RILA Link // 23-26 février 2020Jointez-nous

Les termes et conditions contenus dans ce programme de traitement GDPR sont incorporés dans tout accord faisant spécifiquement référence et incorporant ce programme de traitement GDPR ("Accord"). Dans la mesure où les lois sur la protection des données (telles que définies ci-dessous) sont applicables au contrat, les parties conviennent que ce programme s'applique. Aux fins de ce programme de traitement GDPR, le client est un contrôleur de données (parfois appelé ici "contrôleur de données") et Logistyx est un sous-traitant de données (parfois appelé ici "sous-traitant de données") Les mots et expressions suivants ont la signification suivante

Les termes "responsable du traitement des données", "responsable du traitement des données", "personne concernée", "données personnelles", "violation de données personnelles", "processus/traitement/traitement", "catégories spéciales de données personnelles" et "autorité de surveillance" ont la même signification que dans les lois sur la protection des données ;

"Lois sur la protection des données" signifie le Règlement général sur la protection des données (UE) 2016/679 ("GDPR") tel que modifié et remplacé de temps à autre, et/ou toutes les lois, règles, règlements, orientations réglementaires, exigences réglementaires applicables de temps à autre, dans chaque cas dans chaque juridiction où les services sont fournis en ce qui concerne la confidentialité des données ;

1. L'OBJET ET LA DURÉE. L'objet et la durée du traitement sont définis dans l'accord.

2. L'OBJECTIF ET LA NATURE. L'objectif, la nature et l'objet du traitement des données à caractère personnel peuvent être les suivants

(a) Logistyx peut, sous la direction et le contrôle du client, avoir accès aux données personnelles lors de l'exécution de services professionnels et/ou de maintenance et d'assistance logicielle pour le client. Il n'est pas prévu que Logistyx traite des données personnelles lors de la réalisation de ces services.

b) Les données à caractère personnel peuvent être traitées dans le but d'imprimer des étiquettes d'expédition pour l'envoi de marchandises commandées par les personnes concernées. Les données peuvent comprendre le nom et l'adresse de la personne concernée. Les Données personnelles seront envoyées par transmission sécurisée du Client à Logistyx et transmises par Logistyx aux transporteurs désignés par le Client selon une méthode sécurisée (sous réserve des exigences de chaque transporteur désigné.) Après la transmission des Données personnelles au transporteur désigné, toutes les données personnelles seront supprimées dans un délai de ________ jours.

Les obligations et les droits des parties en matière de traitement des données à caractère personnel sont énoncés dans l'accord.

3. LES TYPES DE DONNÉES À CARACTÈRE PERSONNEL. Les types de données personnelles qui seront traitées en vertu du présent accord sont les suivants : nom et adresse tels que détaillés sur l'étiquette d'expédition d'un transporteur. Il n'y a pas de catégories particulières de données personnelles qui seront partagées par le client avec Logistyx. Dans le cas où le client partagerait des catégories spéciales de données personnelles avec Logistyx, il s'engage à en informer Logistyx par écrit avec un préavis d'au moins 30 jours. Logistyx a le droit de refuser d'accepter ces catégories particulières de données personnelles.

4. LES OBLIGATIONS DU CONTRÔLEUR DES DONNÉES. Dans le cadre du présent contrat et dans son utilisation des services de Logistyx, le client, en tant que responsable du traitement des données, est seul responsable du respect des exigences légales relatives à la protection des données et de la vie privée, en particulier en ce qui concerne la divulgation et le transfert des données personnelles au responsable du traitement et le traitement des données personnelles. Pour éviter tout doute, les instructions du contrôleur des données relatives au traitement des données à caractère personnel doivent être conformes aux lois sur la protection des données. Le Contrat et cette Annexe constituent l'instruction complète et finale du Client à Logistyx en ce qui concerne les Données Personnelles. Les instructions supplémentaires ne relevant pas du champ d'application de l'accord et de la présente annexe nécessitent un accord écrit préalable entre les parties. Les instructions sont initialement spécifiées dans le contrat et peuvent, de temps à autre par la suite, être modifiées, amplifiées ou remplacées par le client, en tant que contrôleur des données, dans des instructions écrites séparées (en tant qu'instructions individuelles). Le client doit informer Logistyx sans délai et de manière exhaustive de toute erreur ou irrégularité liée aux dispositions légales sur le traitement des données personnelles.

5. LES INSTRUCTIONS DE TRAITEMENT. Si le responsable du traitement ne peut pas traiter les données à caractère personnel conformément aux instructions du responsable du traitement en raison d'une obligation légale prévue par la législation applicable de l'Union européenne ou d'un État membre, le responsable du traitement (i) informera rapidement le responsable du traitement de cette obligation légale avant le traitement concerné, dans la mesure permise par les lois sur la protection des données ; et (ii) cessera tout traitement (autre que le simple stockage et le maintien de la sécurité des données à caractère personnel concernées) jusqu'à ce que le responsable du traitement donne de nouvelles instructions auxquelles le responsable du traitement peut se conformer. Si cette disposition est invoquée, le responsable du traitement des données ne sera pas responsable envers le contrôleur des données en vertu de l'accord ou de la présente annexe pour tout manquement à l'exécution des services applicables jusqu'à ce que le contrôleur des données donne de nouvelles instructions concernant le traitement.

6. LES OBLIGATIONS DU TRAITEMENT DES DONNÉES. Lorsque Logistyx agit en tant que responsable du traitement des données personnelles fournies par le client agissant en tant que contrôleur des données, elle doit

(a) ne pas traiter les données personnelles ou divulguer les données personnelles autrement que conformément aux instructions documentées du responsable du traitement des données, à moins que la législation de l'UE ou de l'État membre auquel le responsable du traitement des données est soumis ne l'exige ;

(b) ne pas autoriser un sous-traitant à traiter les données personnelles ("sous-traitant") autrement qu'avec le consentement écrit préalable du contrôleur des données, ce consentement étant subordonné au respect par le sous-traitant des conditions énoncées dans toutes les lois sur la protection des données, y compris, sans limitation, l'article 28 (2) et (4) de la GDPR ; à ces fins, le client consent et autorise l'engagement en tant que sous-traitants des sociétés affiliées de Logistyx et des tiers suivants : [Amazon Web Services, Inc, Google, Inc, Microsoft Azure, etc ;]

c) mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque et prendre toutes les mesures requises en vertu de toutes les lois sur la protection des données, y compris, sans s'y limiter, l'article 32 du RDP, en ce qui concerne le traitement des données à caractère personnel, en tenant compte des risques présentés par le traitement, notamment la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès aux données à caractère personnel transmises, stockées ou traitées d'une autre manière ;

d) prendre toutes les mesures raisonnables pour garantir la fiabilité des personnes autorisées à traiter les données à caractère personnel et s'assurer qu'elles se sont engagées à respecter les obligations de confidentialité ;

e) informer rapidement le contrôleur des données s'il reçoit une communication d'une personne concernée ou d'une autorité de contrôle en vertu des lois sur la protection des données à caractère personnel, y compris les demandes d'une personne concernée d'exercer les droits prévus au chapitre III de la GDPR et aider le contrôleur des données à s'acquitter de son obligation de répondre à ces communications ;

(f) notifier immédiatement le contrôleur des données, dès qu'il a connaissance ou qu'il a des raisons de soupçonner une violation des données à caractère personnel et, à moins que l'article 6 (g) ci-dessous ne s'applique, fournir au contrôleur des données, au moment de la notification initiale, des informations suffisantes qui lui permettent de remplir toute obligation de signaler une violation des données à caractère personnel en vertu des lois sur la protection des données. Cette notification doit au minimum être faite :

(i) décrire la nature de la violation de données à caractère personnel, les catégories et le nombre de personnes concernées, ainsi que les catégories et le nombre d'enregistrements de données à caractère personnel concernés ;

(ii) communiquer le nom et les coordonnées du délégué à la protection des données du responsable du traitement ou, lorsque le responsable du traitement n'a pas désigné de délégué à la protection des données, le contact pertinent auprès duquel des informations peuvent être obtenues ;

(iii) décrire les conséquences probables de la violation des données à caractère personnel ; et

(iv) décrire les mesures prises ou proposées pour remédier à la violation des données à caractère personnel.

g) si, au moment de la notification initiale décrite à l'article 6, point f), le responsable du traitement ne dispose pas de toutes les informations décrites à l'article 6, points f) i) à f) iv), il inclut dans la notification initiale les informations dont il dispose à ce moment-là et fournit ensuite les informations supplémentaires visées à l'article 7, points f) i) à f) iv), dès que possible ;

h) aider le responsable du traitement à assurer le respect des obligations découlant de toutes les lois sur la protection des données, notamment les articles 35 et 36 du GDPR, en tenant compte de la nature du traitement et des informations dont dispose le responsable du traitement ;

(i) au choix du responsable du traitement, supprimer ou renvoyer toutes les données à caractère personnel au responsable du traitement après la fin de la prestation de services liés au traitement ;

j) mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par toutes les lois sur la protection des données, y compris, sans limitation, l'article 28 du GDPR, et permettre et contribuer aux audits, y compris les inspections, menés par le responsable du traitement ou par un autre auditeur mandaté par le responsable du traitement ;

(k) ne pas (et doit faire en sorte que ses sous-traitants secondaires ne le fassent pas) en aucun cas transférer des données personnelles en dehors du pays où Logistyx est situé, sauf autorisation écrite du contrôleur des données. Si et dans la mesure où Logistyx et/ou ses sous-traitants sont situés dans un pays que la Commission européenne a déterminé comme offrant un niveau de protection inadéquat par rapport aux données à caractère personnel, alors Logistyx doit ou doit faire en sorte que ses sous-traitants (comme l'exige le responsable du traitement) concluent les clauses contractuelles types (sous-traitants) (telles que définies dans la décision de la Commission 2010/87 UE du 5 février 2010, ou toute version ultérieure qui les remplace).

En cas de conflit, d'incohérence ou d'ambiguïté entre les termes de la présente annexe et ceux de l'accord concernant l'objet des présentes, les termes de la présente annexe prévalent. Ce calendrier de traitement du GDPR est susceptible d'être modifié à la discrétion de Logistyx ; toutefois, les modifications apportées à ce calendrier de traitement du GDPR n'entraîneront pas de changement dans lequel Logistyx n'agira pas conformément au GDPR.