Netherlands: GDPR Update: Data Processors (Dutch)

Last Updated: 22 August 2017
Article by Marc Elshof, Barry Breedijk and Celine Van Es

AVGB-update: Verwerkers



Het onderscheid tussen de verantwoordelijke en de verwerker 

In deze AVGB-update staat de rol van de bewerker centraal (onder de Algemene Verordening Gegevensbescherming (de AVGB) voortaan aangeduid met de term 'verwerker'). Wij belichten de rol van de verwerker vanuit het perspectief van de verwerker zelf en vanuit het perspectief van de verantwoordelijke.

Anders dan onder de Richtlijn 95/46/EC (de Richtlijn) en de Wet bescherming persoonsgegevens (de Wbp), krijgen verwerkers onder de AVGB bepaalde zelfstandige verantwoordelijkheden. Dit betekent dat niet langer slechts de verantwoordelijke verantwoordelijk voor is voor de naleving van de (Nederlandse) privacyregelgeving, maar dat vanaf 25 mei 2018 ook de verwerker zelfstandig kan worden aangesproken op de niet-naleving van de AVGB en daarbij behorende aanvullende regelgeving. Meer nog dan in het verleden is het vanaf nu van groot belang om de rol van verwerker goed te kunnen onderscheiden van de rol van verantwoordelijke.

De verantwoordelijke (in de AVGB-terminologie de 'verwerkingsverantwoordelijke') is de (rechts)persoon die het doel en de middelen van de verwerking bepaalt. De verwerker is de (rechts)persoon die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Dit betekent dat de verwerker geen doel en middelen vaststelt ten aanzien van de verwerking. In de praktijk gaat het vaak om een uitbesteding van een specifieke verwerking binnen een organisatie. Voorbeelden hiervan zijn de salarisverwerking, personeelsadministratie, klantenbeheer, cloud- en hostingdiensten en/of camerabeveiliging.

De verwerker dient te opereren binnen de grenzen van hetgeen de verantwoordelijke de verwerker heeft opgedragen. Zodra de verwerker verder verwerkt (ofwel zelf de doeleinden en middelen van de verwerking gaat bepalen) dan wordt de verwerker (voor dat deel) aangemerkt als een verantwoordelijke. Men denke hierbij aan een verwerker die persoonsgegevens tevens verwerkt ten behoeve van statistische analyses voor intern gebruik. Dit betekent een organisatie ten aanzien van dezelfde set persoonsgegevens verschillende rollen kan aannemen.

Een van de belangrijkste gevolgen voor verwerkers van de inwerkingtreding van de AVGB, is dat er rechtstreeks wettelijke verplichtingen op verwerkers komen te rusten. Die verplichtingen rusten onder de Wbp slechts op de verantwoordelijke en worden in de praktijk nu al vaak contractueel doorgelegd aan de verwerker. Met de inwerkingtreding van de AVGB kan de verwerker nu ook zelfstandig worden aangesproken door de Autoriteit Persoonsgegevens (de AP) en kan hij civielrechtelijk aansprakelijk zijn jegens derden. Voor een uitgebreide analyse van de rollen verantwoordelijke en verwerker verwijzen wij naar Opinie 1/2010 (pdf) van de Artikel 29 Werkgroep, de koepel van privacy toezichthouders in de Europese Unie (EU).

De AVGB vanuit het perspectief van de verwerker

Territorialiteit 

De Wbp is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. De AVGB is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van de verantwoordelijke of verwerker in de EU, ongeacht of de verwerking daadwerkelijk in de EU plaatsvindt. Verwerkers worden geconfronteerd met een uitbreiding van de territoriale reikwijdte van Europese privacyregelgeving. Daarbij is de AVGB eveneens van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden, door een verantwoordelijken of verwerkers wanneer zij niet in de EU gevestigd zijn en wanneer de verwerking verband houdt met:

  1. het aanbieden van goederen of diensten aan deze betrokkenen; of
  2. het monitoren van het gedrag van deze betrokkenen.

In deze gevallen dient de verwerker schriftelijk een vertegenwoordiger in de EU aan te wijzen, tenzij sprake is van een incidentele verwerking waarbij de kans gering is dat die een risico inhoudt voor de betrokkenen. Overheidsinstanties en -organen zijn uitgezonderd van deze verplichting. Deze vertegenwoordiger dient door de betreffende verwerker gemachtigd te worden om te mogen worden benaderd door toezichthoudende autoriteiten en betrokkenen in het kader van de met de verwerking verband houdende activiteiten. De verplichting een vertegenwoordiger in de EU aan te wijzen is een verplichting waar de verwerker - in ieder geval op grond van de wet - tot op heden nog niet over na hoefde te denken.

Verwerkersovereenkomst

Net als de Wbp vereist de AVGB dat de afspraken tussen de verwerkingsverantwoordelijke en verwerker met betrekking tot de verwerking worden neergelegd in een verwerkersovereenkomst. Nieuw ten opzichte van de Wbp is de dwingende invulling die de AVGB aan de verwerkersovereenkomst geeft. Artikel 28 AVGB bevat een vrij gedetailleerde regeling ten aanzien van de vereisten waar een verwerkersovereenkomst aan moet voldoen.

Artikel 28 AVGB schrijft onder meer voor dat het de verwerker in beginsel niet is toegestaan om voor de verwerking andere verwerkers of sub-verwerkers in dienst te nemen, zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verantwoordelijke. Deze specifieke of algemene schriftelijke toestemming kan worden opgenomen in de verwerkersovereenkomst tussen partijen. Indien er sprake is van een algemene toestemming, zal de verwerker de verantwoordelijke telkens op de hoogte moeten stellen wanneer hij (een deel van) de (sub-)verwerkers vervangt. De verantwoordelijke moet dan de mogelijkheid worden geboden om bezwaar te maken tegen de keuzes van de verwerker op dit punt. De verantwoordelijke blijft immers eindverantwoordelijk ten aanzien van de verwerking en is doorgaans het aanspreekpunt van de betrokkenen (die veelal niet zullen weten dat een verwerker is ingeschakeld).

Zodra de verwerker een sub-verwerker inschakelt voor een bepaald onderdeel van de verwerking, moet verwerker de verplichtingen die hij heeft uit hoofde van de verwerkersovereenkomst doorleggen aan de betreffende sub-verwerker. Indien de sub-verwerker zijn verplichtingen niet nakomt, dan blijft de verwerker ten aanzien van de verantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van de sub-verwerker. Het is aldus van belang dat verwerkers zeer bewust en zorgvuldig te werk gaan bij het kiezen van sub-verwerkers. Verwerkers mogen slechts overeenkomsten sluiten met sub-verwerkers die afdoende garanties bieden.

De verwerkersovereenkomst dient allereerst een algemene beschrijving van de verwerking te bevatten. Artikel 28 AVGB bepaalt dat hieronder valt: (i) het onderwerp en de duur van de verwerking, (ii) het soort persoonsgegevens dat wordt verwerkt, (iii) de categorieën van de betrokkenen van wie persoonsgegevens worden verwerkt, en (iv) de rechten en verplichtingen van de verantwoordelijke.

Voorts dient de verwerkersovereenkomst expliciet te bepalen dat de verwerker:

  1. de persoonsgegevens uitsluitend zal verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens derhalve niet voor eigen doeleinden verwerken;
  2. waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of op grond van de wet aan vertrouwelijkheid zijn gebonden (de geheimhoudingsplicht);
  3. passende technische en organisatorische maatregelen zal nemen om de verwerking te beveiligen. Voorbeelden hiervan zijn pseudonimisering, versleuteling van persoonsgegevens, en het regelmatig uitvoeren van beveiligingstesten;
  4. aan de voorwaarden voor het in dienst nemen van een andere verwerker en/of sub-verwerker voldoet, waaronder het schriftelijkheidsvereiste en het doorleggen van verplichtingen (zoals hierboven reeds beschreven);
  5. de verwerkingsverantwoordelijke bijstand zal verlenen bij het vervullen van diens plicht om verzoeken van betrokkenen in te willigen met betrekking tot de uitoefening van hun rechten;
  6. verwerkingsverantwoordelijke bijstand verleent in de nakoming van enkele, specifieke verplichtingen die uit hoofde van de AVGB op de verwerkingsverantwoordelijke rusten, waaronder het melden van datalekken, het uitvoeren van een privacy impact assessment (PIA; of zoals de Nederlandse taalversie van de AVGB het beknopt noemt: een 'gegevensbeschermingseffectbeoordeling') en eventuele voorafgaande raadpleging van de toezichthoudende autoriteit in het kader van een PIA;
  7. na afloop van de verwerkingsdiensten alle persoonsgegevens wist of teruggeeft (de keuze is aan de verwerkingsverantwoordelijke), en bestaande kopieën van de persoonsgegevens verwijdert, tenzij het bewaren van de persoonsgegevens wettelijk verplicht is (denk hierbij bijvoorbeeld aan fiscale bewaarplichten of specifieke sectorale wetgeving); en
  8. de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in artikel 28 AVGB neergelegde verplichtingen aan te tonen en meewerkt aan audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een derde.

De AVGB biedt de nationale toezichthoudende autoriteiten de mogelijkheid om een model voor een standaard verwerkersovereenkomst op te stellen. De AP heeft echter aangegeven van deze mogelijkheid voorlopig geen gebruik te maken, waarmee de bal daarmee bij organisaties zelf ligt. De verwerkersovereenkomst hoeft overigens geen afzonderlijke overeenkomst te zijn, specifieke bepalingen over het verwerken van persoonsgegevens mogen deel uitmaken van een groter geheel aan afspraken (bijvoorbeeld een dienstverleningsovereenkomst of een service level agreement).

Registerplicht

Net als de verwerkingsverantwoordelijke krijgt de verwerker onder de AVGB een registerplicht: de verwerker moet zijn verwerkingsactiviteiten bijhouden in een schriftelijk (waaronder begrepen elektronisch) register. De AVGB somt een aantal specifieke verplichtingen op dat in ieder geval moet worden opgenomen in het register:

  1. de naam en contactgegevens van eventuele (sub-)verwerker(s) en van iedere verantwoordelijke voor rekening waarvan de verwerker handelt;
  2. indien van toepassing, de naam en contactgegevens van de vertegenwoordiger van verwerker en de functionaris voor de gegevensbescherming (de FG);
  3. de categorieën van verwerkingen die voor rekening van verantwoordelijken zijn/worden uitgevoerd;
  4. indien van toepassing, of er sprake is van doorgifte van persoonsgegevens aan een land buiten de EU en indien dit het geval is, de vermelding van dit land inclusief de met deze doorgifte gepaard gaande documenten inzake de passende waarborgen (zoals Model Contracts for the transfer of personal data to third countries van de Europese Commissie of Binding Corporate Rules); en
  5. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die de verwerker heeft getroffen.

Het register moet desgevraagd worden verstrekt aan de AP.

De registerplicht is niet van toepassing op organisaties die minder dan 250 personen in dienst hebben, tenzij (i) het waarschijnlijk is dat de verwerking een risico inhoudt voor rechten en of vrijheden van de betrokkenen, (ii) de verwerking niet incidenteel is, of (iii) de verwerking bijzondere categorieën van persoonsgegevens bevat. Verwerkers die diensten aanbieden waarbij de verwerking van persoonsgegevens standaard is, zullen geen beroep kunnen doen op deze uitzonderingen, en zullen aldus verplicht zijn tot het opmaken van een schriftelijk verwerkingsregister.

Functionaris voor de gegevensbescherming en meldplicht datalekken

Zodra de AVGB van toepassing is, heeft de verwerker bovendien de volgende verplichtingen:

  1. Indien de verwerker een overheidsinstantie of -orgaan is, hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens van strafrechtelijke aard, of hoofdzakelijk is belast met regelmatige en stelselmatige observatie van betrokkenen op grote schaal, dient de verwerker een FG aan te stellen. Een concern dat is gevestigd in meerdere landen, kan in beginsel volstaan met het aanwijzen van één FG. Deze FG moet echter wel in staat zijn om in de lokale taal met de betrokkenen en de bevoegde toezichthouders te communiceren.
  2. De verwerker dient de verantwoordelijke - zonder onredelijke vertraging - te informeren zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens (ofwel, een datalek). Op grond van de verwerkersovereenkomst is de verwerker vervolgens verplicht om de verantwoordelijke bijstand te verlenen in haar verplichtingen richting de AP en eventueel de betrokkenen.

Sanctionering en aansprakelijkheid

Toezichthoudende autoriteiten kunnen verwerkers die niet in overeenstemming handelen met AVGB sanctioneren. In geval van grensoverschrijdende verwerkingen is de toezichthoudende autoriteit de autoriteit in de lidstaat waar de verantwoordelijke zijn hoofdvestiging heeft. De bevoegde toezichthoudende autoriteit van de verwerker moet worden beschouwd als betrokken toezichthoudende autoriteit en zal moeten deelnemen aan de in de AVGB vastgestelde samenwerkingsprocedure.

Voor verwerkers die grensoverschrijdend opereren is het aldus van belang om zich ook bewust te zijn van specifieke regelgeving in het land waar de hoofdvestiging van de verantwoordelijke. In Nederland geldt als relevante regelgeving op dit gebied onder andere de Uitvoeringswet AVGB (vooralsnog slechts als concept), het algemene bestuursrecht en (in de praktijk) richtlijnen van de AP.

In geval van inbreuk op (onder andere) artikel 28 AVGB, kunnen administratieve boetes oplopen tot €10 miljoen dan wel (indien dit hoger is) 2% van de totale wereldwijde jaaromzet van de betreffende onderneming. In geval van inbreuk op bepaalde andere artikelen – waar verwerker ook mee te maken heeft – staan administratieve boetes die kunnen oplopen tot €20 miljoen dan wel (indien dit hoger is) 4% van de totale wereldwijde jaarlijkse omzet. In plaats van 'slechts' contractueel aansprakelijk te zijn uit hoofde van een verwerkersovereenkomst (zoals onder de Wbp gebruikelijk is) zijn verwerkers onder de AVGB derhalve rechtstreeks bestuursrechtelijk aansprakelijk voor het niet-nakomen van verplichtingen uit hoofde van de AVGB.

Naast bestuursrechtelijke aansprakelijkheid, kan een verwerker civielrechtelijk aansprakelijk zijn ten opzichte van betrokkenen die schade lijden/hebben geleden als gevolg van het overtreden van de AVGB door de verwerker, tenzij de verwerker kan bewijzen dat de schade hem niet kan worden toegerekend. Het begrip schade moet daarbij ruim worden opgevat op een wijze die ten volle rechtdoet aan de doelstellingen van de AVGB. Indien er meerdere verantwoordelijken en verwerkers betrokken zijn bij dezelfde verwerking, zijn zij jegens de betrokkene ieder aansprakelijk voor de gehele schade en hebben zij een intern regresrecht.

De verwerker vanuit het perspectief van de verantwoordelijke

De verantwoordelijke mag slechts een beroep doen op een verwerker die afdoende garanties met betrekking tot toepassen van passende technische en organisatorische maatregelen biedt. De verwerker moet ervoor instaan dat zijn verwerking aan de AVGB voldoet en dat de bescherming van de rechten van de betrokkenen worden gewaarborgd. Deze verplichting komt overeen met artikel 17 (2) Richtlijn en artikel 14 Wbp.

Voor de verantwoordelijke is het van belang om controle te blijven uitoefenen op de verwerking van verwerkers en de eventuele keten van betrokken sub-verwerkers. De verantwoordelijke blijft immers (eind)verantwoordelijk en is daarmee een aanspreekpunt voor zowel de AP als de betrokkenen.

Op het moment dat de verwerker een andere of sub-verwerker inschakelt, is de verwerker verplicht deze potentiële verwerker ter goedkeuring voor te leggen aan verantwoordelijke. Voor de verantwoordelijke kan dit het moment zijn waarop hij inzage kan eisen in de sub-verwerkersovereenkomst tussen de verwerker en de sub-verwerker en daarin al dan niet noodzakelijke wijzigingen kan aanbrengen.

Het is verder van belang dat de verantwoordelijke in de verwerkersovereenkomst duidelijk de taken van de verwerker formuleert, zodat er geen onzekerheid ontstaat over de rolverdeling tussen beiden. In de praktijk zullen discussies over de verdeling van aansprakelijkheid tussen de verantwoordelijke en de verwerker aan gewicht toenemen. Een verwerker die wordt ingeschakeld voor een relatief kleine verwerking (met bijbehorende beperkte vergoeding), zal niet snel bereid zijn de verantwoordelijke te vrijwaren voor alle mogelijke aanspraken van betrokkenen en boetes van toezichthouders.

Praktische aanbevelingen

Over negen maanden is het dan eindelijk zover: de AVGB wordt van toepassing. Binnen organisaties worden de eerste (baby)stappen in de richting van de implementatie van de vernieuwde privacyregelgeving gezet. Negen maanden lijkt nog lang, maar een goede implementatie kost veel tijd. Voldoen aan de AVGB is niet zo simpel als enkel aanpassen van de privacyverklaring op de website.

Organisaties dienen hun rol in de verschillende processen van gegevensverwerking en de daarbij behorende verantwoordelijkheden en verplichtingen helder voor ogen te hebben. Er zal zorgvuldig geïnventariseerd moeten worden welke partijen betrokken zijn bij de verschillende verwerkingen binnen de organisatie en welke rol zij vervullen. Deze rolverdeling is van invloed op de verantwoordelijkheden die de partij heeft bij de gegevensverwerking en de daarmee gepaard gaande aansprakelijkheid.

Organisaties wordt bovendien aangeraden op korte termijn hun huidige verwerkersovereenkomsten naast de vereisten van artikel 28 AVGB te houden en aan te passen waar nodig.

Overzicht van te behandelen onderwerpen

Januari 2017

Territoriale reikwijdte van de AVGB

Februari 2017

Het concept van toestemming

Maart 2017

Bijzondere persoonsgegevens

April 2017

'Accountability', 'Privacy by Design' en 'Privacy by Default'

Mei 2017

Rechten van betrokkenen (informatievoorziening)

Juni 2017

Rechten van betrokkenen (inzage,rectificatie en overdraagbaarheid)

Juli 2017

Rechten van betrokkenen (bezwaar, verwijdering en beperking van verwerking

Augustus 2017

Verwerkers

September 2017

Datalekken en meldplichten

Oktober 2017

Gegevensbeschermingseffectbeoordeling en de Functionaris voor de Gegevensbescherming

November 2017

Doorgifte van persoonsgegevens (buiten de EER)

December 2017

Toezichthouders (competenties, taken en bevoegdheden)

Januari 2018

One Stop Shop

Februari 2018

Sancties

Maart 2018

Verwerkingen van persoonsgegevens in arbeidsverhoudingen

April 2018

Profiliering en Retail

Mei 2018

Overzicht

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
Events from this Firm
28 Sep 2017, Seminar, London, UK

On 26 July the FCA published its long-expected consultation paper on the extension of the SMCR to all FCA-authorised firms. The so-called "core regime" introduces the key concepts of regulator-approved senior managers, firm-approved certification staff and conduct rules applicable to virtually all staff.

3 Oct 2017, Conference, Zurich, Switzerland

As the founding Partner of the Europe-Iran Forum, Dentons Europe will once again support this year’s event. This compelling event which explores all Iran-related topics will take place in Zürich on 3rd and 4th October.

4 Oct 2017, Workshop, London, UK

We are hosting an interactive workshop where we will run a mock High Court trial of an employee competition case – where the members of the audience are the judges. The session, aimed at in-house counsel and HR professionals, will offer an insight as to how disputes involving employees moving to a competitor play out in practice.

 
Some comments from our readers…
“The articles are extremely timely and highly applicable”
“I often find critical information not available elsewhere”
“As in-house counsel, Mondaq’s service is of great value”

Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Register for Access and our Free Biweekly Alert for
This service is completely free. Access 250,000 archived articles from 100+ countries and get a personalised email twice a week covering developments (and yes, our lawyers like to think you’ve read our Disclaimer).
 
Email Address
Company Name
Password
Confirm Password
Position
Mondaq Topics -- Select your Interests
 Accounting
 Anti-trust
 Commercial
 Compliance
 Consumer
 Criminal
 Employment
 Energy
 Environment
 Family
 Finance
 Government
 Healthcare
 Immigration
 Insolvency
 Insurance
 International
 IP
 Law Performance
 Law Practice
 Litigation
 Media & IT
 Privacy
 Real Estate
 Strategy
 Tax
 Technology
 Transport
 Wealth Mgt
Regions
Africa
Asia
Asia Pacific
Australasia
Canada
Caribbean
Europe
European Union
Latin America
Middle East
U.K.
United States
Worldwide Updates
Check to state you have read and
agree to our Terms and Conditions

Terms & Conditions and Privacy Statement

Mondaq.com (the Website) is owned and managed by Mondaq Ltd and as a user you are granted a non-exclusive, revocable license to access the Website under its terms and conditions of use. Your use of the Website constitutes your agreement to the following terms and conditions of use. Mondaq Ltd may terminate your use of the Website if you are in breach of these terms and conditions or if Mondaq Ltd decides to terminate your license of use for whatever reason.

Use of www.mondaq.com

You may use the Website but are required to register as a user if you wish to read the full text of the content and articles available (the Content). You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these terms & conditions or with the prior written consent of Mondaq Ltd. You may not use electronic or other means to extract details or information about Mondaq.com’s content, users or contributors in order to offer them any services or products which compete directly or indirectly with Mondaq Ltd’s services and products.

Disclaimer

Mondaq Ltd and/or its respective suppliers make no representations about the suitability of the information contained in the documents and related graphics published on this server for any purpose. All such documents and related graphics are provided "as is" without warranty of any kind. Mondaq Ltd and/or its respective suppliers hereby disclaim all warranties and conditions with regard to this information, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. In no event shall Mondaq Ltd and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use or performance of information available from this server.

The documents and related graphics published on this server could include technical inaccuracies or typographical errors. Changes are periodically added to the information herein. Mondaq Ltd and/or its respective suppliers may make improvements and/or changes in the product(s) and/or the program(s) described herein at any time.

Registration

Mondaq Ltd requires you to register and provide information that personally identifies you, including what sort of information you are interested in, for three primary purposes:

  • To allow you to personalize the Mondaq websites you are visiting.
  • To enable features such as password reminder, newsletter alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our information providers who provide information free for your use.

Mondaq (and its affiliate sites) do not sell or provide your details to third parties other than information providers. The reason we provide our information providers with this information is so that they can measure the response their articles are receiving and provide you with information about their products and services.

If you do not want us to provide your name and email address you may opt out by clicking here .

If you do not wish to receive any future announcements of products and services offered by Mondaq by clicking here .

Information Collection and Use

We require site users to register with Mondaq (and its affiliate sites) to view the free information on the site. We also collect information from our users at several different points on the websites: this is so that we can customise the sites according to individual usage, provide 'session-aware' functionality, and ensure that content is acquired and developed appropriately. This gives us an overall picture of our user profiles, which in turn shows to our Editorial Contributors the type of person they are reaching by posting articles on Mondaq (and its affiliate sites) – meaning more free content for registered users.

We are only able to provide the material on the Mondaq (and its affiliate sites) site free to site visitors because we can pass on information about the pages that users are viewing and the personal information users provide to us (e.g. email addresses) to reputable contributing firms such as law firms who author those pages. We do not sell or rent information to anyone else other than the authors of those pages, who may change from time to time. Should you wish us not to disclose your details to any of these parties, please tick the box above or tick the box marked "Opt out of Registration Information Disclosure" on the Your Profile page. We and our author organisations may only contact you via email or other means if you allow us to do so. Users can opt out of contact when they register on the site, or send an email to unsubscribe@mondaq.com with “no disclosure” in the subject heading

Mondaq News Alerts

In order to receive Mondaq News Alerts, users have to complete a separate registration form. This is a personalised service where users choose regions and topics of interest and we send it only to those users who have requested it. Users can stop receiving these Alerts by going to the Mondaq News Alerts page and deselecting all interest areas. In the same way users can amend their personal preferences to add or remove subject areas.

Cookies

A cookie is a small text file written to a user’s hard drive that contains an identifying user number. The cookies do not contain any personal information about users. We use the cookie so users do not have to log in every time they use the service and the cookie will automatically expire if you do not visit the Mondaq website (or its affiliate sites) for 12 months. We also use the cookie to personalise a user's experience of the site (for example to show information specific to a user's region). As the Mondaq sites are fully personalised and cookies are essential to its core technology the site will function unpredictably with browsers that do not support cookies - or where cookies are disabled (in these circumstances we advise you to attempt to locate the information you require elsewhere on the web). However if you are concerned about the presence of a Mondaq cookie on your machine you can also choose to expire the cookie immediately (remove it) by selecting the 'Log Off' menu option as the last thing you do when you use the site.

Some of our business partners may use cookies on our site (for example, advertisers). However, we have no access to or control over these cookies and we are not aware of any at present that do so.

Log Files

We use IP addresses to analyse trends, administer the site, track movement, and gather broad demographic information for aggregate use. IP addresses are not linked to personally identifiable information.

Links

This web site contains links to other sites. Please be aware that Mondaq (or its affiliate sites) are not responsible for the privacy practices of such other sites. We encourage our users to be aware when they leave our site and to read the privacy statements of these third party sites. This privacy statement applies solely to information collected by this Web site.

Surveys & Contests

From time-to-time our site requests information from users via surveys or contests. Participation in these surveys or contests is completely voluntary and the user therefore has a choice whether or not to disclose any information requested. Information requested may include contact information (such as name and delivery address), and demographic information (such as postcode, age level). Contact information will be used to notify the winners and award prizes. Survey information will be used for purposes of monitoring or improving the functionality of the site.

Mail-A-Friend

If a user elects to use our referral service for informing a friend about our site, we ask them for the friend’s name and email address. Mondaq stores this information and may contact the friend to invite them to register with Mondaq, but they will not be contacted more than once. The friend may contact Mondaq to request the removal of this information from our database.

Security

This website takes every reasonable precaution to protect our users’ information. When users submit sensitive information via the website, your information is protected using firewalls and other security technology. If you have any questions about the security at our website, you can send an email to webmaster@mondaq.com.

Correcting/Updating Personal Information

If a user’s personally identifiable information changes (such as postcode), or if a user no longer desires our service, we will endeavour to provide a way to correct, update or remove that user’s personal data provided to us. This can usually be done at the “Your Profile” page or by sending an email to EditorialAdvisor@mondaq.com.

Notification of Changes

If we decide to change our Terms & Conditions or Privacy Policy, we will post those changes on our site so our users are always aware of what information we collect, how we use it, and under what circumstances, if any, we disclose it. If at any point we decide to use personally identifiable information in a manner different from that stated at the time it was collected, we will notify users by way of an email. Users will have a choice as to whether or not we use their information in this different manner. We will use information in accordance with the privacy policy under which the information was collected.

How to contact Mondaq

You can contact us with comments or queries at enquiries@mondaq.com.

If for some reason you believe Mondaq Ltd. has not adhered to these principles, please notify us by e-mail at problems@mondaq.com and we will use commercially reasonable efforts to determine and correct the problem promptly.