Carta e contratto RGPD

ChallengeMe fornisce a tutti i suoi clienti una carta. Ci impegniamo a rispettare la riservatezza e la protezione dei dati.

Utilizzo nel quadro GAR / MEN

Tutti gli utenti che si registrano per l'uso GAR di ChallengeMe si registrano per l'elaborazione GAR. Gli avvisi RGPD applicabili sono disponibili a questo indirizzo: https: //gar.education.fr/mentions-informatives-rgpd/vv

CONTRATTO RGPD

I. Preambolo

Nell'ambito dell'applicazione, in data 25 maggio 2018, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (di seguito, "RGPD"), la presente appendice ha lo scopo di definire le condizioni alle quali ServicesYou, che ha lo status di Responsabile del trattamento ai sensi del RGPD, si impegna ad effettuare le operazioni di trattamento dei dati personali definite all'articolo VII della presente appendice, per conto e su istruzioni di Organisation et Développement, titolare del trattamento, nel rispetto della normativa vigente, in particolare del RGPD e di qualsiasi legge o regolamento nazionale applicabile al Titolare del trattamento e al Subappaltatore (di seguito la "Normativa Applicabile").

II. Obblighi del subappaltatore nei confronti del Titolare del trattamento

Il Subappaltatore si impegna a:

1. trattare i dati esclusivamente per le sole finalità per le quali i dati vengono esternalizzati, come descritto nell'articolo VII.

2. trattare i dati in conformità alle disposizioni della presente appendice e alle eventuali successive istruzioni documentate del Titolare del trattamento. Qualora il Responsabile del trattamento ritenga che un'istruzione costituisca una violazione della Normativa Applicabile, ne informerà immediatamente il Titolare del trattamento.

3. garantire la riservatezza dei dati personali trattati ai sensi del Contratto o dell'Accordo.

4. garantire che le persone autorizzate al trattamento dei dati personali:

si impegnano a rispettare la riservatezza di tali dati o sono soggetti a un adeguato obbligo di riservatezza legale o contrattuale
ricevere la necessaria formazione in materia di protezione dei dati personali

5. tenere conto, per quanto riguarda i propri strumenti, prodotti, applicazioni o servizi, dei principi della protezione dei dati per progettazione e della protezione dei dati per impostazione predefinita.

6. Successivi subappalti

Nel caso in cui il Subappaltatore utilizzi un proprio subappaltatore (di seguito il "Subappaltatore successivo") per il trattamento dei dati ad esso affidati, dovrà informare preventivamente per iscritto il Titolare del trattamento, indicando in particolare le attività di trattamento subappaltate, l'identità e i dati di contatto del subappaltatore e la durata del Subappalto successivo. Il Titolare del trattamento avrà quindi a disposizione un periodo di 30 giorni dalla data di ricezione di tali informazioni per presentare eventuali obiezioni motivate al subappalto successivo.

Il subappaltatore si impegna a garantire che il subappaltatore successivo presenti le stesse garanzie sufficienti per quanto riguarda l'attuazione di misure tecniche e organizzative adeguate e conformi ai regolamenti applicabili e a trasporre le clausole del presente emendamento, compreso il diritto di verifica e di audit, nel contratto che lo lega a qualsiasi subappaltatore successivo. Il subappaltatore rimarrà l'unico e pieno responsabile nei confronti del Titolare del trattamento, ai sensi della presente appendice, per qualsiasi inadempimento degli obblighi da parte del subappaltatore successivo.

Il Subappaltatore dovrà tenere un elenco dei successivi contratti di subappalto stipulati ai sensi della presente clausola, che dovrà essere aggiornato regolarmente e almeno una volta all'anno. Tale elenco sarà messo a disposizione del Titolare del trattamento e, se richiesto, della CNIL.

Nel caso in cui il Subappaltatore, dopo aver ottenuto il previo consenso scritto del Titolare del trattamento, scelga un successivo subappaltatore situato al di fuori dell'Unione Europea, qualsiasi lavoro di conformità necessario sarà finanziariamente a carico del Subappaltatore. In tal caso, il Subappaltatore deve, come minimo, fornire al Titolare del trattamento la prova di:

a) aver firmato le Clausole contrattuali standard della Commissione europea con il successivo subappaltatore o, in mancanza di queste, aver firmato le clausole contrattuali standard della Commissione europea con il subappaltatore.

b) l'applicazione al subappaltatore successivo delle "Norme vincolanti d'impresa" approvate dall'autorità di vigilanza competente, qualora il subappaltatore successivo sia una delle filiali del Subappaltatore.

7. Obbligo di informazione

Il Responsabile del trattamento informerà il Titolare del trattamento senza indugio ed entro un massimo di 5 giorni lavorativi:

di qualsiasi richiesta di divulgazione di dati personali da parte di un'autorità competente o che sia imposta al Responsabile del trattamento in virtù del diritto dell'Unione o dello Stato membro a cui è soggetto, a meno che un'eccezione legale debitamente giustificata non vieti tale divulgazione per motivi di interesse pubblico;
qualsiasi richiesta dell'Interessato di esercitare i propri diritti in relazione al trattamento affidato al Responsabile del trattamento. In tal caso, il Responsabile del trattamento non risponderà direttamente all'Interessato a meno che non sia stato autorizzato per iscritto dal Titolare del trattamento.

8. Esercizio dei diritti degli interessati

Per quanto possibile, il Subappaltatore si impegna ad assistere il Titolare del trattamento nell'adempimento dei suoi obblighi legali in relazione al rispetto dei diritti degli Interessati, in particolare i diritti :

informazioni: il subappaltatore responsabile della raccolta dei dati personali degli interessati si impegna a fornire agli interessati, al momento della raccolta, le informazioni fornite al subappaltatore dal Titolare del trattamento;

accesso: estrazione e trasmissione al Titolare del trattamento da parte del Responsabile del trattamento, in un formato leggibile, dei dati ad esso affidati relativi all'Interessato;

rettifica, cancellazione e opposizione: il Responsabile del trattamento deve inviare al Titolare un certificato di esecuzione;
alla limitazione del trattamento: trasmissione al Titolare del trattamento da parte del Responsabile del trattamento di un certificato di esecuzione;
alla portabilità dei dati: estrazione e trasmissione al Titolare del trattamento da parte del Responsabile del trattamento, in un formato strutturato, comunemente utilizzato e leggibile da una macchina, dei dati affidati all'interessato;
non essere oggetto di una decisione individuale automatizzata (compresa la profilazione): trasmissione al Titolare del trattamento da parte del Responsabile del trattamento di un certificato di esecuzione.

Il Subappaltatore si impegna inoltre a fornire al Titolare del trattamento tutte le informazioni necessarie a quest'ultimo per rispettare i diritti degli Interessati, nel più breve tempo possibile e al più tardi entro 10 giorni lavorativi dalla richiesta del Titolare del trattamento.

9. Notifica di violazioni di dati personali

Il Subappaltatore dovrà notificare al contatto principale del Titolare del trattamento identificato all'articolo 7 qualsiasi violazione dei dati personali senza indugio, e al più tardi entro 48 ore, dal momento in cui ne è venuto a conoscenza.

Tale notifica dovrà essere accompagnata da tutta la documentazione pertinente per consentire al Titolare del trattamento, se necessario, di notificare la violazione all'autorità di controllo competente, e almeno dalle seguenti informazioni:

una descrizione della natura della violazione dei dati personali, comprese, se possibile, le categorie e il numero approssimativo di persone interessate dalla violazione e le categorie e il numero approssimativo di record di dati personali interessati;

una descrizione delle probabili conseguenze della violazione dei dati personali ;

una descrizione delle misure adottate o proposte dal Subappaltatore per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure per mitigare le eventuali conseguenze negative.

Il Subappaltatore coordinerà le proprie attività di comunicazione esterna con il Titolare del trattamento e si asterrà da qualsiasi comunicazione unilaterale e/o spontanea, pubblica o privata, in particolare all'autorità di controllo competente e agli interessati, senza il preventivo consenso del Titolare del trattamento.

Una volta chiuso l'incidente che ha portato alla violazione dei dati, il Subappaltatore presenterà una relazione dettagliata al Titolare del trattamento dei dati, indicando in particolare:

le cause della violazione dei dati,
le violazioni dei dati personali, in particolare la riservatezza e l'integrità dei dati,
i tempi di risposta e di intervento del Subappaltatore
le misure adottate per porre fine alla Violazione e garantire che non si ripeta.

In caso di recidiva e/o data la gravità di un singolo incidente imputabile al Subappaltatore che comporti la violazione di dati personali in un ambiente di produzione, il Titolare del trattamento avrà il diritto di risolvere anticipatamente il Contratto o l'Accordo mediante lettera raccomandata con ricevuta di ritorno, a esclusivo danno del Subappaltatore, senza alcun indennizzo e fatti salvi gli eventuali danni che il Titolare del trattamento potrà richiedere.

10. Valutazioni d'impatto (PIA)

Tenendo conto della natura del trattamento in questione e delle informazioni a sua disposizione, il Subappaltatore consiglierà il Titolare del trattamento e lo assisterà diligentemente fornendogli le informazioni necessarie per effettuare qualsiasi valutazione d'impatto sulla protezione dei dati (DPA).

11. Misure di sicurezza

Il Subappaltatore si impegna a mettere in atto le misure di sicurezza tecniche e organizzative necessarie a garantire che i dati affidatigli non vengano distorti, danneggiati o comunicati a persone non autorizzate, come elencato nell'Articolo VII.

Il Subappaltatore si impegna a implementare misure di sicurezza tecniche e organizzative almeno equivalenti a quelle sviluppate dal CNIL o dall'ANSSI nelle guide elencate di seguito o nella norma ISO 270001.

Le guide pubblicate da CNIL e ANSSI sono disponibili ai seguenti indirizzi:

In ogni caso, il Subappaltatore si impegna, in caso di modifica dei mezzi utilizzati per garantire la sicurezza dei dati e dei documenti trasmessi, a sostituirli con mezzi equivalenti o superiori e a informare tempestivamente il Titolare del trattamento.

12. Proprietà e destino dei dati

I dati affidati al Subappaltatore dal Titolare del trattamento in virtù del Contratto o dell'Accordo resteranno di sua proprietà. In nessun caso il Subappaltatore potrà rivendicare un diritto su tali dati, né, direttamente o indirettamente, utilizzarli, modificarli o distruggerli senza l'esplicita istruzione del Titolare del trattamento.

Al termine del Contratto o dell'Accordo, il Responsabile del trattamento deve, nel più breve tempo possibile, giustificare volontariamente e sotto la propria responsabilità, alla prima richiesta del Titolare del trattamento:

restituire al Titolare del trattamento i dati non in suo possesso;
distruggere altri dati.

In ogni caso, il Subappaltatore distruggerà tutte le copie esistenti dei dati affidatigli nei suoi sistemi informativi e in quelli dei suoi successivi subappaltatori e fornirà al Titolare del trattamento un certificato di completamento, a meno che il diritto dell'Unione o il diritto dello Stato membro non richieda la conservazione dei dati personali.

13. Posizione

Il Subincaricato dovrà informare il Titolare del trattamento in merito all'ubicazione fisica dei propri server tramite l'articolo VII, nonché in merito a qualsiasi modifica di tale ubicazione. Tale informazione si applica non appena il Subincaricato decide di cambiare l'ubicazione dei server, senza attendere che questi vengano effettivamente spostati.

Qualsiasi ubicazione dei server in un paese non appartenente all'Unione Europea e non riconosciuto dalle autorità nazionali come dotato di un livello di protezione sufficiente sarà soggetta al previo accordo scritto del Titolare del trattamento. In caso di disaccordo, il Titolare del trattamento avrà il diritto di risolvere il Contratto o l'Accordo alle condizioni stabilite nel Contratto o nell'Accordo.

Qualsiasi trasferimento autorizzato dal Titolare del trattamento potrà avvenire solo dopo che le Parti avranno sottoscritto le clausole standard della Commissione europea definite nella "Decisione della Commissione del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio", o in una decisione più recente della Commissione.

In tal caso, il Titolare del trattamento sarà considerato l'Esportatore e il Subappaltatore l'Importatore.

14. Registro delle categorie di attività di trattamento

Ove applicabile, il Responsabile del trattamento si impegna a tenere un registro scritto di tutte le categorie di attività di trattamento svolte per conto del Titolare del trattamento, tra cui:

il nome e i dati di contatto del responsabile del trattamento per conto del quale agisce, di eventuali subappaltatori e, se del caso, del responsabile della protezione dei dati;
le categorie di trattamento effettuate per conto del Titolare;
se del caso, i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, nel caso dei trasferimenti di cui all'articolo 49, paragrafo 1, secondo comma, del regolamento europeo sulla protezione dei dati, i documenti che attestano l'esistenza di garanzie adeguate;
per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative, compresa, se del caso :

pseudonimizzazione e crittografia dei dati personali ;
mezzi per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
mezzi per ripristinare la disponibilità dei dati personali e l'accesso agli stessi entro un termine adeguato in caso di incidente fisico o tecnico;
una procedura per verificare, analizzare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

15. Documentazione, controlli e audit

15.1 Il Responsabile del trattamento metterà a disposizione del Titolare del trattamento la documentazione necessaria a dimostrare l'adempimento di tutti i suoi obblighi e si impegna ad effettuare verifiche periodiche di tutti i suoi sistemi informativi, delle sue procedure interne e dei suoi locali al fine di verificare, in particolare, l'adempimento di tutti gli obblighi che gli incombono ai sensi della presente appendice nonché dei Regolamenti applicabili e, in particolare, di garantire che le misure di sicurezza previste dalle presenti clausole siano correttamente attuate e non possano essere aggirate senza che ciò venga rilevato e notificato.

A tal fine, il Subappaltatore fornirà al Titolare del trattamento, su richiesta, le conclusioni del rapporto di audit effettuato da lui stesso o da un fornitore di servizi di sua scelta, soggetto a un obbligo di riservatezza in conformità alle condizioni stabilite nel presente Contratto o nel presente Accordo e che non sia un concorrente del Titolare del trattamento e/o dei suoi subappaltatori, la cui identità sarà comunicata al Titolare del trattamento almeno dieci (10) giorni prima dello svolgimento dell'audit.

In caso di riscontro di non conformità, il Subappaltatore sosterrà il costo delle risorse necessarie per garantire la conformità entro un ragionevole lasso di tempo concordato tra le Parti. Una volta raggiunta la conformità, il Subappaltatore dovrà fornire al Titolare del trattamento un certificato di completamento che dimostri il raggiungimento della conformità.

In caso di inosservanza delle disposizioni del presente articolo, il Controllore avrà il diritto di risolvere il Contratto o l'Accordo a danno esclusivo del Subappaltatore, senza preavviso o indennizzo e senza pregiudizio di qualsiasi reclamo da parte del Controllore in caso di pregiudizio a lui derivante.

15.2 Il Subappaltatore riconosce che l'Autorità di controllo (CNIL) e gli Agenti della DGCCRF hanno il diritto di effettuare controlli sul Subappaltatore e su ogni successivo subappaltatore nella stessa misura e alle stesse condizioni dei controlli effettuati sul Titolare del trattamento in conformità ai regolamenti applicabili.

Il Responsabile del trattamento dei dati informerà il Titolare del trattamento dei dati, nel più breve tempo possibile, dell'esistenza di una normativa che lo riguardi o di un successivo Responsabile del trattamento dei dati che impedisca l'esecuzione di controlli su di esso o su qualsiasi Responsabile del trattamento dei dati in conformità al paragrafo precedente. In tal caso, il Titolare del trattamento si riserva il diritto di sospendere il trattamento dei dati e/o di risolvere immediatamente il Contratto o l'Accordo senza alcun costo.

III. Obblighi del Titolare del trattamento nei confronti del Responsabile del trattamento

Il Titolare del trattamento si impegna a:

1. fornire al Subappaltatore le informazioni specificate nell'Articolo VII della presente Appendice.

2. documentare per iscritto qualsiasi istruzione relativa al trattamento dei dati personali da parte del Subappaltatore

3. garantire, prima e durante tutta l'operazione di trattamento, che il Subappaltatore rispetti gli obblighi previsti dal RGPD

4. supervisionare il trattamento, anche effettuando i controlli e le verifiche di cui all'articolo II della presente appendice sul Subappaltatore.

IV. Responsabilità

Nonostante qualsiasi clausola contraria contenuta nel Contratto o nell'Accordo, le Parti riconoscono che l'inosservanza della presente appendice costituirà un danno diretto e risarcibile per il quale il Subappaltatore sarà responsabile in caso di inadempienza da parte sua e/o da parte di qualsiasi subappaltatore successivo.

Di conseguenza, il Subappaltatore dovrà indennizzare il Controllore e tenerlo indenne da qualsiasi conseguenza finanziaria (condanna o indennizzo pagato, costi e spese) derivante da una violazione delle norme stabilite nella presente appendice da parte del Subappaltatore o dei suoi successivi subappaltatori, senza limitazioni.

V. Disposizioni generali

1. La presente appendice costituisce parte integrante del Contratto o dell'Accordo ed è vincolante per le Parti.

2. I termini in maiuscolo non definiti nella presente appendice sono definiti nel RGPD.

3. Il fatto che una delle Parti non richieda in alcun momento la stretta osservanza di una disposizione del presente allegato da parte dell'altra Parte non può in alcun caso essere considerato una rinuncia all'osservanza di qualsiasi tipo.

4. In caso di modifiche della legislazione in materia di dati personali, le Parti negoziano in buona fede le modifiche al presente Allegato necessarie per conformarsi a tali modifiche, entro un termine ragionevole da stabilire di comune accordo.

VI. DESCRIZIONE DEL/I TRATTAMENTO/I DEI DATI PERSONALI DA ESTERNALIZZARE

La natura delle operazioni effettuate sui dati in questo contesto è definita di seguito:

X Sistemazione
Operazioni di gestione delle relazioni con i clienti e del servizio post-vendita
Gestione delle operazioni promozionali e dei concorsi
Operazioni di marketing
Operazioni di gestione delle risorse umane
Operazioni di gestione delle paghe
Migliorare i database
X Fornitura di un servizio in modalità SaaS
Sviluppo e test di applicazioni e software
X Archiviazione dei dati
Distruzione dei documenti
X Produzione di statistiche
Altro(i) :

...............................................................................................................................................................

Le finalità del trattamento sono le seguenti:

Gestione elettronica dei documenti
Gestione dei clienti e dei prospect
Gestione delle operazioni promozionali e dei concorsi
Gestione di un sito di e-commerce
Gestione dei reclami e del servizio post-vendita
Misurare la soddisfazione
Gestione ed elaborazione della posta
Gestione delle risorse umane
X Produzione di statistiche
Archiviazione a fini probatori
Altro(i) :

...............................................................................................................................................................

I dati personali trattati sono definiti di seguito:

X Dati identificativi (stato civile, indirizzo, numero di telefono, e-mail, ecc.)

...............................................................................................................................................................

Vita professionale

...............................................................................................................................................................

Situazione familiare e sociale

...............................................................................................................................................................

Dati bancari o di pagamento

...............................................................................................................................................................

Vita personale, abitudini di vita, preferenze

...............................................................................................................................................................

Numero di previdenza sociale

Indirizzo IP

Geolocalizzazione

X Dati di connessione

...............................................................................................................................................................

Dati biometrici

...............................................................................................................................................................

Dati sensibili (salute, razza, opinioni politiche, religione, convinzioni giudiziarie)

...............................................................................................................................................................

Altro/i

...............................................................................................................................................................

Le categorie di persone interessate sono definite di seguito.

X Dipendenti
Clienti
Fornitori
Partner commerciali
Fornitori di servizi
Altro: Studenti........................................................................................................................

...............................................................................................................................................................

Per l'esecuzione del servizio oggetto del Contratto o dell'Accordo, il Subappaltatore attua le seguenti misure di sicurezza tecniche e organizzative:

pseudonimizzazione e crittografia dei dati personali
X i mezzi per garantire in ogni momento la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
X i mezzi per ripristinare la disponibilità e l'accesso ai dati personali entro tempi adeguati in caso di incidente fisico o tecnico;
X una procedura per testare, analizzare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento
Altro: ................................................................................................................................................

...............................................................................................................................................................

I dati personali sono ospitati da :

OVH Roubaix, OVH Gravelines, OVH Strasburgo

RGPD

Soluzione

Le nostre risorse

Contattateci