Jimdo gegevensverwerkingsovereenkomst voor affiliates (GVO)
Inleiding
Jimdo GmbH, Stresemannstrasse 375, 22761 Hamburg, Duitsland en de rechtspersoon die deze overeenkomst accepteert (hierna “Partner” genoemd), hebben een overeenkomst over het Jimdo Affiliate Partnerprogramma gesloten (jegens elkaar de acceptatie van de deelnamevoorwaarden aan het Jimdo Affiliate Partnerprogramma door de Partner en de acceptatie van de opdrachtbevestiging door Jimdo), in het kader waarvan de Partner zich heeft aangesloten bij het Jimdo Affiliate Partnerprogramma. Beide partijen in deze gegevensverwerkingsovereenkomst worden hierna gezamenlijk aangeduid als “Partijen” en afzonderlijk als de “Partij”. Deze gegevensverwerkingsovereenkomst wordt gesloten tussen bovengenoemde Partijen en geldt aanvullend op de deelnamevoorwaarden van het Jimdo Affiliate Partnerprogramma. Het is de Partner bekend, dat Jimdo zijn affiliate diensten aan een groot aantal partners aanbiedt. De mogelijkheid van de Partner om aanvullende voorwaarden te stellen, bijvoorbeeld in de vorm van een gepersonaliseerde gegevensverwerkingsovereenkomst die de affiliate diensten van Jimdo voor ander partners of gebruikers beïnvloedt of belemmert, wordt derhalve door deze overeenkomst beperkt. Gebruik van het Jimdo Affiliate Partnerprogramma waarbij rekening moet worden gehouden met een groot aantal afzonderlijke instructies van de Partner zou onmogelijk zijn.
1. Algemeen
1.1 In deze GVO hebben de volgende begrippen de betekenis zoals hieronder beschreven:
- AVG is de Algemene verordening gegevensbescherming 2016/679 van de Europese Unie (DSGVO).
- Regelingen inzake gegevensbescherming zijn alle toepasselijke bepalingen en wetten inzake gegevensbescherming en overige bepalingen en wetten die van toepassing zijn op de gegevensverwerking in verband met deze overeenkomst, voor burgers van de EU, inclusief de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016, ten behoeve van de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, ten behoeve van het vrije verkeer van gegevens en strekkende tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming, hierna AVG genoemd) (al naar gelang van toepassing) en de richtlijn betreffende privacy en elektronische communicatie 2002/58/EG.
- Onderaannemer is elke persoon (uitgezonderd de medewerkers van de Partijen), die door of namens een van de Partijen belast is, namens deze Partij of anderszins in verband met de deelnamevoorwaarden van het Jimdo Affiliate Partnerprogramma persoonsgegevens te verwerken.
1.2 Indien en voor zover in deze overeenkomst het begrip “gegevensverwerking” of “verwerking” (van gegevens) wordt gebruikt, ligt daaraan de definitie van de “verwerking“ zoals bedoeld in art. 4 punt 2 van de AVG ten grondslag.
1.3 De begrippen “verantwoordelijke”, “betrokkene”, “lidstaat”, “persoonsgegevens”, “inbreuk op persoonsgegevens”,“verwerking” en “profielen” hebben de betekenis die daaraan in de AVG is toegekend.
1.4 Indien en voor zover niet anders is bepaald, blijven de bepalingen in de deelnamevoorwaarden van het Jimdo Affiliate Partnerprogramma onbeperkt van kracht.
1.5 Bij afwijkingen tussen de bepalingen in deze GVO en de deelnamevoorwaarden (met betrekking tot de verwerking van gegevens) dan heeft deze GVO voorrang.
1.6 Deze GVO geldt uitsluitend met betrekking tot de verwerking van persoonsgegevens door de Partijen in het kader van het Jimdo Affiliate Partnerprogramma.
2. Verplichtingen en rechten van de Partijen
2.1 De Partner en Jimdo komen hun respectieve verplichtingen na overeenkomstig de bepalingen inzake gegevensbescherming. Elke Partij werkt in redelijke mate samen met de andere Partij om deze in staat te stellen punt 2 na te leven.
2.2 Overeenkomstig de bepalingen inzake gegevensbescherming is de Partner gehouden om van de bezoekers vooraf een vrijwillig verstrekte, specifieke, geïnformeerde, ondubbelzinnige en herroepbare toestemming voor het plaatsen van cookies te verkrijgen, die door Jimdo ten gevolge van een klik aan de bezoeker worden toegewezen.
2.3 Indien en voor zover dit in het kader van het normale gebruik van het Jimdo Affiliate Partnerprogramma niet door Jimdo wordt verwacht, stelt de Partner Jimdo geen persoonsgegevens ter beschikking.
2.4 Met betrekking tot de verwerking in het kader van de deelnamevoorwaarden van het Jimdo Affiliate Partnerprogramma, waarvoor de Partner en Jimdo de gezamenlijke verantwoordelijken zijn, gelden de volgende verplichtingen:
Transparantie
2.4.1 De Partner moet adequate maatregelen treffen om betrokkenen te kunnen informeren over de wijze waarop persoonsgegevens door de Partner of namens de Partner worden verwerkt. Dat betreft minimaal alle informatie die wordt voorgeschreven in artikel 13, 14, en 26 van de AVG. De Partner verschaft deze informatie in een precieze, transparante, begrijpelijke en eenvoudig toegankelijke vorm en in duidelijke en eenvoudige taal (verklaring van Partner betreffende de verwerking).
2.4.2 Jimdo moet passende maatregelen treffen om betrokkenen te kunnen informeren over de wijze waarop persoonsgegevens door Jimdo of namens Jimdo worden verwerkt. Dat betreft minimaal alle informatie die wordt voorgeschreven in artikel 13, 14, en 26 van de AVG. In de privacyverklaring van Jimdo zal Jimdo deze informatie in een precieze, transparante, begrijpelijke en eenvoudig toegankelijke vorm en in duidelijke en eenvoudige taal verschaffen.
2.4.3 De Partner moet in zijn partner-verklaring betreffende de verwerking een hyperlink naar de actuele privacyverklaring van Jimdo opnemen.
Personeel
2.4.4 lke Partij treft passende maatregelen ter waarborging van de betrouwbaarheid van alle medewerkers, agenten en aannemers die toegang tot de persoonsgegevens kunnen hebben. In elk geval moet worden gegarandeerd dat de toegang:
- beperkt is tot die personen die toegang moeten hebben tot de relevante persoonsgegevens en/of deze moeten kennen, en
- beslist noodzakelijk is voor de doelen van de hoofdovereenkomst en naleving van het geldende recht in het kader van de plichten van deze personen.
2.4.5 Elke Partij waarborgt dat alle onder punt 2.4 genoemde personen een geheimhoudingsplicht hebben resp. gehouden zijn aan beroepsmatige of wettelijke plichten tot geheimhouding.
Veiligheid en vertrouwelijkheid van gegevens
2.4.6 Elke Partij treft met betrekking tot de persoonsgegevens passende technische en organisatorische maatregelen om een adequaat niveau van bescherming te garanderen. Dat omvat, al naar gelang van toepassing, de in artikel 32(1) van de AVG genoemde maatregelen. Daarbij houden de Partijen rekening met de volgende zaken:
- de stand van de techniek, implementatiekosten, de manier, omvang, omstandigheden en doelen van de verwerking, en
- de uiteenlopende waarschijnlijkheid en ernst van het risico voor de rechten en vrijheden van natuurlijke personen.
2.4.7 Bij de beoordeling van het adequate beschermingsniveau houden de Partijen in het bijzonder rekening met de risico’s die aan de verwerking zijn verbonden. Dat omvat o.a. vernietiging, verlies of wijziging (hetzij per ongeluk, hetzij onrechtmatig) of de ongeoorloofde openbaring van persoonsgegevens, die doorgezonden, opgeslagen of anderszins verwerkt werden.
Uitbesteding van verwerking
2.4.8 Met betrekking tot een beoogde verwerking door een onderaannemer hebben de Partijen de volgende plichten:
a.) Voordat de onderaannemer de persoonsgegevens voor het eerst verwerkt, moeten de Partijen met de vereiste zorg garanderen dat de onderaannemer in staat is de in de bepalingen inzake gegevensbescherming voorgeschreven bescherming van de persoonsgegevens te waarborgen.
b.) De Partijen moeten waarborgen dat de verwerking met een dergelijke onderaannemer is vastgelegd in een schriftelijke overeenkomst die de in artikel 28(3) van de AVG genoemde voorwaarden bevat.
c.) Elke Partij moet de onderaannemer zorgvuldig selecteren en moet vóór opdrachtverstrekking controleren of deze de overeenkomsten die de Partijen hebben gesloten kan nakomen. De Partijen moeten in het bijzonder vooraf en regelmatig gedurende de looptijd van de overeenkomst controleren of de onderaannemer de conform art. 32 van de AVG vereiste technische en organisatorische maatregelen ter bescherming van persoonsgegevens heeft getroffen. De uitkomst van de controle wordt door de verantwoordelijke Partij gedocumenteerd en moet desgevraagd aan de andere Partij worden toegestuurd.
Rechten van betrokkenen
2.4.9 Elke Partij voldoet aan haar plicht om te reageren op verzoeken en de uitoefening van de rechten van de betrokken personen overeenkomstig de bepalingen inzake gegevensbescherming. Elke Partij werkt in redelijke mate samen met de andere Partij om deze in staat te stellen zich aan dit punt te houden.
Inbreuk op de beveiliging van persoonsgegevens
2.4.10 Elke Partij:
a.) moet steeds de andere Partij onmiddellijk, uiterlijk echter binnen 48 uur na kennisname in schriftelijke vorm (fax/e-mail) in kennis stellen van een inbreuk op de beveiliging van persoonsgegevens (“Inbreuk op de beveiliging van netwerkgegevens”) en
b.) moet steeds de ander Partij voldoende informatie ter beschikking stellen, zodat deze haar plichten ten aanzien van het melden of informeren van de betrokkenen over de inbreuk op de beveiliging van netwerkgegevens in het kader van of in verband met de bepalingen inzake gegevensbescherming kan nakomen, en
c.) moet met betrekking tot de externe communicatie- en PR-strategie in verband met de inbreuk op de beveiliging van netwerkgegevens overleg plegen met de andere Partij, en
d.) mag, behoudens naleving van de geldende wetgeving, geen gegevensbeschermingsautoriteit over de inbreuk op de beveiliging van netwerkgegevens informeren zonder hiervoor eerst schriftelijk toestemming van de andere Partij te hebben verkregen, en
e.) mag met betrekking tot de inbreuk op de beveiliging van netwerkgegevens geen persbericht doen uitgaan of met een vertegenwoordiger van de pers praten, zonder hiervoor eerst schriftelijk toestemming van de andere Partij te hebben verkregen.
f.) zal de andere partij onmiddellijk informeren, wanneer een toezichthoudende autoriteit conform Art. 58 van de AVG actie onderneemt tegen een Partij en dit ook betrekking kan hebben op een controle van de verwerking van de persoonsgegevens die in het kader van het Jimdo Affiliate Partnerprogramma gezamenlijk door de Partijen worden verwerkt.
2.4.11 De in punt 2.4.10 (a) genoemde kennisgeving moet ten minste aan de volgende voorwaarden voldoen:
a.) De kennisgeving moet de aard van de inbreuk op de beveiliging van netwerkgegevens (voor zover mogelijk met vermelding van de categorieën), de soorten en het aantal betrokken personen evenals de soorten en het aantal desbetreffende datasets met persoonsgegevens vermelden.
b.) De kennisgeving moet een beschrijving bevatten van de mogelijke gevolgen van de inbreuk op de beveiliging van netwerkgegevens.
c.) De kennisgeving moet een beschrijving bevatten van de getroffen of voorgestelde of geplande maatregelen, waarmee de inbreuk op de beveiliging van netwerkgegevens en eventuele maatregelen voor het beperken van eventuele nadelige gevolgen moeten worden behandeld.
2.4.12 De Partner moet met Jimdo samenwerken en de door Jimdo gevraagde passende maatregelen treffen om het onderzoek, de schadebeperking en het herstel van elke inbreuk op de beveiliging van netwerkgegevens te ondersteunen.
Doorgifte van gegevens
2.4.13 Geen van de Partijen mag persoonsgegevens zodanig doorgeven naar landen buiten de EU dat de bepalingen inzake gegevensbescherming worden geschonden.
2.5 De Partner waarborgt en verplicht zich ertoe, tijdens de looptijd van de hoofdovereenkomst ervoor in te staan, dat:
- de verwerking in het kader van de voorwaarden van het Jimdo Affiliate Partnerprogramma, die door Jimdo als verwerkingsverantwoordelijke wordt uitgevoerd, inclusief de verwerking van persoonsgegevens die betrekking hebben op de Partner en alle geautoriseerde gebruikers, voldoet aan de wetgeving inzake gegevensbescherming;
- hij over alle rechten of toestemmingen beschikt, die vereist zijn voor de doorgifte van persoonsgegevens door Jimdo naar landen buiten de EU.
Controlerechten en -plichten
2.6 Indien en voor zover Jimdo optreedt als verwerkingsverantwoordelijke en de Partner als verwerker (of, al naar gelang van toepassing, Jimdo verwerker en de Partner subverwerker is), zal de Partner:
a.) de persoonsgegevens uitsluitend na gedocumenteerde instructie van Jimdo verwerken, ook met betrekking tot de wissing of teruggave van de persoonsgegevens.
b.) Jimdo alle informatie in verband met persoonsgegevens ter beschikking stellen, en tevens toestemming verlenen, indien en voor zover de Partner hieromtrent ten minste 30 dagen voorafgaande schriftelijk hierover is geïnformeerd, dat Jimdo of diens auditors of adviseurs, tijdens gebruikelijke kantooruren, het terrein van de Partner betreden om die systemen en documenten van de Partner te onderzoeken die (voor zover door Jimdo bepaald) nodig zijn om aan te tonen dat de Partner zich houdt aan punt 2. Elke Partij zal er daarbij op toezien dat de controles alleen in de vereiste omvang worden uitgevoerd, zodat de bedrijfsprocessen van de andere Partij door de controles niet onevenredig worden verstoord. Inspectie blijft voor de betreffende Partij in principe beperkt tot één dag per kalenderjaar. Elke Partij is ertoe verplicht, de haar in het kader of bij gelegenheid van een dergelijke controle ter kennis gekomen streng vertrouwelijke interne informatie van de andere Partij, in het bijzonder details over de technische en organisatorische maatregelen, strikt geheim te houden, niet aan derden mee te delen of voor derden toegankelijk te maken, indien en voor zover dit niet geschiedt op basis van de prestatieovereenkomst tussen de Partijen.
c.) voldoen aan punt 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.4.12, en 2.4.13.
d.) Opdat Partijen, waar van toepassing, in staat zijn om hun controlerechten en -plichten vóór aanvang van en tijdens de contractuele relatie uit te oefenen, kan de ene Partij de andere Partij op verzoek een verslag van haar functionaris voor gegevensbescherming over de genomen technische en organisatorische maatregelen bij de betreffende Partij en in de door de Partij gebruikte verwerkingscentra ter beschikking stellen. Het verslag wordt uiterlijk om de 24 maanden geactualiseerd.
2.7 De Partner zal verslagen die door het gebruik van het door Jimdo beschikbaar gestelde externe affiliate platform worden gegenereerd, niet gebruiken om profielen van bezoekers te maken.
3. Geheimhoudingsplichten
3.1 Beide Partijen verplichten zich ertoe, alle informatie die zij in verband met de uitvoering van deze overeenkomst verkrijgen, tijdelijk onbeperkt vertrouwelijk te behandelen en alleen te gebruiken voor uitvoering van de overeenkomst.
3.2 Voornoemde verplichting geldt niet voor informatie die een van de Partijen aantoonbaar van derden heeft verkregen, zonder dat zij verplicht is tot geheimhouding, of voor informatie die openbaar bekend is.
4. Aansprakelijkheidsbeperking
4.1 Elke Partij is aansprakelijk voor alle overtredingen van bepalingen inzake gegevensbescherming waarvoor zij verantwoordelijk is en dientengevolge zijn de Partijen niet hoofdelijk aansprakelijk.
4.2 De Partijen informeren elkaar onmiddellijk, wanneer een Partij fouten of onregelmatigheden in verband met de verwerking van persoonsgegevens door de andere Partij constateert.
5. Toepasselijk recht en bevoegde rechtbank
5.1 Toepasselijk recht en bevoegde rechtbank voor deze GVO zijn identiek aan die van de deelnamevoorwaarden van het Jimdo Affiliate Partnerprogramma.
6. Duur van de opdracht
6.1 Deze overeenkomst begint met de acceptatie van de opdrachtbevestiging door Jimdo (punt 2.3 van de deelnamevoorwaarden van het Jimdo Affiliate Partnerprogramma) en blijft van kracht gedurende de looptijd van de bestaande hoofdovereenkomst tussen de Partijen resp. gedurende de deelname aan het Jimdo Affiliate Partnerprogramma. Opzegging is mogelijk met inachtneming van een opzegtermijn van 5 dagen vóór afloop van de betreffende looptijd. Bij beëindiging van deelname aan het Jimdo Affiliate Partnerprogramma vindt gelijktijdig een automatische opzegging van deze gegevensverwerkingsovereenkomst plaats.
7. Slotbepalingen
7.1 Aanvullende afspraken moeten schriftelijk worden vastgelegd.
7.2 Mochten afzonderlijke delen van deze GVO ongeldig zijn, dan laat dit de geldigheid van de overige bepalingen onverlet.
7.3 In het geval van afwijkingen die voortvloeien uit de vertaling, is de Duitse tekst doorslaggevend.
Versie:
16.01.2019