ADDENDUM AU CONTRÔLEUR DE DONNÉES
NOMINATION DU RESPONSABLE DU TRAITEMENT
L’Utilisateur (ci-après « Responsable du traitement » ou « Client » ou « Responsable du traitement »), avec acceptation expresse des Conditions Générales d’AVA REVIEW (ci-après « Fournisseur » ou le « Sous-traitant »),
accepte cet addendum sur le traitement des données personnelles, qui fait partie intégrante de la relation entre les Parties. Cet addendum est signé conformément à l’article 28 du règlement 679/2016 et régit les méthodes avec lesquelles le processeur de données traitera les données personnelles pour le compte du contrôleur de données. Le responsable du traitement et le sous-traitant peuvent également être désignés individuellement par le terme « Partie » et conjointement par le terme « Parties ».
PENDANT QUE.
– les opérations de traitement des données à caractère personnel effectuées par le Responsable du traitement sont répertoriées dans le registre des traitements tenu par le Responsable du traitement ;
– pour certaines opérations de traitement, le Responsable de traitement fait appel à la collaboration du Fournisseur ;
– le Fournisseur, dans le cadre des services offerts au Responsable du traitement, tels que mieux détaillés dans le contrat spécifique en vigueur, peut traiter des données à caractère personnel pour le compte du Responsable du traitement ;
-le responsable du traitement et le fournisseur ont signé un accord pour la fourniture d’un web et d’une tablette intégrés pour la création, la gestion et l’envoi de demandes de révision (« Service »), dont le présent document fait partie intégrante;
-en ce qui concerne le Service mis à disposition par le Fournisseur, ce dernier peut traiter des données à caractère personnel détenues par le Responsable du traitement et, plus précisément, des données communes (nom, prénom, coordonnées) des clients finaux du Responsable de traitement ;
– la finalité du traitement est de fournir une solution technologique permettant au Responsable du traitement d’utiliser le Service ;
-conformément à l’article 28.1 du Règlement (UE) 2016/679, Règlement général sur la protection des données (ci-après « RGPD »), « si un traitement doit être effectué pour le compte du Responsable du traitement, ce dernier fait appel exclusivement à des sous-traitants ».
-le responsable du traitement a vérifié que le fournisseur, toujours conformément à l’article 28.1 du RGPD, présente « des garanties suffisantes pour mettre en place des mesures techniques et organisationnelles adéquates afin que le traitement réponde aux exigences du règlement et assure la protection des droits de l’intéressé ».
Le Responsable du traitement désigne le Fournisseur comme « RESPONSABLE DU TRAITEMENT DES DONNÉES PERSONNELLES » (ci-après également simplement « Responsable » ou « Sous-traitant »), en ce qui concerne les données personnelles que le Fournisseur peut traiter dans l’exercice de ses activités et celles qui peuvent être confiées au Fournisseur à l’avenir.
Conformément au RGPD, l’activité exercée par le Sous-traitant sera régie comme suit :
1. DURÉE. Cette nomination sera effective pour toute la durée de la relation du gestionnaire avec le contrôleur de données et sera automatiquement révoquée en cas de résiliation de celle-ci.
2. FINALITÉ DU TRAITEMENT. Les données qui sont confiées au gestionnaire, dans le cadre des activités qui lui sont confiées pour l’utilisation du service, ne peuvent être traitées qu’aux fins indiquées dans le mandat confié et / ou dans le contrat stipulé avec le responsable du traitement. En particulier, les données seront traitées par le fournisseur dans le seul but de pouvoir garantir la fourniture du service au responsable du traitement qui, dans tous les cas, restera le seul sujet obligé de communiquer au client final les finalités et d’obtenir le consentement au traitement, ainsi que la communication des données à des tiers.
3. MODALITÉS DE TRAITEMENT. Les données peuvent être traitées sur papier ou numériquement, en fonction des activités effectuées, à condition que les outils soient correctement identifiés et inventoriés par le sous-traitant et systématiquement communiqués au responsable du traitement pour son consentement. En particulier, les données seront traitées via la plate-forme logicielle AVA REVIEW.
4. DEVOIRS ET DEVOIRS DE LA PERSONNE RESPONSABLE. Le Responsable du traitement, tel que requis par l’article 28 du RGPD, s’engage à :
(a) traiter les données à caractère personnel confiées uniquement sur instruction documentée du responsable du traitement, même en cas de transfert de données à caractère personnel vers un pays tiers, sauf disposition contraire de la loi. Dans ce cas, le sous-traitant est dans tous les cas tenu d’informer le responsable du traitement ;
b) s’assurer que les personnes autorisées à traiter le traitement se sont engagées à respecter la confidentialité ou ont une obligation légale appropriée de confidentialité. À cette fin, le Responsable du traitement vérifie périodiquement que les personnes en charge : (i) effectuent le traitement de manière licite et correcte, exclusivement dans le but de fournir les services couverts par la relation contractuelle entre les Parties ; (ii) traiter des données à caractère personnel uniquement à des fins liées aux tâches qui leur sont confiées ; (iii) ne pas communiquer ou diffuser des données personnelles sans l’autorisation préalable du Responsable du traitement ; (iv) vérifier, même en cas d’interruption de travail même temporaire, que les données à caractère personnel traitées ne sont pas accessibles à des tiers non autorisés ; (v) garder et garder les informations d’authentification strictement confidentielles ; (vi) se conformer aux mesures de sécurité requises par le Responsable du traitement et/ou le Responsable du traitement ;
c) assurer une formation adéquate et éprouvée aux personnes autorisées à traiter conformément à l’article 29 du RGPD;
d) adopte, conformément à l’article 32 du RGPD, toutes les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, compte tenu de l’état de la technique et des coûts de mise en œuvre, ainsi que de la nature, de l’objet, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables des droits et libertés des personnes physiques; afin de minimiser les risques de destruction ou de perte, même accidentelle des données, d’accès non autorisé ou de traitement non autorisé ou non conforme aux finalités de la collecte
e) informer le Responsable du traitement, conformément à l’article 28 du RGPD, s’il est nécessaire de faire appel à un autre Responsable du traitement ;
f) aider le responsable du traitement à remplir les obligations légales prévues aux articles 32 (Sécurité du traitement), 33 (Notification d’une violation de données à caractère personnel à l’Autorité de contrôle), 34 (Notification d’une violation de données à caractère personnel à la personne concernée), 35 (Analyse d’impact relative à la protection des données), 36 (Consultation préalable), en tenant compte de la nature du traitement et des informations dont dispose le Responsable du traitement.
g) prévoir la mise à jour, la modification, la correction des données personnelles si cela est nécessaire au regard des finalités du traitement, et supprimer ou restituer rapidement, à la demande du responsable du traitement, toutes les données personnelles et les copies existantes dont le processeur de données est en possession sans pouvoir en conserver une copie, sauf accord contraire exprès ou requis par la loi. Dans tous les cas, supprimer et/ou détruire, comme l’exige la loi (telle que la « suppression » des données numériques), les données personnelles lorsque les finalités pour lesquelles les données ont été collectées et traitées ont été atteintes en l’absence d’obligation légale ou de nécessité d’un stockage supplémentaire ;
h) permettre au Responsable du traitement d’exercer le pouvoir de contrôle visé à l’article 28 du RGPD : dans ce contexte, mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent Addendum et démontrer le respect des obligations légales et permettre des activités de vérification (Audit), effectuées par le Responsable du traitement ou par des tiers désignés par le Responsable du traitement, afin de vérifier le respect de ces méthodes de traitement des données et le respect des exigences légales. Le Responsable du traitement aura le droit de vérifier, avec un préavis d’au moins 20 (vingt) jours ouvrables, également au siège du Responsable du traitement, la conformité des procédures adoptées par ce dernier avec ce qui est indiqué dans le présent Addendum ou requis par la loi ;
i) s’engager à respecter la disposition générale du garant pour la protection des données personnelles du 27 novembre 2008 « Mesures et expédients prescrits pour les propriétaires de traitements effectués avec des instruments électroniques en relation avec les attributions des fonctions d’administrateur système » telle que modifiée par l’ordonnance du Garant du 25 juin 2009 « Amendements à la disposition du 27 novembre 2008 contenant des prescriptions pour les contrôleurs de données effectués avec des instruments électroniques avec en ce qui concerne les fonctions d’administrateur du système et la prolongation des délais pour leur exécution », telle que modifiée ou remplacée par le même garant, et toute autre disposition pertinente de l’Autorité;
j) collaborer à l’application exacte de la loi, également par le biais de réunions périodiques et agir dans le cadre et dans les limites de leurs fonctions, de manière autonome, mais toujours conformément aux directives établies par le responsable du traitement.
5. SURVEILLANCE. Le contrôleur de données peut surveiller le respect en temps opportun des instructions données ici au processeur de données et vérifiera la poursuite des exigences d’expérience, de capacité et de fiabilité qui ont influencé la désignation du processeur de données.
6. VIOLATION. Le Responsable du traitement est informé qu’en cas de violation des dispositions de la loi en déterminant de manière indépendante les finalités et les moyens du Traitement, ou en ignorant les instructions reçues du Responsable du traitement, il sera considéré comme le Responsable du traitement en question ;
7. ASSISTANCE AU RESPONSABLE DU TRAITEMENT EN CAS DE VIOLATION. En cas de violation de données à caractère personnel, le Fournisseur s’engage à informer le Responsable du traitement sans retard injustifié à partir du moment où il en a connaissance. Le fournisseur assistera le responsable du traitement en entamant une analyse préliminaire visant à collecter des données relatives à l’anomalie et en remplissant un formulaire d’événement, contenant toutes les informations collectées et disponibles à ce moment-là, telles que, à titre d’exemple et sans s’y limiter:
– Date de l’événement, également la date présumée de survenance de la violation (auquel cas il doit être spécifié)
– Date et heure auxquelles la connaissance de la violation a été acquise;
– Source de rapport;
– Type d’atteinte et informations impliquées;
– Description de l’événement anormal;
– Nombre de parties intéressées impliquées;
– De nombreux renseignements personnels présumés avoir été violés;
– Indication de la date, y compris la date alléguée, de la violation et du moment où elle est devenue
Connaissance;
– Indication du lieu où la violation de données s’est produite, en précisant également si elle résulte
de la perte d’appareils ou de supports portables;
– Description sommaire des systèmes de traitement ou de stockage des données concernés, en indiquant
leur emplacement.
8. CONFIDENTIALITÉ. Le Responsable du traitement s’engage à garder strictement confidentiels et confidentiels et à n’utiliser que pour l’exécution des obligations découlant du contrat, toute information relative à l’autre Partie et / ou aux personnes impliquées dans le traitement des données personnelles et / ou des produits, services, organisation, stratégie commerciale ou technique reçus de l’autre Partie ou dont ils prennent connaissance lors de l’exécution du contrat relatif au Service (ci-après dénommées « Informations confidentielles »). Le Sous-traitant s’engage à ne pas utiliser les Informations confidentielles en dehors des finalités énoncées dans le présent contrat, ni à les divulguer à des personnes non couvertes par le présent accord, sans l’approbation écrite du Propriétaire. Le gestionnaire prendra toutes les mesures nécessaires pour ne pas divulguer ou mettre à la disposition de tiers de quelque manière que ce soit les informations confidentielles du responsable du traitement et / ou des parties intéressées, et sera dans tous les cas tenu directement responsable envers le propriétaire de toute violation par ses employés et / ou sous-traitants des obligations de confidentialité visées dans le présent article. Les dispositions du présent article ne s’appliquent pas ou ne cessent pas de s’appliquer aux informations individuelles que le Propriétaire peut démontrer : (i) est déjà entrée dans le domaine public pour des raisons autres que la violation par le Propriétaire lui-même ; (ii) étaient déjà connus avant d’être reçus par le Responsable du traitement ; (iii) a été divulgué ou divulgué conformément à un ordre légal d’une autorité ou en vertu d’une obligation légale. Les Informations confidentielles divulguées resteront la propriété du Responsable du traitement. Sur demande écrite du contrôleur de données, ces informations seront retournées ou détruites par le processeur de données.
9. MODIFICATIONS ET AJOUTS. Les parties ont le droit d’apporter au présent accord les modifications et ajustements nécessaires à tout moment, y compris pour se conformer à toute mise à jour réglementaire. Toute demande de modification doit être communiquée au Gérant par lettre recommandée avec accusé de réception ou courrier électronique certifié. Suite à la demande de modification susmentionnée, le Gestionnaire aura 60 jours pour se rétracter du contrat. Passé ce délai, les modifications seront considérées comme acceptées par le Responsable du traitement. Pour tout ce qui n’est pas expressément prévu dans le présent contrat, veuillez vous référer aux dispositions générales en vigueur concernant la protection des données personnelles.
10. LOIS APPLICABLES. En cas de litige relatif à la validité, l’interprétation, l’exécution et la résiliation du présent Addendum, les Parties conviennent de rechercher entre elles une solution équitable et amiable. Si le litige n’est pas résolu à l’amiable, il sera considéré comme relevant de la compétence exclusive de l’Autorité judiciaire de la Cour de Rome. Pour la résolution de tout litige relatif à la validité, l’interprétation, l’exécution et la résiliation du présent contrat, le droit italien s’appliquera.
Il est entendu qu’une telle nomination n’implique aucun droit du Fournisseur à une rémunération spécifique et / ou une compensation et / ou un remboursement découlant de cette nomination, au-delà de ce qui est déjà prévu dans les termes et conditions.