Accord de traitement des données

Notre CSC : https://ounizz.com/pages/scc

Dernière mise à jour le : 29 mars 2023


Cet accord de traitement des données (« Accord ») constitue un contrat juridiquement contraignant entre vous et Ounizz.com Détenu et géré par Spectrum Atelier Inc, situé à 1320 16th Ave SW Calgary Suite 514 AB, T3C 3S6, Canada. et s'applique dans la mesure où Spectrum Atelier Inc traite les données personnelles des clients en votre nom lorsque vous êtes le contrôleur des données,


ATTENDU QUE


(A) La Société agit en tant que contrôleur de données.


(B) La Société souhaite sous-traiter certains Services, qui impliquent le traitement de données personnelles, au Sous-traitant.


(C) Les parties cherchent à mettre en œuvre un accord de traitement de données qui soit conforme aux exigences du cadre juridique actuel en matière de traitement des données et au règlement (UE) 2016/679 du Parlement européen et du Conseil. du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).


(D) Les Parties souhaitent définir leurs droits et obligations.


IL EST CONVENU CE QUI SUIT :


  1. Définitions et interprétation

1.1 Sauf définition contraire dans les présentes, les termes et expressions en majuscules utilisés dans le présent Contrat auront la signification suivante :


1.11 « Accord » désigne le présent Accord de traitement des données et toutes les annexes ;


1.12 « Données personnelles de l'entreprise » désigne toutes les données personnelles traitées par un sous-traitant sous contrat au nom de la société conformément ou en relation avec l'accord principal ;


1.13 « Sous-traitant sous contrat » désigne un sous-traitant ultérieur ;


1.14 « Lois sur la protection des données » désigne les lois de l'UE sur la protection des données et, dans la mesure applicable, les lois sur la protection des données ou la vie privée de tout autre pays ;


1.15 « EEE » désigne l'Espace économique européen ;


1.16 « Lois de l'UE sur la protection des données » désigne la directive européenne 95/46/CE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou remplacée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;


1.17 « RGPD » désigne le Règlement général sur la protection des données de l'UE 2016/679 ;


1.18 « Transfert de données » signifie :


1.181 un transfert de données personnelles de la société de la société à un sous-traitant sous contrat ; ou


1.182 un transfert ultérieur de données personnelles de l'entreprise d'un sous-traitant sous-traité à un sous-traitant sous-traité, ou entre deux établissements d'un sous-traitant sous-traité, dans chaque cas, où un tel transfert serait interdit par les lois sur la protection des données (ou par les termes des accords de transfert de données mis en place). en place pour répondre aux restrictions de transfert de données imposées par les lois sur la protection des données );


1.19 « Services » désigne la boutique de commerce électronique de tapis que la Société propose.


1.110 « Sous-traitant ultérieur » désigne toute personne désignée par ou au nom d'un sous-traitant pour traiter les données personnelles au nom de la Société dans le cadre de l'Accord.


1.2 Les termes « Commission », « Responsable du traitement », « Personne concernée », « État membre », « Données personnelles », « Violation de données personnelles », « Traitement » et « Autorité de contrôle » ont la même signification que dans le RGPD. , et leurs termes apparentés doivent être interprétés en conséquence.


  1. Traitement des données personnelles de l'entreprise

2.1 Le processeur doit :


2.11 me conformer à toutes les lois applicables en matière de protection des données lors du traitement des données personnelles de l'entreprise ; et


2.12 ne pas traiter les données personnelles de la société autrement que selon les instructions documentées de la société concernée.


2.2 La Société demande au Sous-traitant de traiter les Données personnelles de la Société.


  1. Personnel du processeur

Le sous-traitant doit prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant de tout sous-traitant sous contrat susceptible d'avoir accès aux données personnelles de la société, en garantissant dans chaque cas que l'accès est strictement limité aux personnes qui en ont besoin. connaître/accéder aux données personnelles pertinentes de l'entreprise, dans la mesure strictement nécessaire aux fins de l'accord principal, et se conformer aux lois applicables dans le cadre des devoirs de cette personne envers le sous-traitant sous contrat, en garantissant que toutes ces personnes sont soumises à des engagements de confidentialité ou obligations professionnelles ou légales de confidentialité.


  1. Sécurité

4.1 Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque plus ou moins probable et grave pour les droits et libertés des personnes physiques, le sous-traitant doit, en ce qui concerne : les Données Personnelles de la Société mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGPD.


4.2 Lors de l'évaluation du niveau de sécurité approprié, le sous-traitant tiendra compte en particulier des risques présentés par le traitement, notamment en cas de violation de données personnelles.


  1. Sous-traitement

5.1 Le sous-traitant ne doit pas nommer (ni divulguer de données personnelles de la société) un sous-traitant ultérieur, sauf si cela est requis ou autorisé par la société.


  1. Droits des personnes concernées

6.1 Compte tenu de la nature du traitement, le sous-traitant assistera la Société en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir les obligations de la Société, telles que raisonnablement comprises par la Société, pour répondre aux demandes d'exercice des Données. Droits des sujets en vertu des lois sur la protection des données.


6.2 Le processeur doit :


6.21. informer rapidement la Société si elle reçoit une demande d'une personne concernée en vertu d'une loi sur la protection des données concernant les données personnelles de la Société ; et


6.22 s'assurer qu'il ne répond pas à cette demande, sauf sur les instructions documentées de la Société ou comme l'exigent les lois applicables auxquelles le sous-traitant est soumis, auquel cas le sous-traitant doit, dans la mesure permise par les lois applicables, informer la société de cette exigence légale avant le Le processeur sous contrat répond à la demande.


  1. Violation des données personnelles

7.1 Le processeur doit informer la société sans délai injustifié dès qu'il prend connaissance d'une violation de données personnelles affectant les données personnelles de la société, en fournissant à la société suffisamment d'informations pour permettre à la société de remplir toute obligation de signaler ou d'informer les personnes concernées de la violation des données personnelles dans le cadre de la protection des données. Lois.


7.2 Le processeur doit coopérer avec la Société et prendre des mesures commerciales raisonnables selon les instructions de la Société pour aider à l'enquête, à l'atténuation et à la correction de chacune de ces violations de données personnelles.


  1. Le processeur d'évaluation d'impact sur la protection des données et de consultation préalable doit fournir une assistance raisonnable à la société pour toute évaluation d'impact sur la protection des données et consultations préalables avec les autorités de contrôle ou d'autres autorités compétentes en matière de confidentialité des données, que la société considère raisonnablement comme requises par l'article 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en relation avec le traitement des données personnelles de l'entreprise par les sous-traitants sous contrat et en tenant compte de la nature du traitement et des informations dont ils disposent.

  1. Suppression ou restitution des données personnelles de l'entreprise

9.1 Sous réserve de la présente section 9, le processeur doit rapidement et en tout état de cause dans les délais


10 jours ouvrables à compter de la date de cessation de tout service impliquant le traitement des données personnelles de l'entreprise (la « date de cessation »), supprimer et faire supprimer toutes les copies de ces données personnelles de l'entreprise.


  1. Droits d'audit

10.1 Sous réserve du présent article 10, le Sous-traitant doit mettre à la disposition de la Société sur demande toutes les informations nécessaires pour démontrer le respect du présent Accord, et doit permettre et contribuer aux audits, y compris les inspections, par la Société ou un auditeur mandaté par la Société en relation avec au traitement des données personnelles de la société par les sous-traitants sous contrat.


102 Les droits d'information et de révision de la société ne découlent que du chiffre 10.1 dans la mesure où l'accord ne leur confère pas par ailleurs des droits d'information et d'audit répondant aux exigences pertinentes de la loi sur la protection des données.


  1. Transfert de données

11.1 Le processeur ne peut pas transférer ou autoriser le transfert de données vers des pays en dehors de l'UE et/ou de l'Espace économique européen (EEE) sans le consentement écrit préalable de la Société. Si des données personnelles traitées dans le cadre du présent accord sont transférées d'un pays de l'Espace économique européen vers un pays extérieur à l'Espace économique européen, les parties veillent à ce que les données personnelles soient protégées de manière adéquate. Pour y parvenir, les Parties s'appuieront, sauf accord contraire, sur des clauses contractuelles types approuvées par l'UE pour le transfert de données personnelles.


  1. Conditions générales

12.1 Confidentialité. Chaque partie doit garder confidentiels le présent accord et les informations qu'elle reçoit sur l'autre partie et ses activités dans le cadre du présent accord (« Informations confidentielles ») et ne doit pas utiliser ou divulguer ces informations confidentielles sans le consentement écrit préalable de l'autre partie, sauf à la dans la mesure où :

(a) la divulgation est requise par la loi ;

(b) les informations pertinentes sont déjà dans le domaine public.


12.2 Avis. Tous les avis et communications donnés en vertu du présent Accord doivent être faits par écrit et seront remis personnellement, envoyés par la poste ou envoyés par e-mail à l'adresse ou à l'adresse e-mail indiquée dans l'en-tête du présent Accord à toute autre adresse notifiée de temps à autre. par les Parties changeant d’adresse.



  1. Loi applicable et juridiction

13.1 Le présent Contrat est régi par les lois du Royaume-Uni.


13.2 Tout litige découlant du présent Contrat, que les Parties ne parviendront pas à résoudre à l'amiable, sera soumis à la compétence exclusive des tribunaux de Londres.