Contrat de traitement des données personnelles
D’une part, le Client, qui agit en tant que responsable du traitement (ci-après dénommé le « Responsable du traitement » ou le « Contrôleur »).
Et, d’autre part, GLOBEID Ltd, en tant que sous-traitant, identifié sous le numéro 559612, et ayant son siège social à The Black Church, St Mary’s Place, Dublin 7 (ci-après dénommé « le Sous-traitant » ou « Sous-traitant »).
Dorénavant, les deux parties conjointement désignées comme « les Parties » ou individuellement comme « la Partie », reconnaissent avoir une capacité suffisante pour conclure le présent contrat de sous-traitance (ci-après dénommé « Contrat de Sous-traitance ») et à cette fin.
Manifeste
- Que les Deux Parties ont conclu un contrat pour l’utilisation du SaaS PassportScan détenu par le Sous-traitant.
- That the Client is responsible for the processing of the data identified in the Fourth Stipulation, all in accordance with the provisions of Regulation (EU) 2016/679, of April 27 (hereinafter, »RGPD« ),and in L.O. 3/2018, of December 5, on data protection and guarantee of digital rights (LOPDGDD).If, as a result of the execution of the contracted services, the Processor has access to and performs any type of processing of the personal data for which he is responsible, he will do so in his capacity as Data Processor, in accordance with the provisions of Article 28 of the RGPD.
- That, in compliance with the provisions of the RGPD, and in the rest of the applicable regulations on data protection, the MANAGER offers sufficient guarantees to implement appropriate technical and organizational policies to apply the security measures established by current regulations and protect the rights of the interested parties.
- Both parties agree to enter into this Data Processor Agreement, subject to the following,
Dispositions
- Par le biais de ces clauses, le Sous-traitant est habilité à traiter, pour le compte du Responsable des données, les données personnelles nécessaires à la fourniture du service permettant l’accès et l’utilisation de la plateforme PASSPORTSCAN, en plus d’assurer la maintenance technique de celle-ci, le tout sur la base des conditions convenues entre les parties.
Le Gestionnaire agira toujours conformément aux instructions du Responsable, telles que décrites dans le présent Contrat de traitement des données.
Les opérations de traitement autorisées seront strictement nécessaires pour atteindre l’objectif du service, et peuvent être:
– consultation
– conservation
– limitation
– Suppression selon les paramètres et les directives du client. - Durée. Cet accord de traitement de données entre en vigueur dès son acceptation et a la même durée que les services contractés avec le Sous-traitant.
- Objet du Traitement
Le Sous-traitant s’engage à ce que le traitement des données effectué soit limité à ce qui est nécessaire pour fournir les services réglementés entre les parties, que ce soit par la signature d’un contrat express et écrit, ou par l’acceptation des termes et conditions qui peuvent être établis par le Responsable dans chaque cas. - Typologie des données traitées
Catégories des parties prenantes:
– Détails du compte du Responsable des données. Les employés et individus du Responsable des données autorisés par lui à accéder au compte.
– Contenu du Responsable des données. Clients et utilisateurs finaux du Responsable des données.
– Données d’utilisation du Responsable des données. Clients et utilisateurs finaux du Responsable des données.
Type de données traitées:
– Données d’identification et de contact.
– Données professionnelles.
– Données d’utilisation de l’application.
– Données économiques et bancaires (le cas échéant)
– Données d’image (le cas échéant)
Le Sous-traitant n’est pas responsable des informations que le client entre ou stocke, étant de sa seule responsabilité à la fois le type de données qu’il entre, en particulier les données de catégories spéciales, le cas échéant, et le traitement qu’il en fait. - L’interdiction de communication des données personnelles.
Le Sous-traitant s’engage à garder sous son contrôle et sa garde les données personnelles fournies par le Responsable des données auxquelles il accède dans le cadre de la fourniture des Services et à ne pas les divulguer, transférer ou communiquer autrement, même pour conservation, à d’autres personnes extérieures à ceux-ci et à la fourniture du Service. Cependant, le Sous-traitant ne sera pas tenu responsable lorsque, sur indication écrite expresse du Responsable des données, il communique les données à un tiers désigné par ce dernier, à qui il a confié la fourniture d’un service conformément aux dispositions de la réglementation en vigueur en matière de protection des données. L’accès par le Sous-traitant aux données personnelles ne sera pas considéré comme une communication ou un transfert de données, lorsque cet accès est nécessaire pour la fourniture correcte des Services. - Sous-traitance des Services.
Le Responsable accepte que le Sous-traitant puisse conclure des contrats avec des sous-traitants (ci-après dénommés « Sous-traitants » ou « Sous-traitants ») pour remplir ses obligations en vertu de cet Accord. Le Responsable donne son consentement général pour que le Sous-traitant s’engage auprès des Sous-Chargeurs, conformément aux exigences suivantes :
1. Tous les Sous-traitants doivent garantir le respect des réglementations en matière de protection des données.
2. Le Gestionnaire limitera l’accès du Sous-traitant aux Données personnelles du Responsable strictement nécessaire à la fourniture de ses services. Le Responsable accepte que le Gestionnaire puisse engager des Sous-chargeurs supplémentaires pour traiter les données dans le cadre des services fournis et aux fins autorisées, et tiendra à jour une liste de ses Sous-chargeurs, bien que dans ces cas, le Responsable soit informé de ces changements afin que, le cas échéant, il puisse s’y opposer. En cas d’opposition, le Gestionnaire décidera s’il faut conclure un contrat avec ledit Sous-chargé ou non. En cas de décision de conclure un contrat avec le Sous-chargé avec opposition du Responsable, cela entraînera automatiquement la résiliation du Contrat entre les parties.Lorsque le Sous-traitant a recours à un Sous-traitant, les deux parties respecteront les conditions énoncées à l’article 28, paragraphe 2 et 4, du RGPD. Plus précisément, le Gestionnaire s’engage à ce que les Sous-traitants respectent les mêmes obligations de protection des données que celles indiquées dans ce contrat. Le Gestionnaire mettra à la disposition du Responsable une liste des sous-traitants de traitement qui sera toujours mise à jour. Actuellement, les services d’hébergement et de stockage de la plateforme PassportScan sont externalisés à la société Amazon Web Services
- Transferts internationaux de données.
Le Sous-traitant n’a pas l’intention de réaliser des transferts internationaux de données sous la responsabilité du Responsable des données en dehors de l’Espace économique européen, nécessaires à la fourniture des services contractés. L’hébergement des informations contractées avec AWS est défini régionalement, de sorte que les clients de la zone UE ont leurs données stockées dans l’UE et il en va de même dans d’autres régions. Dans le cas de transferts en dehors de l’EEE, ceux-ci seront effectués conformément aux articles 44 à 49 du RGPD. - Sécurité des données personnelles.
Le Sous-traitant garantit l’application de mesures techniques et organisationnelles appropriées pour que le traitement soit conforme aux exigences légales, conformément aux dispositions de l’article 32 du RGPD. Dans le cas où le Gestionnaire demande au Responsable, par les moyens indiqués à la Clause Seize, un document explicatif de ces mesures, il lui sera fourni un Document de sécurité qui recueille les principales informations à ce sujet, les mesures de sécurité appliquées et les procédures mises en œuvre ou en place au moment de la demande. - Collaboration dans la notification des violations de sécurité.
9.1. Notification des violations de sécurité En cas de violation de la sécurité dans les systèmes du Traitement des données, pouvant affecter la responsabilité des données du Responsable du traitement, le Traitement des données, dans un délai maximal de 48 heures, toujours après avoir pris connaissance de la violation des données personnelles, s’engage à notifier le Responsable du traitement via l’adresse e-mail désignée par le Responsable, conjointement avec toutes les informations pertinentes pour la documentation et la communication de l’incident.
.9.2.
Le Gestionnaire mettra à disposition du Responsable les informations requises par ce dernier pour démontrer la conformité aux obligations indiquées dans l’Article 28 du RGPD. Il permettra également la réalisation d’audits, y compris des inspections, par le Contrôleur ou un autre auditeur autorisé par le Contrôleur. Le Sous-traitant ne se conforme à aucun Code de Conduite approuvé en vertu de l’Article 40 du RGPD. - Droits d’accès, de rectification, de suppression, de limitation, d’opposition et de portabilité des données. Dans le cas où les droits sont exercés par des clients tiers ou des travailleurs du Contrôleur de Données, la Personne Responsable transférera immédiatement les demandes au Responsable et, au plus tard dans les 7 jours ouvrables, afin qu’il puisse y répondre de manière appropriée.
- Confidentialité.
L’obligation de secret et de confidentialité découlant de ce Contrat engage le Sous-traitant pendant la durée de la relation maintenue avec le Contrôleur de Données. Le Sous-traitant garantit que ses personnes dépendantes, autorisées à traiter les données personnelles sous la responsabilité du Contrôleur de Données, s’engageront à respecter la confidentialité et seront soumises à des obligations légales de confidentialité appropriées, même après la fin du Contrat. Le Sous-traitant s’engage à permettre l’accès à ces données uniquement aux employés qui doivent les connaître pour l’exécution correcte de leurs fonctions dans le cadre de la prestation de Services. - Période de conservation et retour des informations.
Le Gestionnaire fournira la possibilité d’obtenir une copie ou de supprimer les données via votre système. C’est ainsi que le Responsable pourra exercer son droit d’accès, de portabilité et de suppression des données. La partie Responsable accepte d’être seule responsable de l’obtention d’une copie de vos données et de leur suppression après la fin de la période de suppression indiquée ci-dessous. Une fois le contrat terminé, le Gestionnaire :
1. Fournira au Responsable, pendant les 30 jours suivant la date d’expiration du contrat, la possibilité d’obtenir une copie de vos données via votre système.
2. Supprimera automatiquement les données du responsable dans les 30 jours suivant la fin du contrat.
3. Supprimera automatiquement les données du responsable dans les systèmes de sauvegarde dans les 60 jours suivant la fin du contrat.Tout contenu du contrôleur de données archivé dans les systèmes de sauvegarde du Sous-traitant sera sécurisé et protégé contre tout traitement ultérieur, sauf si requis par la loi applicable.
Sans préjudice de ce qui précède, le Sous-traitant peut conserver les informations du Contrôleur de Données ou une partie de celles-ci si la loi l’exige. Ainsi, le Sous-traitant traitera les données du compte du Contrôleur de Données aussi longtemps que nécessaire pour fournir les services au Contrôleur de Données. Les données du compte du Contrôleur de Données stockées dans le(s) système(s) d’administration doivent être conservées au minimum pendant une période de six ans après la fin de la relation pour des raisons comptables, fiscales et d’audit, conformément et en accord avec la loi applicable. Les données du compte du Contrôleur de Données stockées dans les communications avec les équipes de service client du Sous-traitant peuvent être conservées jusqu’à trois ans après la fin du Contrat.
Dans tous les cas, les données conservées pour les raisons indiquées, une fois la relation contractuelle entre les parties terminée, resteront bloquées en tout temps. - Responsabilités des parties.
LA PERSONNE RESPONSABLE DU TRAITEMENT sera responsable des infractions qui pourraient être commises en cas de traitement des données personnelles du Responsable à des fins autres que celles contenues dans ce contrat, ainsi que lorsqu’elle ne prend pas les mesures de sécurité correspondantes. LE CONTRÔLEUR DE DONNÉES sera responsable de toutes infractions, pénalités et/ou amendes qui pourraient lui être imposées pour non-respect de ses obligations découlant de la réglementation sur la Protection des Don. - Protection des données.
Chacune des Parties est informée que ses données personnelles seront traitées par l’autre partie, conformément aux dispositions du Règlement Général 2016/679 sur la protection des données afin de permettre le développement, la conformité et le contrôle de la prestation de services, la base du traitement étant le respect de la relation contractuelle. Les données seront conservées pendant la durée du contrat et, par obligation légale, jusqu’à ce que les obligations et/ou responsabilités qui en découlent expirent. Les données des parties peuvent être transférées à des banques, des assureurs et des administrations publiques, dans les cas prévus par la loi et pour les finalités définies dans celle-ci. Les parties peuvent demander l’accès aux données personnelles, leur rectification, leur suppression, leur portabilité et la limitation de leur traitement, ainsi que s’y opposer, à l’adresse de l’autre partie qui figure en en-tête de ce Contrat. - Législation et juridiction applicable.
The Responsible and the Data Processor claim to know and accept the terms of use and / or written agreements reached between the parties.
This Data Processor Contract will be governed by European regulations on the Protection of Personal Data, as well as the resolutions and guidelines of the Control Authority and other competent bodies in the matter.
To resolve any discrepancy with respect to the interpretation and /or execution of the provisions of this Treatment Manager Contract, the Parties submit to the jurisdiction of the Courts and Tribunals of Valencia Capital, expressly waiving any other legislation or jurisdiction that may correspond to t - Notifications.
The parties undertake to communicate, preferably and habitually, by e-mail to the following addresses:
– The Manager: legal@globeid.net
– The Responsible: the email of the main administrator of the contracted product or that of habitual use between the parties. - Acceptance.
The Parties agree that they may make use of the simple electronic signature to sign this Contract of Processor and consequently accept and recognize that the use of the simple electronic signature will have the same validity as the handwritten signature on paper for the perfection of the same.