Verwerkersovereenkomst
Contractspartijen
HBMEO B.V., organisator van Hotelnacht, hierna ‘Organisator’:
en:
Algemeen contactpersoon deelnemend hotel, treedt in deze overeenkomst op als verantwoordelijke, hierna te noemen ‘Deelnemer’.
Uitgangspunten
Uit de Algemene Verordening Gegevensbescherming volgt de verplichting tot het opstellen van een verwerkersovereenkomst, waarin de plichten van partijen zijn vastgelegd met betrekking tot het verwerken van persoonsgegevens.
Deze verwerkersovereenkomst treedt in werking op het moment waarop deze door beide partijen is ondertekend. Geen van de partijen kan de verwerkersovereenkomst tussentijds opzeggen.
Artikel 1 – Doel en middelen van verwerking
Deelnemer verwerkt uitsluitend gegevens in opdracht van organisator ten behoeve van de doelen waarvoor deze zijn verkregen, welke zijn bepaald door organisator. Deelnemer heeft daarbij geen zelfstandige zeggenschap over hoe deze persoonsgegevens gebruikt worden.
De persoonsgegevens welke worden verwerkt, worden direct door de deelnemer verstrekt en in opdracht en onder de verantwoordelijkheid van de deelnemer verkregen.
De deelnemer verklaart dat de verwerking van persoonsgegevens die in opdracht en ten behoeve van haar vastgestelde doelen, rechtmatig geschiedt.
De organisator verklaart dat de verwerking van de persoonsgegevens, rechtmatig geschiedt en verwerkt deze nimmer ten behoeve van eigen doelen.
Artikel 2 – Duur van opslag van persoonsgegevens
De deelnemer bepaalt dat de duur van de opslag van de persoonsgegevens niet langer zal zijn dan noodzakelijk voor het doel van de verwerking. De organisator handelt overeenkomstig.
Artikel 3 – Vernietiging van persoonsgegevens
Op verzoek van de organisator worden bij beëindiging van de overeenkomst de persoonsgegevens ter beschikking gesteld aan de organisator.
Indien er geen verzoek wordt gedaan om de gegevens terug te ontvangen bij beëindiging van de overeenkomst, verwijdert de deelnemer deze persoonsgegevens direct of zodra het doel waarvoor deze verkregen zijn is verstreken.
Op verzoek van de organisator verwijdert de deelnemer alle persoonsgegevens definitief, tenzij de deelnemer wettelijk is verplicht tot opslag van deze gegevens.
Artikel 4 – Subverwerkers
De deelnemer is gerechtigd bij de uitvoering van haar dienst gebruik te maken van subverwerkers.
De deelnemer sluit met de subverwerkers een verwerkersovereenkomst onder zodanige voorwaarden dat zij kan voldoen aan de voorwaarden welke zijn vastgelegd in deze verwerkersovereenkomst met de deelnemer.
Artikel 5 – Aansprakelijkheid
De aansprakelijkheid beperkt zich tot directe schade, als gevolg van nalatig handelen door de deelnemer.
Ontstane schade kan op de deelnemer verhaald worden indien de deelnemer niet heeft voldaan aan alle door de organisator gestelde voorwaarden.
De organisator kan niet aansprakelijk worden gehouden indien de deelnemer niet tijdig en correct door de organisator aanbevolen technische en organisatorische maatregelen heeft getroffen en daaruit schade is ontstaan.
Indien het overige geval de betrokkene voor haar ontstane schade bij de organisator een claim indient waarvan de oorzaak niet het gevolg is van nalatig handelen van de deelnemer, wordt het door de deelnemer uitgekeerde door de organisator aan de deelnemer gecompenseerd.
Artikel 6 – Beveiliging van persoonsgegevens
De deelnemer neemt zowel technische als organisatorische maatregelen om de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op de Algemene Verordening Gegevensbescherming.
De door de deelnemer genomen maatregelen waarborgen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, daarbij wordt rekening gehouden met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens.
Onder risico’s wordt verstaan de risico’s op de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig.
De deelnemer treft passende maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de deelnemer en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de deelnemer verwerkt, tenzij hij wettelijk anders verplicht is.
Artikel 7 – Meldplicht en documentatieplicht
Zodra de deelnemer ervan kennis heeft genomen dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, zal de deelnemer de organisator daarvan direct en zonder onredelijke vertraging op de hoogte stellen, zodat de organisator indien nodig de autoriteiten en/of de betrokkenen daarvan op de hoogte kan stellen.
Indien de deelnemer de organisator op de hoogte stelt van een inbreuk in verband met persoonsgegevens, meldt de deelnemer de feiten omtrent de inbreuk in verband met persoonsgegevens, een schatting van het aantal betrokkenen, de waarschijnlijke gevolgen daarvan en de genomen corrigerende maatregelen om de inbreuk te stoppen en de nadelige gevolgen te beperken.
De deelnemer houdt van iedere inbreuk documentatie bij, inclusief de daarbij behorende specificaties als genoemd in voorgaande lid.
Artikel 8 – Vertrouwelijkheid van persoonsgegevens
De deelnemer draagt er zorg voor dat haar medewerkers een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en verplichtingen van de Algemene Verordening Gegevensbescherming.
De deelnemer zorgt ervoor dat haar personeel en andere gemachtigden vertrouwelijk omgaan met de persoonsgegevens die zij verwerken.
Indien de deelnemer een wettelijk bevel ontvangt om persoonsgegevens ter beschikking te stellen aan de daartoe bevoegde autoriteiten, zal de deelnemer direct de organisator hierover op de hoogte stellen, tenzij dit wettelijk is verboden.
Artikel 9 – Controle en correctie- rechten van betrokkenen
De organisator zal, voor zover redelijk is, bijstand verlenen aan de deelnemer bij het uitoefenen van diens plicht om verzoeken van betrokkenen bij de uitoefening van hun rechten als bedoeld in de Algemene Verordening Gegevensbescherming te beantwoorden.
De organisator zal, voor zover redelijk is, passende en technische maatregelen nemen om aan deze verzoeken gehoor te kunnen geven.
