Lokale wetten inzake gegevensbescherming die onder de Gegevensverwerkingsovereenkomst vallen
(Herziening 7 maart 2024)
De IDEXX Overeenkomst voor de Verwerking van Klantgegevens here ("Gegevensverwerkingsovereenkomst") en de toepasselijke Gegevensverwerkingsovereenkomst Schedules zijn van toepassing op de verwerking van persoonsgegevens ("Persoonelijke Klantgegevens") door IDEXX namens de klant ("Klant") krachtens de overeenkomst tussen IDEXX en Klant ("Overeenkomst") om IDEXX-diensten te verlenen, indien en voor zover i) de Europese Algemene Verordening Gegevensbescherming (EU/2016/679) (GDPR); of ii) andere hieronder genoemde wetten inzake gegevensbescherming van toepassing zijn.
Europese Economische Ruimte:
Verordeningen van de Europese Unie en wetten van de EER-lidstaten, anders dan de GDPR, die een overeenkomst voor de verwerking van persoonsgegevens vereisen, die identiek is aan of in wezen overeenkomt met de vereisten van artikel 28 van de GDPR.
Zwitserland:
De Zwitserse federale wet inzake gegevensbescherming van 19 juni 1992; vanaf 1 september 2023, de volledig herziene versie van 25 september 2020 ("FADP"), zoals gewijzigd, vervangen of aangepast.
Voor de toepassing van Sectie 9 van de Gegevensverwerkingsovereenkomst worden de EU standaardcontractbepalingen (EU SCC) geïmplementeerd voor doorgifte van persoonsgegevens naar niet-adequate landen die vallen onder het FADP, zoals als volgt gewijzigd en aangepast:
- de Zwitserse ‘Federal Data Protection and Information Commissioner’ (FDPIC) is de bevoegde toezichthoudende autoriteit in overeenstemming met Bepaling 13 en Bijlage I.C van het EU SCC; en
- het toepasselijk recht overeenkomstig Bepaling 17 van het EU SCC is het Zwitsers recht indien de doorgifte van persoonsgegevens uitsluitend onderworpen is aan het FADP; en
- de term "lidstaat" mag niet zodanig worden geïnterpreteerd dat betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om een gerechtelijke procedures aanhangig te maken bij de gerechten van Zwitserland waar hij/zij gewoonlijk verblijft, overeenkomstig Bepaling 18 van het EU SCC; en
- verwijzingen naar de Gegevensverwerkingsovereenkomst in het EU SCC omvatten tevens verwijzingen naar de gelijkwaardige bepalingen in de FDAP (zoals gewijzigd of vervangen)
Brazilië:
De algemene wet inzake gegevensbescherming van Brazilië, Lei Geral de Proteção de Dados Pessoais ("LGPD"). Voor alle duidelijkheid: de verplichtingen van IDEXX jegens een Klant uit hoofde van de Gegevensverwerkingsovereenkomst zijn alleen de expliciete verplichtingen die de LGPD oplegt aan een "Gegevensverwerker (operador)" ten behoeve van een "Controller (controlador)" (inclusief nieuw artikel 3.5 hieronder), zoals "Verwerker (operador)" en "Controller (controlador)" door de LGPD gedefinieerd worden:
- 3.5 Elke partij is verantwoordelijk voor het nakomen van haar respectieve verplichtingen uit hoofde van de LGPD, en Klant zal alleen Verwerkingsinstructies geven, zoals uiteengezet in artikel 3 van de Gegevensverwerkingsovereenkomst, die IDEXX in staat stellen haar LGPD-verplichtingen na te komen. Voor de toepassing van artikel 9 van de DPA zullen de SCC's van de EU van toepassing zijn op doorgifte aan derde landen overeenkomstig de GDPR.
Zuid-Afrika:
South African Protection of Personal Information Act 4 van 2013 ("POPIA"). Voor de duidelijkheid: de verplichtingen van IDEXX jegens Klant op grond van de Gegevensverwerkingsovereenkomst zijn de uitdrukkelijke verplichtingen die POPIA oplegt aan een "Operator" (gelijk aan "Verwerker") ten behoeve van een "Verantwoordelijke Partij" (gelijk aan een "Verwerkingsverantwoordelijke"). Elke partij is verantwoordelijk voor het nakomen van haar respectieve verplichtingen uit hoofde van de POPIA. Voor de toepassing van artikel 9 van de Gegevensverwerkingsovereenkomst zijn de SCC's van de EU van toepassing op doorgifte naar derde landen overeenkomstig de GDPR.
Verenigd Koninkrijk:
De UK General Data Protection Regulation (zoals opgenomen in de Britse wetgeving krachtens de European Union (Withdrawal) Act van 2018), de UK Data Protection Act van 2018, beide zoals gewijzigd door de Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations van 2019, zoals gewijzigd, vervangen of achterhaald. Voor de toepassing van afdeling 9 van de DPA wordt het volgende uitgevoerd voor doorgiften naar niet-adequate landen die onder de algemene verordening gegevensbescherming van het Verenigd Koninkrijk vallen. De partijen vertrouwen op de EU SCC's voor de doorgifte van Persoonsgegevens vanuit het Verenigd Koninkrijk onder voorbehoud van de invulling van een "UK Addendum to the EU Standard Contractual Clauses", uitgegeven door het Information Commissioner's Office krachtens s.119A(1) van de Data Protection Act 2018 (het "UK Addendum"). De EU SCC's, aangevuld zoals uiteengezet in Sectie 9 van de DPA zijn ook van toepassing op de doorgifte van dergelijke Persoonsgegevens. Het UK Addendum wordt geacht te zijn uitgevoerd tussen IDEXX en Klant, en de EU SCC's worden geacht te zijn gewijzigd zoals gespecificeerd in het UK Addendum met betrekking tot de doorgifte van dergelijke Persoonsgegevens.
Japan:
De Japanse wet op de bescherming van persoonsgegevens nr. 57 van 2003 ("APPI"), zoals gewijzigd. Voor alle duidelijkheid: de verplichtingen van IDEXX jegens Klant uit hoofde van de APPI zijn de verplichtingen die Klant volgens de APPI moet hebben als "Personal Information Handling Business Operator", om de verwerking van persoonsgegevens van Klant toe te vertrouwen aan IDEXX als "entrusted person", zoals dergelijke termen in de APPI worden gebruikt.
Californië:
De ‘California Consumer Privacy Act’ van 2018, zoals gewijzigd door de ‘California Privacy Rights Act’, en aanverwante regelgeving ("CCPA"). De verplichtingen van IDEXX jegens Klant op grond van de Gegevensverwerkingsovereenkomst zijn de verplichtingen die de CCPA vereist dat een "Bedrijf" (zijnde de Klant en gelijkwaardig aan "Controller" op grond van de Gegevensverwerkingsovereenkomst) heeft met een "Dienstverlener" (zijnde IDEXX en gelijkwaardig aan "Dienstverlener op grond van de Gegevensverwerkingsovereenkomst) zoals die termen gedefinieerd worden door de CCPA. Daarnaast:
De termen "verkopen" en "delen" hebben de betekenis die daaraan wordt gegeven in de CCPA. De term "Persoonsgegevens" zoals gebruikt in de Gegevensverwerkingsovereenkomst wordt vervangen door "Persoonlijke informatie". De term "Betrokkene" zoals gebruikt in de Gegevensverwerkingsovereenkomst wordt vervangen door "Consument". De term "Speciale categorieën van persoonsgegevens" zoals gebruikt in de Gegevensverwerkingsovereenkomst wordt vervangen door "Gevoelige persoonlijke informatie". De term "Gedeïdentificeerde informatie" betekent gegevens die redelijkerwijs niet kunnen worden gebruikt om informatie af te leiden over, of anderszins kunnen worden gekoppeld aan, een geïdentificeerde of identificeerbare consument, of een apparaat dat aan een dergelijke persoon is gekoppeld.
De volgende nieuwe paragraaf 3.5 wordt toegevoegd:
- 3.5. IDEXX zal:
- geen persoonsgegevens verkopen of delen;
- Persoonsgegevens niet verder combineren of bewaren, gebruiken of openbaar maken: (A) buiten de directe zakelijke relatie tussen IDEXX en Klant; of (B) voor enig ander doel dan voor de zakelijke doeleinden vermeld in de Overeenkomst, tenzij anders toegestaan door de CCPA;
- op instructie van Klant stoppen met het gebruik van Gevoelige persoonlijke informatie voor enig ander doel dan het verlenen van de Diensten voor zover Leverancier daadwerkelijk weet dat de Persoonsgegevens Gevoelige Persoonlijke informatie betreft;
- zich onthouden van pogingen tot heridentificatie van niet-geïdentificeerde informatie die op grond van de Overeenkomst door Klant aan IDEXX bekend is gemaakt;
- afzien van inwilliging van rechtstreeks bij IDEXX ingediende verzoeken tot verwijdering van consumentengegevens voor zover IDEXX de Persoonsgegevens heeft verzameld, gebruikt, verwerkt of bewaard in haar rol als Dienstverlener aan Klant;
- Klant onmiddellijk op de hoogte stellen indien IDEXX vaststelt dat zij niet langer aan haar verplichtingen op grond van de wet bescherming persoonsgegevens (CCPA) van Californië of op grond van dit artikel kan voldoen; en
- aansprakelijk blijven voor eigen overtredingen van de CCPA.