Accord sur le traitement des données de Base7

Afin de classer les droits et obligations découlant de la relation contractuelle de traitement des données conformément à l'obligation légale en vertu de l'art. 28 du RGPD, les parties contractantes concluent l'accord suivant.

• l'objet du traitement découle des Conditions générales de vente (ci-après dénommées "Accord principal"), auxquelles il est fait référence dans le présent document. Un traitement supplémentaire des données à caractère personnel du responsable du traitement par le processeur n'est pas prévu.
• Le traitement des données à caractère personnel a lieu exclusivement sur le territoire de la République fédérale d'Allemagne, dans un État membre de l'Union européenne, en Suisse ou dans un autre État contractant de l'accord sur l'Espace économique européen. Tout transfert vers un pays tiers nécessite l'instruction préalable et documentée du responsable du traitement (art. 28 para. 3 lit. a RGPD) et ne peut avoir lieu que si les exigences particulières de l'art. 44 - 49 RGPD sont remplies.

• Données de base personnelles
• Données de communication (par exemple, téléphone, courrier électronique)
• Données contractuelles (relation contractuelle, produit ou intérêts contractuels)
• Historique du client/de la cliente
• Informations relatives à la facturation et au paiement du contrat
• Informations fournies par des tiers (par exemple, agences de crédit ou annuaires publics)

• Clients (clients professionnels)
• Clients (consommateurs)
• Clients potentiels
• Employés
• Fournisseurs
• La durée de la présente commission ("durée") correspond à la durée de l'accord principal.
• Indépendamment des dispositions de l'accord principal, le responsable du traitement peut résilier le présent accord à tout moment et sans préavis si le processeur a commis une violation grave des dispositions du présent accord, si le processeur ne peut pas ou ne veut pas exécuter les instructions du responsable du traitement, ou si le processeur refuse de fournir des informations ou d'accorder l'accès au responsable du traitement dans le cadre des contrôles, contrairement au contrat. Après le terminal, le processeur ne peut plus traiter les données personnelles du responsable du traitement.

• Le responsable du traitement est responsable de la conformité aux réglementations en matière de protection des données, en particulier de la légalité du transfert des données au processeur et de la légalité du traitement des données (art. 4 n° 7 RGPD). Le processeur n'utilise pas les données à d'autres fins et n'est notamment pas autorisé à les transmettre à des tiers. Des copies et des doubles ne seront pas réalisés à l'insu du responsable du traitement. Les exceptions ne s'appliquent que dans la mesure précisée au paragraphe 2 de la présente clause.
• Le Processeur traite les données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, sauf exigence contraire du droit de l'Union ou du droit de l'État membre auquel le Processeur est soumis. En cas d'obligation contraire, le processeur informe immédiatement le responsable du traitement des exigences légales correspondantes avant le traitement.
• Si le processeur est d'avis qu'une instruction enfreint les règles de protection des données, il en informe sans délai le responsable du traitement conformément à l'article 28 al. 3 phrase 3 RGPD. Le processeur est en droit de suspendre l'exécution de l'instruction jusqu'à ce que celle-ci ait été confirmée ou modifiée.

Le processeur n'emploie pour l'exécution du travail que des personnes qui se sont engagées à respecter la confidentialité conformément à l'art. 28 para. 3 phrase 2 lit. b RGPD et qui ont préalablement pris connaissance des dispositions relatives à la protection des données les concernant. Le processeur et toute personne sous le contrôle du processeur qui a accès aux données à caractère personnel peuvent traiter ces données exclusivement conformément aux instructions du responsable du traitement, y compris les pouvoirs conférés dans le présent accord, à moins qu'ils ne soient soumis à une obligation légale de traiter les données.

• Le processeur prend les mesures techniques et organisationnelles appropriées pour assurer une protection adéquate des données à caractère personnel, conformément à l'art. 28 para. 3 lit. c RGPD en liaison avec l'art. 32 para. 1 RGPD, afin de garantir la sécurité du traitement par le processeur. À cette fin, le processeur
• assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services en lien avec le traitement dans la durée,
• garantir la capacité à rétablir rapidement la disponibilité des données à caractère personnel et l'accès à celles-ci en cas d'incident physique ou technique ; et
• mettre en place une procédure d'examen, d'évaluation et d'appréciation réguliers de l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

L'état de l'art, les coûts d'implémentation et la nature, l'étendue et la finalité du traitement, ainsi que le risque plus ou moins probable et grave pour les droits et libertés des personnes physiques au sens de l'art. 32 para. 1 RGPD doit être prise en compte.

• Les parties contractantes conviennent des mesures de sécurité des données énoncées à l'annexe 1 "Mesures techniques et organisationnelles" du présent accord.
• Les mesures techniques et organisationnelles font l'objet de progrès techniques et de développements ultérieurs. À cet égard, le processeur est autorisé à mettre en œuvre des mesures alternatives adéquates. Le niveau de sécurité ne doit pas descendre en dessous des mesures spécifiées. Les changements importants doivent être documentés et communiqués par écrit au responsable du traitement.

• Aux fins du présent provisionnement, les sous-traitants sont des processeurs commissionnés par le processeur dont les services sont directement liés à la fourniture du service principal. Cela n'inclut pas les services auxiliaires utilisés par le processeur, par exemple les services de télécommunication, les services postaux/de transport et le nettoyage. Toutefois, le processeur est tenu de prendre des accords contractuels et des mesures de contrôle appropriés et conformes à la loi pour garantir la protection et la sécurité des données du contrôleur, même dans le cas de services auxiliaires externalisés.
• L'externalisation vers des sous-traitants ou le changement de sous-traitant existant est autorisé, dans la mesure où :
• • le processeur informe le responsable du traitement à l'avance, avec une période raisonnable, par écrit ou sous forme de texte, de cette externalisation à des sous-traitants, et
  • le responsable du traitement ne soulève pas d'objection contre l'externalisation prévue par écrit ou sous forme de texte jusqu'à la date de remise des données au processeur.
• Un accord contractuel doit être conclu avec le sous-traitant conformément à l'art. 28 para. 3 et 4 RGPD, qui répond aux exigences de confidentialité, de protection des données et de sécurité des données du présent accord. Le responsable du traitement a le droit de consulter les contrats du processeur avec les sous-traitants et d'exiger du processeur qu'il lui envoie une copie de ces contrats.
• Si le sous-traitant fournit le service convenu en dehors de l'UE/EEE, le processeur s'assure de l'admissibilité au regard du droit de la protection des données au moyen de mesures appropriées.
• Toute autre externalisation par le sous-traitant nécessite le consentement exprès du responsable du traitement (au moins sous forme de texte). Tous les provisionnements de la chaîne contractuelle doivent également être imposés aux autres sous-traitants.

• Le processeur est tenu de soutenir le responsable du traitement avec des mesures techniques et organisationnelles appropriées pour protéger les droits des personnes concernées, comme spécifié à l'art. 12 à 22 RGPD (art. 28 para. 3 phrase 2 lit. e RGPD). En particulier, le processeur soutient le responsable du traitement dans l'accomplissement des réclamations des personnes concernées pour la suppression de leurs données à caractère personnel conformément à l'article 17 du RGPD.
• Si les personnes concernées sont en mesure d'exercer le droit à la portabilité des données à l'encontre du responsable du traitement, le processeur veille à ce qu'elles puissent recevoir les données, qu'elles ont fournies au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine.
• Le processeur ne peut corriger, supprimer ou restreindre le traitement des données personnelles que conformément aux instructions documentées du responsable du traitement (art. 28 para. 3 phrase 2 lit. g RGPD). Le contractant ne peut fournir des informations à des tiers ou aux personnes concernées qu'après avoir obtenu l'accord écrit préalable du responsable du traitement.
• Si une personne concernée contacte directement le processeur pour faire valoir ses droits conformément aux articles 12 à 22 du RGPD, le processeur transmet la demande au responsable du traitement sans délai.

• Si, conformément à l'art. 37 RGPD, section 37 BDSG-nouveau, le processeur est légalement tenu de désigner un délégué à la protection des données, le processeur informe le responsable du traitement des coordonnées du délégué à la protection des données aux fins de contact direct. Tout changement de délégué à la protection des données doit être immédiatement rapporté au responsable du traitement.

En tant que Délégué à la protection des données pour le processeur,

M. Felix Hudy, intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg, Tél : +49 40 790 235 - 278 | Mobile : +49 151 619 419 76 | E-Mail : FHudy@intersoft-consulting.de

a été nommé. La personne de contact pour les questions de protection des données doit être en mesure, à la demande du responsable du traitement, de fournir la preuve que le processeur se conforme aux exigences des lois internationales et nationales sur la protection des données.

• Si le processeur a connaissance d'une violation de la protection des données à caractère personnel, il en informe immédiatement le responsable du traitement conformément à l'art. 28 para. 3 lit. f, Art. 33 para. 2 RGPD. Il en va de même si des personnes employées par le contractant enfreignent le présent accord.
• Après consultation du responsable du traitement, le processeur prend immédiatement les mesures nécessaires pour sécuriser les données et minimiser les éventuelles conséquences négatives pour les personnes concernées.
• Le processeur fournit au responsable du traitement toutes les informations dont il dispose pour s'acquitter de ses obligations en matière d'information à l'égard de l'autorité de contrôle compétente, conformément à l'article 5, paragraphe 1, de la directive. 33 RGPD et, le cas échéant, à l'égard des personnes concernées affectées par la violation de la protection des données à caractère personnel conformément à l'art. 34 RGPD.
• Le processeur soutient le responsable du traitement en lui fournissant toutes les informations dont il dispose dans le cadre de l'analyse d'impact relative à la protection des données conformément à l'art. 35 RGPD et, si nécessaire, lors d'une consultation préalable de l'autorité de contrôle compétente conformément à l'art. 36 RGPD.
• Le processeur informe sans délai le responsable du traitement de tout check-in et de toute mesure effectuée par l'autorité de contrôle dans la mesure où ils sont associés au présent accord.

• Au choix du responsable du traitement, le processeur supprime ou renvoie toutes les données à caractère personnel au responsable du traitement après la fin du provisionnement des services associés au traitement, et supprime les copies existantes, sauf si le droit de l'Union ou de l'État membre exige le stockage des données à caractère personnel ;
• Sans demande explicite, le processeur prouve au responsable du traitement, sous forme de texte avec indication de la date, qu'il a renvoyé tous les supports de données et autres documents au responsable du traitement ou qu'il les a détruits ou supprimés conformément aux règles de protection des données et qu'il n'a donc conservé aucune des données du responsable du traitement.
• Le processeur conserve toute la documentation qui sert de preuve du traitement ordonné et licite des données pour le responsable du traitement au-delà de la fin du contrat. Le processeur peut les renvoyer au responsable du traitement à la fin du contrat pour qu'il s'en décharge.

• Le responsable du traitement est en droit d'effectuer un check-in régulier des mesures techniques et organisationnelles ainsi que de la conformité au présent accord et aux réglementations en matière de protection des données avant et pendant le provisionnement des services associés au traitement. À cette fin, le contrôleur ou un auditeur autorisé peut inspecter l'équipement de traitement des données et les systèmes de traitement des données du processeur.
• À cette fin, le processeur est tenu d'accorder au responsable du traitement, pendant les heures de bureau normales et moyennant un délai de notification préalable raisonnable, l'accès aux locaux où les données du responsable du traitement sont traitées physiquement ou électroniquement. Le responsable du traitement coordonne les opérations avec le processeur de manière à ce que les procédures opérationnelles du processeur soient affectées le moins possible.
• Le processeur fournit au responsable du traitement toutes les informations nécessaires pour prouver les mesures techniques et organisationnelles ainsi que la conformité au présent accord et aux réglementations en matière de protection des données. Ces informations comprennent notamment les attestations, les rapports ou les extraits de rapports actuels d'organismes indépendants (par ex. auditeurs financiers, experts externes, auditeurs de la sécurité informatique ou de la protection des données) et une certification appropriée (par ex. conformément à la protection de base du BSI (Office fédéral allemand pour la sécurité de l'information). Le contractant fournit immédiatement au responsable du traitement des informations spécifiques au cas par cas.

• Conformément à l'art. 82 para. 1 RGPD, le responsable du traitement et le processeur sont responsables, dans le cadre de leur relation externe, des dommages matériels et immatériels subis par une personne en raison d'une violation du RGPD. Si le responsable du traitement et le processeur sont tous deux responsables de ces dommages conformément à l'art. 82 para. 2 RGPD, les parties sont responsables en interne de ces dommages au prorata de leur part de responsabilité. Si, dans un tel cas, une personne fait valoir une demande de dommages-intérêts en tout ou en partie contre l'une des parties, l'autre partie peut exiger une indemnisation ou un dédommagement de la part de l'autre partie dans la mesure où cela est proportionnel à sa part de responsabilité.
• Le processeur est également responsable envers le responsable du traitement de la conformité aux règles de protection des données des sous-traitants auxquels il fait appel pour accomplir ses tâches. La faute des sous-traitants est imputée au processeur comme s'il s'agissait de sa propre faute.
• Le processeur aide le contrôleur avec toutes les informations dont il dispose si le contrôleur fait l'objet d'une procédure administrative ou pénale, de la responsabilité d'une personne affectée ou d'un tiers ou de toute autre réclamation en rapport avec le traitement des données avec le processeur.

• Les supports de données et les détails des données fournis au processeur restent l'établissement du responsable du traitement.
• Si une ou plusieurs clauses du présent accord s'avèrent inefficaces, l'efficacité du reste de l'accord n'en est pas affectée. Dans l'événement où une ou plusieurs dispositions du contrat sont invalides, les parties remplacent immédiatement la disposition invalide par une disposition qui ressemble le plus à la disposition invalide en termes d'intérêts commerciaux et de protection des données.
• En cas de contradiction entre l'accord principal et le présent accord, ce dernier prévaut dans la mesure où la contradiction concerne le traitement des données à caractère personnel.
• Tous les services fournis par le processeur dans le cadre de l'exécution de ses obligations au titre du présent accord sont réglés avec la rémunération de l'accord principal.
• Les pièces jointes suivantes font partie intégrante du présent accord
• Annexe 1 "Mesures techniques et organisationnelles"
• Annexe 2 "Sous-traitants approuvés".