Contrat relatif au traitement des données à caractère personnel

conclu conformément à l’article 28 du Règlement du Parlement Européen et du Conseil (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, abrogeant la Directive 95/46 / CE (ci-après « le Règlement “), resp. conformément aux dispositions de l’article 34 de la Loi n° 18/2018 Coll. sur la protection des données personnelles, telle que modifiée (ci-après ” la Loi ») entre l’Opérateur et l’Intermédiaire.

Le présent Contrat relatif au traitement des données à caractère personnel est un avenant au Contrat de services conclu entre Luigi’s Box (« Luigi’s Box » et « Intermédiaire ») et la partie identifiée comme le Client dans le Contrat de services (« Client » ou « Opérateur ») et en fait partie intégrante. Le présent Contrat définit les conditions applicables aux parties lorsqu’elles traitent des données à caractère personnel dans le cadre de la fourniture des Services.

1. PRÉAMBULE

1.1 Le présent Contrat de traitement des données (ci-après « Contrat “) stipule les conditions de traitement des données à caractère personnel par l’Intermédiaire pour le compte de l’Opérateur dans le cadre de l’exécution des obligations découlant du Contrat de prestation de services conclu entre les Parties contractantes (ci-après le ” Contrat de services“).

1.2 L’objet du Contrat est l’obligation de l’Intermédiaire de fournir à l’opérateur des services liés aux technologies de marketing numérique, dont la portée est convenue dans le Contrat de services. Lors de la fourniture de ces services, les données personnelles des personnes physiques peuvent être traitées sur la base d’une instruction de l’Opérateur et de l’obligation de l’Opérateur de payer la redevance convenue à l’Intermédiaire pour ces services.

2. OBJET DU CONTRAT

2.1 L’objet du présent Contrat est l’autorisation donnée à l’Intermédiaire de traiter les données à caractère personnel de personnes physiques pour le compte de l’Opérateur, exclusivement dans le cadre de la fourniture des services de l’Intermédiaire, qui sont définis dans le contrat de services et/ou dans les commandes individuelles de l’Opérateur.

2.2 L’Intermédiaire est autorisé à traiter des données à caractère personnel pour le compte de l’Opérateur uniquement dans la mesure, dans les conditions et pour la finalité convenues avec l’Opérateur et de la manière déterminée par le règlement, la loi et d’autres dispositions légales généralement contraignantes (ci-après dénommées collectivement « Règlement sur la protection des données à caractère personnel »).

3. OBJECTIF ET PORTÉE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

3.1 La finalité du traitement des données à caractère personnel par l’Intermédiaire est la fourniture correcte des services convenus conformément à au Contrat de services et/ou à la commande individuelle de services (ci-après dénommée la « Finalité »).

3.2 Les catégories de personnes concernées par les données à caractère personnel traitées dans le cadre du présent Contrat sont énumérées à l’annexe n° 1 du Contrat.

3.3 L’objet du traitement comprend les données personnelles des personnes concernées, qui sont nécessaires à la réalisation de la Finalité et dont la portée exacte dépend de la nature du service fourni conformément au Contrat de service (ci-après dénommées « Données à caractère personnel ») ; l’objet du traitement n’est pas une catégorie spéciale de données personnelles conformément à l’art. 9 du règlement. Les types de données à caractère personnel sont énumérés à l’annexe n° 1 du contrat.

3.4 L’Intermédiaire est autorisé à traiter les données à caractère personnel uniquement pour la Finalité spécifiée et à effectuer avec les Données à caractère personnel pour l’Opérateur uniquement les opérations qui sont nécessaires à la fourniture de services et conformément au Contrat de service ou à la commande individuelle, et à traiter les Données à caractère personnel pour la Finalité spécifiée conformément aux instructions documentées et aux instructions de l’Opérateur.

4. DROITS ET OBLIGATIONS DE L’OPÉRATEUR

4.1 L’Opérateur :

4.1.1 est tenu de traiter les données à caractère personnel conformément au Règlement sur la protection des données à caractère personnel ;

4.1.2 a le droit de confier à l’Intermédiaire le traitement des seules Données à caractère personnel qui ont été obtenues et traitées par l’Opérateur conformément au Règlement sur la protection des données à caractère personnel ;

4.1.3 a le droit de donner à l’Intermédiaire des instructions écrites (sur papier ou par voie électronique) concernant le traitement des données à caractère personnel en vue de la réalisation de la Finalité. Ces instructions sont contraignantes pour l’Intermédiaire à condition que l’exécution de ces instructions nécessite la fourniture de services conformément au Contrat de services ou à une commande d’un service individuel ou si l’exécution de ces instructions nécessite des coûts supplémentaires de la part de l’Intermédiaire en relation avec l’exécution de ces instructions et que l’Opérateur paie tous les coûts encourus. L’Intermédiaire n’exécutera pas les instructions de l’Opérateur qui sont en conflit avec toute disposition du présent Contrat ou qui sont en conflit avec le Règlement sur la protection des données personnelles ;

4.1.4 est toujours responsable du traitement des Données à caractère personnel. Si la personne concernée demande des informations sur le traitement des données à caractère personnel, la correction ou la suppression des données à caractère personnel, s’oppose à la légalité du traitement des données à caractère personnel ou demande la cessation du traitement des données à caractère personnel ou le blocage des données à caractère personnel, l’Opérateur est tenu de donner des instructions écrites (sur papier ou par voie électronique) à l’intermédiaire pour qu’il prenne les mesures nécessaires.

5. DROITS ET OBLIGATIONS DE L’INTERMÉDIAIRE

5.1 L’Intermédiaire est tenu de :

5.1.1 traiter les Données à caractère personnel uniquement conformément aux instructions écrites (sur papier ou par voie électronique) de l’Opérateur, qui visent à remplir la Finalité et le Contrat de service ; ces instructions sont contraignantes pour l’Intermédiaire, sauf indication contraire dans le Contrat ;

5.1.2 ne pas utiliser les Données à caractère personnel à des fins autres que celles spécifiées dans le présent Contrat et le Contrat de services et ne pas combiner les Données à caractère personnel avec d’autres données personnelles obtenues, enregistrées ou traitées d’une autre manière par l’Intermédiaire sans l’instruction écrite préalable de l’Opérateur, même dans le but d’atteindre la même finalité (par exemple, l’affectation de données provenant de bases de données propres/publiques, etc.) ;

5.1.3 traiter uniquement les Données à caractère personnel qui, par leur étendue et leur contenu, correspondent à la Finalité visée et sont nécessaires à sa réalisation ;

5.1.4 traiter les Données à caractère personnel conformément aux pratiques établies en matière de traitement des données à caractère personnel et aux normes en vigueur dans le domaine de la gestion de l’information et conformément au Règlement sur la protection des données à caractère personnel ;

5.1.5 dans le cas où il obtient des Données à caractère personnel pour le compte de l’Opérateur, fournir des informations aux personnes concernées conformément aux articles 13 et 14 du Règlement ; si l’Opérateur demande l’utilisation de son propre matériel d’information pour remplir l’obligation d’information, il fournira ce matériel à l’Intermédiaire sans délai indu après la conclusion du présent Contrat ou après l’instruction d’obtenir des Données caractère personnel en son nom ;

5.1.6 fournir à l’Opérateur une coopération dans l’exécution de ses obligations en relation avec les demandes des personnes concernées et aider l’Opérateur à assurer l’exécution des obligations en vertu des articles 32 à 36 du Règlement, en tenant compte de la nature du traitement et des informations dont dispose l’Intermédiaire ;

5.1.7 informer immédiatement l’Opérateur de toute demande ou de tout exercice des droits de la personne concernée et, dans le même temps, envoyer immédiatement à l’Opérateur la demande pertinente de la personne concernée et la documentation afférente ;

5.1.8 en cas de violation de la protection des données à caractère personnel, c’est-à-dire en cas de violation des mesures de sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée ou la communication de données à caractère personnel, l’Intermédiaire est tenu de notifier à l’Opérateur toute violation de la protection des Données à caractère personnel dans un délai raisonnable après avoir pris connaissance de la violation. La notification écrite prévue par la présente section contient une description de la nature de la violation des données à caractère personnel, la catégorie et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés, une description des conséquences probables de la violation de données à caractère personnel et une description des mesures prises pour remédier à la violation de données à caractère personnel. S’il n’est pas possible de fournir toutes les informations susmentionnées en même temps, ces informations peuvent être fournies par étapes, sans autre retard indu ;

5.1.9 informer immédiatement l’Opérateur des inspections et des mesures prises par l’autorité de contrôle à l’encontre de l’Intermédiaire, ainsi que de la conduite de procédures civiles, pénales ou administratives à l’encontre de l’Intermédiaire, si celles-ci sont liées à la relation contractuelle entre l’Opérateur et l’Intermédiaire et/ou au traitement des Données Personnelles dans le cadre du Contrat ;

5.1.10 contrôler régulièrement les processus internes et les mesures techniques et organisationnelles afin de s’assurer que les traitements relevant de la responsabilité de l’intermédiaire sont conformes aux exigences des règlements sur la protection des données à caractère personnel ;

5.1.11 traiter les Données à caractère personnel uniquement pendant la durée du présent Contrat.

5.2 L’Intermédiaire est également autorisé à traiter les Données à caractère personnel à des fins qui résultent de réglementations légales spéciales ou dont le traitement est requis par le tribunal ou l’autorité administrative compétente. Dans le cas où une juridiction ou une autorité administrative ordonne à l’Intermédiaire une mesure ou une opération avec des Données Personnelles, l’Intermédiaire est tenu d’informer l’Opérateur sans délai excessif de la délivrance d’une telle demande avant de répondre à celle-ci ou d’effectuer toute autre action concernant les Données à caractère personnel traitées, ou dès que raisonnablement attendu, dans le cas où l’Intermédiaire est tenu de fournir une réponse immédiate à la juridiction ou à l’autorité administrative compétente, à moins que la notification à l’Opérateur ne soit contraire à une législation spéciale ou à une décision d’une juridiction ou d’une autorité administrative.

6. SÉCURITÉ DES DONNÉES PERSONNELLES

6.1 L’Intermédiaire garantit la protection des données à caractère personnel en mettant en œuvre et en documentant des mesures de sécurité conformément à l’art. 28 par. 3 lettre c) et l’art. 32 du Règlement conjointement à l’art. 5 par.  et par. 2 du Règlement. Les mesures de sécurité à mettre en œuvre doivent garantir la protection des Données à caractère personnel avec un niveau de sécurité approprié aux risques présentés par le traitement des droits des personnes concernées et afin d’assurer la confidentialité, l’intégrité, la disponibilité et la résistance permanentes des systèmes de traitement pour éviter toute destruction, perte, divulgation non autorisée, publication des données à caractère personnel, accès non autorisé à celles-ci ou toute autre opération de traitement non autorisée, de manière accidentelle ou illicite.

6.2 L’Intermédiaire est tenu d’avoir mis en place une gestion des risques concernant les personnes concernées au sens du Règlement, ainsi qu’une gestion des risques liés à la sécurité de l’information en ce qui concerne les moyens techniques utilisés pour le traitement des Données à caractère personnel. L’Opérateur a le droit de demander la fourniture d’une documentation sur les mesures techniques et organisationnelles prises, au plus tard 30 jours à compter de l’envoi de la demande de l’Opérateur.

6.3 L’intermédiaire, ses employés et les autres personnes qui reçoivent des données personnelles par l’intermédiaire de l’intermédiaire sont tenus de respecter la confidentialité de ces données ; l’obligation de confidentialité subsiste même après l’achèvement du traitement des données personnelles. L’intermédiaire est autorisé à mettre les données personnelles à la disposition de ses employés ou d’autres personnes avec lesquelles il entretient une relation juridique uniquement pour s’acquitter de ses obligations dans le cadre de l’exécution de l’objet et dans les conditions prévues par le présent Contrat.

6.4 Dans le cas de la fourniture de Données à caractère personnel à des employés ou à d’autres personnes avec lesquelles l’intermédiaire a une relation juridique, l’Intermédiaire est tenu d’informer ces personnes de l’obligation de se conformer aux dispositions du présent article du contrat et d’engager ces personnes même après la fin de la relation juridique de cette personne.

6.5 L’intermédiaire ne fournira pas de Données à caractère personnel à des tiers, à moins que cette divulgation ne soit nécessaire pour :

6.5.1 les employés de l’Intermédiaire,

6.5.2 les sous-traitants conformément à l’Art. 8 du Contrat,

6.5.3 des tiers, si cette communication est requise par la loi ou par une décision valide et exécutoire d’un tribunal ou d’une autre autorité publique de la République slovaque.

7. AUTRES OBLIGATIONS DES PARTIES CONTRACTANTES

7.1 Les Parties contractantes s’engagent par la présente à se fournir mutuellement la coopération nécessaire au respect des dispositions du présent Contrat afin de garantir la conformité avec le Règlement sur la protection des données à caractère personnel.

7.2 Si, dans le cadre de la violation de l’obligation de l’Opérateur découlant du Contrat et/ou du Règlement sur la protection des données à caractère personnel, l’Intermédiaire subit des dommages ou autres préjudices, l’Opérateur est tenu d’indemniser intégralement l’Intermédiaire pour ces dommages ou autres préjudices.

7.3 Si un dommage ou un autre préjudice survient en relation avec la violation de l’obligation du Courtier découlant du Contrat et/ou du Règlement sur la protection des données à caractère personnel, le Courtier est tenu d’indemniser l’Opérateur pour ce dommage ou autre préjudice dans son intégralité.

8. SOUS-TRAITANTS

8.1 L’Opérateur accepte que l’Intermédiaire puisse impliquer d’autres intermédiaires dans l’exécution des activités de traitement qu’il effectue pour l’Opérateur dans le cadre de la fourniture de services sur la base du Contrat de services ou sur la base d’une commande individuelle (ci-après dénommé le « Sous-traitant »).

8.2 L’Intermédiaire est autorisé à impliquer le Sous-traitant dans l’exécution des activités de traitement en vertu de la clause 8.1 du Contrat s’il conclut avec lui un accord écrit qui impose au Sous-traitant les mêmes obligations en matière de protection des données à caractère personnel que l’Intermédiaire envers l’Opérateur en vertu du présent Contrat. Si le Sous-traitant ne remplit pas les obligations qui lui incombent en vertu du présent Contrat en ce qui concerne la protection des données à caractère personnel, l’Intermédiaire est pleinement responsable envers l’Opérateur du manquement du Sous-traitant à ces obligations.

8.3 L’Intermédiaire notifie au préalable à l’Opérateur tout changement lié à l’ajout ou au remplacement d’autres Sous-traitants. Si l’Opérateur n’exprime pas son désaccord par écrit dans les 15 jours calendaires après avoir été informé du changement, l’Intermédiaire peut faire appel à un nouveau Sous-traitant. Si l’Opérateur exprime son désaccord dans le délai imparti, l’Intermédiaire fait des efforts raisonnables pour changer de Sous-traitant. Si l’Intermédiaire n’est pas en mesure d’effectuer ces changements dans un délai de 60 jours calendaires, l’Opérateur peut résilier le présent Contrat par écrit dans un délai de 30 jours à compter de la notification du non changement de Sous-traitant (ou à compter de la date de notification du changement de Sous-traitant si l’Intermédiaire n’a pas informé l’Opérateur de l’obtention d’un Sous-traitant de remplacement). L’Opérateur peut résilier le présent Contrat par écrit avec un préavis d’un mois à compter de la date de remise de la notification. Si l’Opérateur ne notifie pas la résiliation du Contrat à l’Intermédiaire dans le délai imparti, il est considéré qu’il accepte le recours au Sous-traitant initialement proposé.

9. LES POUVOIRS DE CONTRÔLE DE L’OPÉRATEUR

9.1 A la demande de l’Opérateur, l’Intermédiaire permettra à l’Opérateur ou à l’Auditeur Tiers Indépendant autorisé par l’Opérateur d’effectuer un contrôle dans les Systèmes de Traitement des Données Personnelles ; ce contrôle est limité à l’évaluation du respect des obligations du présent Contrat et ne peut en aucun cas couvrir l’accès à des données d’autres clients de l’Intermédiaire. La date de l’inspection doit toujours être convenue à l’avance, au moins dix (10) jours ouvrables avant l’inspection prévue.

9.2 L’Intermédiaire informe l’Opérateur si, à son avis, les instructions de l’Opérateur violent le Règlement sur la protection des données personnelles. Si l’Opérateur insiste sur l’exécution d’une instruction qui, de l’avis de l’Intermédiaire, viole le Règlement sur la protection des données personnelles, l’Intermédiaire se réserve le droit de ne pas exécuter une telle instruction, ainsi que le droit de résilier le Contrat.

10. TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS

10.1 Le traitement contractuel des Données à caractère personnel est effectué par l’Intermédiaire dans un État membre de l’Union européenne ou dans un État faisant partie de l’Espace économique européen.

10.2 Le transfert de Données à caractère personnel vers un État situé sur le territoire d’un État autre que l’État spécifié dans la clause 10.1 du Contrat ne peut avoir lieu qu’avec l’accord écrit préalable de l’Opérateur et sous réserve des conditions spéciales énoncées dans les Art. 44 à 50 du Règlement.

11. DURÉE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

11.1 L’Intermédiaire est autorisé à commencer à traiter les données personnelles conformément au contrat au plus tôt à partir de la date d’entrée en vigueur du présent Contrat et du Contrat de service, et son autorisation de traitement dure pendant toute la durée du présent contrat.

11.2 Ce Contrat dure jusqu’à l’expiration du Contrat de service.

12. LA RESTITUTION OU LA SUPPRESSION DES DONNÉES À CARACTÈRE PERSONNEL

12.1 Au terme du contrat, l’Intermédiaire est tenu de supprimer ou de restituer à l’Opérateur ou à un tiers désigné par l’Opérateur toutes les Données à caractère personnel sur la base d’instructions spéciales de l’Opérateur. Si l’Opérateur demande la restitution des Données à caractère personnel, il est tenu de rembourser à l’Intermédiaire les frais encourus en rapport avec la restitution des Données à caractère personnel.

12.2 Si l’Opérateur ne fournit à l’Intermédiaire aucune instruction relative à la suppression ou à la restitution des Données Personnelles dans un délai de 15 jours calendaires à compter de l’expiration du Contrat, l’Intermédiaire enverra une demande écrite à l’Opérateur lui demandant d’envoyer des instructions pour la suppression ou la restitution des Données à caractère personnel dans un délai de 15 jours calendaires. Si l’Opérateur ne fournit pas d’instructions écrites dans ce délai supplémentaire et ne rembourse pas les frais encourus en cas de restitution des Données à caractère personnel, l’Intermédiaire est en droit de supprimer toutes les Données à caractère personnel.

12.3 L’obligation de restituer ou de supprimer les Données à caractère personnel n’affecte pas les informations que l’Intermédiaire est tenu de conserver en vertu de dispositions légales généralement contraignantes, même après l’expiration du Contrat et du Contrat de services.

12.4 À la demande de l’Opérateur, l’Intermédiaire confirmera par écrit la suppression ou la restitution des Données à caractère personnel.

13. DISPOSITIONS FINALES

13.1 Le présent Contrat remplace tous les accords antérieurs entre l’Opérateur et l’Intermédiaire concernant la protection des données à caractère personnel.

13.2 Les relations juridiques entre les parties contractantes, qui ne sont pas régies par le présent Contrat, sont régies par les dispositions pertinentes du Règlement, de la Loi et de la Loi n° 513/1991 du Code du commerce, telle que modifiée, ainsi que par d’autres dispositions légales pertinentes de la République slovaque.

13.3 Les Parties contractantes déclarent qu’elles ont lu attentivement le Contrat avant de le conclure, qu’elles en comprennent le contenu et qu’elles confirment que le Contrat correspond à leur volonté réelle et libre et qu’il n’a pas été conclu sous la contrainte ou dans des conditions notablement défavorables.