Inleiding tot de Gegevensverwerkingsovereenkomst van Uber

Uber vereist dat zijn leveranciers akkoord gaan met de voorwaarden die zijn uiteengezet in de Gegevensverwerkingsovereenkomst (DPA, Data Processing Agreement) die van toepassing is op de verwerking van Vertrouwelijke informatie van Uber, met inbegrip van Persoonsgegevens van Uber.

Deze voorwaarden zijn bedoeld om de vertrouwelijkheid en veiligheid van de Vertrouwelijke informatie van Uber te beschermen en om Uber in staat te stellen te voldoen aan de vereisten onder de wereldwijde wetgeving inzake gegevensbescherming, met inbegrip van en indien van toepassing (op basis van de verwerking van Persoonsgegevens van Uber door leveranciers) de Algemene Verordening Gegevensbescherming van de Europese Unie ('AVG'), de Braziliaanse wetgeving Lei Geral de Proteção de Dados Pessoais ('LGPD'), de Australische Privacywet, de Indiase wet op de bescherming van persoonsgegevens en de privacywetten van de Verenigde Staten, waaronder de California Consumer Privacy Act ('CCPA').

De DPA heeft specifiek betrekking op:

1. Algemene vereisten en beperkingen met betrekking tot de verwerking van Vertrouwelijke informatie van Uber door leveranciers, waaronder met betrekking tot gegevensbeveiliging, gegevensbeveiligingsincidenten, risicobeoordelingen en -audits, het bewaren en verwijderen van gegevens en het gebruik van subverwerkers.
   
2. Aanduiding van de rollen die Uber en leveranciers spelen met betrekking tot de verwerking van Persoonsgegevens van Uber.
   1. Krachtens de DPA moeten de partijen specifiek aangeven of elk van hen optreedt als:
      1. een 'Verwerkingsverantwoordelijke' of 'Verwerker'
      2. een 'Bedrijf', 'Serviceprovider', 'Opdrachtnemer' of 'Externe partij' zoals deze termen zijn gedefinieerd in de CCPA.
   2. De DPA specificeert ook de verantwoordelijkheden van elke partij op basis van de bovenstaande aanduidingen.

Laat het de Uber-contactpersoon weten als je vragen hebt over de DPA van Uber.

GEGEVENSVERWERKINGSOVEREENKOMST VAN UBER

In deze Gegevensverwerkingsovereenkomst ('Overeenkomst') zijn de vereisten uiteengezet die van toepassing zijn op de Verwerking door de Leverancier van: (1) Vertrouwelijke informatie van Uber, waaronder Persoonsgegevens van Uber (zie Artikel 2 hieronder); en (2) Persoonsgegevens van Uber (zie Artikel 3 hieronder).

Deze Overeenkomst maakt deel uit van de hoofdovereenkomst(en) tussen Uber en het bedrijf of de entiteit ('Leverancier') (elk afzonderlijk een Partij en gezamenlijk de 'Partijen') en alle verdere overeenkomsten die in het kader daarvan worden uitgevoerd (gezamenlijk de 'Hoofdovereenkomst').

ARTIKEL 1: DEFINITIES

Naast de hieronder gedefinieerde termen hebben 'Bedrijf', 'Opdrachtnemer', 'Verkoop', 'Verkopen', 'Serviceprovider' en 'Delen' de betekenissen die zijn uiteengezet in de CCPA/CPRA.

1. Verwerkingsverantwoordelijke: een natuurlijke of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt.
2. Wetgeving inzake gegevensbescherming: alle wet- en regelgeving die van toepassing is op de Verwerking van Persoonsgegevens van Uber onder deze DPA.
   
3. Betrokkene: een natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
4. Gegevensbeveiligingsincident: elke daadwerkelijke of redelijkerwijs vermoede ongeautoriseerde toegang tot, of verwerving of onwettige Verwerking van, Vertrouwelijke informatie van Uber, of aantasting van de beveiliging of integriteit van dergelijke Vertrouwelijke informatie van Uber of een systeem dat door de Leverancier of zijn Subverwerkers wordt gebruikt voor het Verwerken van dergelijke gegevens .
   
5. Verwijderen: het zodanig fysiek of logisch vernietigen van Vertrouwelijke informatie van Uber dat deze niet kan worden hersteld.
   
6. Ontdekking: elk geval waarin de Leverancier een Gegevensbeveiligingsincident ontdekt, op de hoogte wordt gesteld van een Gegevensbeveiligingsincident of een Gegevensbeveiligingsincident zou hebben ontdekt als hij redelijke zorgvuldigheid had betracht.
   
7. Persoonsgegevens: alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare Betrokkene.
   
8. Verwerken: elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens of op sets Persoonsgegevens, al dan niet met geautomatiseerde middelen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemmen of combineren, beperken, wissen of vernietigen.
   
9. Verwerker: een natuurlijke of rechtspersoon die persoonsgegevens verwerkt namens een Verwerkingsverantwoordelijke.
   
10. Subverwerker: een Verwerker die door de Leverancier is ingeschakeld voor het Verwerken van Vertrouwelijke informatie van Uber.
    
11. Systeem: elk(e) bestandssysteem, computersysteem, database, apparaat, apparatuur, server, website, applicatie, software, opslagmedia, netwerk, infrastructuur, netwerkomgeving of domein, met inbegrip van, zonder beperking, alle ontwikkelings-, kwaliteitsborgings-, test- en productieomgevingen.
    
12. Uber: Uber Technologies, Inc. en alle dochterondernemingen of gelieerde ondernemingen van Uber.
    
13. Betrokkene van Uber: Elke Betrokkene wiens Persoonsgegevens van Uber door de Leverancier worden of zullen worden Verwerkt.
    
14. Persoonsgegevens van Uber: Persoonsgegevens van Betrokkenen van Uber die door de Leverancier worden verwerkt in het kader van de Overeenkomst.
    
    In het kader van deze Overeenkomst omvatten de Persoonsgegevens van Uber niet de naam en contactgegevens van de Uber-medewerkers die verantwoordelijk zijn voor de interactie met de Leverancier met betrekking tot de Hoofdovereenkomst, evenals andere Persoonsgegevens die de Leverancier incidenteel heeft ontvangen als gevolg van deze interacties.
    
15. Vertrouwelijke informatie van Uber: alle gegevens, records of informatie, inclusief Persoonsgegevens van Uber, die eigendom zijn van of worden beheerd door Uber en die door of namens Uber worden bekendgemaakt, verstrekt of beschikbaar worden gesteld aan de Leverancier, of worden verzameld, gecreëerd, onderhouden of gebruikt door de Leverancier namens Uber, in verband met de Diensten, zoals verder beschreven in de Overeenkomst.
    
16. Uber-systeem: elk systeem dat eigendom is van, in licentie wordt gegeven door, wordt beheerd of gecontroleerd door Uber of waartoe Uber aan de Leverancier toegang heeft verleend.

ARTIKEL 2: VEREISTEN: VERTROUWELIJKE INFORMATIE VAN UBER

1. Gegevensbeveiliging: De Leverancier dient passende fysieke, administratieve, organisatorische en technische veiligheidsmaatregelen en andere beveiligingsmaatregelen te treffen om de integriteit, beveiliging en vertrouwelijkheid van de Vertrouwelijke informatie van Uber te handhaven. Deze maatregelen omvatten ten minste de maatregelen die zijn uiteengezet in Appendix 1 bij deze Overeenkomst.
2. Beveiligingsmanager: De Leverancier wijst een persoon aan die verantwoordelijk is voor het beheren en coördineren van de uitvoering van de verplichtingen van de Leverancier uit hoofde van deze Overeenkomst en voor het beschikbaar stellen hiervan aan Uber gedurende de looptijd van de Hoofdovereenkomst.
3. Gegevensbeveiligingsincidenten
   1. Onderzoek. De Leverancier neemt alle redelijke maatregelen na de Ontdekking van een Gegevensbeveiligingsincident om de oorzaak, de aard en de omvang van de compromittering van een dergelijk Gegevensbeveiligingsincident volledig en grondig te onderzoeken op kosten van de Leverancier; de gevolgen van het Gegevensbeveiligingsincident te verhelpen en beperken; en alle benodigde of aangevraagde informatie aan Uber te verstrekken zodat Uber kan voldoen aan de toepasselijke wetgeving en interne responsprocessen voor Gegevensbeveiligingsincidenten. Op aanvraag van Uber verstrekt de Leverancier uitgebreide aanvullende rapporten over zijn onderzoek en bevindingen. De Leverancier verleent op eigen kosten volledige medewerking aan Uber bij het onderzoeken van en reageren op elk Gegevensbeveiligingsincident, onder meer door Uber en/of de onderzoeker van Uber onmiddellijk toegang te verlenen tot zijn Systemen en/of faciliteiten.
      
   2. Kennisgeving aan Uber. De Leverancier stelt Uber binnen achtenveertig (48) uur na de Ontdekking op de hoogte via de Uber-personen die zijn, of het Uber-team dat is aangewezen om kennisgevingen te ontvangen onder de Hoofdovereenkomst, en via e-mail naar vendorsecurity@uber.com. De Leverancier dient in een dergelijke kennisgeving het volgende op te nemen en daarna zo nodig aan te vullen:
      1. een beschrijving van het Gegevensbeveiligingsincident, inclusief de oorzaak (indien identificeerbaar), locatie, datum/tijd en het Gegevensbeveiligingsincident en de ontdekking ervan;
         
      2. een beschrijving van de stappen die de Leverancier heeft genomen of zal nemen om het Gegevensbeveiligingsincident te onderzoeken en de impact ervan te beperken;
         
      3. de soorten en omvang van de betreffende Vertrouwelijke informatie van Uber, inclusief of de gegevens zijn versleuteld of bewerkt;
         
      4. het aantal, de locatie (staat/land) en de identiteit van alle betroffen Betrokkenen van Uber (indien van toepassing), inclusief indien vereist door de toepasselijke Wetgeving inzake gegevensbescherming, het aantal betrokken kinderen, jongeren of oudere Betrokkenen van Uber;
         
      5. de verwachte gevolgen van het Gegevensbeveiligingsincident;
         
      6. een beschrijving van de maatregelen die de Leverancier heeft genomen of van plan is te nemen om dergelijke gevolgen te beperken en de Vertrouwelijke informatie van Uber verder te beveiligen; en
         
      7. de plannen van de Leverancier voor corrigerende maatregelen naar aanleiding van het Gegevensbeveiligingsincident.
   3. Kennisgevingen aan Externe partijen. De Leverancier helpt Uber bij het verstrekken van wettelijk vereiste kennisgevingen aan betrokkenen, toezichthouders of andere externe partijen ('Verplichte kennisgeving'). In een dergelijk geval (i) heeft Uber de volledige controle over de inhoud, het tijdstip en de verspreidingsmethode van een dergelijke kennisgeving, tenzij anderszins vereist door de wet; (ii) mag de Leverancier een Verplichte kennisgeving alleen communiceren na voorafgaande schriftelijke goedkeuring en instructies van Uber, tenzij anderszins vereist door de toepasselijke wetgeving (in welk geval de Leverancier Uber zo snel mogelijk en in elk geval voorafgaand aan de bekendmaking ervan een kopie van een dergelijke kennisgeving verstrekt, tenzij anders vereist door de wet); en (iii) zal de Leverancier Uber alle redelijke onkosten vergoeden die door Uber zijn gemaakt in verband met een dergelijke kennisgeving wanneer de Leverancier geheel of gedeeltelijk verantwoordelijk is voor het Gegevensbeveiligingsincident.
      
   4. Geheimhouding. De Leverancier onthoudt zich ervan om het bestaan van of informatie over het Gegevensbeveiligingsincident met betrekking tot Uber of Vertrouwelijke informatie van Uber, de Betrokkene of het Systeem van Uber openbaar te maken aan enige overheidsinstantie zonder voorafgaande schriftelijke toestemming van Uber.
      
   5. Beperking en herstel. De Leverancier dient onverwijld en zonder onredelijke vertraging (i) alle kwetsbaarheden, activiteiten en andere omstandigheden die het Gegevensbeveiligingsincident hebben veroorzaakt of daartoe aanleiding hebben gegeven, te beperken; (ii) alle noodzakelijke en passende corrigerende maatregelen te nemen en redelijkerwijs samen te werken met Uber om een dergelijk Gegevensbeveiligingsincident te beperken en op te lossen.
      
   6. Openbare inlichtingen. De Leverancier is verantwoordelijk voor het beheren van en reageren op onderzoeken, vragen of andere verzoeken van de media, de pers of andere leden van het publiek ('Openbare inlichtingen') met betrekking tot een Gegevensbeveiligingsincident. De Leverancier wijst een of meer personen aan die verantwoordelijk zijn voor het beheer van en het reageren op Openbare inlichtingen en verstrekt op verzoek de namen en contactgegevens van al deze personen aan Uber.
      
4. Bewaren en verwijderen van gegevens: De Leverancier dient alle Vertrouwelijke informatie van Uber die in zijn bezit, bewaring of beheer is onmiddellijk te verwijderen of aan Uber te retourneren (naar keuze van Uber): (i) bij beëindiging of het verstrijken van de Hoofdovereenkomst; (ii) bij de liquidatie of insolventie van het bedrijf van de Leverancier; (iii) zodra dit niet meer nodig is om de verplichtingen onder de Hoofdovereenkomst na te komen; of (iv) op verzoek van Uber.
   
5. Risicobeoordelingen
   1. De Leverancier moet vóór de ingangsdatum een door Uber uitgevoerde informatiebeveiligingsrisicobeoordeling ('Risicobeoordeling') invullen en uitvoeren.
      
      Na de eerste Risicobeoordeling voert de Leverancier de door Uber gevraagde Risicobeoordelingen niet vaker dan één keer per jaar uit, of in het geval dat (i) de Leverancier aanvullende producten of diensten aan Uber gaat leveren of aanvullende Vertrouwelijke informatie van Uber gaat verwerken, die tijdens de eerste of recentste beoordeling nog niet in scope waren; (ii) de aard van of doeleinden voor het Verwerken van Vertrouwelijke informatie van Uber veranderen(en); (iii) de Leverancier Persoonsgegevens van Uber van Betrokkenen van Uber in de Europese Economische Ruimte ('EER') gaat doorgeven naar buiten de EER, of begint met de doorgifte van Persoonsgegevens van Uber naar een ander derde land dat tijdens de eerste of recentste beoordeling niet binnen het scope was; (iv) de Leverancier een wezenlijke wijziging aanbrengt in de Verwerking van Vertrouwelijke informatie van Uber die van invloed kan zijn op de beveiliging van die gegevens of op het vermogen van de Leverancier om te voldoen aan deze Overeenkomst; (v) een beoordeling redelijkerwijs nodig is voor Uber om te voldoen aan Wetgeving inzake gegevensbescherming of andere nalevingsverplichtingen op het gebied van gegevensbeveiliging; (vi) een beoordeling redelijkerwijs nodig is voor Uber om te voldoen aan een verzoek, bevel of schikking met een toezichthoudende of andere wettelijke verplichting; of (vii) zich een Gegevensbeveiligingsincident voordoet.
      
   2. Vereisten. De Leverancier verstrekt Uber alle informatie die redelijkerwijs nodig is om de Risicobeoordeling uit te voeren. Dergelijke informatie kan bestaan uit, maar is niet beperkt tot, vragenlijsten voor risicobeoordeling; informatiebeveiligingsbeleid en -procedures; beleid en procedures voor gegevensclassificatie en -verwerking; naleving van gegevensbeveiliging of auditrapporten waarin de effectiviteit van het informatiebeveiligingsprogramma, -systeem, -systemen en -procedures van de Leverancier met betrekking tot de Verwerking van Persoonsgegevens van Uber wordt beoordeeld aan de hand van een in de branche geaccepteerd kader zoals ISO, SSAE16, SOC of NIST; en andere informatie die door Uber is aangevraagd om het informatiebeveiligingsprogramma, de controles en de Verwerking van Vertrouwelijke informatie van Uber te beoordelen. Dergelijke informatie omvat ook gegevens met betrekking tot de Verwerking van Persoonsgegevens door de Leverancier, met inbegrip van de gegevenstypen, de verwerkingsdoeleinden, het type en het aantal Betrokkenen van Uber, de locatie van de Verwerking, Subverwerkers en gegevensretentie. Exemplaren van het beleid, de procedures of andere documenten van de Leverancier kunnen aan Uber worden verstrekt of worden getoond via een wederzijds overeengekomen toepassing voor het delen van schermen.
      
   3. Auditlogboeken. De Leverancier houdt auditlogboeken en -gegevens bij van Systemen voor gegevensopslag, waaronder applicatielogboeken, toegangslogboeken, authenticatielogboeken, netwerklogboeken, logboeken van eindgebruikersapparaten en logboeken van beveiligingssystemen, voor zover dat nodig is om bewaking, analyse, onderzoek en rapportage van onwettige, ongeoorloofde of ongepaste activiteiten via deze Systemen mogelijk te maken en ervoor te zorgen dat de handelingen van individuele gebruikers van deze Systemen op unieke wijze aan die gebruikers kunnen worden herleid, zodat zij verantwoordelijk kunnen worden gehouden voor hun handelingen en zodat Gegevensbeveiligingsincidenten op passende wijze kunnen worden onderzocht.
6. Audits.
   1. Audits. De Leverancier staat Uber toe om, met een redelijke voorafgaande schriftelijke kennisgeving en tijdens kantooruren, op eigen kosten de faciliteiten, netwerken, systemen en procedures van de Leverancier, de Verwerking van Vertrouwelijke informatie van Uber en de naleving van deze Overeenkomst te controleren. Uber kan dit recht maximaal één keer per jaar uitoefenen, behalve wanneer zich een Gegevensbeveiligingsincident heeft voorgedaan of wanneer dit nodig is om te voldoen aan Wetgeving inzake gegevensbescherming of een andere wettelijke verplichting.
   2. Auditvereisten. De Leverancier werkt redelijkerwijs mee aan de audits die zijn beschreven in de vorige paragraaf door toegang te bieden tot deskundig personeel, fysieke locaties, indien van toepassing, documentatie, infrastructuur en alle applicatiesoftware waarmee Vertrouwelijke informatie van Uber wordt verwerkt of anderszins toegang wordt verkregen tot de faciliteiten, netwerken, systemen, procedures van Uber. Uber is verantwoordelijk voor de kosten en onkosten van een dergelijke audit (of de vergoedingen en kosten van de derde partij die de audit uitvoert), tenzij uit een dergelijke audit blijkt dat er sprake is van een wezenlijke schending van de Hoofdovereenkomst of deze audit is gestart vanwege een dergelijke schending, met inbegrip van deze Overeenkomst. In dat geval zal de Leverancier Uber deze kosten en onkosten vergoeden. De Leverancier zal alle tijdens een dergelijke audit geïdentificeerde tekortkomingen onmiddellijk aanpakken en corrigeren.
7. Subverwerkers
   1. Toegestane Subverwerkers. De Leverancier staat GEEN Subverwerkers toe om Vertrouwelijke informatie van Uber te Verwerken, behalve de gegevens die tijdens een Risicobeoordeling zijn geïdentificeerd. Indien de Leverancier een andere Subverwerker wil inschakelen, dient hij Uber ten minste 30 dagen voorafgaand aan een dergelijke Verwerking op de hoogte te stellen, inclusief met betrekking tot de doeleinden waarvoor hij Vertrouwelijke informatie van Uber zal Verwerken. Als Uber geen bezwaar maakt tegen een dergelijke opdracht, wordt Uber geacht deze te hebben goedgekeurd.
      
   2. Verplichtingen van de Subverwerker. De Leverancier dient met elke Subverwerker voorafgaand aan de Verwerking van Vertrouwelijke informatie van Uber een overeenkomst aan te gaan die verplichtingen oplegt die niet minder beperkend zijn dan en ten minste dezelfde bescherming bieden voor de Vertrouwelijke informatie van Uber als die welke krachtens deze Overeenkomst aan de Leverancier worden opgelegd. Uber kan een kopie van een dergelijke overeenkomst opvragen en kan toestemming voor het gebruik van een dergelijke Subverwerker weigeren als de Leverancier een dergelijke overeenkomst niet verstrekt of als een dergelijke overeenkomst de Vertrouwelijke informatie van Uber niet voldoende beschermt. De Leverancier kan een dergelijke overeenkomst bewerken voordat deze met Uber wordt gedeeld, voor zover dit nodig is om zijn handelsgeheimen of vertrouwelijke informatie te beschermen.
      
   3. Naleving door Subverwerkers van Wetgeving inzake gegevensbescherming. De Leverancier is verantwoordelijk voor de naleving door Subverwerkers van de toepasselijke Wetgeving inzake gegevensbescherming met betrekking tot de Verwerking van Persoonsgegevens door Subverwerkers.
      
   4. Aansprakelijkheid. Het gebruik van Subverwerkers door de Leverancier heeft geen invloed op en vormt geen beperking van de aansprakelijkheid van de Leverancier onder deze Overeenkomst.
8. Vrijwaring: Tenzij anders vermeld in de Hoofdovereenkomst, stemt het Bedrijf ermee in Uber, haar directeuren, functionarissen, medewerkers en agenten volledig schadeloos te stellen, te verdedigen en te vrijwaren tegen alle verliezen, schade, kosten en onkosten die voortvloeien uit claims die te wijten zijn aan, voortvloeien uit of op enigerlei wijze verband houden met het verlies, de wijziging of het misbruik van Persoonsgegevens van Uber door het Bedrijf, ongeoorloofde toegang tot of vernietiging of openbaarmaking van Persoonsgegevens van Uber, of de schending door het Bedrijf van Artikel 4 van deze DPA.
9. Beperking van de doorgifte in bulk van Gevoelige persoonsgegevens uit de VS
   1. Definities: Voor dit Artikel 2.8 gelden de volgende definities:
      1. de termen 'Toegang', 'Bulk', 'Gevoelige persoonsgegevens in bulk uit de V.S>', 'Land van zorg', 'Gedekte gegevenstransacties', 'Gedekte persoon', 'Gegevensbemiddeling', 'Overheidsgerelateerde gegevens', 'Gevoelige persoonsgegevens' en 'Ingezetenen van de VS' hebben de betekenissen die zijn toegekend aan hen in de Sensitive Data Rule, 28 C.F.R. part 202, van het U.S. Department of Justice;
         
      2. 'Gedekte gegevens' verwijst naar 'Gevoelige persoonsgegevens in bult uit de VS' en/of 'Overheidsgerelateerde gegevens'.
         
      3. 'Gedekte entiteit' verwijst naar elke 'Gedekte persoon' of elk 'Land van zorg'.
   2. Indien de Leverancier in verband met de Hoofdovereenkomst toegang krijgt tot Gedekte gegevens, verklaart en garandeert de Leverancier dat hij:
      1. geen Gedekte entiteit is.
         
      2. zich niet zal inlaten met een Transactie van Gedekte gegevens met als doel Gegevensbemiddeling waarbij dergelijke gegevens worden verwerkt met een Gedekte entiteit.
         
      3. tenzij dit uitdrukkelijk is toegestaan door Uber of anderszins is toegestaan krachtens 28 CFR part 202, (A) een Gedekte entiteit geen Toegang zal verlenen tot Gedekte gegevens; en (B) een Subverwerker verbiedt om een Gedekte entiteit toegang te verlenen tot Gedekte gegevens.
         
      4. geen encryptie, maskering, anonimisering of privacyversterkende strategieën of beveiligingsmaatregelen die door Uber worden toegepast in verband met 28 C.F.R. part 202 zal omzeilen of trachten te omzeilen.
         
      5. Uber alle informatie zal verstrekken die redelijkerwijs door Uber wordt gevraagd in verband met de naleving van dit Artikel 2.8 of 28 CFR, part 202, inclusief in verband met een door Uber ingesteld onderzoek.
         

ARTIKEL 3: VEREISTEN: PERSOONSGEGEVENS VAN UBER

1. Rol van de partijen: Tenzij anders vermeld in de Hoofdovereenkomst, erkennen en komen de Partijen overeen dat Uber de Verwerkingsverantwoordelijke is van de Persoonsgegevens van Uber die worden verwerkt in verband met de Hoofdovereenkomst^[1], en dat de Leverancier een Verwerker en/of Serviceprovider is in verband met een dergelijke verwerking.
2. Algemene vereisten: De Leverancier erkent en stemt ermee in dat hij:
   1. Begrijpt en dient zich te houden aan alle vereisten onder de toepasselijke Wetgeving inzake gegevensbescherming met betrekking tot de Verwerking van Persoonsgegevens van Uber.
   2. Uber op de hoogte zal stellen als hij vaststelt dat hij niet meer aan zijn verplichtingen onder de toepasselijke Wetgeving inzake gegevensbescherming kan voldoen, tenzij anderszins vereist door de wet. Na ontvangst van een dergelijke kennisgeving kan Uber redelijke en passende maatregelen nemen om de Verwerking van de Persoonsgegevens van Uber door de Leverancier te staken en alle risico's voor de Betrokkenen van Uber als gevolg van een dergelijke Verwerking te herstellen. De Leverancier zal Uber redelijkerwijs bijstaan in verband met dergelijke stappen (met inbegrip van, indien van toepassing, dergelijke Verwerking te staken).
      
   3. Persoonsgegevens van Uber niet zal verhuren, verkopen, delen, openbaar maken, combineren met andere of anderszins Verwerken voor welk doel dan ook, behalve indien nodig om zijn verplichtingen onder de Hoofdovereenkomst na te komen, tenzij schriftelijk anders is overeengekomen door de Partijen.
      
   4. Niet zal proberen een Betrokkene van Uber opnieuw te identificeren met behulp van geanonimiseerde gegevens die zijn verstrekt aan of verzameld door de Leverancier.
      
   5. Geen enkele medewerker van de Leverancier zal toestaan om Persoonsgegevens van Uber te Verwerken, behalve wanneer een dergelijke medewerker ermee heeft ingestemd om de Persoonsgegevens van Uber vertrouwelijk te houden, of wanneer dergelijke medewerkers wettelijk verplicht zijn om de Persoonsgegevens van Uber vertrouwelijk te behandelen.
3. Vereisten voor Verwerker/Serviceprovider/Opdrachtnemer: Indien de Leverancier in de Hoofdovereenkomst wordt aangewezen als Verwerker, Serviceprovider of Opdrachtnemer, dient deze in verband met alle Persoonsgegevens van Uber die in overeenstemming met die aanduiding worden verwerkt:
   
   1. Indien aangewezen als Verwerker en/of Serviceprovider, (a) alleen Persoonsgegevens van Uber verwerkt in dergelijke hoedanigheden in overeenstemming met de schriftelijke instructies van Uber, tenzij anderszins vereist door de wet; en (b) de Persoonsgegevens van Uber niet kopieert of reproduceert voor eigen doeleinden of die van een Subverwerker of andere externe partij, inclusief voor het trainen, ontwikkelen of verfijnen van machine learning-modellen, kunstmatige-intelligentiesystemen of vergelijkbare technologieën.
      
   2. Uber zal bijstaan zoals redelijk en gepast, in de context van de Verwerking van Persoonsgegevens door de Leverancier, om:
      1. te voldoen aan de verplichtingen van Uber onder de artikelen 32 tot en met 36 van de AVG, indien van toepassing, of vergelijkbare verplichtingen onder andere toepasselijke Wetgeving inzake gegevensbescherming; en
         
      2. aan te tonen dat wordt voldaan aan de toepasselijke Wetgeving inzake gegevensbescherming, met inbegrip van artikel 28 van de AVG, indien van toepassing.
         
   3. Uber zal toestaan om redelijke en passende maatregelen te nemen om ervoor te zorgen dat de Leverancier Persoonsgegevens van Uber gebruikt op een manier die in overeenstemming is met zijn verplichtingen onder de toepasselijke Wetgeving inzake gegevensbescherming, en om ongeautoriseerd gebruik van Persoonsgegevens van Uber te stoppen en te herstellen.
      
   4. Tenzij anderszins vereist door de wet, Uber onmiddellijk op de hoogte zal stellen van elk verzoek van een Betrokkene van Uber, of een overheids- of regelgevende instantie met gezag over de Leverancier of Uber, met betrekking tot de Verwerking van Persoonsgegevens door de Leverancier, en zal samenwerken met Uber in verband met een reactie op dergelijk verzoek of een dergelijke eis.
4. Vereisten voor Verwerkingsverantwoordelijke: als de Leverancier in de Hoofdovereenkomst als Verwerkingsverantwoordelijke is aangewezen, erkent hij en stemt hij ermee in dat hij:
   1. Een onafhankelijke Verwerkingsverantwoordelijke is van Persoonsgegevens van Uber onder de Wetgeving inzake gegevensbescherming.
      
   2. Het doel van en de middelen voor de Verwerking van de Persoonsgegevens van Uber zal bepalen.
      
   3. Verantwoordelijk is voor de eigen naleving van de toepasselijke Wetgeving inzake gegevensbescherming, met inbegrip van het informeren van de Betrokkenen over de Verwerking van hun Persoonsgegevens en hoe zij hun rechten kunnen uitoefenen, en voor het verkrijgen van de vereiste toestemmingen.
      
   4. Zal voldoen aan de verplichtingen die op hem van toepassing zijn onder de Wetgeving inzake gegevensbescherming met betrekking tot de verwerking van Persoonsgegevens.
5. Grensoverschrijdende doorgifte: Als de Verwerking van Persoonsgegevens door de Leverancier gepaard gaat met de doorgifte van Persoonsgegevens van Betrokkenen van Uber:
   1. Dient hij te voldoen aan alle toepasselijke Wetgeving inzake gegevensbescherming die van toepassing is op een dergelijke doorgifte.
      
   2. Voor zover van toepassing op basis van de locatie van de Betrokkenen van Uber van wie de Persoonsgegevens worden doorgegeven, zal voldoen aan de vereisten zoals uiteengezet in Bijlage 2 bij deze Overeenkomst.

ARTIKEL 4: DIVERSEN

1. Ingangsdatum: Deze Overeenkomst gaat in op de datum van uitvoering van de Hoofdovereenkomst.
2. Beëindiging en overleving: Niettegenstaande andersluidende bepalingen in de Hoofdovereenkomst, blijven deze Overeenkomst en alle bepalingen hierin van kracht zolang en voor zover de Leverancier Vertrouwelijke informatie van Uber verwerkt of bewaart.
   
3. Niet-naleving. De Leverancier stelt Uber onmiddellijk op de hoogte als hij niet in staat is om deze Overeenkomst na te leven. Indien de Leverancier niet binnen een redelijke termijn kan voldoen aan naleving, of indien de Leverancier deze Overeenkomst of zijn verplichtingen uit hoofde van deze Overeenkomst wezenlijk of voortdurend niet naleeft, heeft Uber het recht om deze Overeenkomst en de Hoofdovereenkomst te beëindigen voor zover het gaat om de verwerking van Vertrouwelijke informatie van Uber; met dien verstande dat elke schending van Artikel 2.9 een wezenlijke schending vormt en Uber het recht heeft om de Hoofdovereenkomst onmiddellijk te beëindigen.
4. Ongeldige bepaling. Indien afzonderlijke bepalingen van deze Overeenkomst ongeldig zijn of worden, blijft de geldigheid van de overige bepalingen onverminderd van kracht. De partijen vervangen de ongeldige bepaling door een wettelijk toegestane bepaling die de beoogde commerciële bedoeling zo dicht mogelijk benadert.
   
5. Tegenstrijdigheid. In geval van een tegenstrijdigheid tussen deze Overeenkomst: (i) en de Hoofdovereenkomst, prevaleert deze Overeenkomst; en (b) een Overeenkomst voor zakelijke partners('BAA', Business Associate Agreement) krachtens HIPAA tussen Uber en de Leverancier, prevaleert de BAA.
   
6. Toepasselijke wetgeving en jurisdictie. De toepasselijke wetgeving en jurisdictie zoals uiteengezet in de Hoofdovereenkomst zijn van toepassing op deze Overeenkomst.

APPENDIX 1
Organisatorische/administratieve, fysieke en technische maatregelen

1. Organisatorische/administratieve beveiligingsmaatregelen: De Leverancier heeft tijdens de Verwerking van Vertrouwelijke informatie van Uber de volgende maatregelen geïmplementeerd en zal deze waar nodig bijwerken en bijwerken (op voorwaarde dat dergelijke updates de veiligheidsmaatregelen ter bescherming van Vertrouwelijke informatie van Uber niet verminderen of verslechteren):
   1. Een uitgebreid informatie- en netwerkbeveiligingsprogramma, bestaande uit beleid, praktijken en procedures die van toepassing zijn op de Services (gezamenlijk het 'Programma voor gegevensbeveiliging') dat (i) voldoet aan de huidige best practices; (ii) voldoet aan alle toepasselijke Wetgeving inzake gegevensbescherming; (iii) voor zover van toepassing, voldoet aan de Payment Card Industry Data Security Standards (PCI DSS); (iv) voldoet aan of in overeenstemming is met de beveiligingsnorm ISO 27000, NIST 800-53, CIS top 20 of HITRUST; en (v) voor zover van toepassing, voldoet aan de Sensitive Data Rule, 28 C.F.R. part 202 van het U.S. Department of Justice. De Leverancier stelt op verzoek documentatie van zijn Programma voor gegevensbeveiliging beschikbaar aan Uber.
   2. Een gedocumenteerd programma ter voorkoming van gegevensverlies dat is ontworpen om het risico op Gegevensbeveiligingsincidenten te detecteren, te voorkomen en te beperken, dat ten minste het volgende omvat:
      1. passend beleid en technische maatregelen om verlies van Vertrouwelijke informatie van Uber te voorkomen; en
      2. een noodherstel-/bedrijfscontinuïteitsplan dat voorziet in de permanente toegang tot, en het onderhoud en de opslag van Vertrouwelijke informatie van Uber, evenals de beveiligingsbehoeften voor back-uplocaties en alternatieve communicatienetwerken.
   3. Beleid en procedures om de toegang tot Vertrouwelijke informatie van Uber te beperken tot degenen die deze toegang nodig hebben om hun taken en verantwoordelijkheden met betrekking tot de Hoofdovereenkomst uit te voeren.
   4. Procedures om alle toegangsrechten te verifiëren met behulp van effectieve verificatiemethoden.
   5. Een proces voor het ten minste een keer in de twee jaar uitvoeren van beoordelingen inzake informatiebeveiligingsrisico's bij Leveranciersverwerkers of Subverwerkers met toegang tot Vertrouwelijke informatie van Uber. Dergelijke Verwerkers/Subverwerkers moeten informatiebeveiligingsmaatregelen treffen die de Vertrouwelijke informatie van Uber niet minder beschermen dan de vereisten in deze Overeenkomst. Uber kan een exemplaar aanvragen van een dergelijke risicobeoordeling die door de Leverancier is uitgevoerd op een Subverwerker en kan toestemming voor het gebruik van een dergelijke Subverwerker weigeren als uit de beoordeling blijkt dat de Subverwerker niet over voldoende informatiebeveiligingsmaatregelen beschikt om Vertrouwelijke informatie van Uber te beschermen.
   6. Een beveiligingsbewustzijnsprogramma voor medewerkers van de Leverancier, met inbegrip van regelmatige trainingen over onderwerpen op het gebied van informatiebeveiliging, zoals veilige gegevensverwerking, beveiliging van wachtwoorden en inloggegevens, social engineering en het identificeren en melden van potentiële beveiligingsincidenten.
   7. Een doorlopend programma voor kwetsbaarheidsbeheer dat gebruikmaakt van een branche-standaard risicobeoordelingsproces om prioriteit te geven aan het oplossen van ontdekte kwetsbaarheden. Indien een kwetsbaarheid wordt gedetecteerd die van invloed kan zijn op de vertrouwelijkheid, beschikbaarheid of integriteit van Vertrouwelijke informatie van Uber, verstrekt de Leverancier op verzoek voldoende bewijs om aan te tonen dat de kwetsbaarheid is verholpen en om Uber in staat te stellen te bepalen of er een Gegevensbeveiligingsincident heeft plaatsgevonden.
   8. Een veilig programma voor activabeheer dat een branche-standaard beveiligingsbasislijn afdwingt, inclusief activaclassificatie en inventarisatie van apparaten/systemen waarop Vertrouwelijke informatie van Uber wordt Verwerkt.
   9. Formele, schriftelijke processen om Gegevensbeveiligingsincidenten tijdig op te sporen, te identificeren, te melden, erop te reageren, te beperken en te verhelpen, waaronder processen voor het personeel van de Leverancier, met inbegrip van beheerders van Systemen, om abnormale gebeurtenissen te melden aan het incidentenbeheerteam en de Leverancier om getroffen personen en entiteiten, regelgevende instanties en andere leden van het publiek op de hoogte te stellen wanneer dat nodig of vereist is.
   10. Incidentensimulaties zoals tabletop- of red team-oefeningen die routinematig worden gepland en uitgevoerd.
   11. Een vastgesteld programma voor penetratietests met een volledig scala aan gecombineerde aanvallen, zoals client-gebaseerde en webapplicaties.
   12. Een governance- en risicobeheerprogramma voor cloudservices, zodat basisbeveiligingsconfiguraties en -beveiligingen worden ingeschakeld.
   13. Veilige programmeermethoden die zijn afgestemd op de gebruikte programmeertaal en al het personeel trainen in het schrijven van veilige programmacode.
   14. Beleid voor toegang van overheidsinstantie tot gegevens waarmee overheidstoegang tot gegevens wordt geweigerd, behalve wanneer dergelijke toegang wettelijk vereist is of wanneer er een onmiddellijk risico is op ernstig letsel voor personen.
   15. Beleid en procedures voor het beoordelen van de wettelijke basis voor en het reageren op gegevensverzoeken van overheidsinstanties.
   16. Specifieke training van personeel dat verantwoordelijk is voor het beheren van aanvragen voor toegang tot gegevens van overheidsinstanties, waaronder mogelijk vereisten onder de toepasselijke Wetgeving inzake gegevensbescherming.
   17. Processen voor het documenteren en vastleggen van gegevensaanvragen van overheidsinstanties, de verstrekte antwoorden en de betrokken overheidsinstanties.
   18. Procedures om Uber op de hoogte te stellen van aanvragen of vereisten voor toegang van overheidsinstanties tot gegevens, tenzij dit wettelijk verboden is.
2. Fysieke beveiligingsmaatregelen
   1. De Leverancier heeft tijdens de Verwerking van Vertrouwelijke informatie van Uber passende fysieke beveiligingsmaatregelen geïmplementeerd en zal deze indien nodig handhaven en bijwerken voor elke faciliteit die wordt gebruikt voor het Verwerken van Vertrouwelijke informatie van Uber en voortdurend wijzigingen in de fysieke infrastructuur, het bedrijf en bekende bedreigingen controleren.
3. Technische beveiligingsmaatregelen: De Leverancier zal tijdens de Verwerking van Vertrouwelijke informatie van Uber:
   1. kwetsbaarheidsscans en beoordelingen uitvoeren op applicaties en infrastructuur die worden gebruikt om Vertrouwelijke informatie van Uber te verwerken.
   2. zijn computernetwerken beveiligen met behulp van meerdere toegangscontrolelagen, waaronder meervoudige verificatie, ter bescherming tegen ongeautoriseerde toegang.
   3. de toegang beperken via mechanismen zoals, maar niet beperkt tot, managementgoedkeuringen, robuuste controles, logboekregistratie en het bewaken van toegangsgebeurtenissen en daaropvolgende audits.
   4. gebeurtenislogboeken implementeren en bijhouden voor alle Systemen die Vertrouwelijke informatie van Uber verwerken die voldoende gedetailleerd zijn om de Leverancier in staat te stellen te bepalen of een Gegevensbeveiligingsincident heeft plaatsgevonden en wat de waarschijnlijke gevolgen van het Gegevensbeveiligingsincident zijn, met inbegrip van, maar niet beperkt tot, of de Vertrouwelijke informatie van Uber is ingezien, verkregen, gewijzigd of verwijderd. Deze gebeurtenislogboeken moeten ten minste dertien (13) maanden worden bewaard en binnen zeven (7) kalenderdagen na aanvraag op verzoek beschikbaar worden gesteld aan Uber. Als logboeken gebeurtenisgegevens bevatten met betrekking tot andere entiteiten of klanten, moet de Leverancier in staat zijn om de gebeurtenislogboeken voor gegevens van Uber te scheiden wanneer daarom wordt gevraagd.
   5. andere computersystemen en -applicaties identificeren die monitoring en logboekregistratie van beveiligingsgebeurtenissen vereisen, en redelijkerwijs logbestanden bij te houden.
   6. gebeurtenislogboeken beoordelen en analyseren met behulp van doorlopende, geautomatiseerde bewakings- en waarschuwingsprocessen om afwijkende gebeurtenissen en activiteiten te detecteren en erop te reageren en deze te onderzoeken.
   7. up-to-date, branche-standaard, commerciële scansoftware voor virussen/malware gebruiken die schadelijke programmeercode identificeert op alle systemen waarop Vertrouwelijke informatie van Uber wordt verwerkt.
   8. netwerkgrenzen en beveiliging van netwerken afdwingen.
   9. vertrouwelijke informatie van Uber vergrendelen tijdens verzending.
   10. vertrouwelijke Uber-gegevens in rust versleutelen en als enige alle versleutelingssleutels beheren en beveiligen (dat wil zeggen dat geen enkele andere externe partij toegang heeft tot deze versleutelingssleutels, met inbegrip van Verwerkers of Subverwerkers).

APPENDIX 2
Grensoverschrijdende doorgifte

Tenzij anders overeengekomen door de partijen, definieert deze Bijlage 2 de mechanismen die de partijen zullen gebruiken om grensoverschrijdende doorgifte van Persoonsgegevens mogelijk te maken, indien vereist door de Wetgeving inzake gegevensbescherming. In het bijzonder, voor zover de Diensten de doorgifte van Persoonsgegevens van Betrokkenen van Uber vereisen in de volgende landen, en Partijen het volgende overeenkomen:

1. EER of Zwitserland. Als de services van de Leverancier betrekking hebben op de doorgifte van de Persoonsgegevens van Betrokkenen van Uber in de EER of Zwitserland naar een land of gebied buiten deze regio's dat door de Europese Commissie niet is erkend als een land of gebied met een adequaat niveau van gegevensbescherming, nemen de Partijen dit op in deze Overeenkomst en stemmen zij ermee in zich te houden aan de Standaardcontractbepalingen van 4 juni 2021 ('SCC's') die zijn goedgekeurd door de Europese Commissie, tenzij de partijen anders zijn overeengekomen in deze Overeenkomst. Als de SCC's als zodanig zijn opgenomen:
   1. Module 1 (Verwerkingsverantwoordelijke naar Verwerkingsverantwoordelijke) is van toepassing indien de Leverancier als Verwerkingsverantwoordelijke wordt aangewezen;
   2. Module 2 (Verwerkingsverantwoordelijke naar Verwerker) is van toepassing indien Leverancier als Verwerker wordt aangewezen;
   3. De optionele Koppelingsclausule (Artikel 7) is niet van toepassing;
   4. De optionele tekst in artikel 11 (Verhaal) is niet van toepassing;
   5. Het toepasselijke recht in de zin van artikel 17 (Toepasselijk recht) is Nederlands recht;
   6. De rechtbanken onder Artikel 18 (Forumkeuze en jurisdictie) zijn de rechtbanken van Nederland, tenzij de partijen anders zijn overeengekomen in de Hoofdovereenkomst; en
   7. De bevoegde toezichthoudende autoriteit voor de doeleinden van Artikel 13 (Toezicht) van de SCC's is de Autoriteit Persoonsgegevens, tenzij de partijen anders zijn overeengekomen in de Hoofdovereenkomst.
   8. De Partijen verklaren dat zij niet van mening zijn dat de wetgeving en praktijken in enig land waaraan Persoonsgegevens van Uber worden doorgegeven voor de doeleinden van de Hoofdovereenkomst, de Leverancier niet beletten om zijn verplichtingen onder de SCC's na te komen.
   9. In plaats van Bijlage 1 bij de SCC's komen de partijen overeen dat:
      1. De identiteits- en contactgegevens van Uber, als gegevensexporteur, en de Leverancier, als gegevensimporteur, zijn zoals gespecificeerd in de Hoofdovereenkomst en deze Overeenkomst.
         
      2. De aard en het doel/de doelen van de verwerking zijn voor de Diensten of zoals anderszins gespecificeerd in de Hoofdovereenkomst of deze Overeenkomst.
      3. De overgedragen Persoonsgegevens van Uber worden door de Leverancier bewaard zoals gespecificeerd in de Hoofdovereenkomst of deze Overeenkomst.
      4. De categorieën Betrokkenen van Uber en de overgedragen Persoonsgegevens van Uber zijn de categorieën die zijn gedocumenteerd in de Risicobeoordeling die is uitgevoerd voorafgaand aan de Verwerking van Persoonsgegevens van Uber.
      5. In plaats van Bijlage 2 bij de SCC's komen de Partijen overeen te voldoen aan Appendix 1 bij deze overeenkomst.
      6. In plaats van Bijlage 3 bij de SCC's (indien van toepassing), komen de Partijen overeen dat de geautoriseerde Subverwerkers van Persoonsgegevens van Uber de Subverwerkers zijn die zijn geïdentificeerd in de Risicobeoordeling die is uitgevoerd voorafgaand aan de Verwerking van Persoonsgegevens van Uber, of zoals anderszins is gespecificeerd in deze Overeenkomst, of de Hoofdovereenkomst.
2. Verenigd Koninkrijk: Als de diensten van de Leverancier betrekking hebben op de doorgifte van de Persoonsgegevens van Betrokkenen van Uber in het Verenigd Koninkrijk naar een rechtsgebied dat niet wordt erkend als een rechtsgebied dat een adequaat niveau van gegevensbescherming biedt, zijn de SCC's van toepassing met inachtneming van de voorwaarden van het 'Britse addendum bij de EU-modelcontractbepalingen' zoals uitgegeven door de Information Commissioner's Office onder s.119A van de Data Protection Act 2018 van het Verenigd Koninkrijk ('Addendum VK'). Een dergelijk Addendum voor het VK wordt geacht te zijn ondertekend tussen de Leverancier en Uber onder voorbehoud van Artikel 3.5(b) van deze Overeenkomst, indien van toepassing.
3. Brazilië: Indien de Verwerking van Persoonsgegevens door de Leverancier gepaard gaat met de grensoverschrijdende doorgifte van Persoonsgegevens van Betrokkenen van Uber in Brazilië, hetzij tussen de Partijen of aan externe partijen, dient de Leverancier ervoor te zorgen dat alle toepasselijke Wetgeving inzake gegevensbescherming wordt nageleefd, met inbegrip van de goedkeuring van passende wettelijke mechanismen, zoals Standaardcontractbepalingen of andere wettelijk vereiste instrumenten, en zorgt ervoor dat de Verwerking minimaal hetzelfde niveau van bescherming en waarborgen biedt voor de Persoonsgegevens als uiteengezet in deze Overeenkomst.
   1. Grensoverschrijdende doorgifte tussen de partijen van Persoonsgegevens van Betrokkenen van Uber in Brazilië. Indien de Verwerking van Persoonsgegevens de grensoverschrijdende doorgifte tussen de Partijen omvat van Persoonsgegevens van Betrokkenen van Uber in Brazilië naar een land of gebied dat door de bevoegde autoriteit niet is erkend als land of gebied dat een passend niveau van gegevensbescherming biedt, neem Partijen hierbij op, alsof het volledig is uiteengezet, en stemmen zij ermee in te voldoen aan de Braziliaanse Standaardcontractbepalingen in Bijlage II van Resolutie nr. 19 van 2024 van de Braziliaanse Autoriteit voor gegevensbescherming ('SCC's voor gegevensbescherming in Brazilië'), beschikbaar op: Braziliaanse Standaardcontractbepalingen. In dergelijke gevallen:
      1. Voor de doeleinden van grensoverschrijdende doorgifte van Persoonsgegevens wordt Uber of een van zijn Gelieerde ondernemingen beschouwd als de Gegevensverwerkingsagent.
      2. De informatietabellen in Artikel 1.1 van de SCC's voor Brazilië worden vervangen door de kwalificatie- en contactgegevens van Uber en de Leverancier, zoals uiteengezet in de Hoofdovereenkomst, deze Overeenkomst en de Privacymelding van elke partij.
      3. Voor de doeleinden van de selectievakjes in Artikel 1.1 van de SCC's voor Brazilië, met betrekking tot de rollen van de partijen, wordt het selectievakje Exporteur/verwerkingsverantwoordelijke geacht te zijn geselecteerd voor Uber. Voor de Leverancier wordt het selectievakje 'Importeur' dat overeenkomt met de classificatie van de Leverancier onder Artikel 3.1 van deze Overeenkomst ('Rol van de Partijen') of zoals uiteengezet in de Hoofdovereenkomst, geacht te zijn geselecteerd.
      4. De Partijen komen overeen dat: (i) het primaire doel van de grensoverschrijdende doorgifte van Persoonsgegevens van Uber de uitvoering van de diensten is zoals gespecificeerd in de Hoofdovereenkomst of deze Overeenkomst; (ii) de overgedragen Persoonsgegevens van Uber worden bewaard zoals gespecificeerd in de Hoofdovereenkomst of deze Overeenkomst, in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de Privacymelding van elke partij; en (iii) de categorieën Betrokkenen van Uber en de respectieve Persoonsgegevens van Uber die zijn overgedragen, dezelfde zijn als gedocumenteerd in de Risicobeoordeling die is uitgevoerd voorafgaand aan de Verwerking van dergelijke Persoonsgegevens. Deze informatie vervangt de tabel met beschrijvingen voor gegevensdoorgifte in Artikel 2.1 van de SCC's voor Brazilië.
      5. Voor de toepassing van Artikel 3 1 van de SCC's voor Brazilië, dat betrekking heeft op Verdere doorgifte, komen de partijen overeen dat Optie A van toepassing is in gevallen waarin beide Partijen optreden als Verwerkingsverantwoordelijken. Wanneer de Leverancier als Verwerker optreedt, is Optie B van toepassing en wordt de beschrijvende tabel in Artikel 3.1 vervangen door de Risicobeoordeling die is uitgevoerd voorafgaand aan de Verwerking van Persoonsgegevens van Uber door de Leverancier of zoals uiteengezet in de Hoofdovereenkomst.
      6. Voor de toepassing van Artikel 4.1 van de SCC's voor Brazilië, waarin de Verantwoordelijkheden van de Partijen worden behandeld, komen de Partijen overeen dat Optie A van toepassing is en dat zowel de Exporteur als de Importeur verantwoordelijk zijn voor het nakomen van de verplichtingen die zijn uiteengezet onder 'a', 'b' ’ en ‘c’, waarbij beide Partijen optreden als Verwerkingsverantwoordelijken. Wanneer de Leverancier optreedt als Verwerker, vallen dergelijke verplichtingen uitsluitend onder de verantwoordelijkheid van Uber.
      7. De tabel in Deel III van de SCC's voor Brazilië wordt vervangen door Appendix 1 bij deze overeenkomst.
   2. Saudi-Arabië. Indien de Verwerking van Persoonsgegevens door de Leverancier gepaard gaat met de doorgifte van Persoonsgegevens van Uber van Betrokkenen van Uber in Saoedi-Arabië naar een land of gebied dat door de bevoegde autoriteit niet is erkend als een land of gebied dat een adequaat niveau van gegevensbescherming biedt, nemen de partijen hierbij op en stemmen zij ermee in te voldoen aan de Standaardcontractbepalingen voor de doorgifte van persoonsgegevens, versie 1.0 van september 2024 ('KSA SCC's') zoals goedgekeurd door de Saudi Data & AI Authority (SDAIA), tenzij anders overeengekomen door de Partijen in deze Overeenkomst. Als de SCC's als zodanig zijn opgenomen:
      1. Sjabloon 1: (Verwerkingsverantwoordelijke naar Verwerkingsverantwoordelijke) is van toepassing indien Leverancier is aangewezen als Verwerkingsverantwoordelijke;
      2. Sjabloon 2: (Verwerkingsverantwoordelijke naar Verwerker) is van toepassing indien Leverancier is aangewezen als Verwerker;
      3. Het toepasselijke recht voor de toepassing van artikel 8 (Toepasselijk recht en jurisdictie) is het recht van het Koninkrijk Saoedi-Arabië. Elk geschil dat voortvloeit uit de toepassing van de bepalingen van deze clausules valt onder de jurisdictie van het Koninkrijk en berust bij zijn rechtbanken;
      4. De bevoegde autoriteit voor de doeleinden van Artikel 9 (Naleving van aanvragen van de bevoegde autoriteit) is de Saoedische Gegevens- en AI-autoriteit (SDAIA);
      5. De Partijen verklaren niet van mening te zijn dat de wetgeving en praktijken in enig land waaraan Persoonsgegevens van Uber worden doorgegeven voor de doeleinden van de Hoofdovereenkomst, de Leverancier als 'Importeur van Persoonsgegevens' niet beletten om te voldoen aan zijn verplichtingen onder de KSA SCC's;
      6. Voor de toepassing van Bijlage 1 is de informatie van de Partijen zoals uiteengezet in deze Overeenkomst en de Hoofdovereenkomst. Uber is aangewezen als de Exporteur van Persoonsgegevens en de Verwerkingsverantwoordelijke van de Persoonsgegevens van de Betrokkenen van Uber, terwijl de Leverancier wordt aangewezen als de Importeur van Persoonsgegevens van de Persoonsgegevens van Betrokkenen van Uber, waarbij hij de rol vervult die is gespecificeerd in Artikel 3.1 'Rol van de partijen' van deze Overeenkomst;
      7. Voor de toepassing van Bijlage 2 komen de partijen overeen dat;
         1. De categorieën Betrokkenen van Uber en de overgedragen Persoonsgegevens van Uber zijn de categorieën die zijn gedocumenteerd in de Risicobeoordeling die is uitgevoerd voorafgaand aan de Verwerking van Persoonsgegevens van Uber.
         2. Het doel of de doelen van de doorgifte zijn voor de Diensten of anderszins gespecificeerd in de Hoofdovereenkomst of deze Overeenkomst.
         3. De overgedragen Persoonsgegevens van Uber door de Leverancier worden bewaard zoals gespecificeerd in de Hoofdovereenkomst of deze Overeenkomst.
         4. In plaats van Bijlage 3 van de KSA SCC's komen de Partijen overeen te voldoen aan Bijlage 1 bij deze Overeenkomst.

1. Raadpleeg de Privacymelding van Uber voor een overzicht van de verwerkingsverantwoordelijken voor Vertrouwelijke informatie van Uber in jouw regio. Wanneer een andere entiteit dan de aangewezen verwerkingsverantwoordelijke deze Overeenkomst namens Uber aangaat, wordt deze daartoe gemachtigd door de relevante verwerkingsverantwoordelijke(n). Uber behoudt zich het recht voor om een andere aan Uber gelieerde onderneming aan te wijzen als Verwerkingsverantwoordelijke voor de doeleinden van deze Overeenkomst. ↑