contrat de sous-traitance impression® creative design agency

Version 1.2
18 Novembre 2022

Parties:

Cet accord de traitement s’applique à toutes les formes de traitement de données à caractère personnel. impression ® | agence de design créatif. établie à Dyksterbuorren 33, 9036MR Menaam enregistrée auprès de la Chambre de commerce sous le numéro 75258900 (ci-après, "Processeur") Fonctionne au profit de l’autre partie à qui elle fournit des services (ci-après dénommée: Contrôleur).

en prenant en compte que:

  • le contrat de processeur a été conclu dans le cadre de la fourniture du service de processeur à contrôleur, pour l'exécution du service de processeur;
  • le service du processeur consiste à envoyer des newsletters aux relations du contrôleur de données qui a été configuré par le contrôleur de données via la plate-forme en ligne de Processor, à gérer la base de données du contrôleur de données dans le but d'envoyer ces newsletters et de collecter des informations sur la les actions réalisées en relation avec la newsletter reçue;
  • Le processeur est par les présentes considéré comme un processeur au sens de l'article 4, paragraphe 8 du règlement général sur la protection des données (ci-après: «AVG»);
  • Le contrôleur de traitement est désigné ci-après comme contrôleur de traitement au sens de l'article 4, paragraphe 7 de l'AVG;
  • Le processeur chargé de l'exécution de ses services traitera les données à caractère personnel au sens de l'article 4, paragraphe 1 du RGP, pour le compte du responsable du traitement;
  • Le processeur est prêt à se conformer aux obligations en matière de sécurité et autres aspects de AVG et, jusqu'au 25 mai 2018, à la loi relative à la protection des données à caractère personnel (ci-après: «Wbp»), dans la mesure où cela est de son pouvoir;
  • le Wbp et l'AVG obligent le contrôleur de traitement à s'assurer que le processeur offre des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles relatives au traitement à exécuter;
  • En outre, les Wbp et AVG imposent au contrôleur de données de surveiller le respect de ces mesures;
  • Les parties, en partie en raison de l'exigence énoncée à l'article 28, paragraphe 3 de l'AVG, souhaitent consigner leurs droits et obligations par écrit dans le présent contrat de traitement (ci-après: "contrat de traitement");
  • là où dans cet accord de traitement, il est fait référence à des dispositions de l'AVG, jusqu'au 25 mai 2018, les dispositions correspondantes de la Wbp sont signifiées.

Sont convenus de ce qui suit:

ARTICLE 1. FINS DE TRAITEMENT

1 Le processeur s’engage à traiter les données à caractère personnel dans les conditions du présent contrat de processeur pour le compte du responsable du traitement. Le traitement aura lieu uniquement dans le cadre du contrat de traitement afin d'envoyer des newsletters aux relations du contrôleur de traitement créées par le contrôleur via la plate-forme en ligne du processeur et de pouvoir ainsi gérer le fichier de relations du contrôleur de traitement pour cette activité, y compris le collecter des données relatives à la réception des newsletters par les relations, au profit du contrôleur de données (y compris, mais sans s'y limiter, des données relatives à l'ouverture des newsletters et aux liens hypertexte inclus dans les newsletters), et à ces fins enregistré avec une nouvelle approbation.

1.2 Les données à caractère personnel traitées par le processeur dans le cadre de ses services, ainsi que les catégories de personnes concernées par leur origine, figurent à l'annexe 1. Le processeur ne traitera pas les données à caractère personnel à des fins autres que celles déterminées par le responsable du traitement. Le responsable du traitement informera le processeur des objectifs du traitement, dans la mesure où ceux-ci n'ont pas déjà été mentionnés dans le présent contrat.

1.3 Le responsable du traitement garantit qu’il tiendra un registre des opérations de traitement réglementées en vertu de la présente convention de traitement. Le responsable du traitement indemnise le processeur de toutes les réclamations et réclamations liées au non-respect ou au non-respect de l'obligation d'enregistrement.

ARTICLE 2. OBLIGATIONS DU PROCESSEUR

2.1 En ce qui concerne les traitements visés à l'article 1, le processeur veillera au respect des conditions définies par le Wbp et l'AVG pour le traitement des données à caractère personnel par son responsable.

2.2 Le responsable du traitement informera le responsable du traitement des données, à la demande de celui-ci et dans un délai raisonnable, des mesures prises en ce qui concerne les obligations qui lui incombent en vertu du présent contrat de traitement.

2.3 Les obligations du sous-traitant découlant de la présente convention relative au sous-traitant s'appliquent également à ceux qui traitent des données à caractère personnel sous son autorité.

2.4 Le traitement de données à caractère personnel par le processeur n'entraînera jamais l'enrichissement des bases de données du processeur avec les données des jeux de données du processeur, à moins qu'il ne s'agisse de données sous forme agrégée, non traçable. Dans ce cas, le processeur est autorisé à utiliser ces données à ses propres fins.

ARTICLE 3. TRANSFERT DE DONNÉES PERSONNELLES

3.1 Processor ne traitera les données à caractère personnel que dans les pays de l'Espace économique européen (EEE).

ARTICLE 4. RÉPARTITION DE LA RESPONSABILITÉ

4.1 Le traitement autorisé sera effectué par le processeur dans un environnement semi-automatisé.

4.2 Le processeur est seul responsable du traitement des données à caractère personnel en vertu du présent contrat de processeur, conformément aux instructions du contrôleur et sous la responsabilité expresse (finale) du contrôleur. Pour tout autre traitement de données à caractère personnel, y compris dans tous les cas mais non exclusivement la collecte de données à caractère personnel par le contrôleur, un traitement à des fins pour lesquelles le contrôleur n'a pas signalé le traitement, un traitement par des tiers et / ou à d'autres fins, le processeur ne responsable. La responsabilité de ces traitements incombe exclusivement au responsable du traitement.

4.3 Le responsable du traitement garantit que les données à caractère personnel décrites dans l’appendice 1 sous «CATÉGORIE B: relations (parties impliquées) du responsable du traitement» peuvent être fournies par le responsable du traitement et que le responsable du traitement peut les traiter dans son ordre.

4.4 Le responsable du traitement garantit que la base juridique requise, telle que le consentement, telle que mentionnée dans AVG et dans la loi sur les télécommunications, est présente aux fins spécifiées à l'article 1.1.

4.5 Le responsable du traitement garantit que le contenu, l'utilisation et les instructions relatives au traitement des données à caractère personnel, tels que visés dans le présent contrat de traitement, ne sont pas illégaux et n'enfreignent aucun droit de tiers, et que toutes les garanties supplémentaires qui ont été remplies s’appliquent au traitement de données à caractère personnel spéciales, conformément aux lois et règlements en vigueur. Le contrôleur de traitement indemnise le processeur contre toutes les réclamations et les réclamations liées à cela.

ARTICLE 5. IMPLICATION DE TIERCES PARTIES OU DE SOUS-TRAITANTS

5.1 Le responsable du traitement autorise par la présente le processeur à utiliser un tiers pour traiter des données à caractère personnel, sur la base du présent contrat de processeur, dans le respect des lois applicables en matière de protection de la vie privée.

5.2 À la demande du contrôleur, le processeur informera le contrôleur dès que possible des tiers qu'il a engagés. Le responsable du traitement a le droit de s’opposer à tout tiers engagé par le processeur. Si le responsable du traitement a une objection contre des tiers engagés par le sous-traitant, les parties se consultent pour trouver une solution à ce problème.

5.3 Le responsable du traitement veille dans tous les cas à ce que ces tiers assument par écrit les mêmes obligations que celles convenues entre le responsable du traitement et le responsable du traitement en ce qui concerne le traitement des données à caractère personnel. Le responsable du traitement est responsable du respect correct de ces obligations par ces tiers et, en cas d'erreur de ceux-ci, est lui-même responsable envers le responsable du traitement du dommage comme s'il avait lui-même commis la ou les erreurs.

ARTICLE 6. SÉCURITÉ

6.1 Le responsable du traitement s'efforce de prendre les mesures techniques et organisationnelles appropriées en ce qui concerne le traitement des données à caractère personnel, contre la perte ou contre toute forme de traitement illégal (tel qu'un accès non autorisé, un empiétement, une modification ou la fourniture de données à caractère personnel). Le processeur fonctionne principalement conformément à la norme ISO 27001 et vise la certification.

6.2 Le sous-traitant s'efforce de faire en sorte que la sécurité atteigne un niveau qui ne soit pas déraisonnable au regard de l'état de la technologie, de la sensibilité des données personnelles et des coûts associés à la sécurisation.

6.3 Malgré le fait que le processeur doit prendre les mesures de sécurité appropriées conformément au premier paragraphe de cet article, le processeur ne peut pleinement garantir que la sécurité est efficace dans toutes les circonstances. Toutefois, en cas de menace ou de violation réelle de ces mesures de sécurité, le sous-traitant mettra tout en œuvre pour limiter autant que possible la perte de données à caractère personnel.

6.4 Le responsable du traitement ne met à la disposition du processeur des données à caractère personnel aux fins de traitement que s'il s'est assuré que les mesures de sécurité requises ont été prises. Le responsable du traitement est responsable du respect des mesures convenues par les parties.

ARTICLE 7. OBLIGATION DE SIGNALER

7.1 En cas d'atteinte à la sécurité et / ou de données (ce qui signifie: une atteinte à la sécurité qui entraîne accidentellement ou illégalement la destruction, la perte, l'altération ou la fourniture non autorisée ou l'accès non autorisé à des données transmises. (Processeur, s’efforçant d’informer le Contrôleur immédiatement ou au plus tard dans les quarante-huit (48) heures, sur la base de laquelle le Contrôleur déterminera s’il en informera les autorités de contrôle et / ou les personnes concernées. Le processeur s'efforce de rendre les informations fournies complètes, correctes et exactes. L’obligation de déclaration s’applique quelle que soit l’impact de la fuite.

7.2 L'obligation de signaler comprend au moins le signalement d'une fuite, ainsi que:

  • la date à laquelle la fuite s'est produite (si aucune date exacte n'est connue: la période au cours de laquelle la fuite s'est produite);
  • quelle est la cause (présumée) de la fuite;
  • la date et l'heure à laquelle la fuite a été portée à la connaissance du responsable du traitement, d'un tiers ou d'un sous-traitant engagé par lui;
  • le nombre de personnes dont les données ont été divulguées (si aucun nombre exact n'est connu: le nombre minimal et maximal de personnes dont les données ont été divulguées);
  • une description du groupe de personnes dont les données ont été divulguées, y compris le type ou les types de données à caractère personnel qui ont été divulguées;
  • si les données sont cryptées, hachées ou autrement rendues incompréhensibles ou inaccessibles par des personnes non autorisées;
  • quelles sont les mesures prévues et / ou déjà prises pour fermer la fuite et limiter les conséquences de celle-ci;
  • coordonnées pour le suivi du rapport.

7.3 Le responsable du traitement s'assurera que toutes les obligations (légales) de compte rendu sont remplies. Si la loi et / ou les règlements l'exigent, le responsable du traitement coopérera pour informer les autorités compétentes et / ou les parties concernées.

ARTICLE 8. DROITS DES PARTIES INTERESSEES

8.1 Dans le cas où une personne concernée soumettrait une demande au responsable du traitement pour exercer ses droits légaux, le responsable du traitement transmettra la demande au responsable du traitement et en informera la personne concernée. Le contrôleur traitera ensuite la demande de manière indépendante.

8.2 Dans le cas où une personne concernée soumettrait une demande d'exercice d'un de ses droits légaux au responsable du traitement, le responsable du traitement, si le responsable du traitement l'exige, coopère dans la mesure du possible et du raisonnable. Le processeur peut imputer des frais raisonnables au contrôleur.

ARTICLE 9. DEVOIR DE CONFIDENTIALITÉ

9.1 Toutes les données personnelles que le processeur reçoit du contrôleur et / ou se collectent dans le cadre du présent contrat de processeur sont soumises à une obligation de confidentialité envers les tiers. Le processeur ne doit pas utiliser ces informations à des fins autres que celles pour lesquelles elles ont été obtenues, à moins qu'elles aient été présentées sous une forme telle qu'elles ne puissent être retracées aux personnes concernées.

9.2 Cette obligation de confidentialité ne s'applique pas dans la mesure où le responsable du traitement a donné la permission explicite de fournir les informations à des tiers, si les informations fournies à des tiers sont logiquement nécessaires compte tenu de la nature de la mission donnée et de la mise en œuvre du présent contrat de traitement, ou il existe une obligation légale de fournir les informations à un tiers.

ARTICLE 10. AUDIT

10.1 Le responsable du traitement a le droit de faire réaliser des audits par un expert informatique indépendant, tenu par la confidentialité de vérifier le respect de tous les points du présent contrat de traitement.

10.2 Cet audit n'a lieu que lorsque le contrôleur a demandé des rapports d'audit similaires, présentés au processeur, évalués et fournit des arguments raisonnables justifiant un audit initié par le contrôleur. Un tel audit est justifié si les rapports d'audit similaires présentés par le processeur ne fournissent pas d'informations suffisantes ou concluantes sur la conformité du processeur avec le présent contrat de processeur. L’audit initié par le contrôleur est effectué deux semaines après l’annonce préalable par le contrôleur et au maximum une fois par an.

10.3 Le responsable du traitement doit coopérer avec l’audit et rendre toutes les informations raisonnablement pertinentes pour l’audit, y compris les données justificatives telles que les journaux du système et les employés disponibles le plus tôt possible et dans un délai raisonnable, dans lequel une période ne dépassant pas deux semaines est raisonnable. Le responsable du traitement veillera à ce que l’audit ait le moins possible d’effets perturbateurs sur les autres activités de Processor.

10.4 Les constatations résultant de l'audit seront évaluées par les parties lors d'une consultation mutuelle et, à la suite de cette vérification, pourront ou non être mises en œuvre par l'une des parties ou par les deux parties conjointement.

10.5 Les coûts raisonnables de l’audit sont à la charge du responsable du traitement, étant entendu que les coûts de la tierce partie à engager seront toujours à la charge du responsable du traitement.

ARTICLE 11. RESPONSABILITÉ

11.1 La responsabilité du processeur pour les dommages résultant d'un manquement imputable à se conformer à son contrat est limitée par événement (une série d'événements consécutifs à un événement) à la réparation des dommages directs, jusqu'à concurrence du montant reçu par le processeur. pour les travaux en vertu de la présente convention avec le sous-traitant pour le mois précédant l’événement ayant causé le dommage.

11.2 Par dommages directs, on entend exclusivement tous les dommages consistant en:

  • dommages directement causés aux objets matériels ("dommages matériels");
  • des coûts raisonnables et démontrables pour inciter le processeur à se conformer (correctement) à la convention du processeur;
  • les coûts raisonnables pour déterminer la cause et l'étendue du dommage dans la mesure où il s'agit d'un dommage direct tel que mentionné ici;
  • coûts raisonnables et démontrables supportés par le responsable du traitement des données pour prévenir ou limiter les dommages directs visés dans le présent article.

11.3 La responsabilité du processeur pour les dommages indirects est exclue. Les dommages indirects désignent tous les dommages qui ne sont pas des dommages directs.

11.4 Les exclusions et limitations mentionnées dans cet article deviendront caduques si et dans la mesure où le dommage résulte d'une intention ou d'une imprudence délibérée de la part du responsable du traitement ou de sa direction.

11.5 Sauf si l'exécution irréversible par le responsable du traitement est irréalisable, la responsabilité du responsable pour les manquements imputables à l'exécution ne prend naissance que si la personne responsable du traitement en informe immédiatement le responsable du traitement, en lui fixant un délai raisonnable pour y remédier, et ce, également après ce délai. imputablement pas à ses obligations. L'avis de défaut doit contenir une description de la lacune aussi complète et détaillée que possible, afin que le responsable du traitement ait la possibilité de répondre de manière adéquate.

11.6 Toute demande d'indemnisation par le responsable du traitement contre le responsable du traitement qui n'a pas été spécifiée et explicitement signalée expire au plus tard douze (12) mois après le début de la demande.

11.7 Le processeur n'est expressément pas responsable des dommages causés au responsable du traitement des données du fait d'une amende infligée par l'un des superviseurs nationaux, y compris l'autorité néerlandaise de la protection des données, y compris dans le cadre des obligations légales de compte rendu. Ceci, à moins que l’amende n’ait été infligée au contrôleur en raison d’une lacune imputable à la conformité du processeur avec l’accord sur le processeur, et que le contrôleur et le processeur aient fait tout ce qui était en leur pouvoir pour empêcher ou réduire la sanction.

ARTICLE 12. DURÉE ET RÉSILIATION

12.1 Le contrat de traitement a été conclu pour la durée de la collaboration.

12.2 Le contrat de traitement ne peut être résilié dans l’intervalle.

12.3 Les parties ne peuvent modifier cet accord de traitement qu'avec un consentement mutuel
consentement écrit.

12.4 Après résiliation de la convention du processeur, le processeur détruira immédiatement les données personnelles reçues du contrôleur, à moins que les parties n'en conviennent autrement.

ARTICLE 13. AUTRES DISPOSITIONS

13.1 Le contrat de traitement et son application sont régis par le droit néerlandais.

13.2 Tous les litiges pouvant survenir entre les parties en rapport avec la convention relative au sous-traitant seront soumis au tribunal compétent du district de la juridiction où le sous-traitant est établi.

13.3 Si une ou plusieurs dispositions de la convention de traitement se révèlent non légalement valables, la convention de traitement restera en vigueur pour le reste. Les parties se consultent ensuite sur les dispositions qui ne sont pas juridiquement valables, afin de mettre en place un dispositif de remplacement juridiquement valable et dans la mesure du possible conforme au champ d'application du règlement à remplacer.

13.4 Si la législation en matière de confidentialité est modifiée, les parties coopéreront pour ajuster le présent contrat de traitement afin de pouvoir (continuer de) se conformer à cette législation.

13.5 En cas de conflit entre divers documents ou leurs annexes, l'ordre de priorité suivant est appliqué:

        1. cet accord de traitement;
        2. les conditions générales du transformateur;
        3. toute condition supplémentaire.

Annexe 1: Spécification des données personnelles et des personnes concernées

Informations personnelles

Afin de fournir ses services pour le compte de Processing Controller, Processor traitera les données personnelles suivantes de Processing Controller lui-même et de relations (parties impliquées) à déterminer par le Controller de traitement:

Catégorie A: Contrôleur de traitement (service client):

  • (nom de l'entreprise);
  • Nom et adresse
  • adresse e-mail;
  • le genre;
  • détails de connexion.

CATÉGORIE B: Relations (parties impliquées) du contrôleur:

  • (nom de l'entreprise);
  • adresse e-mail;
  • Nom et adresse
  • le genre;
  • données relatives à la réception des newsletters par les partenaires commerciaux (y compris, mais sans s'y limiter, des données relatives à l'ouverture des newsletters et aux clics sur les liens hypertexte inclus dans les newsletters).

Le responsable du traitement garantit que seules les données à caractère personnel nécessaires au processeur seront fournies.