Cession de traitement des données personnelles

Les conditions présentes de cession des données définissent les règles selon lesquelles les données personnelles des employés des entrepreneurs qui ont conclu des accords avec KFE Holding Sp. z o. o. (en passant une commande que nous avons accepté pour la mise en œuvre) seront traitées par notre société.

 

Chaque fois que dans les présentes conditions, il est question de:

  • Entrepreneurs - ceci est compris comme les entrepreneurs qui ont conclu un accord avec notre société.
  • Société – ceci est compris comme KFE Holding Sp. z o.o. dont le siège est à Varsovie, ul. Czerniakowska 71, numéro KRS 0000255059.
  • Parties – ceci est compris comme l’Entrepreneur et la Société ensemble.

 

 

§ 1 OBJET DE L'ACCORD

  1. L'Entrepreneur et la Société concluent un accord de cession de traitement des données personnelles, ci-après dénommé «Conditions», conformément auquel l'Entrepreneur confie le traitement des données personnelles à la Société, dans la mesure où cela résulte de la commande acceptée par la Société.
  2. La cession des données personnelles à la Société a lieu afin d'effectuer le service spécifié dans la commande.
  3. La Société peut traiter les données personnelles qui lui sont confiées uniquement dans la mesure et le but spécifiés dans la commande et dans le but et la portée nécessaires pour fournir les services spécifiés dans la commande passée.
  4. La portée des données confiées et les catégories de données dépendent à chaque fois de la spécificité du service fourni.

 

 

§ 2 DÉCLARATIONS ET OBLIGATIONS DE L'ENTREPRISE

  1. La Société déclare par la présente avoir les ressources d'infrastructure, l'expérience, les connaissances et le personnel qualifié, dans la mesure permettant la bonne exécution du service, conformément à la loi applicable. En particulier, la Société déclare être familiarisée avec le traitement et la sécurité des données personnelles résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes à l'égard des données personnelles et à la libre circulation de ces données et l'abrogation de la directive 95/46/CE (règlement général sur la protection des données, ci-après dénommé "RGPD");
  2. La Société est obligée de:
    1. traiter les données personnelles confiées uniquement sur la base de la commande et des présentes Conditions, qui constituent ensemble une instruction documentée de l'Entrepreneur.
    2. accorder l'accès aux données personnelles confiées uniquement à des personnes qui, en raison de l'étendue de leurs tâches, ont été autorisées par la Société à les traiter et uniquement aux fins de l'exécution des tâches résultant de la commande passée;
    3. s'assurer que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité;
    4. mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité correspondant au risque de violation des droits ou libertés des personnes physiques dont les données personnelles seront traitées par la Société;
    5. dans la mesure du possible, soutenir l'Entrepreneur (par l'application de mesures techniques et organisationnelles appropriées) dans l'accomplissement de l'obligation de répondre aux demandes des personnes concernées par les données dans l'exercice des droits énoncés au chapitre III du RGPD;
    6. aider les Entrepreneurs dans le domaine:
      1. du signalement des violations de la protection des données à caractère personnel à l'organe de surveillance et de l’information des personnes concernées par cette infraction;
      2. de la réalisation d'une analyse d'impact pour la protection des données par l'Entrepreneur et de consultation de l'organe de surveillance;
    7. conserver, par écrit (y compris électronique), un registre de toutes les catégories d'activités de traitement effectuées pour le compte de l'Entrepreneur;
    8. mettre à la disposition de l'Entrepreneur, sur sa demande, au plus tard dans les 3 jours ouvrables, toutes les informations nécessaires pour démontrer la conformité de l'Entrepreneur avec les obligations découlant des dispositions légales pertinentes, en particulier avec le RGPD;
    9. permettre à l'Entrepreneur ou à l'auditeur autorisé par l'Entrepreneur de réaliser l'audit;
    10. informer immédiatement l'Entrepreneur si, de l'avis de la Société, l'ordre qui lui a été donné est en violation du RGPD ou d'autres dispositions nationales ou européennes sur la protection des données;
    11. stocker des données personnelles seulement aussi longtemps que cela est spécifié par l'Entrepreneur ou comme il ressort des dispositions de droit généralement applicables.

§ 3 SOUS-TRAITANCE

  1. L'Entrepreneur consent à ce que la Société confie à d'autres entreprises de traitement le traitement de ses données personnelles, dans la mesure où cela est nécessaire à l'exécution de la commande. La Société est tenue d'informer de tout changement prévu concernant l'ajout ou le remplacement d'autres entités de traitement.
  2. La Société assure utiliser les services d'autres entités de traitement offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer que le traitement réponde aux exigences du RGPD et à la loi sur la protection des données personnelles visée au § 2alinéa 1 point 2, que la Société est tenue de respecter avant le 25 mai 2018, et protège également les droits des personnes concernées.
  3. La Société s'assurera dans le contrat conclu avec l’entité de transformation, que l'entité sera assujettie à des obligations correspondant aux obligations de la Société.

 

§ 4 AUDIT

  1. L'Entrepreneur est autorisé à vérifier la conformité du traitement des données personnelles par la Société avec la loi applicable.
  2. L'Entrepreneur doit informer la Société au moins 4 jours ouvrables avant la date prévue de l'audit de son intention de l'exécuter. Si pour des raisons importantes, selon la Société, l'audit ne peut être effectué dans le délai indiqué, la Société doit informer l'Entrepreneur de ce fait en indiquant la justification d'une telle évaluation. Dans ce cas, les Parties déterminent conjointement la date ultérieure de l’audit.
  3. Après l'audit, le représentant de l'Entrepreneur prépare un rapport post-contrôle, signé par les représentants des deux entités. La Société s'engage, dans le délai convenu avec l'Entrepreneur, à s'adapter aux recommandations post-contrôle incluses dans le rapport, visant à combler les lacunes et améliorer la sécurité du traitement des données personnelles (si les recommandations sont acceptées par la Société).

 

§ 5 RAPPORT D'INFRACTIONS

  1. La Société est tenue de mettre en œuvre et d'appliquer des procédures pour détecter les violations de la protection des données à caractère personnel et mettre en œuvre les mesures correctives appropriées.
  2. Après avoir identifié une violation de la protection des données personnelles qui lui sont confiées par l'Entrepreneur, la Société doit, sans retard indu, mais au plus tard dans les 36 heures suivant la détection de la violation, en informer les Entrepreneurs. L'objet de la notification est l'information sur les circonstances et le motif de la violation.
  3. Jusqu'à ce que soit obtenue de l'Entrepreneur l'instruction de procéder avec la violation, la Société doit prendre toutes les mesures raisonnables pour limiter et remédier aux effets négatifs de l'infraction sans retard injustifié.
  4. La Société est tenue de documenter toute violation de la protection des données personnelles qui lui sont confiées, y compris les circonstances de la violation des données personnelles, ses conséquences et les mesures correctives prises. La Société est tenue, à chaque demande de l'Entrepreneur, de lui fournir immédiatement les documents mentionnés dans la phrase précédente.
  5. La Société ne doit pas sans l'instruction expresse de l'Entrepreneur informer de toute violation:
    1. les personnes concernées
    2. l’organe de surveillance.

 

§ 6 DURÉE DE l’ACCORD ET RÈGLES DE RESPONSABILITÉ

  1. L’accord est conclu pour une durée déterminée et cesse d'être obligatoire lorque le service est réalisé.
  2. L'Entrepreneur peut résilier l’accord avec un préavis d'un mois.
  3. Après la résiliation de l’accord, la Société doit, selon les instructions de l’Entrepreneur, retourner ou détruire, d'une manière et à une date convenues séparément avec l'Entrepreneur, toutes les données personnelles et leurs copies, sauf si les dispositions pertinentes du droit national ou européen exigent le stockage de ces données personnelles. Les frais de retour ou de destruction des données personnelles et de leurs copies sont à la charge de l'Entrepreneur.

 

§ 9 DISPOSITIONS FINALES

  1. Pour les questions non régies par les Conditions, les dispositions pertinentes du Code civil, du RGPD et d'autres dispositions applicables en matière de protection des données personnelles sont applicables.
  2. Tous les litiges en relation avec l’accord doivent être soumis à la résolution de la juridiction ordinaire localement compétente pour le siège social de la Société.