DATA PROCESSING AGREEMENT (DPA) – XOLADIO

Deze Data Processing Agreement (“DPA”) maakt integraal deel uit van de overeenkomst tussen de klant en Wulffaert BV, handelend onder de naam Xoladio, en heeft betrekking op de verwerking van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Door het afsluiten van een overeenkomst met Xoladio erkent de klant deze DPA te hebben gelezen en aanvaard.

1. Rollen van de partijen

In het kader van deze DPA treedt de klant op als verwerkingsverantwoordelijke, aangezien de klant het doel en de middelen van de verwerking van persoonsgegevens bepaalt. Xoladio treedt op als verwerker en verwerkt persoonsgegevens uitsluitend in opdracht en ten behoeve van de klant.

Xoladio verwerkt persoonsgegevens enkel zoals vastgelegd in deze DPA, de hoofd­overeenkomst en de toepasselijke wetgeving.

2. Omschrijving van de verwerking

Xoladio verwerkt persoonsgegevens uitsluitend in het kader van het aanbieden en ondersteunen van haar betaaloplossingen, softwareplatformen, NFC-systemen, dashboards en aanverwante diensten voor evenementen, sportclubs, sportcomplexen en gelijkaardige organisaties.

De verwerking kan betrekking hebben op persoonsgegevens van organisatoren, medewerkers, vrijwilligers, leden, bezoekers en gebruikers van events, waaronder identificatiegegevens, contactgegevens, transactiegegevens, saldo’s, toegangsrechten en technische identificatoren. Waar mogelijk worden deze gegevens pseudoniem verwerkt.

De verwerking vindt plaats gedurende de looptijd van de overeenkomst en zolang dit noodzakelijk is voor de uitvoering van de diensten.

3. Verwerkingsinstructies

Xoladio verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de klant, zoals vastgelegd in de overeenkomst en deze DPA. Xoladio zal persoonsgegevens niet verwerken voor eigen doeleinden en zal deze niet gebruiken voor marketing of commerciële exploitatie.

Indien Xoladio van oordeel is dat een instructie van de klant in strijd is met de GDPR of andere toepasselijke wetgeving, zal zij de klant hiervan onverwijld op de hoogte brengen.

4. Vertrouwelijkheid

Xoladio waarborgt dat personen die onder haar gezag persoonsgegevens verwerken, zich hebben verbonden tot vertrouwelijkheid of door een passende wettelijke verplichting tot vertrouwelijkheid zijn gebonden. Persoonsgegevens worden niet bekendgemaakt aan derden, tenzij dit noodzakelijk is voor de uitvoering van de overeenkomst of wettelijk verplicht is.

5. Beveiliging van persoonsgegevens

Xoladio treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, ongeoorloofde toegang, wijziging of openbaarmaking. Deze maatregelen zijn afgestemd op de aard van de verwerkingen en de risico’s die daaraan verbonden zijn.

Om veiligheidsredenen worden de concrete beveiligingsmaatregelen niet publiek toegelicht. Xoladio evalueert deze maatregelen regelmatig en past ze aan waar nodig.

6. Inschakeling van subverwerkers

Voor de uitvoering van haar diensten kan Xoladio gebruikmaken van subverwerkers, zoals betaalproviders en hostingdiensten. In het kader van betalingen worden persoonsgegevens gedeeld met Viva.com. Voor de technische infrastructuur wordt gebruikgemaakt van hostingdiensten die noodzakelijk zijn voor de werking van het platform.

Xoladio ziet erop toe dat subverwerkers voldoende garanties bieden inzake gegevensbescherming en dat zij contractueel gebonden zijn aan verplichtingen die minstens gelijkwaardig zijn aan deze DPA.

7. Doorgifte buiten de Europese Economische Ruimte

Indien persoonsgegevens worden verwerkt buiten de Europese Economische Ruimte, zorgt Xoladio ervoor dat deze doorgifte gebeurt met inachtneming van de GDPR, bijvoorbeeld door het toepassen van passende waarborgen of standaardcontractbepalingen. Waar mogelijk wordt verwerking beperkt tot de EER.

8. Bijstand aan de verwerkingsverantwoordelijke

Xoladio zal, voor zover redelijkerwijs mogelijk, de klant bijstand verlenen bij het nakomen van diens verplichtingen onder de GDPR, waaronder het beantwoorden van verzoeken van betrokkenen en het melden van datalekken. Deze bijstand gebeurt binnen de grenzen van de overeenkomst en tegen redelijke inspanningen.

9. Datalekken

Xoladio zal de klant zonder onredelijke vertraging informeren zodra zij kennis krijgt van een inbreuk in verband met persoonsgegevens. Deze melding bevat de informatie die redelijkerwijs beschikbaar is en die nodig is om de klant in staat te stellen zijn wettelijke verplichtingen na te komen.

10. Audit en controle

De klant heeft het recht om, mits redelijke voorafgaande kennisgeving en zonder de normale werking van Xoladio te verstoren, na te gaan of Xoladio de verplichtingen uit deze DPA naleeft. Eventuele audits worden beperkt in scope en frequentie en gebeuren op een wijze die de vertrouwelijkheid en veiligheid van andere klanten waarborgt.

11. Beëindiging en verwijdering van gegevens

Na beëindiging van de overeenkomst zal Xoladio, naar keuze van de klant en voor zover wettelijk toegestaan, de persoonsgegevens verwijderen of retourneren. Gegevens die Xoladio wettelijk verplicht is te bewaren, mogen worden behouden zolang deze verplichting geldt en worden nadien verwijderd of geanonimiseerd.

12. Aansprakelijkheid

De aansprakelijkheid van Xoladio in het kader van deze DPA is beperkt overeenkomstig de bepalingen inzake aansprakelijkheid zoals opgenomen in de algemene voorwaarden van Xoladio. Xoladio is niet aansprakelijk voor schade die voortvloeit uit instructies of handelingen van de klant die in strijd zijn met de GDPR.

13. Toepasselijk recht

Op deze DPA is uitsluitend het Belgisch recht van toepassing. Geschillen in verband met deze DPA behoren tot de bevoegdheid van de rechtbanken die ook bevoegd zijn voor de algemene voorwaarden van Xoladio.