Accord de traitement des données

Ce document est un dérivé du Termes standard DPA sur papier commun (version 1.0) et les modifications suivantes ont été apportées :

1. Loi applicable et tribunaux élus a été inclus dans une section ci-dessous avec Governing State identifiés ci-dessus.
2. Relation avec le fournisseur de services a été inclus dans une section ci-dessous.

1. Fournisseur en tant que sous-traitant

Dans les situations où Client est un contrôleur des données personnelles du client, Fournisseur sera considéré comme un sous-traitant qui traite des données personnelles pour le compte de Client.

2. Fournisseur en tant que sous-traitant ultérieur

Dans les situations où Client est un sous-traitant des données personnelles du client, Fournisseur sera considéré comme un sous-traitant ultérieur des données personnelles du client.

1. Détails du traitement

L'Annexe I(B) sur la page de couverture décrit l'objet, la nature, le but et la durée de ce Traitement, ainsi que les Catégories de données personnelles recueillis et Catégories de personnes concernées.

2. Instructions de traitement

Client instruit Fournisseur traiter les données personnelles du client : (a) fournir et maintenir le service ; (b) comme cela peut être précisé davantage par Clients utilisation du Service ; (c) tel que documenté dans le Accord; et (d) tel que documenté dans toute autre instruction écrite donnée par Client et reconnu par Fournisseur sur le traitement des données personnelles des clients dans le cadre du présent DPA. Fournisseur respectera ces instructions, sauf interdiction de le faire par les lois applicables. Fournisseur informera immédiatement Client s'il n'est pas en mesure de suivre les instructions de traitement. Client a donné et ne donnera que des instructions conformes aux lois applicables.

3. Traitement par le fournisseur

Fournisseur ne traitera les données personnelles du client que conformément au présent DPA, y compris les détails figurant sur la page de couverture. Si Fournisseur met à jour le Service pour mettre à jour des produits, fonctionnalités ou fonctionnalités existants ou inclure de nouveaux produits, Fournisseur peut changer le Catégories de personnes concernées, Catégories de données personnelles, Données de catégorie spéciale, Restrictions ou garanties relatives aux données de catégories spéciales, Fréquence de transfert, Nature et finalité du traitement, et Durée du traitement au besoin pour refléter les mises à jour en notifiant Client des mises à jour et des modifications.

4. Traitement client

Où Client est un processeur et Fournisseur est un sous-traitant ultérieur, Client se conformera à toutes les lois applicables qui s'appliquent à Clients Traitement des données personnelles des clients. Clients un accord avec son contrôleur exigera de la même manière Client se conformer à toutes les lois applicables qui s'appliquent à Client en tant que processeur. En outre, Client se conformera aux exigences du sous-traitant ultérieur dans Clients accord avec son Responsable du traitement.

5. Consentement au traitement

Client a respecté et continuera de respecter toutes les lois applicables en matière de protection des données concernant la fourniture de données personnelles du client à Fournisseur et/ou le Service, y compris effectuer toutes les divulgations, obtenir tous les consentements, offrir un choix adéquat et mettre en œuvre les garanties pertinentes requises en vertu des lois applicables sur la protection des données.

6. Sous-traitants

un. Fournisseur ne fournira, ne transférera ni ne remettra aucune donnée personnelle du client à un sous-traitant ultérieur, sauf si Client a approuvé le sous-traitant ultérieur. La liste actuelle des Sous-traitants agréés comprend l'identité des sous-traitants ultérieurs, leur pays de localisation et leurs tâches de traitement prévues. Fournisseur Va informer Client au moins 10 jours ouvrables à l'avance et par écrit de toute modification envisagée au Sous-traitants agréés que ce soit par ajout ou remplacement d'un sous-traitant ultérieur, ce qui permet Client avoir suffisamment de temps pour s'opposer aux changements avant le Fournisseur commence à utiliser le ou les nouveaux sous-traitants. Fournisseur va donner Client les informations nécessaires pour permettre Client d'exercer son droit de s'opposer au changement de Sous-traitants agréés. Client dispose d'un délai de 30 jours après avis d'un changement Sous-traitants agréés s'opposer, sinon Client sera réputé accepter les modifications. Si Client s'oppose au changement dans les 30 jours suivant un préavis, Client et Fournisseur coopérera de bonne foi pour résoudre Clients objection ou préoccupation.

b. Lorsque vous engagez un sous-traitant ultérieur, Fournisseur aura un accord écrit avec le sous-traitant qui garantit que le sous-traitant accède et utilise les données personnelles du client uniquement (i) dans la mesure nécessaire pour exécuter les obligations qui lui sont sous-traitées, et (ii) conformément aux termes de Accord.

c. Si le RGPD s'applique au traitement des données personnelles des clients, (i) les obligations de protection des données décrites dans le présent DPA (telles que visées à l'article 28, paragraphe 3, du RGPD, le cas échéant) sont également imposées au sous-traitant ultérieur, et (ii ) Fournisseurs l'accord avec le sous-traitant intégrera ces obligations, y compris des détails sur la façon dont Fournisseur et son sous-traitant se coordonneront pour répondre aux demandes de renseignements ou aux demandes concernant le traitement des données personnelles des clients. En outre, Fournisseur partagera, à Clients sur demande, une copie de ses accords (y compris les modifications éventuelles) avec ses sous-traitants ultérieurs. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les données personnelles, Fournisseur peut rédiger le texte de son accord avec son sous-traitant ultérieur avant d'en partager une copie.

d. Fournisseur reste entièrement responsable de toutes les obligations sous-traitées à ses sous-traitants, y compris les actes et omissions de ses sous-traitants dans le traitement des données personnelles des clients. Fournisseur informera le client de tout manquement de ses sous-traitants à remplir une obligation importante concernant les données personnelles du client en vertu de l'accord entre Fournisseur et le sous-traitant ultérieur.

1. Autorisation

Client est d'accord que Fournisseur peut transférer les données personnelles du client en dehors de l'EEE, du Royaume-Uni ou de tout autre territoire géographique pertinent, si nécessaire pour fournir le service. Si Fournisseur transfère les Données Personnelles du Client vers un territoire pour lequel la Commission européenne ou une autre autorité de contrôle compétente n'a pas rendu de décision d'adéquation, Fournisseur mettra en œuvre des garanties appropriées pour le transfert des données personnelles du client vers ce territoire, conformément aux lois applicables en matière de protection des données.

2. Transferts hors EEE

Client et Fournisseur acceptez que si le RGPD protège le transfert des données personnelles du client, le transfert s'effectue depuis Client depuis l'intérieur de l'EEE vers Fournisseur en dehors de l'EEE et que le transfert n'est pas régi par une décision d'adéquation prise par la Commission européenne, puis en concluant le présent DPA, Client et Fournisseur sont réputés avoir signé les CCT EEE et leurs annexes, qui sont incorporées par référence. Un tel transfert est effectué conformément aux CCT de l'EEE, qui sont complétés comme suit :

un. Le module deux (du contrôleur au processeur) des SCC de l'EEE s'applique lorsque Client est un contrôleur et Fournisseur traite les données personnelles des clients pour Client en tant que processeur.

b. Le module trois (Sous-traitant à sous-traitant secondaire) des CCT de l'EEE s'applique lorsque Client est un processeur et Fournisseur traite les données personnelles du client pour le compte de Client en tant que sous-traitant ultérieur.

c. Pour chaque module, les éléments suivants s'appliquent (le cas échéant) :

1. La clause d'amarrage facultative de l'article 7 ne s'applique pas ;

2. À l'article 9, l'option 2 (autorisation écrite générale) s'applique, et le délai minimum de notification préalable des modifications du sous-traitant ultérieur est de 10 jours ouvrables ;

3. À l'Article 11, la langue facultative ne s'applique pas ;

4. Tous les crochets dans l'Article 13 sont supprimés ;

5. À l'article 17 (option 1), les SCC de l'EEE seront régis par les lois de État membre directeur;

6. Dans la clause 18(b), les litiges seront résolus devant les tribunaux du État membre directeur; et

7. La page de couverture du présent DPA contient les informations requises à l'annexe I, à l'annexe II et à l'annexe III des CCT de l'EEE.

3. Transferts hors Royaume-Uni

Client et Fournisseur acceptez que si le RGPD britannique protège le transfert des données personnelles des clients, le transfert s'effectue depuis Client depuis le Royaume-Uni vers Fournisseur en dehors du Royaume-Uni, et le transfert n'est pas régi par une décision d'adéquation prise par le Secrétaire d'État du Royaume-Uni, puis en concluant le présent DPA, Client et Fournisseur sont réputés avoir signé l'addendum britannique et leurs annexes, qui sont incorporées par référence. Un tel transfert est effectué conformément à l'Addendum britannique, qui est complété comme suit :

un. La section 3.2 du présent DPA contient les informations requises dans le tableau 2 de l'addendum britannique.

b. Le tableau 4 de l'Addendum britannique est modifié comme suit : Aucune des parties ne peut mettre fin à l'Addendum britannique comme indiqué à la section 19 de l'Addendum britannique ; dans la mesure où ICO publie un addendum approuvé révisé en vertu de la section ‎18 de l'addendum britannique, les parties travailleront de bonne foi pour réviser ce DPA en conséquence.

c. La page de couverture contient les informations requises par l'annexe 1A, l'annexe 1B, l'annexe II et l'annexe III de l'addendum britannique.

4. Autres transferts internationaux

Pour les transferts de données personnelles pour lesquels le droit suisse (et non le droit d'un État membre de l'EEE ou du Royaume-Uni) s'applique à la nature internationale du transfert, les références au RGPD dans l'article 4 des CSC de l'EEE sont, dans la mesure où la loi l'exige, modifié pour faire référence à la loi fédérale suisse sur la protection des données ou à son successeur, et la notion d'autorité de surveillance inclura le préposé fédéral suisse à la protection des données et à l'information.

1. Après avoir pris connaissance d'un incident de sécurité, Fournisseur : (a) informera Client sans retard injustifié lorsque cela est possible, mais au plus tard 72 heures après avoir pris connaissance de l'incident de sécurité ; (b) fournir des informations en temps opportun sur l'incident de sécurité dès qu'il est connu ou comme cela est raisonnablement demandé par Client; et (c) prendre rapidement des mesures raisonnables pour contenir et enquêter sur l'incident de sécurité. Fournisseurs la notification ou la réponse à un incident de sécurité comme l'exige le présent DPA ne sera pas interprétée comme un accusé de réception par Fournisseur de toute faute ou responsabilité concernant l’incident de sécurité.

1. Droits d'audit

Fournisseur va donner Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité au présent DPA et Fournisseur permettra et contribuera aux audits, y compris les inspections par Client, pour évaluer Fournisseurs le respect de ce DPA. Cependant, Fournisseur peut restreindre l’accès aux données ou aux informations si Clients l'accès à l'information aurait un impact négatif Fournisseurs droits de propriété intellectuelle, obligations de confidentialité ou autres obligations en vertu des lois applicables. Client reconnaît et accepte qu'il n'exercera ses droits d'audit en vertu du présent DPA et tout droit d'audit accordé par les lois applicables sur la protection des données qu'en donnant des instructions Fournisseur se conformer aux exigences de reporting et de diligence raisonnable ci-dessous. Fournisseur conservera des enregistrements de sa conformité au présent DPA pendant 3 ans après la fin du DPA.

2. Rapports de sécurité

Client reconnaît que Fournisseur est régulièrement audité selon les normes définies dans le Politique de sécurité par des auditeurs tiers indépendants. Sur demande écrite, Fournisseur va donner Client, à titre confidentiel, une copie résumée de son rapport alors en vigueur afin que Client peut vérifier Fournisseurs le respect des normes définies dans le Politique de sécurité.

3. Diligence raisonnable en matière de sécurité

En plus du rapport, Fournisseur répondra aux demandes raisonnables d’informations formulées par Client confirmer Fournisseurs conformité au présent DPA, y compris les réponses aux questionnaires sur la sécurité de l'information, la diligence raisonnable et l'audit, ou en fournissant des informations supplémentaires sur son programme de sécurité de l'information. Toutes ces demandes doivent être faites par écrit et adressées au Contact de sécurité du fournisseur et ne peut être effectué qu'une fois par an.

1. Réponse aux demandes de renseignements

Si Fournisseur reçoit toute demande ou demande de toute autre personne concernant le traitement des données personnelles du client, Fournisseur je préviendrai Client sur la demande et Fournisseur ne répondra pas à la demande sans Clients consentement préalable. Des exemples de ces types de demandes de renseignements et de demandes incluent une ordonnance judiciaire, administrative ou réglementaire concernant les données personnelles du client, dans laquelle la notification Client n’est pas interdit par la loi applicable ou par une demande d’une personne concernée. Si la loi applicable le permet, Fournisseur suivra Clients des instructions raisonnables concernant ces demandes, y compris la fourniture de mises à jour de statut et d'autres informations raisonnablement demandées par Client. Si une personne concernée fait une demande valable en vertu des lois applicables sur la protection des données pour supprimer ou refuser Clients communication des données personnelles du client à Fournisseur, Fournisseur aidera Client en répondant à la demande conformément à la loi applicable sur la protection des données. Fournisseur coopérera et fournira une assistance raisonnable à Client, à Clients frais, dans toute réponse juridique ou autre mesure procédurale prise par Client en réponse à une demande d'un tiers concernant Fournisseurs Traitement des données personnelles des clients dans le cadre du présent DPA.

2. DPIA et DTIA

Si les lois applicables sur la protection des données l'exigent, Fournisseur aidera raisonnablement Client dans la réalisation de toute évaluation d'impact sur la protection des données ou de tout transfert de données obligatoire et dans la consultation des autorités compétentes en matière de protection des données, en tenant compte de la nature du traitement et des données personnelles du client.

1. Suppression par le Client

Fournisseur permettra Client supprimer les données personnelles du client d'une manière cohérente avec la fonctionnalité des services. Fournisseur se conformera à cette instruction dès que cela est raisonnablement possible, sauf lorsque le stockage ultérieur des données personnelles du client est requis par la loi applicable.

2. Suppression à l'expiration du DPA

un. Après l'expiration du DPA, Fournisseur renverra ou supprimera les données personnelles du client à Clients instructions, sauf si un stockage supplémentaire des données personnelles du client est requis ou autorisé par la loi applicable. Si le retour ou la destruction est impossible ou interdit par les lois applicables, Fournisseur fera des efforts raisonnables pour empêcher un traitement supplémentaire des données personnelles du client et continuera à protéger les données personnelles du client restant en sa possession, sa garde ou son contrôle. Par exemple, les lois applicables peuvent exiger Fournisseur pour continuer à héberger ou à traiter les données personnelles du client.

b. Si Client et Fournisseur avoir inscrit les SCC de l'EEE ou l'Addendum du Royaume-Uni dans le cadre de ce DPA, Fournisseur ne donnera que Client la certification de suppression des données personnelles décrite à la clause 8.1(d) et à la clause 8.5 des CSC EEE si Client en demande un.

1. Plafonds de responsabilité et renonciation aux dommages

Dans la mesure maximale permise par les lois applicables sur la protection des données, la responsabilité cumulative totale de chaque partie envers l'autre partie découlant de ou liée à ce DPA sera soumise aux renonciations, exclusions et limitations de responsabilité indiquées dans le Accord.

2. Réclamations entre parties liées

Toute réclamation formulée contre Fournisseur ou ses sociétés affiliées découlant de ou liées au présent DPA ne peuvent être intentées que par le Client entité qui est partie à la Accord.

3. Exceptions

1. Ce DPA ne limite aucune responsabilité envers un individu concernant ses droits en matière de protection des données en vertu des lois applicables sur la protection des données. De plus, ce DPA ne limite aucune responsabilité entre les parties en cas de violations des CSC de l'EEE ou de l'Addendum du Royaume-Uni.

1. Le présent DPA fait partie et complète le Contrat. En cas d'incohérence entre ce DPA, le Accord, ou l'une de leurs parties, la partie répertoriée précédemment prévaudra sur la partie répertoriée ultérieurement pour cette incohérence : (1) les SCC de l'EEE ou l'addendum britannique, (2) le présent DPA, puis (3) le Accord.

Ce DPA débutera lorsque Fournisseur et Client accepter une page de couverture pour le DPA et signer ou accepter électroniquement le Accord et continuera jusqu'à ce que Accord expire ou est résilié. Cependant, Fournisseur et Client resteront chacun soumis aux obligations du présent DPA et des lois applicables en matière de protection des données jusqu'à ce que Client cesse de transférer les données personnelles du client à Fournisseur et Fournisseur cesse de traiter les données personnelles du client.

Nonobstant la loi applicable ou les clauses similaires du Accord, toutes les interprétations et litiges concernant ce DPA seront régis par les lois du État gouvernant sans égard à ses dispositions relatives aux conflits de lois. En outre, et nonobstant les clauses d'élection de for, de compétence ou similaires du Accord, les parties conviennent d'intenter toute poursuite, action ou procédure judiciaire concernant le présent DPA, et chaque partie se soumet irrévocablement à la compétence exclusive des tribunaux du pays. État gouvernant.

Dans la mesure où la California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et suivants (« CCPA ») s'applique, les parties reconnaissent et conviennent que Fournisseur est un prestataire de services et reçoit des données personnelles de Client fournir le Service comme convenu dans le Accord, ce qui constitue un objet commercial. Fournisseur ne vendra aucune donnée personnelle fournie par Client sous le Accord. En outre, Fournisseur ne conservera, n'utilisera ni ne divulguera aucune donnée personnelle fournie par Client sous le Accord sauf si cela est nécessaire pour fournir le Service pour Client, comme indiqué dans le Accord, ou dans la mesure permise par les lois applicables en matière de protection des données. Fournisseur certifie avoir compris les restrictions de ce paragraphe.

1. "Lois applicables" désigne les lois, règles, réglementations, ordonnances judiciaires et autres exigences contraignantes d'une autorité gouvernementale compétente qui s'appliquent à ou régissent une partie.

2. "Lois applicables en matière de protection des données" désigne les lois applicables qui régissent la manière dont le Service peut traiter ou utiliser les informations personnelles, les données personnelles, les informations personnellement identifiables d'un individu ou tout autre terme similaire.

3. "Manette" aura la(les) signification(s) donnée(s) dans les lois applicables en matière de protection des données pour la société qui détermine la finalité et l'étendue du traitement des données personnelles.

4. "Page de Couverture" désigne un document signé ou accepté électroniquement par les parties qui intègre les présentes conditions standard du DPA et identifie Fournisseur, Client, ainsi que l'objet et les détails du traitement des données.

5. « Données personnelles du client » désigne les données personnelles qui Client télécharge ou fournit à Fournisseur dans le cadre du Service et qui est régi par le présent DPA.

6. "DPA" désigne les présentes Conditions standard du DPA, la page de couverture entre Fournisseur et Client, ainsi que les politiques et documents référencés ou joints à la page de couverture.

7. "CCS EEE" désigne les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données personnelles vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil européen .

8. "Espace Economique Européen" ou "EEA" désigne les États membres de l'Union européenne, la Norvège, l'Islande et le Liechtenstein.

9. "GDPR" désigne le Règlement de l'Union européenne 2016/679 tel que mis en œuvre par la législation locale du pays membre de l'EEE concerné.

10. "Données personnelles" aura la(les) signification(s) donnée(s) dans les lois applicables sur la protection des données pour les informations personnelles, les données personnelles ou tout autre terme similaire.

11. "Traitement" ou "Processus" aura le(s) sens donné(s) dans les lois applicables en matière de protection des données pour toute utilisation ou exécution d'une opération informatique sur les données personnelles, y compris par des méthodes automatiques.

12. "Processeur" aura la(les) signification(s) donnée(s) dans les lois applicables en matière de protection des données pour la société qui traite les données personnelles pour le compte du responsable du traitement.

13. "Rapport" désigne les rapports d'audit préparés par une autre société selon les normes définies dans la Politique de Sécurité pour le compte du Prestataire.

14. "Transfert restreint" désigne (a) lorsque le RGPD s'applique, un transfert de données personnelles de l'EEE vers un pays en dehors de l'EEE qui n'est pas soumis à une détermination d'adéquation par la Commission européenne ; et (b) lorsque le RGPD du Royaume-Uni s'applique, un transfert de données personnelles du Royaume-Uni vers tout autre pays qui n'est pas soumis aux réglementations d'adéquation adoptées conformément à l'article 17A de la loi britannique sur la protection des données de 2018.

15. "Incident de sécurité" désigne une Violation de Données Personnelles telle que définie à l’article 4 du RGPD.

16. "Service" désigne le produit et/ou les services décrits dans le Accord.

17. "Données de catégorie spéciale" aura le sens donné à l’article 9 du RGPD.

18. "Sous-traitant" aura le(s) sens donné(s) dans les lois applicables sur la protection des données pour une société qui, avec l'approbation et l'acceptation du contrôleur, assiste le sous-traitant dans le traitement des données personnelles au nom du contrôleur.

19. "UK GDPR" désigne le Règlement de l'Union européenne 2016/679 tel que mis en œuvre par l'article 3 de la loi britannique sur l'Union européenne (retrait) de 2018 au Royaume-Uni.

20. "Addendum au Royaume-Uni" désigne l'addendum sur le transfert international de données aux CSC de l'EEE publié par le commissaire à l'information pour les parties effectuant des transferts restreints en vertu de la loi S119A(1) sur la protection des données de 2018.

Ce document est un dérivé du Termes standard DPA sur papier commun (version 1.0) et est licencié sous CC BY 4.0.