Subverwerkers wezenlijk dezelfde verplichtingen inzake de beveiliging en geheimhouding van de Persoonsgegevens van de Klant oplegt als in dit Addendum zijn uiteengezet, om aan de eisen van de Gegevensbeschermingswetten te voldoen.

5.2. Voor zover vereist door de gegevensbeschermingswetgeving, heeft de Klant het recht om bezwaar te maken tegen een wijziging van Subverwerkers zoals van tijd tot tijd door Samsara wordt meegedeeld binnen dertig (30) kalenderdagen na een dergelijke kennisgeving, en alleen om wezenlijk belangrijke redenen. Indien de Klant nalaat om binnen die termijn bezwaar te maken tegen een dergelijke wijziging, wordt de Klant geacht met die wijziging te hebben ingestemd. Indien een wezenlijk belangrijke reden voor een dergelijk bezwaar bestaat en schriftelijk aan Samsara wordt verstrekt, en bij gebreke van een minnelijke schikking van deze kwestie tussen de partijen (elke partij handelt redelijkerwijs en te goeder trouw), kunnen Klanten die onderworpen zijn aan de EU en UK AVG de toepasselijke Bestelbon(nen) beëindigen enkel met betrekking tot de beïnvloede kenmerken of functionaliteiten van de Producten.

5.3. Samsara blijft verantwoordelijk voor het handelen of nalaten van Subverwerkers in dezelfde mate vereist door de Wetgeving inzake Gegevensbescherming als wanneer het handelen of nalaten werd uitgevoerd door Samsara ("Aansprakelijkheid van Subverwerkers"), en is gerechtigd om eventuele verplichtingen opnieuw uit te voeren of te laten uitvoeren. De Klant erkent en aanvaardt dat een dergelijke nieuwe uitvoering afbreuk doet aan een vordering die de Klant heeft op Samsara met betrekking tot de Aansprakelijkheid van een Subverwerker.

6. Verzoeken van Betrokkenen

6.1. Wanneer Samsara rechtstreeks verzoeken ontvangt van Betrokkenen, of personen die namens hen handelen, om hun rechten overeenkomstig de Gegevensbeschermingswetten uit te oefenen ("Verzoeken van Betrokkenen"), en op voorwaarde dat Samsara redelijkerwijs uit de verstrekte informatie kan vaststellen dat een dergelijk verzoek betrekking heeft op de Klant en/of Persoonsgegevens van de Klant, dan zal Samsara, tenzij verboden door de toepasselijke wetgeving, (a) de Klant onmiddellijk op de hoogte brengen van een dergelijk verzoek; en (b) niet reageren op een dergelijk verzoek, tenzij dit wordt voorgeschreven door de wetgeving waaraan Samsara is onderworpen. In dat geval zal Samsara, voor zover de toepasselijke wetgeving dit toelaat, de Klant informeren over die wettelijke verplichting alvorens op een dergelijk verzoek in te gaan. Samsara kan van de Klant verlangen dat hij de werkelijke kosten draagt die voortvloeien uit de overeenkomstig deze paragraaf verleende bijstand op basis van de dan geldende servicetarieven van Samsara. 

6.2. Voor alle duidelijkheid, als Verwerkingsverantwoordelijke is de Klant verantwoordelijk voor de afhandeling van Verzoeken van Betrokkenen. De Diensten van Samsara omvatten technische en organisatorische maatregelen die, rekening houdend met de aard van de Verwerking, zijn ontwikkeld om de Klant voor zover dit mogelijk is te helpen om aan zijn verplichting op Verzoeken van Betrokkenen te reageren, te voldoen. 

6.3. Wanneer Samsara een verzoek van een wetshandhavings- of overheidsinstantie ontvangt om Klantengegevens te verkrijgen, zal Samsara de wettigheid ervan beoordelen en enkel aan het verzoek voldoen indien en voor zover Samsara van mening is dat het geldig, wettig en verplicht is (een "Verzoek van een Wetshandhavings- of Overheidsinstantie"). Voor zover het Samsara wettelijk is toegestaan om dit te doen, zal Samsara de Klant en/of, zoals vereist, de relevante toezichthoudende autoriteit informeren over een dergelijk Verzoek van een Wetshandhavings- of Overheidsinstantie en, indien relevant, of Samsara zal voldoen aan een dergelijk Verzoek van een Wetshandhavings- of Overheidsinstantie. In de mate dat Samsara in staat is om de relevante Betrokkene(n) te identificeren in het kader van een Verzoek van een Wetshandhavings- of Overheidsinstantie en op voorwaarde dat Samsara handelt in overeenstemming met zijn verplichtingen onder de Overeenkomst en de toepasselijke Gegevensbeschermingswetten, kan de Klant Samsara uitdrukkelijk schriftelijk op de hoogte brengen of machtigen om de relevante Betrokkene(n) op de hoogte te brengen van een dergelijk Verzoek van een Wetshandhavings- of Overheidsinstantie om de Betrokkene(n) in staat te stellen nadere informatie te verkrijgen en alle beschikbare rechten uit te oefenen. Tenzij het wettelijk verboden is om dit te doen, zal Samsara redelijke inspanningen leveren om de acties die Samsara heeft ondernomen in verband met een Verzoek van een Wetshandhavings- of Overheidsinstantie te documenteren en aan de Klant te tonen, op redelijk verzoek van de Klant.

7. Inbreuk op Persoonsgegevens

7.1. Samsara verbindt zich ertoe om, wanneer het weet krijgt van een Inbreuk op Persoonsgegevens waarbij Persoonsgegevens van de Klant betrokken zijn, de Klant daar onverwijld van op de hoogte te brengen. Voor alle duidelijkheid, een Inbreuk op Persoonsgegevens omvat niet (i) handelingen of nalatigheden die geen inbreuk maken op de beveiliging van Samsara of de beveiliging van een Subverwerker; of (ii) elke toegang tot of Verwerking van Persoonsgegevens van de Klant die in overeenstemming is met de Klanteninstructies. Samsara verbindt zich ertoe om, wanneer de Klant daarom verzoekt, redelijke bijstand en medewerking te verlenen om de Klant te helpen ten aanzien van de Inbreuk op Persoonsgegevens aan alle toepasselijke kennisgevingsverplichtingen uit hoofde van de toepasselijke Gegevensbeschermingswetten te voldoen. Samsara’s kennisgeving van, of reactie op, een Inbreuk op Persoonsgegevens zal niet worden opgevat als een erkenning door Samsara of, indien relevant, zijn Subverwerkers van enige fout of aansprakelijkheid met betrekking tot de prestaties van Producten.  Samsara kan van de Klant verlangen dat hij de werkelijke kosten draagt die voortvloeien uit de overeenkomstig deze paragraaf verleende bijstand op basis van de dan geldende servicetarieven van Samsara. 

8. Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

8.1. Op verzoek van de Klant zal Samsara de Klant redelijke bijstand verlenen bij alle gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen met Toezichthoudende Autoriteiten krachtens de Gegevensbeschermingswetten, in elk afzonderlijk geval uitsluitend met betrekking tot de Verwerking van Persoonsgegevens van de Klant door Samsara uit hoofde van de Overeenkomst, en rekening houdend met de aard van de Verwerking en de informatie waarover Samsara beschikt. Samsara behoudt zich het recht voor om, voor zover het toepasselijke recht dat toestaat, voor dergelijke verzochte bijstand een redelijke vergoeding in rekening te brengen.

9. Auditrechten

9.1. Samsara kan onafhankelijke, externe auditors in dienst nemen om een Service Organization Control 2 (Type I of II)-rapport of ander binnen de sector als standaard aanvaard rapport, op te stellen (‘Rapport’).  Samsara verbindt zich ertoe om de Klant, indien die daar schriftelijk om verzoekt, maximaal eenmaal per jaar kosteloos een exemplaar van het recentste Rapport te verstrekken.  Dergelijke Rapporten behoren tot de Vertrouwelijke Informatie van Samsara zoals omschreven in de geheimhoudingsbepalingen van de Overeenkomst. De Klant stemt ermee in dat de Rapporten gebruikt zullen worden teneinde te beantwoorden aan audit- of inspectieverzoeken van of namens de Klant met betrekking tot de Gegevensbeschermingswetten, dit Addendum en/of de Overeenkomst. 

9.2. Indien geen Rapport beschikbaar is, kan de Klant na een voorafgaande schriftelijke kennisgeving van 30 dagen en maximaal eenmaal per jaar op eigen kosten verzoeken een doorlichting uit te voeren, met een onderling overeen te komen draagwijdte, data, duur, auditor en veiligheids- en/of geheimhoudingscontroles, van de relevante beleidsdocumenten en procedures die de omgang van Samsara met Persoonsgegevens van de Klant in het kader van de Producten regelen, om na te gaan of Samsara dit Addendum (ook met betrekking tot paragraaf 6.3) naleeft. Die doorlichting moet worden uitgevoerd op een wijze die de geheimhoudingsplicht van Samsara jegens andere klanten niet in het gedrang brengt. De partijen komen overeen en stemmen ermee in dat dergelijke beleidsdocumenten en procedures behoren tot de Vertrouwelijke Informatie van Samsara zoals omschreven in de geheimhoudingsbepalingen van de Overeenkomst.

9.3 Voor zover vereist door de Gegevensbeschermingswetten heeft de Klant het recht, na schriftelijke kennisgeving aan Samsara, redelijke en passende stappen te ondernemen om elk gebruik van Persoonsgegevens van de Klant welke in strijd zijn met de Overeenkomst te beëindigen en/of te wijzigen.

10. Gegevensdoorgifte

10.1. Samsara kan de Persoonsgegevens van de Klant doorgeven naar een ander land of gebied, voor zover dat redelijkerwijs noodzakelijk is voor de verlening van de Diensten, in overeenstemming met dit Addendum. Voor zover de levering van Diensten onder de Overeenkomst een doorgifte van Persoonsgegevens omvat welke zijn beschermd door Gegevensbeschermingswetten in de Europese Unie, het Verenigd Koninkrijk en/of Zwitserland en voor zover die Persoonsgegevens worden doorgegeven naar een land dat niet geacht wordt een adequaat niveau van gegevensbescherming te bieden volgens de Europese Commissie (of in het geval van Zwitserland, de bevoegde Zwitserse autoriteit, en voor het Verenigd Koninkrijk, de bevoegde autoriteit in het Verenigd Koninkrijk) onder van toepassing zijnde Gegevensbeschermingswetten, stemmen Samsara en de Klant overeen dat de doorgifte van Persoonsgegevens in overeenstemming met de onderstaande bepalingen worden doorgegeven.

10.1.1. Doorgifte vanuit de EER. Met betrekking tot de doorgifte van Persoonsgegevens van de Klant vallend onder de EU AVG, Module Twee van het EU Modelcontract (inclusief de aanhangsels) toegevoegd aan dit Addendum is het volgende van toepassing (tenzij de Klant een Verwerker is in welk geval Module Drie van toepassing is):

  • De facultatieve docking-bepaling uit hoofde van clausule 7 van het EU Modelcontract is niet van toepassing.

  • Voor de toepassing van clausule 8.1(a) van het EU Modelcontract wordt het volgende beschouwd als een instructie van de Klant voor Samsara en zijn subverwerkers om Persoonsgegevens te Verwerken: (a) Verwerking in overeenstemming met de Overeenkomst; (b) Verwerking geïnitieerd door de Klant bij het gebruik van de Producten; en (c) Verwerking om te voldoen aan andere redelijke instructies zoals die van tijd tot tijd door de Klant worden verstrekt (bijv. via e-mail) wanneer dergelijke instructies in overeenstemming zijn met de voorwaarden van de Overeenkomst.

  • Het auditrecht van de Klant op grond van clausule 8.9 van het EU Modelcontract kan worden uitgeoefend zoals gespecificeerd in paragraaf 9 van dit Addendum.

  • Op grond van clausule 9(a) van het EU Modelcontract kunnen de gelieerde ondernemingen van Samsara worden behouden als subverwerkers, en Samsara en zijn gelieerde ondernemingen zijn over het algemeen geautoriseerd door de Klant en kunnen externe subverwerkers inschakelen in verband met het leveren van de producten. Samsara zal zijn op dat moment actuele lijst van subverwerkers beschikbaar stellen aan de Klant in overeenstemming met paragraaf 5 van dit Addendum. Op grond van clausule 9(a) van het EU Modelcontract kan Samsara nieuwe subverwerkers inschakelen zoals beschreven in paragraaf 5.2 van dit addendum. De partijen komen overeen dat in kopieën van subverwerkersovereenkomsten die Samsara aan de Klant moet verstrekken op grond van clausule 9(c) van het EU Modelcontract, alle commerciële informatie of clausules die geen verband houden met het EU Modelcontract of het equivalent daarvan, vooraf door Samsara worden verwijderd; en dat dergelijke kopieën door Samsara zullen worden verstrekt, op een naar eigen goeddunken te bepalen manier, alleen op verzoek van de Klant. Dergelijke overeenkomsten die aan de Klant worden verstrekt in overeenstemming met dit artikel 10.1.1 van dit Addendum, worden beschouwd als de vertrouwelijke informatie van Samsara.

  • Voor de toepassing van clausules 8.5 en 16(d) van het EU Modelcontract zal Samsara voldoen aan zijn verplichtingen om alle Persoonsgegevens terug te geven of te vernietigen zoals gespecificeerd in paragraaf 11 van dit Addendum.

  • De facultatieve verhaaltaal uit hoofde van clausule 11, onder a), van het EU Modelcontract is niet van toepassing.

  • In clausule 17 is optie 1 van toepassing en wordt het EU Modelcontract beheerst door de wetten van de Republiek Ierland.

  • In clausule 18(b) wordt de keuze van het forum en de jurisdictie voor eventuele geschillen beslecht voor de rechtbanken van de Republiek Ierland.

  • Bijlage I wordt aangevuld met de informatie in bijlage I bij dit Addendum.

  • Bijlage II wordt aangevuld met de informatie in bijlage II bij dit Addendum.

  • Bijlage III wordt aangevuld met de informatie in bijlage III bij dit Addendum.

10.1.2. Doorgifte vanuit Zwitserland. Met betrekking tot de doorgifte van Samsara-gegevens die door de Zwitserse FADP worden beschermd, is het EU Modelcontract van toepassing zoals gespecificeerd in punt 10.1.1 hierboven, met dien verstande dat:

  • de bevoegde toezichthoudende autoriteit de Zwitserse Federal Protection and Information Commissioner is;

  • verwijzingen naar ‘lidstaat’ in het EU Modelcontract naar Zwitserland verwijzen en betrokkenen die zich in Zwitserland bevinden, hun rechten uit hoofde van het EU Modelcontract in Zwitserland kunnen uitoefenen en afdwingen; en

  • verwijzingen naar de ‘Algemene Verordening Gegevensbescherming’, ‘Verordening 2016/679’ en ‘AVG’ in het EU Modelcontract naar de FADP (zoals gewijzigd of vervangen) verwijzen.

10.1.3. Doorgifte vanuit het VK. Met betrekking tot de overdracht van Samsara-gegevens die worden beschermd door de VK AVG, is het Britse addendum bij het EU Modelcontract (‘VK Addendum’) uitgegeven door het Information Commissioner’s Office (‘ICO’) onder s.119A (1) van de Data Protection Act 2018 hierbij opgenomen en als volgt van toepassing:

  • het EU Modelcontract, ingevuld zoals uiteengezet in paragraaf 10.1.1 hierboven en zoals bijgevoegd, is ook van toepassing op de doorgifte van dergelijke Persoonsgegevens van de Klant;

  • het Britse Addendum wordt geacht te zijn uitgevoerd tussen Samsara en de Klant en het Modelcontract wordt geacht te zijn gewijzigd zoals gespecificeerd door het Addendum van het Verenigd Koninkrijk met betrekking tot de doorgifte van dergelijke Persoonsgegevens van de Klant; en

  • de bevoegde toezichthoudende autoriteit voor dergelijke Samsara-gegevens die worden beschermd door de VK AVG is de ICO.

10.2. Als Samsara bij de uitvoering van dit Addendum Persoonsgegevens doorgeeft aan een subverwerker die Persoonsgegevens verwerkt buiten de Europese Unie, Zwitserland of het Verenigd Koninkrijk, dan zal Samsara er voorafgaand aan een dergelijke doorgifte voor zorgen dat er een mechanisme is om adequaatheid te bereiken met betrekking tot die Verwerking, zoals: (a) het vereiste voor Samsara om standaardcontractbepalingen uit te voeren of ervoor te zorgen dat de derde deze uitvoert; of (b) een andere specifiek goedgekeurde waarborg voor gegevensdoorgifte (zoals erkend door Gegevensbeschermingswetten) en/of een vaststelling van adequaatheid door de Europese Commissie.

10.3. Voor zover het doorgiftemechanisme waarop men zich beroept voor de extraterritoriale doorgifte van Persoonsgegevens van een Klant in de Europese Unie, Zwitserland, of het Verenigd Koninkrijk, zoals van toepassing, op grond hiervan naar een locatie die niet langer geacht wordt een passend beschermingsniveau te bieden onder de toepasselijke Gegevensbeschermingswetten, zullen de Partijen onmiddellijk bijeenkomen, binnen 60 dagen nadat Samsara van deze ontoereikendheid op de hoogte is gesteld, om een alternatief doorgiftemechanisme of alternatieve aanvullende maatregelen te bespreken en overeen te komen in overeenstemming met de relevante richtlijnen met betrekking tot de Gegevensbeschermingswetten, zodra dit redelijkerwijs mogelijk is. Samsara zal redelijke inspanningen leveren om de doeltreffendheid van zijn aanvullende maatregelen te controleren en kan alle gepaste wijzigingen of aanpassingen aanbrengen die het nodig acht (redelijk en te goeder trouw handelend).

10.4. Samsara blijft gecertificeerd volgens het Data Privacy Framework tussen de EU-VS, de uitbreiding van het Verenigd Koninkrijk tot de EU-VS, en tussen Zwitserland en de VS.

10.5. Het is niet de bedoeling van de Klant of Samsara om een van de bepalingen in het EU Modelcontract en het VK Addendum tegen te spreken of te beperken en indien en voor zover het EU Modelcontract en/of het VK Addendum in strijd zijn met een bepaling in de Overeenkomst, prevaleren het EU Modelcontract en/of het VK Addendum voor zover dit in strijd is.

11. Opvragen en verwijderen van Persoonsgegevens van de Klant

11.1. De Klant erkent en aanvaardt hierbij de functionaliteit van de Producten en het beleid inzake gegevensbewaring en -verwijdering zoals door Samsara aan de Klant ter beschikking gesteld, die een invloed kunnen hebben op de Persoonsgegevens van de Klant. Samsara zal de Klant in staat stellen om tijdens de looptijd van de Overeenkomst de Persoonsgegevens van de Klant te verwijderen op een manier die in overeenstemming is met de functionaliteit van de Producten. Bij beëindiging van de Overeenkomst mag de Klant zijn Persoonsgegevens opvragen in overeenstemming met de Overeenkomsten Samsara verbindt zich ertoe de Persoonsgegevens van de Klant na afloop van de opvraagperiode onverwijld uit zijn systemen te verwijderen, tenzij anders vermeld in de Overeenkomst of de toepasselijke wetgeving opslag van de Persoonsgegevens van de Klant vereist.

12. Aansprakelijkheid

Alle vorderingen die uit hoofde van dit Addendum (met inbegrip van de standaardcontractbepalingen) worden ingesteld, zijn onderworpen aan de voorwaarden en bepalingen, met inbegrip van maar niet beperkt tot de uitsluitingen en beperkingen van aansprakelijkheid die in de Overeenkomst zijn uiteengezet.

13. Aanvullende specifieke bepalingen voor Californië

13.1. Voor zover de Persoonsgegevens van de Klant betrekking hebben op inwoners van Californië, is Samsara een dienstverlener, zoals gedefinieerd door de CPRA, van de Klant.

13.2. Voor zover de Persoonsgegevens van de Klant betrekking hebben op inwoners van Californië, zal Samsara de Persoonsgegevens van de Klant niet bewaren, gebruiken, verkopen, delen of anderszins bekendmaken (inclusief voor commerciële doeleinden en andere doeleinden anders dan ter uitvoering van de zakelijke relatie tussen de partijen), anders dan zoals toegestaan door de wet of zoals nodig is om de Producten te leveren en te ondersteunen, zoals uiteengezet in de Overeenkomst. Voor de toepassing van deze paragraaf hebben de termen ‘verkopen’ en ‘delen’ de betekenis die eraan wordt gegeven in de CPRA.

13.3. Voor zover Persoonsgegevens van de Klant betrekking hebben op inwoners van Californië, zal Samsara zich houden aan alle toepasselijke beperkingen onder de CPRA op het combineren van dergelijke Persoonsgegevens van de Klant die Samsara ontvangt van of namens de Klant met Persoonsgegevens die Samsara ontvangt van of namens een andere persoon of personen, of die Samsara verzamelt uit enige interactie tussen haar en een Betrokkene.

13.4. Voor zover Persoonsgegevens van de Klant betrekking hebben op inwoners van Californië, zal Samsara voldoen aan de CPRA en, rekening houdend met de rol van Samsara in de Verwerking, het beschermingsniveau bieden voor de relevante Persoonsgegevens van de Klant die door de CPRA worden vereist.

14. Wijzigingen in de wetgeving inzake Gegevensbeschermingswetten

Als een nieuwe gegevensbeschermingswet van kracht wordt en van toepassing is op Samsara, zullen Samsara en de klant alle redelijke stappen ondernemen die vereist zijn door een dergelijke gegevensbeschermingswet om ervoor te zorgen dat de partijen in staat zijn om te voldoen aan hun respectieve verplichtingen op grond van de toepasselijke Gegevensbeschermingswetten.


BIJLAGE

STANDAARDCONTRACTBEPALINGEN

 AFDELING I

Bepaling 1

Doel en toepassingsgebied

a) Deze standaardcontractbepalingen hebben tot doel de naleving van de in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG, algemene verordening gegevensbescherming) (1) bepaalde vereisten te garanderen voor de doorgifte van persoonsgegevens naar een derde land.

b) De partijen:

i) de natuurlijke of rechtspersonen en de overheidsinstellingen, -organen en -instanties (hierna “entiteiten” genoemd) die de in bijlage I.A bedoelde persoonsgegevens doorgeven (“gegevensexporteur”), en

ii) de entiteiten in een derde land die de persoonsgegevens van de gegevensexporteur ontvangen, direct of indirect via een andere entiteit die ook partij is bij deze bepalingen, zoals opgenomen in bijlage I.A (hierna “gegevensimporteur” genoemd)

zijn deze standaardcontractbepalingen (hierna: “bepalingen” genoemd) overeengekomen.

c) Deze bepalingen zijn van toepassing op de doorgifte van persoonsgegevens zoals opgenomen in bijlage Annex I.B.

d) Het aanhangsel bij deze bepalingen dat de daarin genoemde bijlagen bevat, maakt integraal deel uit van deze bepalingen.

Bepaling 2

Effect en onveranderlijkheid van de bepalingen

a) In deze bepalingen worden passende waarborgen vastgesteld, met inbegrip van afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, punt c), van Verordening (EU) 2016/679 alsook, met betrekking tot gegevensdoorgiften van verwerkingsverantwoordelijken aan verwerkers en/of van verwerkers aan verwerkers, standaardcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits deze niet worden gewijzigd, behalve om de geschikte module(s) te selecteren of om informatie in het aanhangsel toe te voegen of te wijzigen. Dit houdt niet in dat de partijen de in deze bepalingen neergelegde standaard­ contractbepalingen niet in een bredere overeenkomst mogen opnemen en/of andere bepalingen of extra waarborgen mogen toevoegen, mits deze niet direct of indirect in tegenspraak zijn met deze bepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.

b) Deze bepalingen doen geen afbreuk aan de krachtens Verordening (EU) 2016/679 op de gegevensexporteur rustende verplichtingen.

Bepaling 3

Derde-begunstigden

a) Betrokkenen mogen zich als derde-begunstigden op deze bepalingen beroepen en deze doen gelden tegen de gegevensexporteur en/of de gegevensimporteur, met de volgende uitzonderingen:

i) Bepaling 1, bepaling 2, bepaling 3, bepaling 6, bepaling 7; 

ii) Bepaling 8.1, punten a), c) en d) en bepaling 8.9, punten a), c), d), e), f) en g);

iii) Bepaling 9, punten a), c), d) en e);

iv) Bepaling 12, punten a), d) en f);

v) Bepaling 13;

vi) Bepaling 15.1, punten c), d) en e);

vii) Bepaling 16, punt e);

viii) Bepaling 18, punten a) en b).

b) Punt a) doet geen afbreuk aan de rechten van betrokkenen krachtens Verordening (EU) 2016/679.

Bepaling 4

Interpretatie

a) Wanneer in deze bepalingen in Verordening (EU) 2016/679 gedefinieerde termen worden gebruikt, hebben die termen dezelfde betekenis als in die verordening.

b) Deze bepalingen worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

c) Deze bepalingen worden niet geïnterpreteerd op een wijze die in tegenspraak is met de in Verordening (EU) 2016/679 vastgestelde rechten en verplichtingen.

Bepaling 5

Hiërarchie

In geval van tegenspraak tussen deze bepalingen en de bepalingen van aanverwante overeenkomsten tussen de partijen die bestonden ten tijde van het overeenkomen van deze bepalingen of die daarna werden gesloten, hebben deze bepalingen voorrang.

Bepaling 6

Beschrijving van de doorgifte(n)

De details van de doorgifte(n), en in het bijzonder de categorieën van persoonsgegevens die worden doorgegeven en het doel waarvoor zij worden doorgegeven, worden in bijlage I.B nader gespecificeerd.

Bepaling 7

Opzettelijk weggelaten

AFDELING II — VERPLICHTINGEN VAN DE PARTIJEN

Bepaling 8

Waarborgen inzake gegevensbescherming

De gegevensexporteur garandeert dat hij redelijke inspanningen heeft geleverd om te bepalen of de gegevensimporteur, door de uitvoering van passende technische en organisatorische maatregelen, in staat is zijn verplichtingen uit hoofde van deze bepalingen na te komen.

8.1. Instructies

a) De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de gegevensexporteur. De gegevensexporteur mag dergelijke instructies geven gedurende de duur van de overeenkomst.

b) De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen.

8.2. Doelbinding

De gegevensimporteur verwerkt de persoonsgegevens alleen voor het specifieke doel van de doorgifte, zoals opgenomen bijlage I.B, tenzij op basis van verdere instructies van de gegevensexporteur.

8.3. Transparantie

De gegevensexporteur maakt op verzoek een kopie van deze bepalingen, met inbegrip van het door de partijen ingevulde aanhangsel, dat gratis beschikbaar is voor de betrokkene. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder de in bijlage II beschreven maatregelen en persoonsgegevens, te beschermen, mag de gegevensexporteur een gedeelte van de tekst van het aanhangsel bij deze bepalingen redigeren voordat hij een kopie deelt, maar hij moet daarbij een relevante samenvatting verstrekken indien de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek delen de partijen de betrokkene de redenen voor het redigeren mee, voor zover mogelijk zonder de geredigeerde informatie te onthullen. Deze bepaling doet geen afbreuk aan de verplichtingen van de gegevensexporteur op grond van de artikelen 13 en 14 van Verordening (EU) 2016/679.

8.4. Nauwkeurigheid

Indien de gegevensimporteur te weten komt dat de persoonsgegevens die hij heeft ontvangen onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dit geval werkt de gegevensimporteur samen met de gegevensexporteur om de gegevens te wissen of te rectificeren.

8.5. Duur van verwerking en wissing of terugbezorging van gegevens

Verwerking door de gegevensimporteur vindt alleen plaats voor de in bijlage I.B opgegeven duur. Na afloop van de verrichting van de verwerkingsdiensten wist de gegevensimporteur, naargelang de wens van de gegevensexporteur, alle namens de gegevensexporteur verwerkte persoonsgegevens en verzekert hij de gegevensexporteur dat hij dat heeft gedaan, of geeft hij de gegevensexporteur alle namens hem verwerkte persoonsgegevens terug en verwijdert bestaande kopieën. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de persoonsgegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist. Dit doet geen afbreuk aan bepaling 14, met name het vereiste voor de gegevensimporteur krachtens bepaling 14, punt e), om de gegevensexporteur gedurende de hele looptijd van de overeenkomst in kennis te stellen als hij redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van bepaling 14, punt a).

8.6. Beveiliging van de verwerking

a) De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot die gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt. Bij pseudonimisering blijven de aanvullende gegevens voor het koppelen van de persoonsgegevens aan een bepaalde betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichting uit hoofde van dit punt voert de gegevensimporteur ten minste de in bijlage II vastgestelde technische en organisatorische maatregelen uit. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

b) De gegevensimporteur verleent zijn personeel alleen toegang tot de persoonsgegevens voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer en de follow-up van de overeenkomst. Hij waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

c) Bij een inbreuk in verband met persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, waaronder maatregelen om de negatieve gevolgen ervan te beperken. Nadat de gegevensimporteur kennis heeft genomen van de inbreuk, stelt hij ook de gegevensexporteur daarvan onverwijld in kennis. Een dergelijke kennisgeving bevat de gegevens van een contactpunt bij wie meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), de waarschijnlijke gevolgen ervan en de maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken waaronder, in voorkomend geval, maatregelen om mogelijke negatieve gevolgen te beperken. Wanneer en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, bevat de initiële kennisgeving de op dat moment beschikbare informatie en zal verdere informatie, zodra die beschikbaar is, vervolgens onverwijld worden verstrekt.

d) Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, werkt de gegevensimporteur samen met en verleent hij bijstand aan de gegevensexporteur om deze in staat te stellen zijn verplichtingen krachtens Verordening (EU) 2016/679 na te komen, met name om de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis te stellen.

8.7. Gevoelige gegevens

Indien de doorgifte persoonsgegevens betreft waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna “gevoelige gegevens” genoemd) blijken, past de gegevensimporteur de in bijlage I.B omschreven specifieke beperkingen en/of extra waarborgen toe.

8.8. Verdere doorgiften

De gegevensimporteur verstrekt de persoonsgegevens uitsluitend aan een derde partij na schriftelijke instructies van de gegevensexporteur. Bovendien worden de gegevens alleen aan een derde partij verstrekt die is gevestigd buiten de Europese Unie (2) (in hetzelfde land als de gegevensimporteur of in een ander derde land; hierna “verdere doorgifte” genoemd), indien de derde partij aan deze bepalingen is gebonden of ermee instemt daaraan gebonden te zijn, op grond van de juiste module, of indien:

i) de verdere doorgifte naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

ii) de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt met betrekking tot de verwerking in kwestie;

iii) de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

iv) de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Verdere doorgiften mogen alleen plaatsvinden indien de gegevensimporteur zich aan alle overige waarborgen krachtens deze bepalingen houdt, met name doelbinding.

8.9. Documentatie en naleving

a) De gegevensimporteur handelt vragen van de gegevensexporteur in verband met de verwerking op grond van deze bepalingen onverwijld en op passende wijze af.

b) De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die onder zijn verantwoordelijkheid namens de gegevensexporteur hebben plaatsgevonden.

c) Op verzoek van de gegevensexporteur stelt de gegevensimporteur de gegevensexporteur alle informatie ter beschikking die nodig is om naleving van de in deze bepalingen vastgestelde verplichtingen aan te tonen, audits van de onder deze bepalingen vallende verwerkingsactiviteiten mogelijk te maken en eraan bij te dragen, en dit met redelijke tussenpozen of wanneer er aanwijzingen van niet-naleving zijn. Bij het nemen van een besluit over een toetsing of audit kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.

d) De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke controleur daartoe te machtigen. Audits kunnen inspecties in de bedrijfsruimten of de fysieke voorzieningen van de gegevensimporteur omvatten en worden, in voorkomend geval, uitgevoerd met een redelijke aankondiging vooraf.

e) De partijen stellen de in de punten b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

Bepaling 9

Gebruik van subverwerkers

a) De gegevensimporteur heeft algemene toestemming van de gegevensexporteur om subverwerkers van een overeengekomen lijst in dienst te nemen. De gegevensimporteur stelt de gegevensexporteur ten minste [termijn opgeven] van tevoren specifiek schriftelijk in kennis van beoogde veranderingen van die lijst door middel van de toevoeging of vervanging van subverwerkers zodat de gegevensexporteur voldoende tijd krijgt om bezwaar tegen die veranderingen te maken voordat de subverwerker(s) in dienst wordt/worden genomen. De gegevensimporteur verstrekt de gegevensexporteur de informatie die deze nodig heeft om zijn recht om bezwaar te maken uit te oefenen.

b) Wanneer de gegevensimporteur een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingsacti­ viteiten (namens de gegevensexporteur), dan doet hij dit door middel van een schriftelijke overeenkomst die, wat de inhoud betreft, voorziet in dezelfde verplichtingen inzake gegevensbescherming als die waaraan de gegevensimporteur krachtens deze bepalingen is gebonden, onder meer wat betreft de rechten ten behoeve van derden voor betrokkenen. De partijen komen overeen dat de gegevensimporteur zijn verplichtingen uit hoofde van bepaling 8.8  nakomt door deze bepaling na te leven. De gegevensimporteur zorgt ervoor dat de subverwerker zich houdt aan de verplichtingen waaraan de gegevensimporteur overeenkomstig deze bepalingen is gebonden.

c) De gegevensimporteur verstrekt op verzoek van de gegevensexporteur een kopie van die overeenkomst met de subverwerker en van eventuele daaropvolgende wijzigingen aan de gegevensexporteur. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt. 

d) De gegevensimporteur blijft ten aanzien van de gegevensexporteur volledig verantwoordelijk voor het nakomen van zijn verplichtingen door de subverwerker uit hoofde van zijn overeenkomst met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elke niet-nakoming door de subverwerker van zijn verplichtingen uit hoofde van die overeenkomst.

e) De gegevensimporteur komt een derdenbeding overeen met de subverwerker waarbij de gegevensexporteur, in geval de gegevensimporteur feitelijk is verdwenen, rechtens is opgehouden te bestaan of failliet is gegaan, het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

Bepaling 10

De rechten van betrokkenen

a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van alle verzoeken die hij van een betrokkene heeft ontvangen. Hij reageert zelf niet op dat verzoek, tenzij dit door de gegevensexporteur is toegestaan.

b) De gegevensimporteur verleent de gegevensexporteur bijstand bij het nakomen van zijn verplichtingen om te reageren op de verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking op basis waarvan de bijstand wordt verleend, alsook de reikwijdte en de omvang van de vereiste bijstand.

c) Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b), houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.

Bepaling 11

Verhaal

a) De gegevensimporteur brengt betrokkenen via een individuele mededeling of op zijn website, in een transparant en gemakkelijk toegankelijk formaat, op de hoogte van een contactpunt dat gemachtigd is om klachten af te handelen. Hij handelt klachten die hij van een betrokkene ontvangt onverwijld af.

b) Bij een geschil tussen een betrokkene en een van de partijen met betrekking tot de naleving van deze bepalingen, doet die partij al het mogelijke om de kwestie tijdig in der minne te schikken. De partijen houden elkaar op de hoogte van dergelijke geschillen en werken, in voorkomend geval, samen om ze te beslechten.

c) Wanneer de betrokkene zich overeenkomstig bepaling 3 op een recht ten behoeve van derden beroept, aanvaardt de gegevensimporteur het besluit van de betrokkene om:

i) een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat waar hij/zij gewoonlijk verblijft of werkt, of de bevoegde toezichthoudende autoriteit krachtens bepaling 13;

ii) het geschil voor te leggen aan de bevoegde gerechten in de zin van bepaling 18. 

d) De partijen aanvaarden dat de betrokkene vertegenwoordigd kan worden door een orgaan, organisatie of vereniging zonder winstoogmerk onder de in artikel 80, lid 1, van Verordening (EU) 2016/679 vermelde voorwaarden.

e) De gegevensimporteur schikt zich naar een besluit dat uit hoofde van het toepasselijke recht van de Europese Unie/de lidstaat bindend is.

f) De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn/haar materiële en formele rechten om overeenkomstig de geldende wetgeving verhaal te zoeken.

Bepaling 12

Aansprakelijkheid

a) Elke partij is ten aanzien van de andere partij(en) aansprakelijk voor schade die hij de andere partij(en) berokkent door inbreuken op deze bepalingen.

b) De gegevensimporteur is ten aanzien van de betrokkene aansprakelijk en de betrokkene heeft het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensimporteur of zijn subverwerker aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden.

c) Niettegenstaande punt b) is de gegevensexporteur ten aanzien van de betrokkene aansprakelijk en heeft de betrokkene het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of zijn subverwerker) aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een verwerkingsverantwoordelijke optreedt, aan de aansprakelijkheid van de verwerkingsverantwoordelijke uit hoofde van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, indien van toepassing.

d) De partijen komen overeen dat als de gegevensexporteur op grond van punt c) aansprakelijk wordt gesteld voor door de gegevensimporteur (of zijn subverwerker) berokkende schade, hij het recht heeft om op de gegevensimporteur het deel van de schadevergoeding te verhalen dat overeenkomt met de aansprakelijkheid van de gegevensimporteur voor de schade.

e) Wanneer meerdere partijen verantwoordelijk zijn voor schade die als gevolg van schendingen van deze bepalingen aan de betrokkene is berokkend, zijn alle verantwoordelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om voor de rechter een procedure tegen deze partijen in te stellen.

f) De partijen komen overeen dat als een van de partijen op grond van punt e) aansprakelijk wordt gesteld, deze partij het recht heeft om op de andere partij(en) het deel van de schadevergoeding te verhalen dat overeenkomt met zijn/hun deel van de aansprakelijkheid voor de schade.

g) De gegevensimporteur mag zich niet op het gedrag van een subverwerker beroepen om zich aan zijn eigen aansprake­ lijkheid te onttrekken.

Bepaling 13

Toezicht

a) Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd: De toezichthoudende autoriteit die erop toeziet dat de gegevensexporteur Verordening (EU) 2016/679 naleeft met betrekking tot de gegevensdoorgifte, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt, zonder echter een vertegenwoordiger te hebben aangewezen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden verwerkt in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zijn gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

b) De gegevensimporteur stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures gericht op het waarborgen van de naleving van deze bepalingen. De gegevensimporteur stemt er in het bijzonder mee in vragen te beantwoorden, zich aan audits te onderwerpen en zich aan de door de toezichthoudende autoriteit vastgestelde maatregelen te houden, waaronder corrigerende en compenserende maatregelen. Hij geeft de toezichthoudende autoriteit schriftelijke bevestiging dat de noodzakelijke maatregelen zijn genomen.

 

AFDELING III — LOKALE WETTEN EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OVERHEIDSINSTANTIES

Bepaling 14

a) De partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van vereisten om persoonsgegevens te verstrekken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur verhinderen zijn verplichtingen uit hoofde van deze bepalingen na te komen. Hierbij wordt ervan uitgegaan dat wetten en praktijken waarmee de wezenlijke inhoud van de grondrechten en fundamentele vrijheden wordt geëerbiedigd en die niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in tegenspraak zijn met deze bepalingen.

b) De partijen verklaren dat zij bij het bieden van de in punt a) bedoelde garantie met name de volgende elementen naar behoren in aanmerking hebben genomen:

i) de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de kanalen die voor de toezending zijn gebruikt; voorgenomen verdere doorgiften; het soort ontvanger; het doel van de verwerking; de categorieën en het formaat van de doorgegeven persoonsgegevens; de economische sector waarin de doorgifte plaatsvindt; de opslagplaats van de doorgegeven gegevens;

ii) de wetten en praktijken van het derde land van bestemming — waaronder de wetten en praktijken die vereisen om gegevens aan overheidsinstanties te verstrekken of toegang door dergelijke instanties toestaan — die van belang zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen (3);

iii) alle relevante contractuele, technische of organisatorische waarborgen die zijn ingesteld in aanvulling op de waarborgen uit hoofde van deze bepalingen, waaronder maatregelen die worden toegepast tijdens de toezending en op de verwerking van de persoonsgegevens in het land van bestemming. 

c) De gegevensimporteur garandeert dat hij bij het uitvoeren van de beoordeling op grond van punt b) al het mogelijke heeft gedaan om de gegevensexporteur van relevante informatie te voorzien en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om naleving van deze bepalingen te waarborgen. 

d) De partijen komen overeen om de beoordeling uit hoofde van punt b) te documenteren en op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.

e) De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, na deze bepalingen te zijn overeengekomen en voor de duur van de overeenkomst, redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van punt a), onder meer ingevolge een wijziging van de wetten in het derde land of een maatregel (zoals een verzoek om verstrekking) die duidt op een toepassing van die wetten in de praktijk die niet overeenstemt met de vereisten in punt a).

f) Ingevolge een kennisgeving overeenkomstig punt e), of als de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur zijn verplichtingen uit hoofde van deze bepalingen niet langer kan nakomen, stelt de gegevensexporteur onverwijld passende maatregelen (bv. technische of organisatorische maatregelen om betrouwbaarheid en vertrouwelijkheid te waarborgen) vast die de gegevensexporteur en/of de gegevensimporteur moeten uitvoeren om de situatie aan te pakken. De gegevensexporteur schort de gegevensdoorgifte op als hij van mening is dat er geen passende waarborgen voor die doorgifte kunnen worden gegarandeerd, of op basis van instructies van de bevoegde toezichthoudende autoriteit hiertoe. In dit geval heeft de gegevensexporteur het recht om de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen. Indien er meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen. Indien de overeenkomst overeenkomstig deze bepaling wordt beëindigd, is bepaling 16, punten d) en e), van toepassing.

Bepaling 15

15.1 Kennisgeving

a) De gegevensimporteur stemt er mee in de gegevensexporteur en, voor zover mogelijk, de betrokkene onverwijld in kennis te stellen (indien nodig met behulp van de gegevensexporteur) indien hij:

i) van een overheidsinstantie, met inbegrip van rechterlijke instanties, een juridisch bindend verzoek om verstrekking van overeenkomstig deze bepalingen doorgegeven persoonsgegevens ontvangt krachtens het recht van het land van bestemming; een dergelijke kennisgeving omvat informatie over de gevraagde persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het gegeven antwoord, of

ii) kennis heeft genomen van rechtstreekse toegang door overheidsinstanties tot de krachtens deze bepalingen doorgegeven persoonsgegevens in overeenstemming met de wetgeving van het land van bestemming; een dergelijke kennisgeving omvat alle informatie waarover de gegevensimporteur beschikt.

b) Indien het de gegevensimporteur uit hoofde van de wetgeving van het land van bestemming verboden is om de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in al het mogelijke te doen om van het verbod te worden ontheven, teneinde zo spoedig mogelijk zo veel mogelijk informatie mee te delen. De gegevensimporteur stemt ermee in deze inspanningen te documenteren om ze op verzoek van de gegevensexporteur te kunnen aantonen.

c) Indien toegestaan uit hoofde van de wetgeving van het land van bestemming, stemt de gegevensimporteur ermee in de gegevensexporteur, met regelmatige tussenpozen gedurende de duur van de overeenkomst, met zo veel mogelijk relevante informatie over de ontvangen verzoeken (met name het aantal verzoeken, het soort gevraagde gegevens, de verzoekende autoriteit(en), of er verzoeken zijn betwist en wat de uitkomst daarvan was enz.) te doen toekomen. 

d) De gegevensimporteur stemt ermee in de informatie overeenkomstig de punten a) tot en met c) te bewaren voor de duur van de overeenkomst en die op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te stellen.

e) De punten a) tot en met c) doen geen afbreuk aan de verplichting van de gegevensimporteur overeenkomstig bepaling 14, punt e), en bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is deze bepalingen na te leven.

15.2 Wettigheidstoetsing en gegevensminimalisering

a) De gegevensimporteur stemt ermee in de wettigheid van het verzoek om verstrekking te toetsen, met name of die binnen de aan de verzoekende overheidsinstantie toegekende bevoegdheden blijft, en het verzoek te betwisten indien hij na een zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is krachtens de wetgeving van het land van bestemming, toepasselijke verplichtingen uit hoofde van het internationaal recht en beginselen van internationale courtoisie. Onder deze omstandigheden benut de gegevensimporteur de beroepsmogelijkheden. Bij het betwisten van een verzoek neemt de gegevensimporteur voorlopige maatregelen om de effecten van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid ervan heeft beslist. Hij verstrekt de gevraagde persoonsgegevens pas wanneer hij dat volgens de toepasselijke procedurevoorschriften moet doen. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur krachtens bepaling 14, punt e).

b) De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele betwistingen van het verzoek om verstrekking te documenteren en, voor zover dit is toegestaan krachtens de wetgeving van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documenten op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit.

c) De gegevensimporteur stemt ermee in de toegestane minimale hoeveelheid informatie te verstrekken bij het beantwoorden van een verzoek om verstrekking, op basis van een redelijke interpretatie van het verzoek.

 

AFDELING IV — SLOTBEPALINGEN

Bepaling 16

Niet-naleving van de bepalingen en beëindiging

a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis indien hij om wat voor reden dan ook niet in staat is deze bepalingen na te leven.

b) Indien de gegevensimporteur inbreuk maakt op deze bepalingen of niet in staat is deze bepalingen na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving weer wordt gewaarborgd of totdat de overeenkomst wordt beëindigd. Dit doet geen afbreuk aan bepaling 14, punt f).

c) De gegevensexporteur heeft het recht de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen, wanneer:

i) de gegevensexporteur de doorgifte van persoonsgegevens naar de gegevensimporteur overeenkomstig punt b) heeft opgeschort en de bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting weer worden nageleefd;

ii)    de gegevensimporteur in belangrijke en voortdurende mate inbreuk maakt op deze bepalingen, of

iii) de gegevensimporteur zich niet aan een bindend besluit van een bevoegd gerecht of een bevoegde autoriteit met betrekking tot zijn verplichtingen uit hoofde van deze bepalingen houdt.

In deze gevallen stelt hij de bevoegde toezichthoudende autoriteit in kennis van die niet-naleving. Wanneer meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen.

d) Persoonsgegevens die voorafgaand aan de beëindiging van de overeenkomst zijn doorgegeven overeenkomstig punt c) worden, naargelang de wens van de gegevensexporteur, onmiddellijk volledig aan de gegevensexporteur terugbezorgd of gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens. De gegevensimporteur verzekert de gegevensexporteur ervan dat de gegevens zijn gewist. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de gegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist.

e) Elk van de partijen kan haar toestemming om aan deze bepalingen gebonden te zijn, intrekken wanneer i) de Europese Commissie een besluit overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 neemt dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze bepalingen van toepassing zijn; of ii) Verordening (EU) 2016/679 onderdeel wordt van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de desbetreffende verwerking op grond van Verordening (EU) 2016/679.

Bepaling 17

Toepasselijk recht

Deze bepalingen worden geregeld door het recht van een van de EU-lidstaten, mits dat recht voorziet in rechten ten behoeve van derden. De partijen komen overeen dat dit het recht van de Republiek Ierland is.

Bepaling 18

Forum- en jurisdictiekeuze

a) Uit deze bepalingen voortvloeiende geschillen worden beslecht door de gerechten van een EU-lidstaat.

b) De partijen komen overeen dat dit de gerechten van de Republiek Ierland zijn.

c) Een betrokkene kan ook gerechtelijke procedures aanhangig maken tegen de gegevensexporteur en/of de gegevensimporteur bij de gerechten van de lidstaat waar hij/zij gewoonlijk verblijft.

d) De partijen komen overeen zich aan de jurisdictie van die gerechten te onderwerpen.

AANHANGSEL

BIJLAGE I

A. LIJST VAN PARTIJEN

Gegevensexporteur(s):

Naam: de Klant, zoals vermeld in het desbetreffende Bestelformulier (niettegenstaande het feit dat de Klant een entiteit of entiteiten kan zijn die buiten de Europese Unie/Zwitserland/Verenigd Koninkrijk is/zijn gevestigd, naar gelang van het geval)

Adres: Zoals vermeld op het bestelformulier

Naam, functie en contactgegevens van de contactpersoon: Ter attentie van de functionaris voor gegevensbescherming, privacy/juridisch team

Activiteiten in verband met de overeenkomstig deze bepalingen doorgegeven gegevens: Zoals gedetailleerd in bijlage I.B

Rol: verwerkingsverantwoordelijke

Gegevensimporteur(s):

Naam: Samsara Inc.

Adres: 1 De Haro Street, San Francisco, CA 94107, USA

Naam, functie en contactgegevens van de contactpersoon: legalnotices@samsara.com

Activiteiten in verband met de overeenkomstig deze bepalingen doorgegeven gegevens: Zoals gedetailleerd in bijlage I.B 

Rol: verwerker 

B. BESCHRIJVING VAN DOORGIFTE

Categorieën van betrokkenen wier persoonsgegevens worden doorgegeven

De betrokkenen zijn de personen wier Persoonlijke Gegevens aan Samsara worden verstrekt via de Producten door (of op aanwijzing van) de Klant of door een werknemer of eindgebruiker van de Klant, wat kan inhouden, maar niet beperkt is tot Persoonlijke Gegevens met betrekking tot gebruikers, werknemers, functionarissen, directeuren, aannemers, agenten, verkopers, klanten, cliënten, bezoekers, en andere personen die door de Producten kunnen worden vastgelegd; de omvang van deze gegevens wordt in alle gevallen bepaald en gecontroleerd door de gegevensexporteur naar eigen goeddunken, afhankelijk van zijn gebruik van de Producten

Categorieën van doorgegeven persoonsgegevens

Persoonsgegevens met betrekking tot individuen die aan Samsara worden verstrekt via de Producten, door (of op aanwijzing van) de Klant of door een werknemer of eindgebruiker van de Klant, die kunnen omvatten, maar niet beperkt zijn tot Persoonsgegevens met betrekking tot de volgende categorieën van Persoonsgegevens: namen, contactgegevens (bijv. bedrijf, e-mail, adres, telefoonnummer), ID-gegevens, verbindingsgegevens, locatiegegevens, profielfoto's, afbeeldingen en video die door de Producten zijn vastgelegd (bijv, beelden van personen in een voertuig dat een dashcam bedient, en andere informatie waarmee personen aan de hand van dergelijke beelden kunnen worden geïdentificeerd, bijv. kentekenplaten en kentekenplaten, wegwijzers voor gebouwen, huizen en andere oriëntatiepunten); de omvang van deze gegevens wordt in alle gevallen door de gegevensexporteur naar eigen goeddunken bepaald en gecontroleerd, afhankelijk van zijn gebruik van de Producten.

Gevoelige gegevens die worden doorgegeven (indien van toepassing) en toegepaste beperkingen of waarborgen waarmee ten volle rekening wordt gehouden met de aard van de gegevens en de bijbehorende risico’s, zoals strikte beperking van het doel, toegangsbe­ perkingen (waaronder uitsluitend toegang voor personeelsleden die een gespecialiseerde opleiding hebben gevolgd), het in een register bijhouden van toegang tot de gegevens, beperkingen voor verdere doorgiften, of bijkomende beveiligingsmaatregelen.

De gegevensexporteur mag speciale categorieën van gegevens in de Producten invoeren en/of Samsara mag speciale categorieën van gegevens in de Producten invoeren, waarvan de omvang naar eigen goeddunken door de gegevensexporteur wordt bepaald en gecontroleerd, afhankelijk van zijn gebruik van de Producten. Indien van toepassing, stemt de gegevensexporteur ermee in dat hij de beperkingen en waarborgen die van toepassing zijn op dergelijke speciale categorieën van Persoonsgegevens, inclusief de maatregelen beschreven in Bijlage II van het Addendum, heeft herzien en beoordeeld, en heeft vastgesteld dat dergelijke beperkingen en waarborgen voldoende zijn om te voldoen aan de Gegevensbeschermingswetten.

De frequentie van de doorgifte (bv. of de gegevens eenmalig of continu worden doorgegeven).

Samsara zal de Persoonlijke Gegevens van de Klant zo lang verwerken als nodig is om de Producten aan de Klant te leveren in overeenstemming met, en zoals anderszins toegestaan door, de Overeenkomst, en voor elke openbaarmaking die wettelijk verplicht is.

Aard van de verwerking

Samsara zal de Persoonlijke Gegevens van de Klant verwerken om de Producten aan de Klant te leveren in overeenstemming met, en zoals anderszins toegestaan door, de Overeenkomst, en voor alle openbaarmakingen die wettelijk verplicht zijn

Doeleind(en) van de gegevensdoorgifte en verdere verwerking

Samsara zal de Persoonlijke Gegevens van de Klant verwerken om de Producten aan de Klant te leveren in overeenstemming met, en zoals anderszins toegestaan door, de Overeenkomst, en voor alle openbaarmakingen die wettelijk verplicht zijn.

De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen

De looptijd van de Overeenkomst plus de periode vanaf het verstrijken of beëindigen van de Overeenkomst tot aan de verwijdering van alle Klantgegevens door Samsara in overeenstemming met de Overeenkomst. Voor specifieke Persoonlijke Klantgegevens kan een specifiek beleid voor het bewaren en verwijderen van gegevens gelden (bijv. voor videogegevens van flitscamera's die door klanten in de EER worden gebruikt en die naar de gehoste software worden geüpload, geldt een standaardbeleid voor het bewaren en verwijderen van gegevens van zes maanden; dit beleid wordt door de Klant geaccepteerd en kan op basis van de wensen van de Klant worden gewijzigd).

Voor doorgiften aan (sub-)verwerkers ook het onderwerp, de aard en de duur van de verwerking opgeven

Zoals beschreven. Via die link kunt u zich ook aanmelden om updates van Sub-processors te ontvangen.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

 De bevoegde toezichthoudende autoriteiten identificeren in overeenstemming met bepaling 13

Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd: De toezichthoudende autoriteit die erop toeziet dat de gegevensexporteur Verordening (EU) 2016/679 naleeft met betrekking tot de gegevensdoorgifte, treedt op als de bevoegde toezichthoudende autoriteit.

Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, treedt op als de bevoegde toezichthoudende autoriteit. 

Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt, zonder echter een vertegenwoordiger te hebben aangewezen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden verwerkt in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zijn gevestigd, treedt op als de bevoegde toezichthoudende autoriteit.

 

BIJLAGE II

TECHNISCHE EN ORGANISATORISCHE MAATREGELEN WAARONDER TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE BEVEILIGING VAN DE GEGEVENS TE WAARBORGEN

Samsara zal, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de draagwijdte, de context en de doeleinden van de Verwerking alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de wettelijk beschermde belangen van natuurlijke personen, technische en organisatorische maatregelen treffen om bij de Verwerking van Persoonsgegevens een op het risico afgestemd beveiligingsniveau te waarborgen, in het bijzonder ten aanzien van de verwerking van bijzondere of gevoelige categorieën Persoonsgegevens. 

Deze maatregelen kunnen pseudonimisering en versleuteling van persoonsgegevens omvatten, indien dergelijke middelen mogelijk zijn met het oog op de doeleinden van de Verwerking. 

In het bijzonder: 

Samsara neemt maatregelen om de toegang tot de Persoonsgegevens van de Klant te beperken tot de Klant, zijn gebruikers en bevoegde personeelsleden van Samsara en diens Subverwerkers. Daarenboven beschikt Samsara over processen om zijn systemen die de Persoonsgegevens van de Klant bevatten of raadplegen te beschermen tegen Inbreuken op Persoonsgegevens. De onderliggende infrastructuur maakt gebruik van Amazon AWS, dat is gecertificeerd volgens ISO 27001 en SOC 1 Type II. Er is netwerkapparatuur aanwezig, waaronder firewalls en andere grensbewakingsapparatuur, om het gegevensverkeer aan de buitengrens van het netwerk en aan belangrijke binnengrenzen in het netwerk te bewaken en controleren. Die grensbewakingsapparatuur maakt gebruik van regels, lijsten voor toegangscontrole en configuraties om de informatiestromen naar specifieke delen van het informatiesysteem te regelen. Op elke beheerde interface zijn lijsten voor toegangscontrole of regels voor de gegevensstromen ingesteld die de gegevensstromen beheren en regelen.

Gegevens zijn logisch gescheiden in gedistribueerde databases met verplichte authenticatiecontroles voor elke toegang tot gegevens van een huurder vanuit een applicatielaag of gegevenslaag. De logische scheiding is ontworpen om gegevens in verband te brengen met precies één klant en verplichte authenticatiecontroles in de applicatie- en gegevenslagen hebben tot doel gegevens af te zonderen per klant en voor die klant aangemaakte accounts.

De Diensten maken gebruik van een Virtual Private Cloud om hulpbronnen af te zonderen en de voor een aanval vatbare delen tot een minimum te beperken. De Diensten zijn beveiligd met IP- en poortgebaseerde firewalls. Administratieve toegang tot de infrastructuur van Samsara is beperkt en wordt gecontroleerd door AWS Identiteits- en toegangsbeheer. Distributed Denial of Service-aanvallen (DDoS) kunnen worden getemperd met flexibele belastingspreiding en DNS-diensten met een grote beschikbaarheid.

Wanneer een opslagapparaat dat Persoonsgegevens van de Klant bevat het einde van zijn nuttige levensduur heeft bereikt, voorziet de procedure in een proces voor buitengebruikstelling dat ontwikkeld is om te verhinderen dat onbevoegden toegang tot de gegevens kunnen krijgen. In het kader van het proces voor buitengebruikstelling wordt gebruikgemaakt van de technieken beschreven in DoD 5220.22-M ("National Industrial Security Program Operating Manual") of NIST 800-88 ("Guidelines for Media Sanitization") om de gegevens te vernietigen. Alle buiten gebruik gestelde magnetische opslagapparatuur wordt gedemagnetiseerd en fysiek vernietigd in overeenstemming met de binnen de sector als standaard aanvaarde praktijken.

Samsara voert maatregelen in om de fysieke beveiliging van zijn netwerken, servers, cloud en andere informatiesystemen waarin de Persoonsgegevens van de Klant worden bewaard, verwerkt, verzonden of geraadpleegd, te verbeteren en veilig te houden in overeenstemming met de voorschriften van deze Bijlage.

Samsara licht zijn maatregelen ter beveiliging van informatietechnologie jaarlijks door. Om zwakke plekken in de beveiliging in kaart te brengen, voert een gekwalificeerde onafhankelijke derde partij jaarlijks inbraaktesten op de systemen van Samsara uit. Samsara houdt geschikte processen in stand om zwakke plekken in de beveiliging op te sporen, af te zonderen en weg te werken.

BIJLAGE III

LIJST VAN SUBVERWERKERS

De verwerkingsverantwoordelijke heeft toestemming gegeven voor het gebruik van de genoemde subverwerkers.

(1) Wanneer de gegevensexporteur een onder Verordening (EU) 2016/679 vallende verwerker is die namens een instelling of orgaan van de Unie optreedt als verwerkingsverantwoordelijke, garandeert de toepassing van deze bepalingen bij het in dienst nemen van een andere verwerker (subverwerker) die niet onder Verordening (EU) 2016/679 valt ook de naleving van artikel 29, lid 4, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39), voor zover deze bepalingen en de verplichtingen inzake gegevensbescherming zoals opgenomen in de overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker overeenkomstig artikel 29, lid 3, van Verordening (EU) 2018/1725 op één lijn zijn gebracht. Dat is met name het geval wanneer de verwerkingsverantwoordelijke en de verwerker zich baseren op de in Besluit 2021/915 opgenomen standaardcontractbepalingen.

(2) De Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) voorziet in de uitbreiding van de interne markt van de Europese Unie met de drie EER-staten IJsland, Liechtenstein en Noorwegen. De Uniewetgeving inzake gegevensbescherming, waaronder Verordening (EU) 2016/679, valt onder de EER-overeenkomst en is in bijlage XI daarbij opgenomen. Derhalve wordt een verstrekking door de gegevensimporteur aan een in de EER gevestigde derde partij voor de toepassing van deze bepalingen niet als een verdere doorgifte aangemerkt.

(3) Met betrekking tot het effect van dergelijke wetten en praktijken op de naleving van de bepalingen, kunnen verschillende elementen worden beschouwd als onderdeel van een algemene beoordeling. Het kan hierbij gaan om relevante en gedocumenteerde praktijkervaring met eerdere gevallen van verzoeken om verstrekking van overheidsinstanties, of het ontbreken van dergelijke verzoeken, gedurende een voldoende representatief tijdsbestek. Dit heeft met name betrekking op interne registers of andere documenten die doorlopend en met de nodige zorgvuldigheid zijn opgesteld en op seniormanagementniveau zijn gecertificeerd, mits deze informatie rechtmatig met derde partijen kan worden gedeeld. Indien van deze praktijkervaring wordt uitgegaan om te concluderen dat de gegevensimporteur niet gehinderd zal worden om deze bepalingen na te leven, moet die ervaring worden ondersteund door andere relevante objectieve elementen en dienen de partijen zorgvuldig na te gaan of deze elementen wat de betrouwbaarheid en representativiteit ervan betreft samen voldoende gewicht in de schaal leggen om deze conclusie te ondersteunen. De partijen moeten er met name rekening mee houden of hun praktijkervaring wordt bevestigd en niet wordt tegengesproken door openbaar beschikbare of anderszins toegankelijke betrouwbare informatie over het bestaan of het ontbreken van verzoeken binnen dezelfde sector en/of de toepassing van het recht in de praktijk, zoals jurisprudentie en verslagen van onafhankelijke toezichthoudende organen.