013-2032649
info@webshoptiger.com
Télécharger l'ebook gratuit

Accord du processeur

ACCORD DE TRAITEMENT
Des soirées:

  1. Clients de Webshoptiger BV, ci-après dénommés «responsable";et
  2. Webshoptiger BV sise 't Zwaantje 23, 5056 ED Berkel-Enschot, numéro de chambre de commerce : 18058599, ci-après dénommée "processeur »

Considérez ce qui suit :

  • Les parties ont conclu un accord en vertu duquel le sous-traitant traite les données (personnelles) du responsable du traitement au sens de l'article 4, paragraphes 1 et 2 du RGPD, ci-après dénommé : « l'accord principal ».
  • Conformément à l'article 28, paragraphe 3, du RGPD, les parties sont tenues de conclure des accords visant à garantir la confidentialité des données personnelles et de les enregistrer dans un accord de traitement, ci-après dénommé : « l'accord ».
  • Les parties se fourniront mutuellement toutes les informations nécessaires en temps opportun pour permettre le bon respect des lois et réglementations applicables en matière de confidentialité.
  • les dispositions du présent accord prévalent sur tous les autres accords applicables entre les parties en ce qui concerne le traitement des données personnelles, si et dans la mesure où elles s'écartent de ce qui est indiqué dans le présent accord

Correspondre:

Article 1 – Durée de la convention

  1. Le présent accord prend effet à compter de la date de signature par les parties et prend fin après que le sous-traitant ait supprimé et/ou restitué toutes les données personnelles auxquelles se rapporte le présent accord conformément aux dispositions de l'article 13.
  2. Cet accord ne peut être résilié prématurément.
  3. Les dispositions décrites à l'article 4 resteront en vigueur même après l'expiration du présent accord.

Article 2 – Objet de la convention

  1. Pour l'exécution du contrat principal, le responsable du traitement a fourni au sous-traitant une déclaration indiquant :
    • la nature et la finalité du traitement convenu
    • les catégories de données personnelles traitées
    • les catégories de personnes concernées
    • les catégories de destinataires/utilisateurs de données personnelles
  2. Un relevé des informations visées au paragraphe 1 est joint en annexe à la présente convention.

Article 3 – Traitement et utilisation des données personnelles

  1. Le responsable du traitement détermine la finalité du traitement et les données personnelles qu'il a traitées à cette fin.
  2. Le responsable du traitement fournira des instructions écrites au sous-traitant à cette fin.
  3. Le sous-traitant utilise les données personnelles obtenues uniquement aux fins pour lesquelles elles ont été fournies et exclusivement conformément aux instructions écrites du responsable du traitement.
  4. Si le responsable du traitement ordonne le traitement des données personnelles d'une manière qui, selon le sous-traitant, est contraire aux obligations légales, ce dernier en informera le responsable du traitement et consultera le sous-traitant pour parvenir à une solution qui n'est pas contraire aux dispositions légales. obligations.exigences légales.
  5. Le sous-traitant a sa propre responsabilité de ne pas traiter les données en violation des lois et réglementations applicables.
  6. Le sous-traitant ne fournira pas de données personnelles à des tiers, sauf si cela est fait au nom du responsable du traitement ou lorsque cela est nécessaire pour respecter une obligation légale.
  7. Le sous-traitant traite les données personnelles au sein de l'Espace économique européen et dans les pays suivants : États-Unis d'Amérique.

Article 4 – Geheimhouding

  1. Le sous-traitant prend toutes les mesures nécessaires pour assurer la confidentialité des données personnelles du responsable du traitement.
  2. L'obligation énoncée au paragraphe 1 ne s'applique pas si le responsable du traitement a donné son consentement écrit préalable pour fournir les données personnelles à un tiers ou si le sous-traitant est légalement tenu de le faire.
  3. Le sous-traitant imposera la même obligation de confidentialité à son personnel ou aux personnes ou sous-traitants engagés à cet effet.
  4. En cas de violation du présent article, le sous-traitant sera redevable au responsable du traitement d'une amende de 0 € immédiatement exigible par violation, sans préjudice du droit du responsable du traitement de réclamer une indemnisation intégrale.

Article 5 – Sécurité

  1. Le responsable du traitement et le sous-traitant prendront tous deux les mesures techniques et organisationnelles appropriées, telles que visées à l'article 32 du RGPD, afin de pouvoir assurer un niveau de sécurité adapté au risque.
  2. Le responsable du traitement informe le sous-traitant des exigences légales de fiabilité qui s'appliquent au traitement en fonction des conséquences possibles pour les personnes concernées, comme par exemple en cas de perte, de corruption ou de traitement illicite, et fournit toutes les informations nécessaires pour que le sous-traitant puisse se conformer aux eux.
  3. Si le responsable du traitement exige un niveau de sécurité plus élevé que celui requis par la loi, le sous-traitant peut facturer séparément au responsable du traitement les coûts raisonnables correspondants.
  4. Lors de la prise de mesures de sécurité, le sous-traitant prend en compte l'état de la technique, les coûts de mise en œuvre, ainsi que la nature, l'étendue, le contexte, les finalités du traitement, la probabilité et la gravité des différents risques pour les droits et libertés des personnes, conformément aux dispositions de l’article 28, paragraphe 3, point f) du RGPD.
  5. Si le responsable du traitement souhaite procéder à une évaluation d'une activité de traitement envisagée, le sous-traitant fournira toute la coopération raisonnable pour effectuer cette évaluation conformément aux lois et réglementations applicables.
  6. Le sous-traitant fournit également toute coopération raisonnable avec une consultation préalable de l'autorité néerlandaise de protection des données.
  7. Les parties ont conclu des accords concrets concernant les mesures de sécurité techniques et organisationnelles nécessaires à la mise en œuvre du présent accord, que le responsable du traitement juge actuellement appropriées.
  8. Ces accords portent au minimum sur les thèmes suivants :
    1. les exigences de fiabilité
    2. le niveau de sécurité convenu (le cas échéant)
    3. les mesures prises par le sous-traitant pour que seul le personnel autorisé ait accès aux données personnelles
    4. mesures de protection contre la perte, l’altération, le traitement, l’accès ou la divulgation non autorisés ou illégaux
    5. les mesures à prendre pour détecter les faiblesses et gérer les incidents
  9. Les parties évalueront périodiquement les accords visés aux paragraphes 7 et 8 et les ajusteront si nécessaire.
  10. Ces accords sont joints en annexe à la présente convention.

Article 6 – Audit

  1. Le responsable du traitement a le droit de faire réaliser un audit annuel à ses frais pour vérifier le respect du présent accord.
  2. Le sous-traitant apportera toute sa coopération raisonnable à l'audit visé au paragraphe 1, par exemple en accordant l'accès aux bases de données et en mettant à disposition toutes les informations pertinentes.
  3. Le sous-traitant met en œuvre dans les plus brefs délais les recommandations résultant de l'audit en concertation avec le responsable.
  4. Si les adaptations résultant du paragraphe 3 résultent d'un changement de perception ou de législation, les coûts raisonnables de ces adaptations sont à la charge du responsable du traitement.
  5. Si les adaptations résultant du paragraphe 3 résultent du non-respect des exigences de sécurité convenues, ces frais seront à la charge du sous-traitant.
  6. Si l'autorité néerlandaise de protection des données ou une autre autorité compétente souhaite mener une enquête, le sous-traitant fournira toute la coopération raisonnable et informera le responsable du traitement dans les plus brefs délais.

Article 7 – Violation de données

  1. En cas de violation de données au sens de l'article 4, alinéa 12 du RGPD, le sous-traitant en informera le responsable du traitement de la manière décrite plus en détail à l'article 8.
  2. En cas de fuite de données, le sous-traitant prendra toutes les mesures raisonnablement nécessaires pour limiter les conséquences et éviter une nouvelle fuite.
  3. Le sous-traitant fournira au responsable du traitement toute la coopération nécessaire pour évaluer l'étendue et les conséquences de la violation de données et pour se conformer à toute obligation de signaler les violations de données à l'autorité néerlandaise de protection des données ainsi qu'à l'obligation de fournir des informations aux personnes concernées.
  4. Les parties ont consigné leurs accords sur la procédure à suivre en cas de violation de données dans une procédure d'obligation de déclaration de fuite de données, telle que décrite à l'article 8. Cette procédure peut être adaptée si l'état de la technologie l'exige ou si la réglementation en matière de modification de l’obligation de déclaration des fuites de données.
  5. Si le sous-traitant ne signale pas la violation de données en temps utile conformément à la procédure d'obligation de déclaration de violation de données visée à l'article 8, il sera redevable d'une amende immédiatement exigible de 0 € au responsable du traitement plus 2 % de ce montant par heure. que la notification est faite trop tard.

Article 8 – Procédure de déclaration des fuites de données

En cas de violation de données, la procédure suivante s'applique :

  • le sous-traitant enregistre tous les incidents de sécurité de manière transparente pour le responsable du traitement
  • cet enregistrement comprend au moins les informations suivantes : une description de l'incident ; le nombre approximatif de personnes touchées par l'incident ; le(s) groupe(s) de personnes touchées par l'incident ; la date et l'heure de l'incident ; la nature de l'infraction; le type de données concernées ; les conséquences possibles pour les personnes impliquées ; les mesures techniques et organisationnelles prises à la suite de l'incident ; comment les données divulguées sont sécurisées ; si les données ont été hachées, rendues inaccessibles ou peuvent être supprimées à distance ; et si et, si oui, quelles données de personnes dans d'autres pays de l'UE ont été affectées par la violation de données
  • le sous-traitant informe le responsable du traitement dans les 72 heures après avoir pris connaissance de l'incident, en lui remettant simultanément son enregistrement, comme décrit ci-dessus
  • le sous-traitant est disponible en permanence pour consultation avec le sous-traitant ou tout expert désigné par le sous-traitant pendant les 24 heures suivant l'information du responsable du traitement d'une violation de données
  • le responsable du traitement consulte le sous-traitant pour évaluer si l'incident doit être signalé à l'autorité néerlandaise de protection des données
  • le responsable du traitement informe à l'avance le sous-traitant lorsqu'il décide de signaler la fuite à l'autorité néerlandaise de protection des données
  • le sous-traitant fournit au responsable du traitement toute la coopération nécessaire pour que ce dernier puisse signaler une violation de données à l'autorité néerlandaise de protection des données conformément aux exigences légales
  • le sous-traitant apporte toute sa coopération au responsable du traitement afin d'informer les personnes concernées conformément à l'article 34 du RGPD de la violation de données

Article 9 – Demandes des personnes concernées

  1. Toute demande d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données ou d'opposition au sens des articles 15 à 21 du RGPD parvenue au sous-traitant sera transmise sans délai au responsable du traitement.
  2. Le sous-traitant apporte au responsable du traitement toute coopération raisonnable afin que ce dernier puisse répondre à une demande visée au paragraphe 1 dans les délais légaux.
  3. Le responsable du traitement remboursera au sous-traitant les coûts raisonnables entraînés par une telle coopération.

Article 10 – Sous-traitants ultérieurs

  1. Le sous-traitant utilise le(s) sous-traitant(s) suivant(s) pour traiter les données personnelles : Transip BV à Amsterdam, The Rocket Science Group à Atlanta, Reeleezee B.V. à Breukelen, Google LLC à Mountain View, Apple Inc. à Cupertino et De Cijfer Company BV à Tilburg ; et n'engagera pas d'autres sous-traitants ultérieurs à moins d'avoir reçu l'autorisation préalable de le faire.
  2. Le sous-traitant est responsable des actions des sous-traitants qu'il engage.
  3. Si un sous-traitant engage un sous-traitant ultérieur, il est tenu de stipuler que ce sous-traitant remplit toutes les obligations imposées au sous-traitant en vertu du présent accord et conclura un accord avec les sous-traitants concernés conformément à cet accord.
  4. Si le sous-traitant engage des sous-traitants ultérieurs sans l'autorisation visée au paragraphe 1, le sous-traitant est passible d'une amende de 0 € sans préjudice du droit du responsable du traitement à une indemnisation intégrale.

Article 11 – Accès aux données personnelles

Le sous-traitant garantit que le responsable du traitement conserve à tout moment l'accès aux données personnelles concernées, même en cas de faillite ou de cessation de paiement.

Article 12 – Responsabilité et indemnisation

  1. Le sous-traitant n'est pas responsable des dommages résultant de violations de toute loi ou réglementation par le responsable du traitement.
  2. Le responsable du traitement indemnise le sous-traitant contre les réclamations de tiers et les frais supportés par le sous-traitant à la suite d'une violation visée au paragraphe 1.
  3. Le responsable du traitement n'est pas responsable des dommages résultant de violations de toute loi ou réglementation par le sous-traitant.
  4. Le sous-traitant garantit le responsable du traitement contre les réclamations de tiers et les frais encourus par le responsable du traitement en raison d'une violation visée au paragraphe 3.
  5. Dans le cas visé au paragraphe 1 ou 3, l'autre partie a le droit de résilier le contrat principal avec effet immédiat.

Article 13 – Résiliation et conséquences de la résiliation

  1. Cet accord ne prend fin qu'après que la mission sous-jacente a pris fin et que le sous-traitant a transféré toutes les données personnelles qui lui ont été fournies au responsable du traitement ou à un tiers désigné par écrit au préalable par le responsable du traitement, ainsi que toutes les données restant auprès du sous-traitant et de tout sous-traitant. les processeurs ont été détruits.
  2. À la demande du responsable du traitement, le sous-traitant mettra à disposition les données personnelles qui lui ont été fournies dans un format différent de celui dans lequel elles ont été fournies, en échange d'une compensation pour les frais raisonnables impliqués.
  3. Au lieu de transférer les données, le responsable du traitement peut également demander au sous-traitant de détruire les données.
  4. La destruction des données visée au paragraphe 3 ne peut avoir lieu qu'après autorisation écrite préalable du responsable du traitement.
  5. Toutefois, les dispositions de l'article 4 restent pleinement en vigueur.

Article 14 – Conséquences de nullité ou d'annulabilité

Si une partie de l'accord est nulle ou annulable, cela n'affectera pas les autres dispositions de l'accord. Une disposition nulle ou annulable sera alors remplacée par une disposition se rapprochant le plus de ce que les parties avaient en tête sur ce point lors de la conclusion du contrat.

Article 15 – Droit applicable et juridiction compétente

  1. Le droit néerlandais s'applique à cet accord.
  2. Tous les litiges résultant du présent accord et qui ne pourront être résolus à l'amiable seront soumis au tribunal compétent du ressort du lieu d'activité du transformateur.Signé en double exemplaire :
    Ville:
    Client, au nom du responsable Données:

     

     

    Place Berkel-Enschot
    E.S.N.M. van de Wouw, au nom du sous-traitant Datum: 11-11-20211