Verhalen over Seagate Blog Resource Center Partners
Seagate Legal

GEGEVENSBESCHERMINGSOVEREENKOMST

BIJLAGE

Deze GEGEVENSBESCHERMINGSOVEREENKOMST, inclusief alle hieronder vermelde bijlagen (deze “DPA”), is gesloten tussen het in de Overeenkomst genoemde Seagate-bedrijf (“Seagate”) en het in de Overeenkomst genoemde leveranciersbedrijf (“Bedrijf”) (elk een “partij”, en gezamenlijk de “Partijen”).

 

De Onderneming heeft een of meer inkooporders, contracten en/of overeenkomsten, met inbegrip van werkbeschrijvingen (de „Overeenkomst(en)”), gesloten met Seagate, op grond waarvan de Onderneming zich ertoe heeft verbonden bepaalde diensten aan Seagate te verlenen, zoals nader omschreven in de Overeenkomst(en) („Diensten”).

 

De partijen sluiten deze DPA af om ervoor te zorgen dat de verwerking door het bedrijf van persoonsgegevens die aan het bedrijf zijn verstrekt of door het bedrijf zijn verzameld voor Seagate en/of namens Seagate, plaatsvindt in overeenstemming met de wet- en regelgeving inzake gegevensbescherming en de daarin gestelde eisen met betrekking tot het verzamelen, gebruiken en bewaren van persoonsgegevens van betrokkenen.

 

Deze GBO is opgenomen in en maakt deel uit van de Overeenkomst(en). Alle woorden met een hoofdletter die niet gedefinieerd zijn in deze GBO zullen de betekenis hebben die in de Overeenkomst(en) is vastgelegd.

 

De partijen erkennen en komen het volgende overeen:

 

  1. DEFINITIES
    1. Gelieerde onderneming” betekent elke entiteit die zeggenschap uitoefent over, onder zeggenschap staat van, of onder gezamenlijke zeggenschap staat met de betrokken partij.
    2. "Zeggenschap" betekent een eigendoms-, stem- of vergelijkbaar belang dat vijftig procent (50%) of meer vertegenwoordigt van de totale belangen (zoals gemeten op volledig verwaterde basis) die dan uitstaan van de entiteit in kwestie. De term "Onder zeggenschap" zal dienovereenkomstig worden geïnterpreteerd.
    3. Inbreuk op de privacy” betekent de accidentele of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van, de toegang tot of de verwerving van persoonlijke gegevens van Seagate, of enige andere ongeoorloofde verwerking van persoonlijke gegevens van Seagate.
    4. Wetgeving inzake gegevensbescherming” betekent alle wereldwijde wetten, regels en voorschriften inzake gegevensbescherming, gegevensbeveiliging en privacy die van toepassing zijn op de betreffende Persoonsgegevens, inclusief, waar van toepassing: (i) de Europese wetgeving inzake gegevensbescherming; (ii) alle wetten, regels en voorschriften van de Verenigde Staten, inclusief de privacywetten van de Amerikaanse staten, zoals deze van tijd tot tijd worden gewijzigd, vervangen of bijgewerkt; (iii) het gegevensbeveiligingsprogramma; en (iv) toepasselijke industrienormen die passend zijn voor de aard van de persoonsgegevens.
    5. Data Security Program” of “DSP” betekent de regel van het Amerikaanse Ministerie van Justitie getiteld “Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons” (28 CFR Part 202), gepubliceerd op 8 januari 2025, ter uitvoering van Executive Order 14117 van 28 februari 2024 (Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern), zoals gewijzigd en bijgewerkt.
    6. "Europese wet(ten) inzake gegevensbescherming" betekent alle wet- en regelgeving inzake gegevensbescherming die van toepassing is op de Europese Unie ("EU") of de Europese Economische Ruimte ("EER"), met inbegrip van:
      1. de Algemene Verordening Gegevensbescherming 2016/679 ("EU AVG");
      2. de AVG van de EU zoals opgenomen in de Britse wetgeving krachtens artikel 3 van de European Union (Withdrawal) Act 2018 en de UK Data Protection Act 2018 (de "VK-AVG");
      3. de Zwitserse federale wet op de gegevensbescherming van 19 juni 1992 en de bijbehorende verordeningen (“Zwitserse DPA”);
      4. Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie; en
      5. de toepasselijke nationale uitvoeringsmaatregelen van (A) en (D).
    7. "EU SCC's" betekent de contractuele clausules die als bijlage zijn toegevoegd aan Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad.
    8. Persoonsgegevens” betekent alle informatie waarmee een geïdentificeerde of identificeerbare natuurlijke persoon kan worden geïdentificeerd of die betrekking heeft op een dergelijke persoon, met inbegrip van informatie die verband houdt met apparaten of online-identificatiegegevens, en alle informatie die anderszins wordt gedefinieerd als “persoonsgegevens”, “persoonlijk identificeerbare informatie” of een soortgelijke term krachtens de toepasselijke wetgeving inzake gegevensbescherming.
    9. “Verwerking” of “Verwerken” betekent, zonder beperking, handelingen die worden uitgevoerd op persoonsgegevens van Seagate, al dan niet met geautomatiseerde middelen, zoals het verzamelen, registreren, organiseren, structureren, wijzigen, gebruiken, inzien, openbaar maken, verspreiden, kopiëren, overdragen, opslaan of anderszins bewaren, verwijderen, afstemmen, combineren, beperken, aanpassen, opvragen, raadplegen, vernietigen of verwijderen van persoonsgegevens.
    10. "Beperkte Doorgifte" betekent:
      1. In gevallen waarin de AVG van de EU van toepassing is, betreft dit de overdracht van persoonsgegevens vanuit de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbesluit van de Europese Commissie;
      2. waar de Britse AVG van toepassing is, een overdracht van persoonsgegevens vanuit het Verenigd Koninkrijk naar een ander land dat niet onderworpen is aan of gebaseerd is op adequaatheidsvoorschriften overeenkomstig artikel 17A van de Britse Data Protection Act 2018; en
      3. Wanneer de Zwitserse gegevensbeschermingswet van toepassing is, is een overdracht van persoonsgegevens vanuit Zwitserland naar een ander land die niet gebaseerd is op een adequaatheidsbesluit dat erkend wordt onder de Zwitserse wetgeving inzake gegevensbescherming, strafbaar.
    11. Persoonsgegevens van Seagate” betekent alle persoonsgegevens die door of voor Seagate worden gecreëerd, in eigendom zijn van of worden verstrekt aan Seagate, en waartoe het Bedrijf toegang heeft, die het verkrijgt, gebruikt, bewaart of verwerkt namens Seagate in verband met overeenkomsten tussen de Partijen en/of hun Gelieerde Ondernemingen.
    12. Gevoelige informatie” betekent alle persoonlijke gegevens van Seagate die krachtens de toepasselijke wetgeving inzake gegevensbescherming als gevoelig worden aangemerkt, waaronder: (i) door de overheid afgegeven identificatienummers (zoals burgerservicenummers, paspoortnummers, belastingnummers en rijbewijsnummers); (ii) gegevens van financiële rekeningen of betaalkaarten, al dan niet in combinatie met een code of wachtwoord waarmee toegang tot de rekening of kredietgeschiedenis kan worden verkregen; (iii) gezondheids-, genetische of biometrische gegevens; (iv) gegevens waaruit ras, etnische afkomst, godsdienst, seksuele geaardheid of seksleven, politieke of filosofische overtuigingen, of lidmaatschap van een vakbond blijken; (v) antecedentenonderzoek of gerechtelijke dossiers, met inbegrip van strafregisters of informatie over andere gerechtelijke of administratieve procedures; en (vi) alle informatie die anderszins wordt aangeduid als „gevoelige persoonlijke informatie”, „gevoelige persoonsgegevens”, „gevoelige gegevens” of „bijzondere categorieën van gegevens” krachtens de toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van de EU-AVG, de Britse AVG en de Zwitserse DPA.
    13. Onder „Standaardbepalingen” wordt verstaan (voor zover van toepassing) de EU-standaardcontractbepalingen, het Britse addendum en de Zwitserse aanpassingen zoals uiteengezet in artikel 4.1 (Standaardbepalingen voor de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland) van deze DPA.
    14. "Subverwerker" is elke derde partij die door het Bedrijf of door een andere Subverwerker wordt ingeschakeld en toegang heeft tot Persoonlijke informatie van Seagate of deze ontvangt of anderszins Verwerkt.
    15. Toezichthoudende autoriteit” betekent elke regelgevende, toezichthoudende, overheids-, staatsinstantie, procureur-generaal of andere bevoegde autoriteit met jurisdictie of toezicht op de naleving van de wetgeving inzake gegevensbescherming.
    16. Personeel van het bedrijf” betekent elke werknemer, aannemer, dienstverlener, leverancier, subverwerker of vertegenwoordiger van het bedrijf die door het bedrijf is gemachtigd om Persoonsgegevens van Seagate te verwerken.
    17. UK Addendum” betekent het International Data Transfer Addendum (versie B1.0) uitgegeven door het Information Commissioner’s Office onder S.119(A) van de UK Data Protection Act 2018, zoals van tijd tot tijd bijgewerkt of gewijzigd.
    18. Amerikaanse privacywetgeving” betekent alle toepasselijke wetten, regels en voorschriften inzake gegevensprivacy, gegevensbescherming en cyberbeveiliging waaraan de Persoonsgegevens van Seagate onderworpen zijn.
    19. De termen „Verwerkingsverantwoordelijke”, „Betrokkene”, „Verwerker”, „Onderneming”, „Verzamelen”, „consument”, “delen”, “verkoop”, “verkopen”, “toezichthoudende autoriteit” en “dienstverlener” hebben de betekenis die daaraan wordt gegeven in de wetgeving inzake gegevensbescherming.
    20. De termen „Gevoelige persoonsgegevens uit de VS in bulk”, „Betrokken land”, „Transactie met betrokken gegevens”, „Betrokken persoon”, „Gegevensbemiddeling”, “Arbeidsovereenkomst”, “Buitenlandse persoon”, “Overheidsgerelateerde gegevens”, “Investeringsovereenkomst,” “Beveiligingsvereisten,” “Transactie,” en “Leveranciersovereenkomst” hebben de betekenis die daaraan wordt gegeven in de DSP.
    21. Het woord "omvatten" wordt opgevat als zijnde met inbegrip van en zonder beperking. Verwante termen worden dienovereenkomstig geïnterpreteerd.
  2. GEGEVENSBEVEILIGING EN -BESCHERMING
    1. Status van de partijen. Met betrekking tot de persoonsgegevens van Seagate erkennen de partijen hierbij en komen zij overeen dat het bedrijf deze persoonsgegevens als verwerker namens Seagate zal verwerken. Het bedrijf wordt hierbij opgedragen de persoonsgegevens te verwerken voor zover dit noodzakelijk is om de diensten te verlenen zoals uiteengezet in de overeenkomst(en) en deze DPA.
    2. CCPARoles. Voor de doeleinden van de California Consumer Privacy Act van 2018 (California Civil Code §§ 1798.100 et seq (“CCPA”) zoals gewijzigd door de California Privacy Rights Act (“CPRA”) (indien van toepassing)), zal het Bedrijf Persoonsgegevens verwerken als een Dienstverlener die handelt op instructie van Seagate als een Bedrijf.
    3. Geheimhouding van persoonlijke gegevens van Seagate. Het bedrijf zal persoonlijke gegevens van Seagate op geen enkele wijze en voor geen enkel doel aan derden openbaar maken zonder voorafgaande schriftelijke toestemming van Seagate, met uitzondering van openbaarmakingen aan subverwerkers in overeenstemming metParagraaf 2.5 (Verwerkingsvereisten) hieronder. Zonder het voorgaande te beperken, mag het Bedrijf in geen geval Persoonsgegevens van Seagate verkopen of op andere wijze aan derden bekendmaken ten behoeve van het commerciële belang van het Bedrijf of een derde partij. Iedere persoon die bevoegd is om Persoonsgegevens van Seagate te verwerken, moet zich contractueel verbinden tot het handhaven van de vertrouwelijkheid van dergelijke gegevens of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.
    4. Beperkingen op de verwerking. Het Bedrijf mag de Persoonsgegevens van Seagate uitsluitend verwerken met het oog op het leveren van de Diensten aan Seagate in het kader van de Overeenkomst(en) en in overeenstemming met de gedocumenteerde, rechtmatige instructies van Seagate („Toegestane Doeleinden”). Voor deze doeleinden draagt Seagate het Bedrijf op om de Persoonsgegevens van Seagate te verwerken voor de doeleinden die zijn beschreven in Deel V B (BESCHRIJVING VAN DE OVERDRACHT) van Bijlage I (Beschrijving van de gegevensverwerking)Het bedrijf zal geen persoonlijke gegevens van Seagate verwerken of de verwerking ervan toestaan, behalve voor zover nodig om diensten aan Seagate te verlenen in overeenstemming met een overeenkomst tussen de partijen en/of hun gelieerde ondernemingen of andere schriftelijke instructies van Seagate.
    5. Verwerkingsvereisten. Het bedrijf zal te allen tijde: (a) de persoonsgegevens van Seagate uitsluitend voor de toegestane doeleinden verwerken; en (b) de persoonsgegevens van Seagate niet voor eigen doeleinden of die van derden verwerken. Het bedrijf zal niet: (i) Persoonsgegevens van Seagate verkopen of delen; (ii) Persoonsgegevens van Seagate bewaren, gebruiken of openbaar maken voor andere doeleinden dan de Toegestane Doeleinden, met inbegrip van het bewaren, gebruiken of openbaar maken van Persoonsgegevens van Seagate voor commerciële doeleinden die geen verband houden met de uitvoering van de Diensten uit hoofde van de Overeenkomst(en); of (iii) Persoonsgegevens van Seagate bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen Seagate en het Bedrijf. Het Bedrijf zal Seagate op de hoogte stellen indien het niet langer kan voldoen aan zijn verplichtingen uit hoofde van de CCPA/CPRA. Het Bedrijf verklaart dat het de vereisten en beperkingen zoals uiteengezet in deze Hoofdstuk 2 en zal bovendien voldoen aan de vereisten die krachtens de CCPA/CPRA van toepassing zijn op dienstverleners. Voorts erkennen en stemmen de partijen ermee in dat de uitwisseling van persoonsgegevens tussen de partijen geen verkoop vormt, noch deel uitmaakt van enige financiële of andere waardevolle tegenprestatie die tussen de partijen wordt uitgewisseld met betrekking tot de overeenkomst(en) of deze DPA. In alle gevallen zal het Bedrijf de van Seagate ontvangen Persoonsgegevens van Seagate niet combineren met Persoonsgegevens die het Bedrijf ontvangt van, of namens, een andere persoon of personen, of die het Bedrijf verzamelt uit enige interactie tussen het Bedrijf en een Consument. Zowel Seagate als het Bedrijf verklaren dat zij de vereisten zoals uiteengezet in de CCPA/CPRA hebben gelezen en begrepen.
    6. Informatiebeveiligingsprogramma. Het bedrijf zal een uitgebreid schriftelijk informatiebeveiligingsprogramma implementeren, onderhouden, bewaken en, waar nodig, bijwerken dat passende administratieve, technische en fysieke beveiligingsmaatregelen bevat om Seagate-persoonsgegevens te beschermen tegen verwachte bedreigingen of gevaren voor de veiligheid, vertrouwelijkheid of integriteit ervan (zoals ongeautoriseerde toegang, verzameling, gebruik, kopiëren, wijziging, verwijdering of openbaarmaking, ongeautoriseerd, onrechtmatig of accidenteel verlies, vernietiging, verwerving of beschadiging of enige andere ongeautoriseerde vorm van verwerking) (“Informatiebeveiligingsprogramma”). Het informatiebeveiligingsprogramma omvat de vereisten en maatregelen die zijn opgenomen in de bijgevoegde beveiligingsnormen Bijlage II (Beveiligingsnormen).
    7. Beperkingen voor subverwerkers. Het bedrijf mag Persoonsgegevens van Seagate aan subverwerkers verstrekken voor zover dit nodig is om zijn diensten voor Seagate te verlenen, met inachtneming van de voorwaarden die in dit Paragraaf 2.7. De Onderneming houdt een lijst bij van de subverwerkers aan wie zij Persoonsgegevens van Seagate verstrekt en zal deze lijst op verzoek van Seagate aan Seagate verstrekken. Vanaf de ingangsdatum van de Overeenkomst(en), indien van toepassing, is een actuele lijst van de Subverwerkers van het Bedrijf opgenomen in de Overeenkomst(en) of in enig ander document dat door het Bedrijf aan Seagate is verstrekt en door beide Partijen is ondertekend, waarin de lijst van Subverwerkers is opgenomen. Het Bedrijf zal Seagate op [email protected] ten minste 30 werkdagen voordat een subverwerker aan de lijst wordt toegevoegd, hiervan op de hoogte stellen. Indien Seagate binnen 30 werkdagen na ontvangst van de kennisgeving geen bezwaar maakt tegen de voorgestelde subverwerker, wordt de subverwerker geacht te zijn goedgekeurd. Indien Seagate bezwaar maakt tegen de toegang van een subverwerker tot de Persoonsgegevens van Seagate, zal het Bedrijf de Persoonsgegevens van Seagate niet aan de subverwerker bekendmaken. Indien een van beide partijen op enig moment vaststelt dat een subverwerker onvoldoende waarborgen biedt voor de beveiliging die passend is voor het risico dat verband houdt met de te verwerken Persoonsgegevens van Seagate, kan Seagate, naar eigen goeddunken, de subverwerker van de lijst verwijderen. Indien Seagate bezwaar maakt tegen een subverwerker of deze verwijdert, krijgt het Bedrijf een redelijke termijn om de subverwerker te vervangen. Indien het Bedrijf de Diensten niet kan leveren zonder de Persoonsgegevens van Seagate aan de subverwerker bekend te maken, kan Seagate alle toepasselijke Overeenkomsten tussen de Partijen en/of hun Gelieerde Ondernemingen beëindigen zonder kosten of aansprakelijkheid jegens het Bedrijf.
    8. Naleving door en inbreuken door onderverwerkers. Het feit dat het Bedrijf gebruikmaakt van onderverwerkers doet geen afbreuk aan de verplichting van het Bedrijf om deze DPA en de toepasselijke wetgeving inzake gegevensbescherming na te leven. Het Bedrijf is jegens Seagate aansprakelijk voor de uitvoering van de diensten, inbreuken op de gegevensbescherming en schendingen van deze DPA en de toepasselijke wetgeving inzake gegevensbescherming door zijn onderverwerkers, in dezelfde mate als wanneer het Bedrijf zelf deze verplichtingen zou hebben geschonden.
    9. Verplichtingen van Bedrijfspersoneel en Subverwerkers. Het Bedrijf zal ervoor zorgen dat elke persoon of Sub-verwerker die toegang heeft tot Persoonlijke informatie van Seagate een schriftelijke overeenkomst aangaat met voorwaarden die minstens even beperkend zijn als de voorwaarden in deze GBO. Het Bedrijf garandeert dat alle verplichtingen op het gebied van privacy- en gegevensbescherming ook na de Verwerking ervan voor Seagate geldig blijven. Deze verplichting blijft eeuwigdurend van kracht, of ten minste tot het Bedrijf heeft gecertificeerd dat alle Persoonlijke informatie van Seagate verwijderd, vernietigd en onherstelbaar zijn.
    10. Beperkte toegang. Beperkte toegang. Het bedrijf zal de toegang tot persoonlijke gegevens van Seagate beperken tot personeel van het bedrijf of subverwerkers die toegang nodig hebben om de verplichtingen van het bedrijf na te komen op grond van een of meer overeenkomsten tussen de partijen en/of hun gelieerde ondernemingen of op schriftelijke instructie van Seagate, en die: (a) getraind zijn in de vereisten inzake gegevensbescherming en -beveiliging; en (b) ermee hebben ingestemd om te voldoen aan de vereisten inzake gegevensvertrouwelijkheid die ten minste even restrictief zijn als die welke door Seagate worden vereist tijdens en na hun verwerking voor Seagate.
    11. Kennisgeving van verzoeken of klachten. Tenzij dit bij wet verboden is, dient het Bedrijf Seagate binnen twee werkdagen na ontvangst van een verzoek of klacht met betrekking tot de verwerking van Persoonsgegevens van Seagate hiervan op de hoogte te stellen via [email protected], met inbegrip van:
      1. verzoeken van een betrokkene om gegevensportabiliteit, en verzoeken om toegang tot, wijziging, verwijdering of beperking van gegevens, en soortgelijke verzoeken; of
      2. klachten of beschuldigingen dat de Verwerking inbreuk maakt op de rechten van een Betrokkene.
    12. Reacties van het bedrijf. Het bedrijf zal niet reageren op verzoeken of klachten in het kader van Paragraaf 2.11 (Kennisgeving van verzoeken of klachten)) tenzij Seagate hiervoor uitdrukkelijk toestemming heeft gegeven. Het bedrijf zal met Seagate samenwerken bij alle maatregelen die worden genomen in verband met verzoeken of klachten, met inbegrip van, maar niet beperkt tot, verzoeken tot verwijdering. Het bedrijf zal trachten passende procedures (waaronder technische en organisatorische maatregelen) in te voeren om Seagate te ondersteunen bij het reageren op verzoeken of klachten, tenzij dit bij wet verboden is.
    13. Verzoeken tot openbaarmaking. Tenzij wettelijk verboden, stelt het Bedrijf Seagate onmiddellijk op de hoogte indien het Bedrijf een document ontvangt met het verzoek, of een ogenschijnlijk verzoek, om Persoonlijke informatie van Seagate (zoals mondelinge vragen, vragenlijsten, verzoeken om informatie of documenten tijdens gerechtelijke procedures, dagvaardingen, civielrechtelijke verzoeken of andere soortgelijke verzoeken of processen; gezamenlijk "Verzoeken tot openbaarmaking"). Indien een Verzoek tot openbaarmaking niet bindend is, reageert het Bedrijf niet. Indien een Verzoek tot openbaarmaking bindend is, zal het Bedrijf, tenzij dit wettelijk verboden is, Seagate ten minste 48 uur voordat het Bedrijf reageert op de hoogte stellen, zodat Seagate gebruik kan maken van zijn rechten om de openbaarmaking te voorkomen of beperken. Het Bedrijf zal alle redelijke maatregelen nemen om openbaarmakingen te voorkomen en te beperken en om de vertrouwelijkheid van Persoonlijke informatie van Seagate te waarborgen. Het bedrijf zal met Seagate samenwerken met betrekking tot alle acties die worden ondernomen naar aanleiding van een verzoek om openbaarmaking, inclusief samenwerking om een ​​passende beschermingsmaatregel of andere garantie te verkrijgen ter bescherming van de vertrouwelijkheid van de persoonlijke gegevens van Seagate.
    14. Samenwerking. Het bedrijf zal Seagate bijstaan ​​bij het nakomen van haar verplichtingen onder de wetgeving inzake gegevensbescherming met betrekking tot: (a) registratie en kennisgeving; (b) verantwoording; (c) het waarborgen van de beveiliging van de persoonsgegevens van Seagate; en (d) het uitvoeren van privacy- en gegevensbeschermingseffectbeoordelingen (inclusief audits en risicobeoordelingen in het kader van de wetgeving inzake gegevensbescherming) en de daarmee samenhangende raadplegingen van toezichthoudende autoriteiten.
    15. Deelname aan onderzoeken van toezichthouders. Het Bedrijf helpt en ondersteunt Seagate bij elk onderzoek door een Toezichthoudende autoriteit voor zover het onderzoek gerelateerd is aan Persoonlijke informatie van Seagate die verwerkt zijn door het Bedrijf of de Subverwerker van het Bedrijf.
    16. Melding van mogelijke schendingen of onvermogen tot naleving. Het Bedrijf zal Seagate onmiddellijk op de hoogte brengen indien:
      1. het Bedrijf van mening is dat instructies van Seagate inzake het Verwerken van Persoonlijke informatie van Seagate in strijd zijn met toepasselijke wetgeving;
      2. het Bedrijf van mening is dat hij niet kan voldoen aan zijn verplichtingen uit hoofde van deze GBO of Wetgeving inzake gegevensbescherming en hij dit onvermogen niet binnen een redelijke termijn kan verhelpen; of
      3. Het Bedrijf op de hoogte is van omstandigheden of wijzigingen in toepasselijke wetgeving het Bedrijf niet kan voldoen aan zijn verplichtingen op grond van deze GBO.
    17. Opschorting of aanpassingen ter waarborging van de naleving. Seagate kan de verwerking van Persoonsgegevens van Seagate door het Bedrijf of Subverwerkers opschorten om mogelijke schendingen van of niet-naleving van de toepasselijke wetgeving, deze DPA of enige toepasselijke overeenkomst(en) tussen de Partijen en/of hun Gelieerde Ondernemingen met betrekking tot privacy of gegevensbescherming te voorkomen. Het Bedrijf zal met Seagate samenwerken om de Verwerking aan te passen teneinde eventuele schendingen of niet-naleving te verhelpen. Indien aanpassing niet mogelijk is, kan Seagate alle toepasselijke overeenkomsten tussen de partijen en/of hun gelieerde ondernemingen beëindigen, zonder kosten of aansprakelijkheid jegens het bedrijf.
  3. PROGRAMMA VOOR GEGEVENSBEVEILIGING
    1. Naleving van de DSP. Het bedrijf erkent dat bepaalde persoonlijke gegevens van Seagate kunnen worden aangemerkt als gevoelige persoonlijke gegevens in bulk uit de VS of als overheidsgerelateerde gegevens die onder de DSP vallen. De onderneming verklaart en garandeert dat zij zich zal houden aan de DSP voor zover deze van toepassing is op haar verwerking van Persoonsgegevens van Seagate, met inbegrip van alle toepasselijke beperkingen inzake toegang, doorgifte en gebruik van dergelijke gegevens, en dat zij Persoonsgegevens van Seagate uitsluitend zal verwerken in overeenstemming met deze DPA. Niets in deze gegevensverwerkingsovereenkomst staat het bedrijf toe om verwerkingen of doorgiften uit te voeren die krachtens de gegevensbeschermingsverordening verboden zijn.
    2. Verboden transacties. De onderneming mag zich niet bezighouden met gegevensbemiddeling met betrekking tot gevoelige Amerikaanse persoonsgegevens in bulk of overheidsgerelateerde gegevens, indien dergelijke gegevensbemiddeling krachtens de DSP verboden is, met inbegrip van transacties die zouden leiden tot toegang door een land van zorg of een betrokken persoon. Deze beperking geldt ongeacht of er sprake is van anonimisering, pseudonimisering, versleuteling of andere technische waarborgen.
    3. Beperkte transacties. Voor zover de uitvoering van de Diensten door het Bedrijf gepaard gaat met een leveranciersovereenkomst, arbeidsovereenkomst of investeringsovereenkomst die ertoe zou kunnen leiden dat een Betrokken Persoon of een Land van Zorg toegang krijgt tot grote hoeveelheden gevoelige persoonsgegevens uit de VS of overheidsgerelateerde gegevens, zal het Bedrijf: (a) Seagate hiervan vooraf in kennis stellen; (b) voorafgaande schriftelijke toestemming van Seagate verkrijgen; en (c) alle toepasselijke beveiligingsvereisten uit hoofde van de DSP implementeren, naast de beveiligingsnormen in deze DPA of andere beveiligingsvereisten die anderszins tussen de partijen zijn overeengekomen.
    4. Bestuur en doorlopende verplichtingen. De onderneming dient Seagate onmiddellijk op de hoogte te stellen indien zij kennis neemt van enige wijziging in de omstandigheden die van invloed zou kunnen zijn op de naleving van de DSP, met inbegrip van wijzigingen in eigendom, zeggenschap, uitbesteding of geografische toegang. Seagate kan de toegang tot de betrokken gegevens opschorten of beperken indien dit nodig is om problemen met betrekking tot de naleving van de DSP aan te pakken. Het niet naleven van deze Hoofdstuk 3 vormt een wezenlijke schending van deze DPA en kan tevens een inbreuk op het gegevensbeveiligingsprogramma inhouden.
  4. GEGEVENSOVERDRACHTEN
    1. Standaardclausules van de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland.
      1. Partijen komen overeen dat, indien de overdracht van persoonlijke gegevens van Seagate naar het Bedrijf een Beperkte Overdracht betreft, deze onderworpen is aan de toepasselijke Standaardclausules, die automatisch door verwijzing worden opgenomen en een integraal onderdeel vormen van deze DPA, zoals hieronder uiteengezet:
        1. Met betrekking tot Persoonlijke informatie van Seagate die door de EU AVG worden beschermd, zijn de MCB's van de EU als volgt van toepassing:
          1. Seagate is de gegevensexporteur en Company is de gegevensimporteur;
          2. “Module twee (C2P)” is van toepassing;
          3. in Bepaling 7 is de optionele docking-bepaling van toepassing;
          4. in artikel 9 van „Module Twee (C2P)“ is „Optie 2“ van toepassing, en geldt voor de termijn voor voorafgaande kennisgeving van wijzigingen met betrekking tot subverwerkers hetgeen is bepaald in artikel 2.7 (Beperkingen ten aanzien van subverwerkers) van deze DPA;
          5. in artikel 11 is de facultatieve bepaling niet van toepassing;
          6. in Bepaling 17;
            1. voor „Module twee (C2P)“ geldt „Optie 1“, en
            2. de SCC's van de EU zullen onder het Ierse recht vallen;
          7. in Bepaling 18(b) zullen geschillen beslecht worden door de gerechten van Ierland;
          8. Bijlage I bij de EU-standaardcontractbepalingen wordt geacht te zijn aangevuld met de informatie die is opgenomen in Bijlage I (Beschrijving van de gegevensverwerking) bij deze DPA; en
          9. Bijlage II bij de EU-standaardcontractbepalingen wordt geacht te zijn ingevuld met de informatie die is opgenomen in Bijlage II (Beveiligingsnormen) bij deze DPA.
        2. Wat betreft gegevens die onder de Britse AVG vallen, zijn de EU-standaardcontractbepalingen: (i) van toepassing zoals opgesteld in overeenstemming met Paragraaf 4.1B.a hierboven; en (ii) worden geacht te zijn gewijzigd zoals gespecificeerd in het Britse addendum, dat geacht wordt door de Partijen te zijn ondertekend en in deze DPA te zijn opgenomen en daarvan een integraal onderdeel te vormen. Elk conflict tussen de bepalingen van de EU-SCC’s en het Britse addendum wordt opgelost in overeenstemming met artikel 10 en artikel 11 van het Britse addendum. Bovendien worden de tabellen 1 tot en met 3 in deel 1 van het Britse addendum respectievelijk ingevuld met de informatie zoals uiteengezet in Bijlage I (Beschrijving van de gegevensverwerking) en II (Beveiligingsnormen) van deze DPA en tabel 4 in deel 1 worden geacht te zijn ingevuld indien geen van beide partijen wordt geselecteerd.
        3. Wat betreft de persoonsgegevens van Seagate die onder de bescherming van de Zwitserse gegevensbeschermingsautoriteit vallen, zijn de EU-standaardcontractbepalingen (SCC’s) van toepassing, zoals geïmplementeerd in overeenstemming met Paragraaf 4.1B.a het bovenstaande is van toepassing op voorwaarde dat:
          1. Verwijzingen in de EU-standaardcontractbepalingen naar Verordening (EU) 2016/679 of de [EU-AVG] worden uitgelegd als verwijzingen naar de Zwitserse federale wet inzake gegevensbescherming (“FADP”);
          2. verwijzingen naar „EU-recht“, „recht van de Unie“ en „recht van de lidstaten“ moeten, al naar gelang het geval, worden opgevat als verwijzingen naar Zwitserland en naar het Zwitserse recht;
          3. De term ‘lidstaat’ mag niet zodanig worden uitgelegd dat betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om hun rechten uit te oefenen in hun gewone verblijfplaats (Zwitserland);
          4. De bepalingen van de EU-standaardcontractbepalingen moeten worden uitgelegd als bescherming van de gegevens van rechtspersonen tot de inwerkingtreding van de herziene FADP; en
          5. Verwijzingen naar de bevoegde toezichthoudende autoriteit en bevoegde rechtbanken dienen te worden uitgelegd als verwijzingen naar de Zwitserse federale commissaris voor gegevensbescherming en informatie en de bevoegde rechtbanken in Zwitserland.
        4. In het geval dat een bepaling van deze GBO of de Overeenkomst(en) direct of indirect in tegenspraak is met de Standaardbepalingen, prevaleren de Standaardbepalingen.
        5. Het Bedrijf garandeert dat alle Subverwerkers ook de Standaardbepalingen naleven, waar dit van toepassing is.
      2. Alternatieve overdrachtsmechanismen: Voor zover de Onderneming voor de overdracht van Persoonsgegevens gebruikmaakt van een alternatief mechanisme voor gegevensexport dat niet in deze DPA wordt beschreven (met inbegrip van elke nieuwe versie van of opvolger van de Standaardbepalingen die zijn vastgesteld overeenkomstig de toepasselijke Europese wetgeving inzake gegevensbescherming) („Alternatief Overdrachtsmechanisme”), is het Alternatieve Overdrachtsmechanisme van toepassing in plaats van enig toepasselijk overdrachtsmechanisme zoals beschreven in deze DPA (maar uitsluitend voor zover dit Alternatieve Overdrachtsmechanisme: (i) voldoet aan de Europese wetgeving inzake gegevensbescherming; (ii) zich uitstrekt tot de gebieden waarnaar Persoonsgegevens worden overgedragen; (iii) voldoet aan de onderstaande kennisgevingseisen; en (iv) het Bedrijf ondertekent dergelijke andere en aanvullende documenten en neemt dergelijke andere en aanvullende maatregelen die redelijkerwijs nodig zijn om rechtsgeldigheid te verlenen aan dit (Alternatieve Overdrachtsmechanisme). Bovendien, indien en voor zover een bevoegde rechtbank of een toezichthoudende autoriteit met bindende bevoegdheid (om welke reden dan ook) bepaalt of vaststelt dat de in deze DPA beschreven maatregelen niet kunnen worden gebruikt om dergelijke Persoonsgegevens van Seagate rechtmatig over te dragen, erkent en stemt Seagate ermee in dat, met inachtneming van de hieronder beschreven kennisgevingseisen, het Bedrijf aanvullende maatregelen of waarborgen mag implementeren die redelijkerwijs vereist zijn om de rechtmatige overdracht van dergelijke Persoonsgegevens van Seagate mogelijk te maken. De kennisgevingsvereisten schrijven voor dat het Bedrijf Seagate op [email protected] ten minste 30 werkdagen vóór de implementatie van Alternatieve Overdrachtsmechanismen of eventuele aanvullende maatregelen hiervan in kennis moet stellen. Indien Seagate binnen 30 werkdagen na ontvangst van de kennisgeving geen bezwaar maakt tegen het voorgestelde alternatieve overdrachtsmechanisme of de aanvullende maatregelen, worden het alternatieve overdrachtsmechanisme of de aanvullende maatregelen geacht te zijn goedgekeurd. Indien Seagate bezwaar maakt tegen een dergelijk alternatief overdrachtsmechanisme of aanvullende maatregelen, zal het Bedrijf geen gebruik maken van dergelijke alternatieve overdrachtsmechanismen of aanvullende maatregelen. Indien Seagate bezwaar maakt tegen een alternatief overdrachtsmechanisme of aanvullende maatregel, kan Seagate naar eigen goeddunken alle toepasselijke overeenkomsten tussen de partijen en/of hun gelieerde ondernemingen beëindigen zonder kosten of aansprakelijkheid jegens het bedrijf.
      3. Overdrachten vanuit landen met vereisten voor gegevensexport. Indien de wetgeving inzake gegevensbescherming vereist dat er verdere stappen worden genomen met betrekking tot een toepasselijke beperking op de gegevensexport om de overdracht van persoonlijke gegevens van Seagate aan het Bedrijf (inclusief de subverwerkers) mogelijk te maken, zal het Bedrijf aan dergelijke vereisten voor gegevensbescherming voldoen, inclusief het verkrijgen van de vereiste toestemmingen of het uitvoeren van toepasselijke overeenkomsten voor gegevensoverdracht (bijv. standaardcontractbepalingen) of een alternatieve oplossing om ervoor te zorgen dat de juiste waarborgen voor een dergelijke overdracht aanwezig zijn.
    2. Bepalingen met betrekking tot andere rechtsgebieden. Indien van toepassing zal de Onderneming voldoen aan de vereisten voor specifieke rechtsgebieden, zoals bijgevoegd als Bijlage III (Gegevensbeschermingsvereisten voor specifieke rechtsgebieden).
  5. NALEVING EN AANSPRAKELIJKHEID
    1. Naleving. Het Bedrijf zorgt ervoor dat de verwerking van Persoonsgegevens van Seagate door het Bedrijf en de Subverwerkers voldoet aan alle toepasselijke wetgeving, zelfreguleringskaders en contractuele vereisten die van toepassing zijn op het Bedrijf en de Subverwerker, met inbegrip van alle toepasselijke wetgeving inzake gegevensbescherming. Het Bedrijf evalueert jaarlijks de werkwijzen van het Bedrijf en de Subverwerkers om te waarborgen dat deze in overeenstemming zijn met deze DPA en met alle toepasselijke wetgeving inzake gegevensbescherming. Het bedrijf zal, op eigen kosten, meewerken aan verzoeken van Seagate om aan te tonen dat het bedrijf voldoet aan de bepalingen inzake gegevensbescherming en beveiliging waarnaar in deze DPA wordt verwezen.
    2. Registratie van verwerkingsactiviteiten. Het bedrijf houdt een actueel register bij met de gegevens van de vertegenwoordiger en de functionaris voor gegevensbescherming van het bedrijf, de categorieën van uitgevoerde verwerkingsactiviteiten, informatie over grensoverschrijdende gegevensoverdracht, een algemene beschrijving van de beveiligingsmaatregelen die zijn geïmplementeerd met betrekking tot de verwerkte gegevens, de naam, contactgegevens en verwerkingsgegevens van elke subverwerker van Seagate-persoonsgegevens, en, indien van toepassing, de vertegenwoordiger en de functionaris voor gegevensbescherming van elke subverwerker. Op verzoek zal het bedrijf een historisch en actueel exemplaar van dit register aan Seagate of de toezichthoudende autoriteit verstrekken.
    3. Audit. Het bedrijf zal op schriftelijk verzoek aan Seagate alle informatie verstrekken die nodig is om aan te tonen dat aan deze DPA en de wetgeving inzake gegevensbescherming wordt voldaan, en zal audits, inclusief inspecties ter plaatse, door Seagate of een onafhankelijke derde partij, of een door Seagate gelaste audit met betrekking tot de verwerking van persoonsgegevens van Seagate, mogelijk maken en daaraan meewerken. Een dergelijke onafhankelijke derde partij die als auditor wordt ingeschakeld, is verplicht een geheimhoudingsovereenkomst met de partijen te sluiten. Het Bedrijf zal niet-naleving binnen een redelijke termijn verhelpen. Indien herstel niet mogelijk is, kan Seagate alle toepasselijke overeenkomsten tussen de partijen en/of hun gelieerde ondernemingen beëindigen, zonder kosten of aansprakelijkheid jegens het bedrijf.
  6. VERANTWOORDELIJKHEDEN VAN HET BEDRIJF NA EEN INBREUK OP DE GEGEVENSBESCHERMING
    1. Kennisgeving van Inbreuk op de gegevensbescherming. Het Bedrijf stelt Seagate schriftelijk op de hoogte van een bekende of vermoedelijke Inbreuk op de gegevensbescherming binnen 24 uur nadat hij op de hoogte is van de mogelijke Inbreuk op de gegevensbescherming, en zal onmiddellijk:
      1. Seagate op de hoogte stellen van de Inbreuk op de gegevensbescherming via [email protected];
      2. de Inbreuk op de gegevensbescherming onderzoeken of de vereiste ondersteuning bieden bij het onderzoek;
      3. Seagate gedetailleerde informatie over de Inbreuk op de gegevensbescherming verstrekken, met inbegrip van, maar niet beperkt tot, de categorieën, locatie en het geraamde aantal Betrokkenen en de categorieën, locatie en het geraamde aantal Persoonlijke informatie van Seagate, en Seagate onverwijld aanvullende gegevens over de Inbreuk op de gegevensbescherming blijven verstrekken zodra deze beschikbaar zijn;
      4. alle commercieel redelijke stappen nemen om de gevolgen van de Inbreuk op de gegevensbescherming te beperken, of Seagate hierbij te ondersteunen; en
      5. een herstelplan implementeren, onder voorbehoud van goedkeuring door Seagate, en het oplossen van inbreuken en kwetsbaarheden met betrekking tot Inbreuken op de gegevensbescherming van Persoonlijke informatie van Seagate monitoren om te garanderen dat de juiste herstelmaatregelen tijdig genomen worden.
    2. Opvangen en verhelpen. Het Bedrijf zal Inbreuken op de gegevensbescherming onmiddellijk opvangen en verhelpen en verdere Inbreuk op de gegevensbescherming voorkomen. Het Bedrijf zal ook alle maatregelen nemen die noodzakelijk zijn om te voldoen aan de toepasselijke Wetgeving inzake gegevensbescherming en industrienormen om de Inbreuk op de gegevensbescherming op te vangen.
    3. Communicatie. Het Bedrijf zal zonder voorafgaande toestemming van Seagate geen communicaties publiceren inzake een Inbreuk op de gegevensbescherming op een manier die de identiteit van Seagate zou onthullen of waarschijnlijk zou onthullen.
    4. Behoud van bewijsmateriaal. Het Bedrijf houdt een noodplan voor incidenten bij. Na de vaststelling van een Inbreuk op de gegevensbescherming houdt het Bedrijf het bewijsmateriaal bij dat verband houdt met de Inbreuk op de gegevensbescherming en houdt deze een duidelijke commandostructuur aan volgens een noodplan voor incidenten van het Bedrijf.
    5. Samenwerking. Het Bedrijf werkt samen met Seagate bij rechtszaken, onderzoeken of andere door Seagate vereiste maatregelen om de rechten van Seagate inzake gebruik, openbaarmaking, bescherming en onderhoud van Persoonlijke informatie van Seagate te beschermen. Het Bedrijf stemt verder ook in met het bieden van redelijke bijstand en samenwerking die door Seagate en/of de door Seagate aangewezen vertegenwoordigers wordt aangevraagd, ter bevordering van het corrigeren of verhelpen van of het onderzoek naar een Inbreuk op de gegevensbescherming en/of het beperken van enige mogelijke schade, met inbegrip van alle kennisgevingen die Seagate geschikt acht om naar de Betrokkenen, toezichthouders of derden te verzenden, en/of het verlenen van een kredietrapportageservice die Seagate geschikt acht om aan de betreffende Betrokkenen te leveren. Het Bedrijf is verantwoordelijk voor de redelijke kosten van Seagate die verband houden met een Inbreuk op de gegevensbescherming door een Leverancier, met inbegrip van, maar niet beperkt tot, onderzoeken, verhelpen en kennisgeven.
  7. RETOURNERING EN VEILIGE VERWIJDERING VAN Persoonlijke informatie van Seagate
    1. Gegevensintegriteit. Het bedrijf zal alle instructies van Seagate met betrekking tot het handhaven van de gegevensintegriteit naleven, waaronder: (a) het verwijderen van Seagate-persoonsgegevens die door het bedrijf worden bewaard, maar die niet langer nodig zijn voor het leveren van diensten, tenzij het bewaren van Seagate-persoonsgegevens vereist is door de wetgeving inzake gegevensbescherming; (b) ervoor zorgen dat alle Seagate-persoonsgegevens die door het bedrijf namens Seagate worden aangemaakt, nauwkeurig en actueel zijn; en (c) op verzoek van Seagate Seagate toegang verlenen tot alle Seagate-persoonsgegevens, alles in overeenstemming met de toepasselijke wetgeving.
    2. Teruggave en verwijdering van Persoonsgegevens van Seagate. Bij het eerste van de volgende momenten: (a) een verzoek van Seagate; of (b) het verstrijken of de voortijdige beëindiging van de Overeenkomst(en) tussen de Partijen en/of hun Gelieerde Ondernemingen met betrekking tot de Verwerking van Persoonsgegevens van Seagate, zal de Onderneming, op aanwijzing van Seagate, zal het Bedrijf de Persoonsgegevens van Seagate exporteren of Seagate, of een door Seagate aangewezen derde partij, de mogelijkheid bieden om alle Persoonsgegevens van Seagate te exporteren in een door Seagate bepaald machinaal leesbaar en interoperabel formaat, en zal het zijn Subverwerkers hiertoe aansturen, tenzij het bewaren van de Persoonsgegevens van Seagate vereist is op grond van de Wetgeving inzake gegevensbescherming. Het Bedrijf zal de Persoonsgegevens van Seagate bewaren zolang Seagate dit redelijkerwijs noodzakelijk acht om Seagate in staat te stellen volledig toegang te krijgen tot de Persoonsgegevens van Seagate en deze te exporteren, zonder kosten voor Seagate. Elke partij zal een contactpersoon aanwijzen voor de migratie van de Persoonsgegevens van Seagate en zal zich onmiddellijk, zorgvuldig en te goeder trouw inspannen om een tijdige overdracht te faciliteren. Binnen 90 dagen nadat Seagate: (a) bevestigt dat de Persoonsgegevens van Seagate correct zijn ontvangen en gemigreerd; of (b) het Bedrijf op de hoogte stelt van zijn besluit om de Persoonsgegevens van Seagate niet te migreren, zullen het Bedrijf en de Subverwerkers alle Persoonsgegevens van Seagate op veilige wijze vernietigen, de werkruimte-identificatiegegevens van Seagate ontkoppelen en de Persoonsgegevens van Seagate overschrijven met nieuwe gegevens of anderszins vernietigen door middel van een goedgekeurde methode voor gegevensvernietiging.
    3. Vernietiging van persoonlijke gegevens van Seagate. Indien het Bedrijf papieren, elektronische of andere documenten met persoonlijke gegevens van Seagate verwijdert, zal het Bedrijf alle redelijke stappen ondernemen (gebaseerd op de gevoeligheid van de persoonlijke gegevens van Seagate) om de persoonlijke gegevens van Seagate te vernietigen, tenzij het bewaren van de persoonlijke gegevens van Seagate vereist is door de wetgeving inzake gegevensbescherming door: (a) versnipperen; (b) definitief wissen en verwijderen; (c) demagnetiseren; of (d) de Persoonsgegevens van Seagate in dergelijke documenten op een andere wijze zodanig wijzigen dat deze onleesbaar, niet-reconstrueerbaar en onontcijferbaar worden. Indien het Bedrijf een harde schijf die een kopie van de Persoonsgegevens van Seagate bevat buiten gebruik stelt of op andere wijze afvoert, dient het Bedrijf de schijf op veilige wijze te versnipperen of te vernietigen, waardoor de Persoonsgegevens van Seagate onleesbaar worden gemaakt en vernietigd in overeenstemming met NIST 800-88, revisie 1 (Richtlijnen voor het wissen van gegevensdragers) van het National Institute of Standards and Technology. Het bedrijf zal schriftelijk verklaren dat de schijf is versnipperd of vernietigd en dat de persoonlijke gegevens van Seagate niet kunnen worden gelezen, teruggehaald of op andere wijze gereconstrueerd.
    4. Melding van retentie. Indien het Bedrijf wettelijk verplicht is om Persoonlijke informatie van Seagate langer te bewaren dan de door deze GBO toegestane termijn, stelt het Bedrijf Seagate schriftelijk op de hoogte van zijn verplichting, zal het Bedrijf de Persoonlijke informatie van Seagate niet verder verwerken dan het bewaren van dergelijke informatie om aan de wettelijke verplichting van het Bedrijf te voldoen, en zal hij Persoonlijke informatie van Seagate zo spoedig mogelijk na afloop van de wettelijk vereiste retentieperiode retourneren of vernietigen. Deze GBO blijft van kracht tot het Bedrijf geen Persoonlijke informatie van Seagate meer in bewaring of beheer heeft, noch er toegang toe heeft.
    5. Documentatie. Het Bedrijf documenteert de bewaring en verwijdering van Persoonlijke informatie van Seagate in overeenstemming met deze GBO. Op verzoek van Seagate documenteert het Bedrijf de bewaring en verstrekt hij een schriftelijke certificering dat Persoonlijke informatie van Seagate veilig vernietigd zijn in overeenstemming met deze GBO.
  8. DIVERSEN
    1. Looptijd. Deze DPA blijft van kracht totdat: (a) er geen andere geldende overeenkomst(en) meer bestaat (bestaan) tussen de partijen; en (b) het bedrijf niet langer de bewaring, de controle of de toegang heeft tot enige Persoonsgegevens van Seagate. Het bedrijf zal de Persoonsgegevens van Seagate blijven verwerken totdat de relatie wordt beëindigd zoals bepaald in de Overeenkomst. De verplichtingen van het Bedrijf en de rechten van Seagate uit hoofde van deze DPA blijven van kracht zolang het Bedrijf Persoonsgegevens van Seagate verwerkt.
    2. Rangorde. In geval van tegenstrijdigheden tussen deze DPA en enige overeenkomst(en) tussen de partijen en/of hun gelieerde ondernemingen, prevaleren de bepalingen van deze DPA, met uitzondering van tegenstrijdigheden die betrekking hebben op Bijlage II (Beveiligingsnormen), in welk geval de overige overeenkomst(en) voorrang hebben, voor zover de beveiligingsnormen in de overige overeenkomst(en) een aanvulling vormen op de minimumvereisten zoals vastgelegd in Bijlage II. Deze GBO begrenst, noch beperkt de Standaardbepalingen, en wordt geacht alleen te worden opgevat als een aanvulling van de Standaardbepalingen.
    3. Updates. Het bedrijf zal redelijkerwijs meewerken aan het bijwerken van deze GBO als dat nodig is om naleving van de toepasselijke wet- en regelgeving te waarborgen.
    4. Derde begunstigden. De gelieerde ondernemingen van Seagate zijn beoogde derde begunstigden van deze DPA en kunnen de bepalingen van deze DPA afdwingen alsof zij elk een ondertekenaar van deze DPA zijn. Seagate kan de bepalingen van deze DPA ook namens haar gelieerde ondernemingen afdwingen, in plaats van dat haar gelieerde ondernemingen afzonderlijk een rechtsvordering tegen het Bedrijf instellen.
    5. Openbaarmaking van GBO aan Toezichthoudende autoriteit. Seagate kan een samenvatting of kopie van deze GBO aan een Toezichthoudende autoriteit verstrekken.
    6. Scheidbaarheid. Indien een van de bepalingen van deze GBO niet van kracht of nietig is, is dit niet van invloed op de overige bepalingen. De partijen zullen de niet van kracht zijnde of ongeldige bepaling vervangen door een wettige bepaling die het doel van de niet van kracht zijnde of ongeldige bepaling weergeeft. Indien een noodzakelijke bepaling ontbreekt, voegen de partijen te goeder trouw een geschikte bepaling toe.
    7. Interpretatie. De titels in deze GBO zijn alleen bestemd voor referentiedoeleinden en hebben geen invloed op de interpretatie van deze overeenkomst.

BIJLAGE I

BESCHRIJVING VAN GEGEVENSVERWERKING

 

Dit Bijlage I maakt deel uit van de standaardbepalingen.

 

MODULE TWEE: Doorgifte - Verwerkingsverantwoordelijke naar Verwerker (relevant voor persoonlijke informatie van Seagate) (C2P)

 

    A. LIJST VAN PARTIJEN

     

    GEGEVENSEXPORTEUR

    Naam en adres

    Seagate Technology LLC, ondertekenend namens Dochterondernemingen en filialen 47488 Kato Road, Fremont, CA, 94538

    Naam en contactgegevens contactpersoon

    Seagate Technology LLC, ondertekenend namens Dochterondernemingen en filialen 47488 Kato Road, Fremont, CA, 94538 [email protected]

    Activiteiten die relevant zijn voor de onder deze standaardclausules doorgegeven gegevens

    Seagate Technology LLC, ondertekenend namens Dochterondernemingen en filialen, is een leverancier van hardwareproducten en softwareoplossingen en -diensten ter ondersteuning van bedrijfsprocessen van verschillende industriesegmenten.

    Handtekening en datum:

    Door het aangaan van de Overeenkomst(en) waarin deze GBO is opgenomen, wordt de gegevensexporteur geacht deze hierin opgenomen Standaardclausules, inclusief de Bijlagen, te hebben ondertekend vanaf de ingangsdatum van de Overeenkomst(en).

     

    Rol gegevensexporteur (Verwerkingsverantwoordelijke/Verwerker):

    Zoals uiteengezet in Hoofdstuk 2.1 (Status van de partijen) van deze DPA.

     

     

    GEGEVENSIMPORTEUR

    Naam en adres

    Bedrijfsnaam en adres (zoals gespecificeerd in de Overeenkomst(en)

     

    Naam, functie en contactgegevens van de contactpersoon:

    Bedrijfsnaam en adres (zoals gespecificeerd in de Overeenkomst(en)

     

    Activiteiten die relevant zijn voor de gegevens die onder deze Standaardbepalingen worden doorgegeven:

     

    Bedrijf is een dienstverlener die diensten en ondersteuning levert aan gegevensexporteur, zoals beschreven in de Overeenkomst(en).

     

    Handtekening en datum:

    Door het aangaan van de Overeenkomst(en) waarin deze GBO is opgenomen, wordt de gegevensimporteur geacht deze hierin opgenomen Standaardclausules, inclusief hun Bijlagen, te hebben ondertekend vanaf de ingangsdatum van de Overeenkomst(en).

     

    Rol van gegevensimporteur

    Zoals uiteengezet in Sparagraaf 2.1 (Status van de partijen) van deze DPA.

     

    B. BESCHRIJVING VAN DOORGIFTE

     

    Categorieën van betrokkenen:

    De doorgegeven persoonsgegevens kunnen betrekking hebben op de volgende categorieën betrokkenen – zowel huidige als voormalige:

    • werknemers, adviseurs, consultants, leveranciers, aannemers, onderaannemers en agenten van Seagate;
    • zakelijke partners en potentiële zakelijke partners van Seagate, en hun werknemers, partners, adviseurs, consultants, leveranciers, aannemers, onderaannemers en agenten;
    • potentiële marketingleads en vroegere en huidige consumenten;
    • vroegere en huidige klanten van Seagate, en hun werknemers, partners, adviseurs, consultants, leveranciers, aannemers, onderaannemers en agenten.

     

    Categorieën van Persoonsgegevens die worden doorgegeven

    Persoonsgegevens die door Seagate of namens Seagate aan het Bedrijf worden verstrekt, of door het Bedrijf worden verzameld, en die betrekking hebben op de hierboven vermelde Categorieën van betrokkenen, zoals noodzakelijk voor het Bedrijf om de Diensten aan Seagate te verlenen krachtens de Overeenkomst(en) en in overeenstemming met de gedocumenteerde rechtmatige instructies van Seagate, die contactgegevens kunnen omvatten, zoals voornaam, achternaam, e-mailadres, zakelijk adres, telefoonnummer en eventuele andere persoonsgegevens die door Seagate worden verstrekt.

     

    Overgedragen gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of beveiligingen die volledig rekening houden met de aard van de gegevens en de risico's:**

     

    Zoals uiteengezet in de Overeenkomst(en)

    Frequentie van de doorgifte

    Doorlopend, tenzij anders bepaald in de Overeenkomst(en) of in een document tussen de partijen.

    Aard van de verwerking/verwerkingsactiviteiten

    Zoals beschreven in de Overeenkomst(en).

    Doel van de gegevensdoorgifte en -verwerking

     

    Om de Diensten onder de relevante Overeenkomst(en) te leveren.

     

    De periode gedurende welke de Persoonsgegevens zullen worden bewaard, of indien niet mogelijk, de criteria om die termijn te bepalen:

    De persoonsgegevens worden bewaard:

    (a) overeenkomstig Paragraaf 7.2 (Retournering en verwijdering van Persoonlijke informatie van Seagate) van deze DPA; of

    (b) zoals anderszins wettelijk vereist; of

    (c) of voor de duur die vermeld is in de Overeenkomst(en) of een ander document tussen de partijen dat de relevante informatie bevat die van toepassing is op de betreffende Diensten;

    welke van de twee het langst is.

     

    Bij doorgifte aan subverwerkers, ook onderwerp, aard en duur van de verwerking specificeren

    Het Bedrijf verstrekt het onderwerp, de aard en de duur van de verwerking voor overdrachten aan subverwerkers aan [email protected], indien deze informatie niet anderszins is vastgelegd in de Overeenkomst(en) of in een aanvullend document dat tussen de partijen is overeengekomen.

     

    C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

     

    De bevoegde toezichthoudende autoriteit is, overeenkomstig artikel 13 van de EU-standaardcontractbepalingen, ofwel: (i) de toezichthoudende autoriteit die bevoegd is voor de gegevensexporteur in het EER-land waar deze is gevestigd; (ii) indien de gegevensexporteur niet in de EER is gevestigd, de toezichthoudende autoriteit die bevoegd is in het EER-land waar de EU-vertegenwoordiger van de gegevensexporteur is aangewezen overeenkomstig artikel 27, lid 1, van de EU-AVG; of (iii) indien de gegevensexporteur niet verplicht is een vertegenwoordiger aan te wijzen, de toezichthoudende autoriteit die bevoegd is in het EER-land waar de betrokkenen op wie de doorgifte betrekking heeft, zich bevinden. Met betrekking tot de verwerking van persoonsgegevens waarop de Britse AVG van toepassing is, is de bevoegde toezichthoudende autoriteit het Information Commissioner’s Office. Met betrekking tot de verwerking van persoonsgegevens waarop de Zwitserse DPA van toepassing is, is de bevoegde toezichthoudende autoriteit de Zwitserse federale commissaris voor gegevensbescherming en informatie.

     

BIJLAGE II

BEVEILIGINGSSTANDAARDEN

 

Dit Bijlage II maakt deel uit van de standaardbepalingen.

 

Deze Bijlage II staat voor de minimale veiligheidsmaatregelen die door het Bedrijf zullen worden genomen. Indien uit enige overeenkomst tussen de Partijen voortvloeit dat het Bedrijf verplicht is tot een hoger niveau of uitgebreidere beveiligingsmaatregelen, zal het Bedrijf zich aan die voorwaarden houden. Het Bedrijf dient diverse beleidsregels, normen en processen te handhaven en af te dwingen die zijn ontworpen om Persoonsgegevens van Seagate en andere gegevens te beveiligen volgens industrienormen, bijvoorbeeld het NIST Cybersecurity Framework 2.0 van het National Institute of Standards and Technology en ISO 27001 of 27002, waartoe het Personeel van het Bedrijf toegang krijgt.

 

  1. Beleid en standaarden voor gegevensbeveiliging. Het Bedrijf moet voor het Personeel van het Bedrijf en alle onderaannemers, leveranciers of vertegenwoordigers die toegang hebben tot Persoonlijke informatie van Seagate beveiligingsmaatregelen implementeren die voor deze doeleinden zijn ontworpen:
    1. voorkomen dat ongeautoriseerde personen toegang krijgen tot systemen die Persoonlijke informatie van Seagate Verwerken (fysieke toegangscontrole);
    2. voorkomen dat systemen die Persoonlijke informatie van Seagate Verwerken zonder toestemming worden gebruikt (logische toegangscontrole);
    3. controleren of personen die toestemming hebben om een systeem dat Persoonlijke informatie van Seagate Verwerkt te gebruiken, alleen toegang kunnen krijgen tot dergelijke Persoonlijke informatie van Seagate waartoe zij toegang mogen hebben in overeenstemming met hun goedgekeurde toegangsrechten en of Persoonlijke informatie van Seagate bij de Verwerking of het gebruik en na de opslag niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd (gegevenstoegangscontrole);
    4. controleren of Persoonlijke informatie van Seagate niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd bij elektronische doorgifte, transport of opslag, en of de doelentiteiten voor elke doorgifte van Persoonlijke informatie van Seagate door middel van voorzieningen voor gegevensdoorgifte kunnen worden vastgesteld en geverifieerd (gegevensdoorgiftecontrole);
    5. controleren of een audittrail wordt gecreëerd om te documenteren of en door wie Persoonlijke informatie van Seagate zijn ingevoerd, gewijzigd, overgedragen of verwijderd bij de Verwerking van Persoonlijke informatie van Seagate (invoercontrole);
    6. controleren of Persoonlijke informatie van Seagate uitsluitend volgens de instructies worden Verwerkt (controle van instructies);
    7. controleren of Persoonlijke informatie van Seagate beschermd zijn tegen onopzettelijke vernietiging of onopzettelijk verlies (beschikbaarheidscontrole); en
    8. controleren of Persoonlijke informatie van Seagate die voor verschillende doeleinden worden verzameld apart kunnen worden verwerkt (scheidingscontrole).

    Het Bedrijf zal periodieke risicobeoordelingen uitvoeren en zijn informatiebeveiligingspraktijken onderzoeken en, indien van toepassing, aanpassen en dit ten minste jaarlijks of bij elke materiële wijziging van de handelspraktijken van het Bedrijf die redelijkerwijs van invloed kunnen zijn op de beveiliging, vertrouwelijkheid of integriteit van Persoonlijke informatie van Seagate, op voorwaarde dat het Bedrijf zijn informatiebeveiligingspraktijken niet zodanig wijzigt dat de vertrouwelijkheid, beschikbaarheid of integriteit van de Persoonlijke informatie van Seagate afneemt of in gevaar wordt gebracht.

  2. Fysieke beveiliging. Het Bedrijf moet commercieel redelijke beveiligingssystemen in stand houden op alle locaties van het Bedrijf waar zich een informatiesysteem bevindt dat Persoonlijke informatie van Seagate gebruikt of bevat. Het Bedrijf beperkt de toegang tot dergelijke Persoonlijke informatie van Seagate op redelijke en gepaste wijze.
  3. Organisatorische beveiliging.
    1. Wanneer media moeten worden afgevoerd of hergebruikt, moeten procedures worden geïmplementeerd om te voorkomen dat Persoonlijke informatie van Seagate die op de media zijn opgeslagen, later worden opgevraagd voordat ze uit de inventaris worden verwijderd. Wanneer als gevolg van onderhoudswerkzaamheden media de gebouwen moeten verlaten waarin de bestanden zich bevinden, moeten procedures worden geïmplementeerd om te voorkomen dat Persoonlijke informatie van Seagate die erin zijn opgeslagen onrechtmatig worden opgevraagd.
    2. Het Bedrijf moet beveiligingbeleidslijnen en -procedures implementeren om middelen met Gevoelige gegevens te classificeren, de verantwoordelijkheden op het gebied van veiligheid verduidelijken en de bewustwording van werknemers bevorderen.
    3. Alle beveiligingsincidenten met Persoonlijke informatie van Seagate moeten worden beheerd in overeenstemming met de procedures van een geschikt noodplan.
    4. Het Bedrijf moet alle Gevoelige gegevens bij verzending en in rust versleutelen met behulp van industriestandaard versleutelingstools.
  4. Netwerkbeveiliging. Het Bedrijf moet de netwerkbeveiliging in stand houden met behulp van commercieel beschikbare apparatuur en industriestandaard technieken, met inbegrip van firewalls, systemen voor indringingsdetectie en -preventie, toegangscontrolelijsten en routeringsprotocollen.
  5. Toegangscontrole. Het Bedrijf moet geschikte toegangscontroles in stand houden, met inbegrip van, maar niet beperkt tot, de beperking van toegang tot Persoonlijke informatie van Seagate tot het minimum aantal leden van het Personeel van het Bedrijf dat dergelijke toegang nodig heeft.
    1. Alleen bevoegd personeel mag de toegang tot een informatiesysteem dat Persoonlijke informatie van Seagate gebruikt of bevat, verlenen, wijzigen of herroepen. Het Bedrijf moet de juiste toegangsgegevens bijhouden en deze op verzoek van Seagate aan Seagate voorleggen.
    2. Gebruikersbeheerprocedures moeten gebruikersrollen definiëren, alsook hun rechten en hoe toegang wordt verleend, gewijzigd en beëindigd; in een passende scheiding van taken voorzien en de vereisten en mechanismen voor logging/monitoring bepalen.
    3. Alle werknemers van het Bedrijf moeten een uniek gebruikers-id toegewezen krijgen.
    4. Toegangsrechten moeten worden geïmplementeerd volgens de methode “alleen strikt noodzakelijke rechten”.
    5. Het Bedrijf moet commercieel redelijke fysieke en elektronische beveiliging implementeren om wachtwoorden te creëren en te beveiligen.
  6. Virus- en malwarecontroles. Het Bedrijf moet op het systeem de recentste software ter bescherming tegen virussen en malware installeren en in stand houden. Het Bedrijf moet ook beschikken over geplande malwaremonitoring en systeemscans om Persoonlijke informatie van Seagate te beschermen tegen verwachte bedreigingen of gevaren en bescherming bieden tegen ongeautoriseerde toegang tot of ongeautoriseerd gebruik van Persoonlijke informatie van Seagate.
  7. Personeel. Alvorens het Personeel van het Bedrijf toegang te verlenen tot Persoonlijke informatie van Seagate, moet het Bedrijf ervoor zorgen dat het Personeel van het Bedrijf voldoet aan het informatiebeveiligingsprogramma van het Bedrijf. Het Bedrijf moet een bewustmakingsprogramma voor beveiliging implementeren om het Personeel van het Bedrijf op te leiden over hun beveiligingsverplichtingen. Dit programma bevat een training over gegevensclassificatieverplichtingen, fysieke beveiligingscontroles, beveiligingspraktijken en rapportage van beveiligingsincidenten. Het Bedrijf heeft duidelijk omschreven rollen en verantwoordelijkheden voor de werknemers. Screening wordt geïmplementeerd vóór de tewerkstelling en de voorwaarden en bepalingen van de tewerkstelling worden adequaat toegepast. Werknemers van het Bedrijf moeten de vastgelegde beleidsregels en procedures strikt naleven. Indien werknemers een Inbreuk op de gegevensbescherming plegen, moet een disciplinaire procedure worden toegepast.
  8. Bedrijfscontinuïteit. Het Bedrijf implementeert geschikte plannen voor back-ups, noodherstel en bedrijfshervatting. Het Bedrijf herziet de plannen voor bedrijfscontinuïteit en risicobeoordeling regelmatig. Plannen voor bedrijfscontinuïteit worden regelmatig getest en bijgewerkt om ervoor te zorgen dat ze up-to-date en doeltreffend zijn.
  9. Hoofdverantwoordelijke voor informatiebeveiliging. Het bedrijf dient Seagate op de hoogte te stellen van de door het bedrijf aangewezen hoofdverantwoordelijke voor informatiebeveiliging. De hoofdverantwoordelijke voor informatiebeveiliging is verantwoordelijk voor het beheer en de coördinatie van de nakoming van de verplichtingen van het bedrijf zoals vastgelegd in het informatiebeveiligingsprogramma van het bedrijf en in deze DPA.
  10. Controle. Seagate behoudt zich het recht voor om de in dit document vermelde verplichtingen van het bedrijf te controleren  Bijlage II, overeenkomstig Paragraaf 5.3 (Audit) van deze DPA.
  11. Inbreuk. Indien wordt vastgesteld dat de Onderneming deze DPA schendt, dient de Onderneming een dergelijke inbreuk onverwijld en in ieder geval binnen 30 kalenderdagen te verhelpen. Op elke bekende of vermoedelijke inbreuk op de gegevensbescherming zijn de volgende bepalingen van toepassing: Paragraaf 6 (Verantwoordelijkheden van het bedrijf na een datalek) van deze DPA.

Bijlage III

GEGEVENSBESCHERMINGVEREISTEN VOOR SPECIFIEKE RECHTSGEBIEDEN

 

De volgende vereisten zijn van toepassing op de aangegeven rechtsgebieden:

 

  1. AUSTRALIË
    1. Toepasselijkheid. De bepalingen van deze Paragraaf 1 zijn van toepassing wanneer: (a) het bedrijf Persoonsgegevens van Seagate ontvangt van of toegang krijgt tot Persoonsgegevens van Seagate afkomstig van een aan Seagate gelieerde onderneming die in Australië is gevestigd; of (b) Seagate het bedrijf meedeelt dat Persoonsgegevens van Seagate aan deze vereisten onderworpen zijn.
    2. Lidmaatschap van een beroeps- of brancheorganisatie. Onder de term „gevoelige informatie“ valt ook persoonlijke informatie over het lidmaatschap van een persoon van een beroeps- of brancheorganisatie.
    3. Australische privacybeginselen. De onderneming dient zich te houden aan alle toepasselijke verplichtingen uit hoofde van de Privacy Act 1988 (Cth), met inbegrip van de „Australische privacybeginselen“, bij de verwerking van persoonsgegevens van Seagate of bij het op andere wijze verlenen van diensten op grond van deze DPA.
    4. Kennisgeving van gebruik of openbaarmaking ten behoeve van wetshandhaving. Indien het Bedrijf Persoonsgegevens gebruikt of openbaar maakt in het kader van een of meer wetshandhavingsactiviteiten die worden uitgevoerd door of namens een wetshandhavingsinstantie, dient het Bedrijf een schriftelijk verslag van dit gebruik en deze openbaarmaking bij te houden en onverwijld een kopie van dit verslag aan Seagate te verstrekken, tenzij dit bij wet verboden is.
    5. Australische overheidsgerelateerde identificatiegegevens. Wanneer de Persoon Australische overheidsgerelateerde identificatiegegevens omvat Bedrijf: (a) mag de Australische overheidsgerelateerde identificatiegegevens voor een individu niet als eigen identificatiegegevens van dat individu gebruiken, tenzij Seagate daar uitdrukkelijk opdracht toe geeft; en (b) mag de Australische overheidsgerelateerde identificatiegegevens niet gebruiken of openbaar maken, behalve wanneer dit redelijkerwijs noodzakelijk is om de identiteit van het individu te verifiëren, of anderszins wanneer Seagate daar opdracht toe geeft.
    6. Verzameling van persoonlijke informatie. Wanneer Seagate de opdracht aan het Bedrijf geeft om namens Seagate persoonlijke informatie te verzamelen, moet het Bedrijf: (a) instructies van Seagate inwinnen met betrekking tot: (i) alle informatie die aan de Betrokkene moet worden verstrekt in verband met de verzameling van de persoonlijke informatie van de Betrokkene; en (ii) alle opt-in-toestemmingen die vereist zijn voor direct marketingdoeleinden; en (b) geen Gevoelige Informatie verzamelen zonder de toestemming van de Betrokkene.
    7. Bedrijfsovereenkomsten met de Australische overheid. Indien Seagate een gecontracteerde dienstverlener is voor een Australische overheidsinstantie op federaal, deelstaat- of territoriaal niveau en voor zover Seagate op grond van een overeenkomst met de desbetreffende overheidsinstantie gebonden is te voldoen aan aanvullende verplichtingen inzake gegevensbescherming, zal Seagate gelijkwaardige verplichtingen opleggen aan het Bedrijf, zoals vereist volgens de toepasselijke Australische wetgeving. Seagate en het Bedrijf gaan ermee akkoord aanvullende overeenkomsten te sluiten, indien vereist, waarin deze verplichtingen tot uiting komen.
  2. CHINA
    1. Toepasselijkheid. De bepalingen van deze Hoofdstuk 2 zijn van toepassing wanneer het Bedrijf Persoonsgegevens van Seagate ontvangt van of toegang krijgt tot Persoonsgegevens van Seagate afkomstig van een aan Seagate gelieerde onderneming die in China is gevestigd, of wanneer Seagate het Bedrijf meedeelt dat Persoonsgegevens van Seagate aan deze vereisten onderworpen zijn.
    2. Rollen in het kader van de wet op de bescherming van persoonsgegevens. Op grond van de wet op de bescherming van persoonsgegevens van de Volksrepubliek China zal Seagate optreden als „verwerker van persoonsgegevens“, die de doeleinden en wijzen van de verwerking vaststelt. Het bedrijf zal optreden als „verwerkingsverantwoordelijke“, die persoonsgegevens namens Seagate verwerkt in overeenstemming met de bepalingen van deze DPA en de instructies van Seagate.
    3. Subverwerkers. Niettegenstaande Paragraaf 2.4 (Beperkingen op Verwerking) van de DPA zal het Bedrijf geen onderverwerker inschakelen om Persoonsgegevens van Seagate te verwerken zonder de uitdrukkelijke toestemming van Seagate. De voorwaarden van een dergelijke toestemming zijn onderworpen aan de bepalingen van de DPA Paragraaf 2.5 (Verwerkingsvereisten). 
    4. Beperkte verwerkingsduur. Het bedrijf zal de persoonsgegevens van Seagate alleen verwerken gedurende de periode die nodig is om de doeleinden van de verwerking te bereiken, tenzij de partijen een andere duur zijn overeengekomen.
    5. Beperkte doorgifte. Het bedrijf mag geen Persoonsgegevens van Seagate buiten China doorgeven zonder de uitdrukkelijke toestemming van Seagate, indien deze Persoonsgegevens van Seagate in China zijn opgeslagen of worden bewaard. Seagate verleent hierbij toestemming aan het bedrijf om dergelijke Persoonsgegevens van Seagate waar nodig door te geven, op voorwaarde dat het bedrijf alle maatregelen heeft genomen om te voldoen aan de wetgeving inzake gegevensbescherming ter bescherming van dergelijke Persoonsgegevens van Seagate.
  3. INDIA
    1. Toepasselijkheid. De bepalingen van deze Hoofdstuk 3 zijn van toepassing wanneer de Wet op de informatietechnologie van 2000 en de Regels inzake informatietechnologie (redelijke beveiligingsmaatregelen en -procedures en gevoelige persoonsgegevens of -informatie) van 2011 („Privacyregels”) zoals van tijd tot tijd gewijzigd en vervangen, is van toepassing op de verwerking door het bedrijf van persoonlijke gegevens van Seagate die zijn verstrekt door een aan Seagate gelieerde onderneming in India, ongeacht of de verwerking in India plaatsvindt.
    2. Paragraaf 1.12 De DPA wordt aangepast om de categorieën van persoonsgegevens op te nemen die zijn gespecificeerd in artikel 3 van de privacyregels.
  4. JAPAN
    1. Toepasselijkheid. De bepalingen van deze Hoofdstuk 4 van toepassing zijn op de persoonsgegevens van Seagate die het bedrijf ontvangt van of waartoe het toegang heeft via een aan Seagate gelieerde onderneming die in Japan is gevestigd.
    2. Bedrijfspersoneel. Het Bedrijf is verantwoordelijk voor het toezicht op de naleving van de GBO door het Personeel van het Bedrijf.
    3. Maatregelen inzake personeelsbeheer. Het bedrijf zal de persoonsgegevens van Seagate met betrekking tot personeelsbeheer beschermen overeenkomstig de „Richtlijnen voor personeelsbeheer“ van het Ministerie van Volksgezondheid, Arbeid en Welzijn.
    4. Persoonsgegevens waarvan is kennisgenomen tijdens dienstverband. Het Bedrijf garandeert dat zijn werknemers de Persoonlijke informatie van Seagate waarvan zij hebben kennisgenomen tijdens hun dienstverband niet openbaar maken of misbruiken.
    5. Toestemming voorafgaand aan doorgifte of openbaarmaking. Het Bedrijf verkrijgt schriftelijke toestemming van Seagate voorafgaand aan het openbaar maken of doorgeven van burgerservicenummers aan derden (inclusief Dochterondernemingen) die geen onderdeel uitmaken van deze GBO, met inbegrip van alle Subverwerkers.
    6. Retourneren of vernietigen nadat doelstelling behaald is. Het Bedrijf stopt de Verwerking en retourneert of vernietigt Persoonlijke informatie van Seagate in zijn bezit nadat het doel waarvoor ze verzameld zijn, behaald is.
    7. Back-updoeleinden. Het Bedrijf kopieert of reproduceert Persoonlijke informatie van Seagate alleen voor back-updoeleinden.
  5. ZUID-KOREA
    1. Toepasselijkheid. De bepalingen van deze Hoofdstuk 5 van toepassing zijn op de persoonsgegevens van Seagate die het bedrijf ontvangt of waartoe het toegang heeft via een aan Seagate gelieerde onderneming die in Zuid-Korea is gevestigd.
    2. Beperkte toegang. De onderneming beperkt de toegang tot persoonsgegevens tot personeelsleden van de onderneming die deze toegang redelijkerwijs nodig hebben voor de verwerking.
    3. Vereiste veiligheidsmaatregelen. Het Bedrijf ontwikkelt en onderhoudt veiligheidsmaatregelen, inclusief:
      1. interne procedures voor de veilige verwerking van Persoonlijke informatie van Seagate;
      2. technische veiligheidsmaatregelen zoals firewalls, antivirus- en antimalwaresoftware;
      3. fysieke toegangsbeperking zoals sloten;
      4. maatregelen ter voorkoming van wijziging of vervalsing van toegangslogboeken of verwerkingsgegevens; en
      5. maatregelen om persoonsgegevens veilig op te slaan en te verzenden, zoals de versleuteling van persoonsgegevens waar dit vereist is door de Wet bescherming persoonsgegevens (“PIPA”), de “Uitvoeringsvoorschriften” van PIPA, de Wet ter bevordering van het gebruik van informatie- en communicatienetwerken en de bescherming van informatie (“PICNU”), de “Uitvoeringsvoorschriften” van PICNU, de Wet gebruik en bescherming van kredietinformatie, of andere toepasselijke Koreaanse wetgeving.
    4. Versleuteling van bepaalde identificatiegegevens. Het Bedrijf versleutelt burgerregistratienummers, rijbewijsnummers en paspoortnummers indien:
      1. verzonden via een informatie- of communicatienetwerk;
      2. opgeslagen op draagbare opslagmedia of randapparaten;
      3. opgeslagen op externe computernetwerken, of in een gedemilitariseerde zone, of op persoonlijke of mobiele computers; of
      4. opgeslagen op het interne netwerk van het Bedrijf indien de systemen van het Bedrijf niet voldoen aan door Seagate gespecificeerde risicocriteria.
    5. Versleuteling van wachtwoorden en biometrische gegevens. Het Bedrijf versleutelt alle wachtwoorden en biometrische gegevens die zijn opgeslagen.
    6. Informatie voorafgaand aan openbaarmaking. Voorafgaand aan openbaarmaking of doorgifte van Persoonlijke informatie van Seagate aan een externe Verwerker van gegevens, informeert het Bedrijf tijdig Seagate hierover. Op verzoek van Seagate overhandigt het Bedrijf de volgende informatie: (a) de Verwerkingsactiviteiten die uitbesteed gaan worden; (b) de identiteit van de externe Verwerker van gegevens; en (c) wijzigingen aan (a) of (b).
    7. Training. Het Bedrijf neemt deel aan alle trainingen die Seagate besluit beschikbaar te stellen aan het Bedrijf om Persoonlijke informatie van Seagate te beschermen tegen diefstal, lekken, wijzigingen of beschadigingen tijdens de Verwerking van dergelijke Persoonlijke informatie van Seagate.
  6. SINGAPORE
    1. Toepasselijkheid. De bepalingen van deze Paragraaf 6 zijn van toepassing wanneer de Singaporese Wet inzake de bescherming van persoonsgegevens van 2012 (nr. 26 van 2012) van toepassing is op de verwerking door het bedrijf van persoonsgegevens van Seagate.
    2. Hoofdstuk 1.3 De DPA wordt vervangen door het volgende:

      1.3 "Inbreuk op gegevensprivacy" betekent elke inbreuk op de beveiliging die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde bekendmaking van, de toegang tot, de verwerving van Persoonlijke informatie van Seagate, met inbegrip van: (a) het ongeautoriseerd openen, verzamelen, gebruiken, openbaar maken, kopiëren, wijzigen of verwijderen van Persoonlijke informatie van Seagate; of (b) het verlies van een opslagmedium of -apparaat waarop Persoonlijke informatie van Seagate zijn opgeslagen in omstandigheden waarin het ongeautoriseerd openen, verzamelen, gebruiken, openbaar maken, kopiëren, wijzigen of verwijderen van Persoonlijke informatie van Seagate waarschijnlijk zal plaatsvinden.

    3. Paragraaf 6.1 (Kennisgeving van een inbreuk op de gegevensbescherming) van de DPA wordt vervangen door het volgende:

      6.1 Kennisgeving van Inbreuk op de gegevensbescherming. Wanneer het Bedrijf reden heeft om aan te nemen dat een Inbreuk op de gegevensbescherming heeft plaatsgevonden, zal het Bedrijf het Seagate onverwijld schriftelijk op de hoogte stellen van de Inbreuk op de gegevensbescherming en zal Seagate:

      1. de Inbreuk op de gegevensbescherming onderzoeken of redelijke ondersteuning bieden bij het onderzoek;
      2. Seagate informatie verstrekken over de Inbreuk op de gegevensbescherming en onmiddellijk aanvullende relevante informatie verstrekken zodra deze beschikbaar komt; en
      3. commercieel redelijke stappen ondernemen om de schending van de gegevensprivacy in te perken, de gevolgen van de schending van de gegevensprivacy te beperken of Seagate hierbij helpen op kosten van het Bedrijf.
  7. TAIWAN
    1. Toepasselijkheid. De bepalingen van deze Paragraaf 7 van toepassing zijn op persoonsgegevens van Seagate die het bedrijf ontvangt van of waartoe het toegang heeft via een aan Seagate gelieerde onderneming die in Taiwan is gevestigd.
    2. Subverwerkers. Niettegenstaande Paragraaf 2.4(Beperkingen op de verwerking) van de DPA zal het bedrijf geen persoonlijke gegevens van Seagate openbaar maken of overdragen aan, of toegang tot persoonlijke gegevens van Seagate verlenen aan, enige subverwerker zonder de uitdrukkelijke schriftelijke toestemming van Seagate.
    3. Beperkte verwerkingsduur. Het bedrijf zal de persoonsgegevens van Seagate alleen verwerken gedurende de periode die nodig is om de doeleinden van de verwerking te bereiken, tenzij de partijen een andere duur zijn overeengekomen.
    4. Bewaring van toegangsgegevens. Het Bedrijf bewaart toegangsgegevens zolang dit nodig is om te garanderen dat zij periodiek gecontroleerd worden op mogelijk ongeautoriseerde toegang.
  8. THAILAND
    1. Toepasselijkheid. De bepalingen van deze Paragraaf 8 zijn van toepassing wanneer de Thaise wet inzake de bescherming van persoonsgegevens, B.E. 2562 (2019) („PDPA“), zoals van tijd tot tijd gewijzigd en vervangen, van toepassing is op persoonsgegevens van Seagate die het bedrijf ontvangt of waartoe het toegang heeft via een aan Seagate gelieerde onderneming die in Thailand is gevestigd.
    2. Artikel 1.3 van de DPA wordt vervangen door het volgende:

      1.3 "Inbreuk op de gegevensprivacy" betekent een inbreuk op de beveiligingsmaatregelen die leidt tot verlies, toegang, gebruik, wijziging of openbaarmaking van persoonsgegevens op onwettige wijze of zonder toestemming, als gevolg van een opzettelijke, opzettelijke, nalatige, onopzettelijke, onbevoegde of onwettige handeling, of een handeling in verband met computercriminaliteit, cyberdreigingen, fouten of ongelukken, of een andere handeling, zoals voorgeschreven in de kennisgeving uit hoofde van de PGBO.

    3. Paragraaf 1.12De bepalingen van de DPA zullen worden aangepast om de categorieën persoonsgegevens op te nemen die zijn gespecificeerd in artikel 26 van de PDPA.
    4. Beveiligingsnormen. De onderneming zal zich naar beste vermogen inspannen en alle redelijke maatregelen nemen om beveiligingsnormen in te voeren en te handhaven die ten minste in overeenstemming zijn met de vereisten in Bijlage II (Beveiligingsnormen) en met de bepalingen en vereisten zoals vastgelegd in de PDPA en alle andere regels, voorschriften, kennisgevingen en/of beschikkingen die op grond daarvan zijn uitgevaardigd, met inbegrip van, maar niet beperkt tot, de „Kennisgeving van de Commissie voor de bescherming van persoonsgegevens betreffende: „Beveiligingsmaatregelen van de verwerkingsverantwoordelijke B.E. 2565 (2022)”, zoals deze van tijd tot tijd kunnen worden gewijzigd, aangevuld of vervangen.  

De overeenkomst inzake gegevensbescherming treedt in werking op 1 juni 2025. Eerdere versies zijn als volgt te vinden:

 

Gepubliceerd op 31 juli 2025

Gepubliceerd op 20 juni 2024

Gepubliceerd op 8 december 2022

RAPPORT OVER HET KOOLSTOFARM MAKEN VAN GEGEVENS

Duurzaamheid van datacenters in het AI-tijdperk
Over Seagate Ons verhaal  Duurzaamheid  Trust Center  Kwaliteitsgarantie 
Ondersteuning  Productondersteuning  Seagate-softwaredownloads  LaCie-softwaredownloads  Seagate-productregistratie  LaCie-productregistratie  Garantie en vervangingen  Seagate-systemen  Neem contact met ons op 
Nieuws Perskamer  Verhalen over Seagate  Blog 
Investeerders 
Partners  Indirecte partners en wederverkopers  Seagate Direct en leveranciers  Seagate Technology Alliance Program 
Vacatures  De cultuur van Seagate  Seagate-cultuur  Universitaire programma's 
Facebook logo LinkedIn logo YouTube logo X logo Instagram logo
©2026 Seagate Technology LLC Juridisch Privacy Openbaarmaking van kwetsbaarheden EU-GPSR
Sitemap Seagate Brand Portal