CONTRÔLEUR DE DONNÉES

NOMINATION DU CONTRÔLEUR DES DONNÉES L'Utilisateur (ci-après « Propriétaire » ou « Client » ou « Contrôleur de données »), par acceptation expresse des Conditions Générales de"TA MARQUE" (ci-après « Prestataire » ou le « Sous-traitant »), accepte le présent avenant relatif au traitement des données personnelles, qui fait partie intégrante de la relation entre les Parties. Cet avenant est signé conformément à l'article 28 du règlement 679/2016 et régit la manière dont le responsable du traitement traitera les données personnelles au nom du responsable du traitement. Le responsable du traitement des données et le sous-traitant des données peuvent également être désignés individuellement comme la « partie » et conjointement comme les « parties ».

ALORS QUE.
-les traitements de données à caractère personnel effectués par le responsable du traitement sont répertoriés dans le registre des traitements tenu par le responsable du traitement ;
-pour certaines opérations de traitement, le responsable du traitement a recours à la coopération du fournisseur ;
-le Fournisseur, dans le cadre des services proposés au Responsable du traitement, tels que mieux détaillés dans le contrat spécifique en place, peut effectuer des traitements de données à caractère personnel pour le compte du Responsable du traitement ;
-le responsable du traitement et le fournisseur ont signé un accord pour la fourniture d'un site Web et d'une tablette intégrés pour la création, la gestion et l'envoi de demandes d'examen ("Service"), dont ce document fait partie intégrante ;
-en référence au Service mis à disposition par le Prestataire, ce dernier peut traiter des données personnelles détenues par le Responsable du traitement et, plus particulièrement, des données communes (prénom, nom, coordonnées) des clients finaux du Titulaire ;
-la finalité du traitement est de fournir une solution technologique permettant au Titulaire de pouvoir profiter du Service ;
-conformément à l'article 28.1 du Règlement (UE) 2016/679, Règlement général sur la protection des données (ci-après « RGPD »), « lorsqu'un traitement doit être effectué pour le compte du responsable du traitement, ce dernier n'utilise que des données contrôleurs."
-le responsable du traitement a vérifié que le prestataire, toujours conformément à l'article 28.1 du RGPD, présente "des garanties suffisantes pour mettre en place des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du règlement et assure la protection des droits des la personne concernée."
Le responsable du traitement désigne le fournisseur en tant que « RESPONSABLE DU TRAITEMENT DES DONNÉES PERSONNELLES » (désormais également simplement « sous-traitant » ou « sous-traitant »), en ce qui concerne les données personnelles que le fournisseur peut traiter dans l'exercice de ses activités et celles qui peuvent être confiées à Fournisseur à l'avenir.
Conformément au RGPD, l'activité exercée par le Sous-traitant sera régie comme suit : 1. DURÉE. Cette nomination sera effective pour la durée de la relation du Sous-traitant avec le Responsable du traitement et sera réputée automatiquement révoquée en cas de résiliation de celle-ci.
2. OBJECTIF DU TRAITEMENT. Les données qui sont confiées au Gestionnaire, dans le cadre des activités qui lui sont confiées pour l'utilisation du Service, ne peuvent être traitées que pour les finalités indiquées dans le mandat confié et/ou dans le contrat conclu avec le Propriétaire. En particulier, les données seront traitées par le Prestataire uniquement dans le but de pouvoir garantir la fourniture du Service au Propriétaire qui, en tout état de cause, restera la seule entité obligée de devoir communiquer au client final les finalités et obtenir le consentement au traitement, ainsi qu'à la communication des données à des tiers.
3. MÉTHODES DE TRAITEMENT. Les données peuvent être traitées sur support papier ou numérique, selon les activités exercées, à condition que les outils soient correctement identifiés et inventoriés par le Responsable et systématiquement communiqués au Propriétaire pour son accord. En particulier, les données seront traitées au moyen du"TA MARQUE" plate-forme logicielle.
4. DEVOIRS ET TACHES DE LA PERSONNE RESPONSABLE. Le sous-traitant, tel que stipulé à l'article 28 du RGPD, s'engage à :
(a) traiter les données personnelles confiées uniquement sur instruction documentée du responsable du traitement, même en cas de transfert de données personnelles vers un pays tiers, sauf disposition contraire de la loi. Dans ce cas, la partie responsable est toujours tenue d'informer le responsable du traitement ;
(b) s'assurer que les personnes autorisées à traiter se sont engagées à respecter la confidentialité ou ont une obligation légale appropriée de confidentialité. À cette fin, le Responsable vérifiera périodiquement que les responsables : (i) effectuent le traitement de manière licite et correcte, exclusivement dans le but de fournir les services couverts par la relation contractuelle entre les Parties ; (ii) traiter les données personnelles uniquement à des fins inhérentes aux missions qui leur sont confiées ; (iii) ne pas communiquer ou diffuser des données personnelles sans l'autorisation préalable du Responsable du traitement ; (iv) vérifier, en cas d'interruption même temporaire du travail, que les données personnelles traitées ne sont pas accessibles à des tiers non autorisés ; (v) garder et garder les identifiants d'authentification strictement confidentiels ; (vi) respecter les mesures de sécurité requises par le Responsable du traitement et/ou le Responsable du traitement ;
(c) assurer une formation adéquate et éprouvée pour les personnes autorisées à traiter, conformément à l'article 29 du RGPD ;
(d) prendre, conformément à l'article 32 du RGPD, toutes les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, en tenant compte de l'état de l'art et des coûts de mise en œuvre, ainsi que de la nature, l'objet, le contexte et les finalités du traitement, ainsi que le risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, de manière à minimiser les risques de destruction ou de perte, y compris la perte accidentelle des données elles-mêmes, d'accès non autorisé ou traitement non autorisé ou non conforme aux finalités de la collecte
e) informer le responsable du traitement, conformément à l'article 28 du RGPD, s'il est nécessaire de faire appel à un autre responsable du traitement ;
f) assister le responsable du traitement dans le respect des obligations légales en vertu des articles 32 (Sécurité du traitement), 33 (Notification d'une violation de données à caractère personnel à l'autorité de contrôle), 34 (Notification d'une violation de données à caractère personnel à la personne concernée), 35 ( Analyse d'impact sur la protection des données), 36 (consultation préalable), en tenant compte de la nature du traitement et des informations dont dispose le responsable du traitement.
g) prévoir la mise à jour, la modification, la rectification des données personnelles si cela est nécessaire par rapport aux finalités du traitement, et supprimer ou restituer rapidement, à la demande du responsable du traitement, toutes les données personnelles et les copies existantes dont le responsable est en possession sans pouvoir en conserver de copie, sauf convention contraire expresse ou disposition légale. En tout état de cause, supprimer et/ou détruire, comme l'exige la loi (comme "l'effacement" pour les données numériques), les données personnelles lorsque les finalités pour lesquelles les données ont été collectées et traitées ont été atteintes en l'absence d'une obligation légale ou de la besoin d'une rétention supplémentaire ;
h) permettre au Responsable du traitement d'exercer le pouvoir de contrôle en vertu de l'article 28 du RGPD : dans ce contexte, mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent Avenant et pour démontrer le respect des obligations légales et permettre des activités de vérification (Audit ), effectuée par le Responsable du traitement ou par des tiers mandatés par le Responsable du traitement, afin de vérifier le respect de ces méthodes de traitement des données et le respect des exigences légales. Le responsable du traitement a le droit de vérifier, avec un préavis d'au moins 20 (vingt) jours ouvrables, également dans les locaux du responsable du traitement, la conformité des procédures adoptées par ce dernier avec ce qui est indiqué dans le présent addendum ou requis par la loi ;
i) s'engage à respecter la Disposition Générale du Garant pour la Protection des Données Personnelles du 27 novembre 2008 "Mesures et moyens prescrits aux titulaires de traitements de données effectués avec des instruments électroniques en relation avec les attributions des fonctions d'administrateur système " tel que modifié par l'arrêté du Garant du 25 juin 2009 "Modifications de l'arrêté du 27 novembre 2008 portant prescriptions aux titulaires des traitements effectués avec des outils électroniques en ce qui concerne les attributions d'administrateur système et prorogation des délais pour leur exécution », tel que modifié ou remplacé par le même Garant, et à toute autre mesure pertinente de l'Autorité ;
j) coopérer aux fins de l'application exacte de la loi, y compris par le biais de réunions périodiques et agir dans le cadre et les limites de leurs fonctions, de manière autonome, mais toujours conformément aux directives établies par le contrôleur.
5. SURVEILLANCE. Le responsable du traitement peut superviser le respect ponctuel des instructions données aux présentes au responsable du traitement et vérifiera le maintien des exigences d'expérience, de capacité et de fiabilité qui ont influencé la désignation du responsable du traitement.
6. INFRACTION. Le sous-traitant est informé que s'il enfreint les dispositions de la loi en déterminant indépendamment les finalités et les moyens du traitement, ou en ignorant les instructions reçues du responsable du traitement, il sera considéré comme le responsable du traitement en question. ;
7. ASSISTANCE AU RESPONSABLE EN CAS D'INFRACTION. En cas de violation de données à caractère personnel, le Prestataire s'engage à informer le Responsable de traitement sans retard excessif à compter du moment où il a connaissance de la violation. Le Fournisseur assiste le Titulaire en initiant une analyse préalable visant à collecter les données relatives à l'anomalie et à constituer une fiche d'événement, reprenant toutes les informations collectées et alors disponibles, telles que, mais sans s'y limiter :
- Date de l'événement, ainsi que la date présumée de survenance de la violation (auquel cas il convient de le préciser)
- Date et heure auxquelles la connaissance de la violation a été obtenue ;
- source de signalement ;
- Type de violation et information impliquée ;
- Description de l'événement anormal ;
- Nombre de personnes concernées concernées ;
- Nombre d'informations personnelles présumées avoir été violées ;
- Indication de la date, y compris la date alléguée, de la violation et quand elle est devenue
Connaissance;
- Indication du lieu où la violation de données s'est produite, en précisant également si elle s'est produite
S'est produit à la suite de la perte d'appareils ou de supports portables ;
- Description concise des systèmes de traitement ou de stockage des données impliqués, avec
indication de leur emplacement.
8. CONFIDENTIALITÉ. Le sous-traitant s'engage à garder strictement confidentiel et confidentielles et à n'utiliser qu'aux seules fins de l'exécution des obligations contractuelles, toute information relative à l'autre Partie et/ou aux personnes impliquées dans le traitement des données personnelles et/ou produits, services, organisation, stratégie commerciale ou technique reçue de l'autre Partie ou dont ils ont eu connaissance lors de l'exécution du contrat lié au Service (ci-après dénommées "Informations Confidentielles"). Le Responsable s'engage à ne pas utiliser les Informations Confidentielles en dehors des finalités prévues par le présent contrat, ni à les divulguer à des tiers non prévus par le présent contrat, sans l'accord écrit du Propriétaire. Le gestionnaire prendra toutes les mesures nécessaires pour ne pas divulguer ou mettre à disposition de quelque manière que ce soit les informations confidentielles du propriétaire et/ou des parties intéressées à des tiers, et sera en tout cas tenu directement responsable envers le propriétaire de toute violation par ses employés et /ou sous-traitants des obligations de confidentialité prévues au présent article. Les dispositions du présent article ne s'appliquent pas ou cesseront de s'appliquer aux informations individuelles dont le responsable du traitement peut prouver qu'elles : (i) sont déjà devenues publiques pour des raisons autres que la violation par le responsable du traitement lui-même ; (ii) étaient déjà connus avant d'avoir été reçus par le Contrôleur ; (iii) ont été divulgués ou divulgués conformément à un ordre légitime de toute autorité ou en vertu d'une obligation légale. Les informations confidentielles divulguées restent la propriété du responsable du traitement. Sur demande écrite du propriétaire lui-même, ces informations seront restituées ou détruites par la partie responsable.
9. MODIFICATIONS ET AJOUTS. Les parties ont le droit d'apporter à tout moment les modifications et ajustements nécessaires au présent accord, y compris pour se conformer à toute mise à jour réglementaire. Toute demande de modification sera notifiée au Gérant par lettre recommandée avec accusé de réception ou courrier électronique certifié. Suite à la demande de modification susmentionnée, le Gestionnaire disposera d'un délai de 60 jours pour se retirer de l'entente. Passé ce délai, les modifications seront réputées acceptées par le Sous-traitant. Pour tout ce qui n'est pas expressément prévu dans le présent contrat, veuillez vous reporter aux dispositions générales en vigueur en matière de protection des données personnelles.
10. LOIS APPLICABLES. En cas de litige concernant la validité, l'interprétation, l'exécution et la résiliation du présent Avenant, les Parties s'engagent à rechercher entre elles un règlement équitable et amiable. A défaut de règlement amiable, le litige sera réputé relever de la compétence exclusive de l'Autorité Judiciaire du Tribunal de Rome. Pour la résolution de tout litige concernant la validité, l'interprétation, l'exécution et la résiliation du présent accord, la loi italienne sera appliquée.
Il est entendu que cette nomination n'implique aucun droit du Fournisseur à une quelconque compensation et/ou indemnité et/ou remboursement découlant de cette nomination, au-delà de ce qui est déjà prévu dans les conditions générales.