Gegevensverwerkingsovereenkomst

"Persoonsgegevens" betekent alle informatie met betrekking tot een geidentificeerde of identificeerbare natuurlijke persoon zoals gedefinieerd in artikel 4, lid 1, van de AVG. "Verwerking" betekent elke bewerking uitgevoerd op Persoonsgegevens, zoals gedefinieerd in artikel 4, lid 2, van de AVG. "Betrokkene" betekent de geidentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben. "Subverwerker" betekent elke derde partij die door ons wordt ingeschakeld om Persoonsgegevens namens u te verwerken. "Beveiligingsincident" betekent elke inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot Persoonsgegevens.

Deze GVO is van toepassing op alle Verwerking van Persoonsgegevens door ons namens u in verband met FaceShot. De partijen erkennen dat: • U de Verwerkingsverantwoordelijke van Persoonsgegevens bent • Wij de Verwerker zijn die handelt namens u en op uw instructies Het onderwerp, de duur, de aard en het doel van de Verwerking, evenals de soorten Persoonsgegevens en categorien van Betrokkenen, worden beschreven in Bijlage 1 van deze GVO.

Wij zullen: • Persoonsgegevens alleen verwerken op basis van uw gedocumenteerde instructies, tenzij wettelijk vereist • Ervoor zorgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken gebonden zijn door vertrouwelijkheid • Passende technische en organisatorische beveiligingsmaatregelen implementeren • Geen Subverwerkers inschakelen zonder voorafgaande toestemming (zie onze Subverwerkerlijst) • U bijstaan bij het reageren op verzoeken van Betrokkenen • U bijstaan bij het waarborgen van naleving van AVG artikelen 32-36 • Alle Persoonsgegevens verwijderen of retourneren bij beeindiging, tenzij bewaring wettelijk vereist is • Informatie beschikbaar stellen die nodig is om naleving aan te tonen en audits mogelijk te maken

U machtigt ons om Subverwerkers in te schakelen om Persoonsgegevens namens u te verwerken, onder voorbehoud van deze GVO. Wij onderhouden een lijst van huidige Subverwerkers op /legal/subprocessors. Wij zullen u op de hoogte stellen van eventuele voorgenomen wijzigingen in Subverwerkers, waarbij u de mogelijkheid krijgt om bezwaar te maken. Wij zullen schriftelijke overeenkomsten aangaan met elke Subverwerker die gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan deze GVO.

Persoonsgegevens kunnen worden overgedragen naar en verwerkt in landen buiten de Europese Economische Ruimte (EER). Wij zorgen ervoor dat dergelijke overdrachten voldoen aan AVG Hoofdstuk V, met behulp van: • Standaard Contractbepalingen (SCB's) goedgekeurd door de Europese Commissie • Overdrachten naar landen met adequaatheidsbesluiten • Andere geldige overdrachtsmechanismen onder de AVG Op verzoek verstrekken wij kopien van de geldende overdrachtsmechanismen.

Wij zullen u zonder onnodige vertraging (en in elk geval binnen 48 uur) op de hoogte stellen nadat wij kennis hebben genomen van een Beveiligingsincident dat uw Persoonsgegevens treft. De melding omvat: • Beschrijving van de aard van het incident • Categorien en bij benadering aantal getroffen Betrokkenen • Waarschijnlijke gevolgen van het incident • Maatregelen die zijn genomen of voorgesteld om het incident aan te pakken Wij zullen met u samenwerken bij het onderzoek, de beperking en het herstel van elk Beveiligingsincident.

Op redelijk verzoek en met inachtneming van vertrouwelijkheidsverplichtingen, zullen wij informatie beschikbaar stellen die nodig is om naleving van deze GVO aan te tonen. U kunt een audit uitvoeren om onze naleving te verifieren, met inachtneming van: • Redelijke voorafgaande kennisgeving (minimaal 30 dagen) • Audits tijdens normale kantooruren • Reikwijdte beperkt tot relevante faciliteiten en dossiers • Akkoord van de auditor met vertrouwelijkheid

Deze GVO is van kracht vanaf de datum waarop u onze Servicevoorwaarden accepteert en blijft van kracht tot de beeindiging van de Diensten. Bij beeindiging: • Zullen wij, naar uw keuze, alle Persoonsgegevens verwijderen of retourneren • Bestaande kopien worden binnen 90 dagen verwijderd (tenzij bewaring wettelijk vereist is) • Op verzoek zullen wij de verwijdering schriftelijk bevestigen

Onderwerp: Verwerking van Persoonsgegevens zoals noodzakelijk voor het leveren van FaceShot. Duur: Voor de looptijd van de Dienstverleningsovereenkomst plus eventuele wettelijk vereiste bewaartermijn. Aard en Doel: • Levering van de AI-profielfotogeneratiedienst • Gebruikersauthenticatie en accountbeheer • Analyse en dienstverbetering • Facturering en betalingsverwerking Soorten Persoonsgegevens: • Contactgegevens (e-mail, naam) • Accountgegevens • Fotos geupload voor verwerking • Gebruiksgegevens en logbestanden • Betalingsinformatie (verwerkt door Stripe) Categorien van Betrokkenen: • Geregistreerde gebruikers van FaceShot • Personen afgebeeld op geüploade fotos (met toestemming)