Overeenkomst Gegevensverwerking
Deze Overeenkomst voor Gegevensverwerking (“DPA”) vormt een elektronische overeenkomst tussen Retail Rocket en de Klant, de partijen die de Opdrachtbrief hebben ondertekend en daarmee de overeenkomst zijn aangegaan over het verlenen van online-marketingdiensten zoals gespecificeerd in de Opdrachtbrief (hierna te noemen: “Overeenkomst” en “Diensten”, dienovereenkomstig) met betrekking tot de verwerking van de persoonsgegevens.
De Klant gaat deze DPA namens zichzelf aan, en Retail Rocket zal in het kader van de aan de Klant geleverde Diensten (a) persoonsgegevens verwerken waarvan de Klant de verantwoordelijke is namens de Klant (“Klant” betekent in dit verband de eindklant/de eindgebruiker) en Retail Rocket treedt op als gegevensverwerker; (b) namens de Klant informatie opslaan en/of toegang hebben tot informatie die is opgeslagen in de eindapparatuur van een internetgebruiker (hierna te noemen het plaatsen van of toegang hebben tot “Cookies”) of (c) namens de Klant gevraagd commerciële elektronische berichten versturen;
1. Onderwerp van de Overeenkomst inzake de Verwerking van Gegevens
1.1. Deze DPA is uitsluitend van toepassing op (a) de verwerking van persoonsgegevens waarvan de Klant gegevensbeheerder is, (b) de opslag van en/of toegang tot Cookies namens de Klant ten behoeve van de levering van de Diensten, en (c) het verzenden van gevraagde commerciële berichten in het kader van de Diensten die krachtens de Overeenkomst namens de Klant worden geleverd.
1.2. In deze DPA zullen de termen ” gegevensbeheerder”, “gegevensverwerker”, “persoonsgegevens” en “verwerking” de betekenis hebben zoals bepaald in artikel 4 van de Verordening (EU) 2016/679, van 27 april 2016, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (hierna Algemene Verordening Gegevensbescherming of GDPR genoemd).
1.3. De Klant is verantwoordelijk voor de naleving van de toepasselijke wetgeving inzake gegevensbescherming, met name de Algemene Verordening Gegevensbescherming. De Klant garandeert dat de persoonsgegevens die aan Retail Rocket worden verstrekt voor de levering van de Diensten zijn verzameld in overeenstemming met de toepasselijke wetgeving en dat hij gemachtigd is om de genoemde gegevens aan Retail Rocket te verstrekken voor verwerking in overeenstemming waarmee is vastgelegd in de DPA.
2. Rechten en verplichtingen
2.1. Met betrekking tot de verwerking van persoonsgegevens met betrekking tot de Diensten is de Klant de Beheerder en Retail Rocket de Verwerker.
2.2. Als Beheerder bepaalt de Klant de middelen voor de verwerking van persoonsgegevens, alsook de doeleinden daarvan. Het belangrijkste doel van de verwerking van persoonsgegevens is om de Diensten te verlenen zoals uiteengezet in de Toestemming voor de verwerking van persoonsgegevens (Toestemming voor de verwerking van persoonsgegevens betekent in dit verband de Toestemming voor de verwerking van persoonsgegevens met de eindklant zoals uiteengezet in artikel 6 (1) van de GDPR), waarin de details in verband met de verwerking van persoonsgegevens worden bepaald, die schriftelijk kunnen worden gewijzigd en/of bijgewerkt.
2.3. Als Gegevensverwerker stemt Retail Rocket ermee in om de persoonsgegevens alleen te verwerken namens de Klant en alleen voor de doeleinden zoals uitsluitend bepaald door de Klant en zoals nodig om de Diensten te verlenen, behalve wanneer dit nodig is om te voldoen aan een wettelijke verplichting waaraan de Gegevensverwerker is onderworpen, of om instructies van de Beheerder op te volgen. Retail Rocket zal de persoonsgegevens niet doorgeven aan een derde partij, tenzij de wet waaraan de Gegevensverwerker is onderworpen hen daartoe dwingt, of de Klant daartoe instructies heeft gegeven in overeenstemming met de bepalingen van de GDPR.
2.4. Het is Retail Rocket toegestaan om aan de hand van de instructies van de Beheerder, krachtens de vereisten van de GDPR, de keuze en het gebruik van de middelen die zij noodzakelijk acht toe te passen, om de door de Klant bepaalde doeleinden na te streven.
2.5. Retail Rocket zal de persoonsgegevens alleen verwerken op gedocumenteerde instructies van de Klant, ook met betrekking tot de overdracht van persoonsgegevens aan een derde land of een internationale organisatie, tenzij de wet waaraan de Gegevensverwerker is onderworpen, daartoe verplicht; in dat geval stelt de Gegevensverwerker de Beheerder vóór de verwerking in kennis van die wettelijke verplichting, tenzij die wet die informatie om zwaarwegende redenen van algemeen belang verbiedt. Retail Rocket stelt de Beheerder onmiddellijk in kennis indien een instructie naar zijn mening in strijd is met deze verordening of met andere bepalingen inzake gegevensbescherming van de Unie of de lidstaten.
2.6. De Opdrachtgever garandeert Retail Rocket de beschikbaarheid van bewijsmateriaal ter bevestiging van de verzameling van de door de Opdrachtgever ontvangen Toestemming voor Verwerking van Persoonsgegevens van de gebruiker in overeenstemming met de toepasselijke wetgeving en overlegt dit te allen tijde aan Retail Rocket op verzoek van laatstgenoemde. In het geval dat een vordering wordt ingesteld tegen Retail Rocket wegens inbreuk op de privacyrechten van een derde partij die rechtstreeks voortvloeit uit de levering van de Diensten onder de Overeenkomst, zal de Opdrachtgever op eigen kosten alle daaruit voortvloeiende geschillen en alle onderhandelingen voor een schikking van de vordering voeren en/of begeleiden. De Klant zal de kosten dragen van elke betaling die moet worden gedaan bij een schikking of als gevolg van een uitspraak in een vonnis tegen Retail Rocket in het geval van een rechtszaak.
3. Beveiliging
3.1. Retail Rocket neemt passende technische en organisatorische maatregelen om de beveiliging van de verwerking van persoonsgegevens te waarborgen. Deze maatregelen kunnen bestaan uit:
(a) maatregelen die ervoor zorgen dat de persoonsgegevens alleen toegankelijk zijn voor bevoegd personeel voor de in bijlage 1 bij de DPA genoemde doeleinden;
(b) passende maatregelen om de persoonsgegevens te beschermen tegen toevallige of onrechtmatige vernietiging, toevallig verlies of wijziging, ongeoorloofde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
(c) maatregelen om kwetsbaarheden vast te stellen met betrekking tot de verwerking van persoonsgegevens in systemen die worden gebruikt om diensten aan de Klant te verlenen.
3.2. Retail Rocket zorgt ervoor dat personen die bevoegd zijn om de persoonsgegevens te verwerken zich tot geheimhouding hebben verplicht of een passende wettelijke geheimhoudingsplicht hebben.
3.3. Retail Rocket maakt gebruik van alle maatregelen die vereist zijn op grond van artikel 32 van de GDPR.
3.4. Rekening houdend met de aard van de verwerking staat Retail Rocket de Klant bij met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichting van de Klant om te reageren op verzoeken tot uitoefening van de in hoofdstuk III van de GDPR vastgelegde rechten van de betrokkene.
3.5. Retail Rocket staat de Klant bij in het waarborgen van de naleving van de verplichtingen op grond van de artikelen 32 tot en met 36 van de GDPR, rekening houdend met de aard van de verwerking en de informatie waarover de Gegevensverwerker beschikt.
3.6. Retail Rocket stelt aan de Klant alle informatie ter beschikking die nodig is om de naleving van de in dit artikel beschreven verplichtingen aan te tonen en geeft toestemming voor inspecties, uitgevoerd door de Klant of een andere door de Beheerder gemandateerde auditor, en draagt ook bij aan audits.
4. Gegevensoverdracht
4.1. De Klant stemt ermee in dat indien de Diensten een (geplande) permanente of tijdelijke overdracht van persoonsgegevens naar een land binnen het Europees Economisch Gebied met zich meebrengen, een dergelijke overdracht van persoonsgegevens is toegestaan en gemachtigd.
4.2. Retail Rocket is door Klant gemachtigd om persoonsgegevens door te geven aan de ondernemingen van haar groep die binnen het Europees Economisch Gebied en de USA zijn gevestigd en diensten verlenen ter ondersteuning van de activiteiten waarop de Diensten betrekking hebben, en is gemachtigd om de gegevens over te dragen aan de bevoegde sub-verwerker van Retail Rocket binnen het Europees Economisch Gebied en de USA zoals uiteengezet in Bijlage 2.
5. Contracten met Sub-verwerkers
5.1. Door zich te houden aan de voorwaarden van deze DPA geeft de Klant Retail Rocket machtiging en stemt hij ermee in een deel van diens activiteiten, die bestaan uit de verwerking van de persoonsgegevens of de aanvraag van persoonsgegevens in het kader van de verlening van de Diensten uit te besteden aan een derde partij, met inbegrip van de diensten die daarmee verband houden of die nodig zijn voor de verlening ervan.
5.2. Retail Rocket zal geen andere verwerker uitbesteden zonder voorafgaande schriftelijke specifieke of algemene toestemming van de Klant. In geval van algemene schriftelijke toestemming zal Retail Rocket de Klant informeren over elke gewenste wijziging betreffende de toevoeging of vervanging van andere verwerkers, waarbij de Klant de mogelijkheid krijgt om binnen een termijn van 15 (vijftien) dagen zich tegen deze wijzigingen te verzetten.
5.3. Retail Rocket draagt er zorg voor dat de sub-verwerker gebonden is aan Retail Rocket’s verplichtingen uit hoofde van dezelfde overeenkomst inzake gegevensbescherming en ziet toe op de naleving daarvan.
5.4. Het inschakelen van sub-verwerkers is onderworpen aan de bepalingen in artikel 28.4 van de Algemene Verordening Gegevensbescherming.
6. Registratie van verwerkingsactiviteiten
6.1. De Klant houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen. Dit register bevat de informatie als bedoeld in artikel 30, lid 1, a-g, van de algemene verordening gegevensbescherming.
7. Teruggave of Vernietiging van Persoonsgegevens
7.1. Bij beëindiging van de DPA worden de persoonsgegevens die aan de Diensten zijn verstrekt binnen 180 (honderdtachtig) dagen inactief gehouden en na afloop van deze periode met alle bestaande kopieën gewist, tenzij de Klant naar eigen keuze en op schriftelijk verzoek vraagt om: 1) eerdere verwijdering van deze persoonsgegevens van de Klant binnen deze periode; 2) teruggave van alle persoonsgegevens van de Klant met of zonder verstrekking van kopieën van de persoonsgegevens van de Klant. Retail Rocket kan evenwel een afdoende beveiligde kopie van de gegevens bewaren, voor zover uit de uitvoering van de dienstverlening aansprakelijkheid voortvloeit of tenzij het bewaren van die persoonsgegevens krachtens de toepasselijke wetgeving verplicht is.
7.2. Retail Rocket zal alle derden die betrokken zijn bij de verwerking van de persoonsgegevens in kennis stellen van de beëindiging van de DPA, en van de vernietiging van de persoonsgegevens, en zal ervoor zorgen dat al deze derden de persoonsgegevens eveneens vernietigen.
7.3. Met inachtneming van artikel 17 van de GDPR zal Retail Rocket ook overgaan tot het wissen van persoonsgegevens, indien een betrokkene de Klant heeft verzocht deze gegevens te wissen.
8. Aanbrengen van en toegang tot cookies
8.1. Indien in het kader van de Diensten Cookies worden aangebracht of ingezien door Retail Rocket of een door Retail Rocket namens de Klant ingeschakelde derde, is de Klant zelf verantwoordelijk voor de naleving van de toepasselijke wet- en regelgeving.
De klant zal derhalve:
(a) de internetgebruiker duidelijke en volledige informatie verstrekken (welke informatie geheel of gedeeltelijk door Retail Rocket namens de Klant kan worden verstrekt), in overeenstemming met de toepasselijke wet- en regelgeving, ten minste over het gebruik van Cookies en soortgelijke technologie (HTML5,. ) (hierna beschreven als “Cookies”); de doeleinden van plaatsing en toegang van de Cookies; type cookies; de verwerking van de gegevens verkregen door middel van de Cookies door de Klant en door Retail Rocket of een door Retail Rocket ingeschakelde derde als gegevensverwerker voor de levering van Diensten aan de Klant; en de doeleinden van deze verwerking krachtens de bepalingen van de Algemene Verordening voor Gegevensbescherming. De Klant beschikt over een duidelijke Privacyverklaring, Disclaimer en Cookieverklaring.
(b) (voorafgaande) toestemming verkrijgen (via de “opt-in” methode) van de internetgebruiker voor de plaatsing van Cookies alsook de toegang ertoe, door Retail Rocket of een door Retail Rocket ingeschakelde derde partij, en voor de gegevensverwerking die langs die weg is verkregen voor de doeleinden waarvan ingevolge het bovenstaande artikel 8.1.a kennis is gegeven.
(c) De gebruiker informatie verstrekken over hoe hij/zij zijn of haar toestemming kan intrekken en de Cookies van de Klant en die van derden (Retail Rocket en/of een door Retail Rocket ingeschakelde derde) kan verwijderen.
8.2. De Klant zal Retail Rocket onmiddellijk schriftelijk op de hoogte stellen indien een gebruiker zijn geldig verleende toestemming herroept om het gebruik van de persoonsgegevens te beëindigen en de Cookies te verwijderen.
9. De verzending van aangevraagde Commerciële Elektronische Berichten
9.1. Indien Retail Rocket in het kader van de Diensten namens de Klant gevraagde commerciële elektronische berichten verstuurt, is de Klant (als verzender) als enige verantwoordelijk voor de naleving van de toepasselijke wet- en regelgeving.
De Klant zal daarom:
(a) de voorafgaande (vrijwillige, specifieke en goed geïnformeerde) toestemming van de ontvanger van het elektronisch bericht verkrijgen, deze toestemming wordt geregistreerd, en ervoor zorgen dat adequate maatregelen worden genomen om te bewijzen dat deze toestemming is verkregen; en
(b) de noodzakelijke informatie verstrekken zoals vereist door de toepasselijke wet- en (zelf)regelgeving; en
(c) een recht van verzet bieden inclusief een e-mailadres van de Klant waar dit recht kan worden uitgeoefend, indien van toepassing, op het moment van het verkrijgen van de elektronische contactgegevens van de ontvanger (‘klant’) en/of in elk volgend commercieel elektronisch bericht dat door Retail Rocket namens de Klant wordt verzonden; en een eenvoudig en kosteloos mechanisme bieden voor de gebruiker om het recht op herroeping van zijn/haar toestemming uit te oefenen inclusief een e-mailadres van de Klant hiervoor bedoeld.
De Klant zal Retail Rocket onmiddellijk schriftelijk in kennis stellen, indien een van de gebruikers die de elektronische berichten ontvangt zijn/haar recht van verzet uitoefent of zijn/haar toestemming heeft ingetrokken, om de verzending van de elektronische berichten aan deze gebruiker te beëindigen.
De Klant is er als enige verantwoordelijk voor dat het aangevraagde elektronische bericht vóór verzending voldoet aan de door de toepasselijke wet- en regelgeving gestelde eisen ten aanzien van de inhoud en de daarin op te nemen informatie, waarbij onder meer de e-mail duidelijk als “commerciële communicatie” moet worden aangeduid en de identificatiegegevens van de Klant als afzender moeten worden verstrekt.
10. Samenwerking met de toezichthoudende autoriteit
10.1. De Klant en Retail Rocket, en in voorkomend geval hun vertegenwoordigers, verlenen desgevraagd hun medewerking aan de toezichthoudende autoriteit bij de uitvoering van haar taken.
11. Melding van een inbreuk op persoonsgegevens aan de toezichthoudende autoriteit
11.1. In het geval van een inbreuk op persoonsgegevens meldt de Beheerder zonder onnodige vertraging en, indien haalbaar, binnen 72 (tweeënzeventig) uur nadat hij er kennis van heeft genomen, de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit, overeenkomstig artikel 33 van de GDPR.
12. Duur en beëindiging
12.1. De duur van de gegevensverwerking krachtens deze DPA is tot de beëindiging van de geleverde Diensten in overeenstemming met de Overeenkomst gesloten tussen Retail Rocket en de Klant, plus de periode vanaf het verstrijken van de Overeenkomst tot de verwijdering van de Persoonsgegevens door Retail Rocket in overeenstemming met de voorwaarden van deze DPA.
12.2. De beëindiging van de Overeenkomst op welke grond dan ook zal de automatische beëindiging van deze overeenkomst gegevensverwerking tot gevolg hebben.
Bijlage 1: Persoonsgegevens die in het kader van de Diensten zullen worden verwerkt en de doeleinden waarvoor deze gegevens zullen worden verwerkt
1. Doeleinden van de verwerking van persoonsgegevens
Retail Rocket verwerkt persoonsgegevens om de winkelervaring van websitebezoekers te verbeteren door productaanbevelingen aan te passen op basis van de interesses en surfgeschiedenis van elke bezoeker.
2. Voor de verwerking van persoonsgegevens gebruikt Retail Rocket de volgende Cookies
| Naam Cookie | Doel van de Cookie |
| rcuid | Unieke gebruikersidentificatie |
| rrpuid | Unieke gebruikersidentificatie voor A/B testen van productaanbevelingen |
| rr-VisitorSegment | Segment van een gebruiker in een A/B-test |
| rrpusid | Unieke sessie-id, gebruikt voor het volgen van verschillende mensen die hetzelfde apparaat gebruiken |
| rrlpuid | Van de klant ontvangen bezoekersidentificatiecode |
| rrrbt | Deze cookie slaat een signaal op dat een bezoeker een robot is (bijv. een geautomatiseerde zoekmachine-crawler). |
| rrviewed | Numerieke identificatiecode van tien recent bekeken producten |
| rr-viewItemId | Numerieke identificatiecode van het laatst bekeken product |
| rrbasket | Numerieke identificatiecode van tien recentelijk aan de winkelwagen toegevoegde producten |
| rr-addToBasketItemId | Numerieke identificatiecode van het laatst toegevoegde product in de winkelwagen |
| rr-RecomAddToCartItemId | Numerieke identificatiecode van het laatst aan de winkelwagen toegevoegde product uit een reeks aanbevelingen van Retail Rocket. |
| rr-RecomItemId | Numerieke identificatiecode van een product waarop werd geklikt via een reeks aanbevelingen van Retail Rocket. |
| rr-MethodName | Algoritmenaam die een aanbeveling van een product genereerde waarop werd geklikt door een reeks aanbevelingen van Retail Rocket |
| rr-subFormLastView | Deze cookie slaat een signaal op dat de pop-up voor het verkrijgen van een exit-mail voor de eerste keer werd getoond. |
| rrmailid | Unieke identificatiecode van de Retail Rocket e-mail waarop een bezoeker heeft geklikt |
| rrutmsource | Deze cookie slaat de waarde op van de meest recente utm_source URL-parametr |
3. Ten behoeve van de verwerking van persoonsgegevens kan Retail Rocket de volgende bezoekersacties bijhouden
a. Elke paginaweergave
b. Paginaweergave productcategorie
c. Paginaweergave product
d. Toevoegen aan winkelwagentje
e. Aankoop
f. Interne zoekopdracht website
g. Inschrijving op de e-mail-nieuwsbrief
h. Klikken op productaanbevelingen
i. Klikken in door Retail Rocket verzonden e-mails
j. Interacties met Retail Rocket website widgets
4. Voor de verwerking van persoonsgegevens kan Retail Rocket Browser Local Storage (ook bekend als HTML5 Local Storage) gebruiken om gegevens over de volgende bezoekersacties op te slaan
a. Elke paginaweergave
b. Paginaweergave productcategorie
c. Paginaweergave product
d. Toevoegen aan winkelwagentje
e. Aankoop
f. Interne zoekopdracht website
g. Inschrijving op de e-mail-nieuwsbrief
h. Klikken op productaanbevelingen
i. Klikken in door Retail Rocket verzonden e-mails
j. Interacties met Retail Rocket website widgets
Deze informatie wordt opgeslagen in de string retailRocketEvents in JSON-formaat. Elke event wordt 24 uur opgeslagen.
Bijlage 2: De lijst van de erkende sub-verwerkers.
| 1. Entiteit | 2. Adres, inclusief rechtsbevoegdheid | 3. Opdracht(en) | 4. Overdracht van oplossing |
| Retail Rocket Iberia, SL | Edificio K2M. C/ Jordi Girona, 1. Planta 2, 08034 Barcelona, España. | Websitepersonalisatie. Getriggerde e-mails.Smart Opt-In Formulier.E-mail personalisatie. | Toepasselijk land |
| Retail Rocket Germany GmbH | Horbeller Str. 31,50858Cologne, Germany | Websitepersonalisatie. Getriggerde e-mails.Smart Opt-In Formulier.E-mail personalisatie. | Toepasselijk land |
| Retail Rocket Netherlands B.V. | Laan van Vredenoord 33, 2289 DA Rijswijk, the Netherlands | Websitepersonalisatie. Getriggerde e-mails. Smart Opt-In Formulier. E-mail personalisatie. | Toepasselijk land |
| Amazon Services Europe S.à.r.l. | 5, Rue Plaetis, L‐2338 Luxembourg | Infrastructuurdienst voor objectopslag. Voert code uit in antwoord op events en beheert automatisch computerbronnen. Wereldwijde CDN-dienst (content delivery network). | Toepasselijk land |
| Google Netherlands BV | Claude Debussylaan 34/15EETAGE 1082 MD Amsterdam, The Netherlands | Data-analyse Mail Server | Toepasselijk land |
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen Germany | Hostingdiensten | Toepasselijk land |
| Baker Tilly Business Consulting Services S.A. | Patmou & Olympou, Marousi 15123 Athens, Greece | Functionaris voor gegevensbescherming (DPO) | Toepasselijk land |
| Pipedrive UK Limited | Hogarth House, 136 High Holborn, London, England, WC1V 6PX | CRM | Toepasselijk land |
| Sailplay, Inc. | 401 Park Ave South, 9th Floor New York, NY 10016 (USA) | CRM, Loyaliteit, Campagnes, Analytics. | Standaardcontractbepalingen (SCC) |
| Vodafone Libertel B.V. | Avenue Ceramique 300, 6221 KX, Maastricht, The Netherlands | Telefoonverkeer | Toepasselijk land |