Accord de traitement des données

Accord de traitement des données

 

 
Le contrôleur de données
K.V. Stampe & Son's
CVR 40493719
Ringvejen 60
7900 Nykøbing mors
Danemark

 

 

 

1 Contrat de traitement des données Préambule

  1. Cet accord de traitement des données définit les droits et obligations qui s'appliquent au traitement par le processeur de données des données personnelles au nom du contrôleur de données.

 

  1. Cet accord a été conçu pour garantir la conformité des parties à l'article 28, paragraphe 3 de Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes naturelles en ce qui concerne le traitement des données personnelles et sur la libre circulation de ces données et l'abrogation de la directive 95/46 / CE (General Data Protection Règlement), qui définit des exigences spécifiques pour le contenu des accords de traitement des données.

 

  1. Le traitement des données personnelles par le processeur de données doit avoir lieu à des fins de réalisation du «Master Contrat» des parties. Traitement des données personnelles commençant le 01/04/18.

  2. L'accord de traitement des données et le «accord de maître» sont interdépendants et ne peuvent pas être résiliés séparément. L'accord de traitement des données peut cependant - sans résiliation du «Master Contrat» - être remplacé par un autre accord de traitement des données valide.

 

  1. Cet accord de traitement des données sera prioritaire sur toutes les dispositions similaires contenues dans d'autres accords entre les parties, y compris le «Master Contrat».

 

  1. Quatre annexes sont jointes à cet accord de traitement des données. Les annexes font partie intégrante de ce contrat de traitement des données.

 

  1. Annexe Ade l'accord de traitement des données contient des détails sur le traitement ainsi que l'objectif et la nature du traitement, le type de données personnelles, les catégories de données de données et la durée du traitement.

 

  1. Annexe Bde l'accord de traitement des données contient les termes et conditions du contrôleur de données qui s'appliquent à l'utilisation par le processeur de données des sous-processeurs et à une liste de sous-processeurs approuvés par le contrôleur de données.

 

  1. Annexe Cde l'accord de traitement des données contient des instructions sur le traitement que le processeur de données doit effectuer au nom du contrôleur de données (l'objet du traitement), les mesures de sécurité minimales à mettre en œuvre et comment l'inspection avec le processeur de données et tout sous-marin -Les processeurs doivent être effectués.

 

  1. Annexe Dde l'accord de traitement des données contient les dispositions des parties pour les activités qui ne sont pas contenues dans le présent accord de traitement des données ou le «Master Contrat» des parties.

 

  1. L'accord de traitement des données et ses annexes associées seront conservées par écrit ainsi que par voie électronique par les deux parties.

 

  1. Cet accord de traitement des données ne doit pas exempter le processeur de données des obligations auxquelles le processeur de données est soumis conformément au règlement général de la protection des données ou à une autre législation.

2 Les droits et obligations du contrôleur de données

  1. Le contrôleur de données doit être responsable du monde extérieur (y compris la personne concernée) pour s'assurer que le traitement des données personnelles se déroule dans le cadre du règlement général sur la protection des données et de la Danish Data Protection Act.

 

  1. Le contrôleur de données doit donc avoir le droit et l'obligation de prendre des décisions concernant les objectifs et les moyens du traitement des données personnelles.

 

  1. Le contrôleur de données doit être chargé de s'assurer que le traitement que le processeur de données est invité à effectuer est autorisé en droit.

3 Le processeur de données agit en fonction des instructions

  1. Le processeur de données doit uniquement être autorisé à traiter les données personnelles sur les instructions documentées du contrôleur de données, sauf si le traitement est requis en vertu de l'UE ou de la loi de l'État membre à laquelle le processeur de données est soumis; Dans ce cas, le processeur de données informe le contrôleur de données de cette exigence légale avant le traitement à moins que cette loi n'interdit ces informations pour des motifs importants de l'intérêt public, cf. Article 28, paragraphe 3, paragraphe a.

 

  1. Le processeur de données doit immédiatement informer le contrôleur de données si les instructions de l'avis du processeur de données contreviennent au règlement général de protection des données ou aux dispositions de protection des données contenues dans d'autres loi de l'UE ou de l'État membre.

4 Confidentialité

  1. Le processeur de données doit s'assurer que seules les personnes qui sont actuellement autorisées à le faire sont en mesure d'accéder aux données personnelles traitées au nom du contrôleur de données. L'accès aux données doit donc être refusé sans dériver si une telle autorisation est supprimée ou expire.

 

  1. Seules les personnes qui ont besoin d'accès aux données personnelles afin de remplir les obligations du processeur de données auprès du contrôleur de données doivent être dotées d'une autorisation.

 

  1. Le processeur de données doit s'assurer que les personnes autorisées à traiter les données personnelles au nom du contrôleur de données se sont engagées à observer la confidentialité ou sont soumises à une obligation statutaire appropriée de confidentialité.

 

  1. Le processeur de données doit, à la demande du contrôleur de données, être en mesure de démontrer que les employés concernés sont soumis à la confidentialité ci-dessus.

5 Sécurité du traitement

  1. Le processeur de données doit prendre toutes les mesures requises conformément à l'article 32 du règlement général sur la protection des donnéesqui stipule cela, en considération pour le niveau actuel, les coûts de mise en œuvre et la nature, la portée, le contexte et les objectifs du traitement et le risque de probabilité et de gravité variables pour les droits et libertés des personnes naturelles, le contrôleur de données et le processeur doivent mettre en œuvre des techniques techniques et appropriées et appropriés mesures organisationnelles pour garantir un niveau de sécurité approprié au risque.

 

  1. L'obligation ci-dessus signifie que le processeur de données doit effectuer une évaluation des risques et mettre en œuvre par la suite des mesures pour contrer le risque identifié. Selon leur pertinence, les mesures peuvent inclure les éléments suivants:

 

  1. Pseudonymisation et chiffrement des données personnelles
  2. La capacité d'assurer une confidentialité, une intégrité, une disponibilité et une résilience continues des systèmes et services de traitement.
  3. La possibilité de restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique.
  4. Un processus pour tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

  1. Le processeur de données doit assurer ce qui précède - dans tous les cas - à un minimum implémentez le niveau de sécurité et les mesures spécifiées à l'annexe C à cet accord de traitement des données.

 

  1. La réglementation / accord possible des parties sur la rémunération, etc. pour le contrôleur de données ou l'exigence ultérieure du processeur de données pour établir des mesures de sécurité supplémentaires doit être spécifiée dans le «Master Contrat» des parties ou à l'annexe D à cet accord de traitement des données.

6 Utilisation de sous-processeurs

  1. Le processeur de données doit répondre aux exigences spécifiées à l'article 28, paragraphe 2 et 4 du règlement général sur la protection des données afin d'engager un autre processeur (sous-processeur).

 

  1. Le processeur de données ne doit donc pas engager un autre processeur (sous-processeur) pour la réalisation de cet accord de traitement des données sans le consentement écrit spécifique ou général préalable du contrôleur de données.

 

  1. En cas de consentement écrit général, le processeur de données informe le contrôleur de données de toute modification planifiée en ce qui concerne les ajouts ou le remplacement d'autres processeurs de données et donnent ainsi au contrôleur de données la possibilité de s'opposer à de tels modifications.

 

  1. Les exigences du contrôleur de données pour l'engagement du processeur de données d'autres sous-processeurs doivent être spécifiées dans Annexe Bà cet accord de traitement des données.

 

  1. Le consentement du contrôleur de données à l'engagement de sous-processeurs spécifiques, le cas échéant, doit être spécifié dans Annexe Bà cet accord de traitement des données.

 

  1. Lorsque le processeur de données a l'autorisation du contrôleur de données à utiliser un sous-processeur, le processeur de données doit s'assurer que le sous-processeur est soumis aux mêmes obligations de protection des données que celles spécifiées dans ce contrat de traitement des données sur la base d'un contrat ou d'un autre Document juridique en vertu du droit de l'UE ou de la loi nationale des États membres, en particulier en fournissant les garanties nécessaires que le sous-processeur mettra en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement général sur la protection des données.

 

Le processeur de données doit donc être responsable - sur la base d'un accord de sous-processeur - pour exiger que le sous-processeur soit au moins respecté les obligations auxquelles le processeur de données est soumis aux exigences du règlement général sur la protection des données et de la présente Contrat de traitement des données et ses annexes associées.

 

  1. Une copie d'un tel accord de sous-processeur et des amendements ultérieurs - à la demande du contrôleur de données - sera soumis au contrôleur de données qui aura ainsi la possibilité de s'assurer qu'un accord valide a été conclu entre le processeur de données et le sous- Processeur. Les termes et conditions commerciaux, tels que les prix, qui n'affectent pas le contenu de protection des données juridiques de l'accord de sous-processeur, ne nécessitent pas de soumission au contrôleur de données.

 

  1. Le processeur de données doit dans son accord avec le sous-processeur inclut le contrôleur de données en tant que tiers en cas de faillite du processeur de données pour permettre au contrôleur de données d'assumer les droits du processeur de données et les invoquer en ce qui concerne le sous-processeur , par exemple afin que le contrôleur de données puisse demander au sous-processeur d'effectuer l'effacement ou le retour des données.

 

  1. Si le sous-processeur ne remplit pas ses obligations de protection des données, le processeur de données restera entièrement responsable du contrôleur de données en ce qui concerne l'accomplissement des obligations du sous-processeur.

7 Transfert de données vers des pays tiers ou des organisations internationales

  1. Le processeur de données doit uniquement être autorisé à traiter les données personnelles sur les instructions documentées du contrôleur de données, y compris en ce qui concerne le transfert(affectation, divulgation et utilisation interne) des données personnelles aux pays tiers ou aux organisations internationales, sauf si le traitement est requis en vertu de l'UE ou de la loi des États membres à laquelle le processeur de données est soumis; Dans un tel cas, le processeur de données informe le contrôleur de données de cette exigence légale avant le traitement à moins que cette loi n'interdit ces informations pour des motifs importants de l'intérêt public, cf. Article 28, paragraphe 3, paragraphe a.

 

  1. Sans les instructions ou l'approbation du contrôleur de données, le processeur de données ne peut donc pas - dans le cadre de cet accord de traitement des données:

 

  1. Divulguer des données personnelles à un contrôleur de données dans un pays tiers ou dans une organisation internationale
  2. attribuer le traitement des données personnelles à un sous-processeur dans un pays tiers
  3. faire en sorte que les données soient traitées dans une autre des divisions du processeur de données qui se trouve dans un pays tiers

 

  1. Les instructions du contrôleur de données ou l'approbation du transfert de données personnelles dans un pays tiers, le cas échéant, doivent être définies dans Annexe Cà cet accord de traitement des données.

8 Assistance au contrôleur de données

  1. Le processeur de données, en tenant compte de la nature du traitement, doit, dans la mesure du possible, le contrôleur de données avec des mesures techniques et organisationnelles appropriées, dans l'accomplissement des obligations du contrôleur de données de répondre aux demandes d'exercice des sujets de données «Droits conformément au chapitre 3 du règlement général sur la protection des données.


Cela implique que le processeur de données devrait être dans la mesure du possible pour aider le contrôleur de données dans la conformité du contrôleur de données:

 

  1. obligation de notification lors de la collecte de données personnelles à partir de la personne concernée
  2. Obligation de notification si les données personnelles n'ont pas été obtenues à partir de la personne concernée
  3. Droit d'accès par le sujet de données
  4. le droit de rectification
  5. le droit à l'effacement («le droit d'être oublié»)
  6. le droit de restreindre le traitement
  7. Obligation de notification concernant la rectification ou l'effacement des données personnelles ou la restriction du traitement
  8. Le droit à la portabilité des données
  9. le droit de s'opposer
  10. Le droit de s'opposer au résultat de la prise de décision individuelle automatisée, y compris le profilage

 

  1. Le processeur de données doit aider le contrôleur de données à garantir le respect des obligations du contrôleur de données conformément aux articles 32-36 du règlement général sur la protection des données en tenant compte de la nature du traitement et des données mises à la disposition du processeur de données, cf. Article 28, paragraphe 3, para f.

 

Cela implique que le processeur de données devrait prendre en compte la nature du traitement, dans la mesure du possible, aide le contrôleur de données dans la conformité du contrôleur de données:

 

  1. L'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié au risque associé au traitement
  2. L'obligation de signaler les violations de données personnelles à l'autorité de surveillance (Agence danoise de protection des données) sans retard indu et, si possible, dans les 72 heures suivant la découverte de cette violation à moins que la violation de données personnelles ne entraîne un risque pour les droits des droits et les libertés des personnes naturelles
  3. L'obligation - sans retard indu - de communiquer la violation des données personnelles à la personne concernée lorsque une telle violation est susceptible de se traduire par un risque élevé pour les droits et libertés des personnes naturelles
  4. L'obligation de procéder à une évaluation de l'impact sur la protection des données si un type de traitement est susceptible de se traduire par un risque élevé pour les droits et libertés des personnes naturelles
  5. L'obligation de consulter l'autorité de supervision (Danish Data Protection Agency) avant le traitement si une évaluation de l'impact sur la protection des données montre que le traitement entraînera un risque élevé dans le manque de mesures prises par le contrôleur de données pour limiter le risque

 

  1. La réglementation / accord possible des parties sur la rémunération, etc. pour l’assistance du processeur de données au contrôleur de données doit être spécifié dans le «Master Contrat» des parties ou à l’annexe D à cet accord de traitement des données.

9 Notification de violation de données personnelles

  1. Lors de la découverte d'une violation de données personnelle dans les installations du processeur de données ou des installations d'un sous-processeur, le processeur de données doit sans délai indu en aviser le contrôleur de données.

 

La notification du processeur de données au contrôleur de données doit, si possible, avoir lieu dans les 24 heures suivant le processeur de données a découvert la violation pour permettre au contrôleur de données de se conformer à son obligation, le cas échéant, de signaler la violation à l'autorité de surveillance dans le 72 heures.

 

  1. Selon l'article 9.2., Paragraphe B, de cet accord de traitement des données, le processeur de données doit - en tenant compte de la nature du traitement et des données disponibles - aidez le contrôleur de données dans la déclaration de la violation de l'autorité de surveillance.

Cela peut signifier que le processeur de données est tenu d'aider à obtenir les informations énumérées ci-dessous lesquelles, conformément à l'article 33, paragraphe 3, du règlement général sur la protection des données, sera indiquée dans le rapport du contrôleur de données à l'autorité de supervision:

 

  1. La nature de la violation des données personnelles, y compris, si possible, les catégories et le nombre approximatif de sujets de données affectés et les catégories et le nombre approximatif d'enregistrements de données personnelles affectées
  2. Conséquences probables d'une violation de données personnelles
  3. Des mesures qui ont été prises ou sont proposées pour gérer la violation des données personnelles, y compris, le cas échéant, des mesures pour limiter ses dommages possibles

10 Erasure et retour des données

  1. Lors de la résiliation des services de traitement, le processeur de données sera obligé de l'obligation, à la discrétion du contrôleur de données, d'effacer ou de renvoyer toutes les données personnelles au contrôleur de données et d'effacer les copies existantes à moins que la loi de l'UE ou la loi membres de l'État exige le stockage de la personne personnelle données.

11 Inspection et audit

  1. Le processeur de données doit mettre à la disposition du contrôleur de données toutes les informations nécessaires pour démontrer la conformité à l'article 28 du règlement général de protection des données et de cet accord de traitement des données, et permettent et contribuent aux audits, y compris les inspections effectuées par le contrôleur de données ou un autre auditeur mandaté par le contrôleur de données.

 

  1. Les procédures applicables à l'inspection par le contrôleur de données du processeur de données sont spécifiées dans Annexe Cà cet accord de traitement des données.

 

  1. L'inspection par le contrôleur de données des sous-processeurs, le cas échéant, doit être effectuée en règle via le processeur de données. Les procédures pour une telle inspection sont spécifiées dansAnnexe Cà cet accord de traitement des données.

 

  1. Le processeur de données doit fournir les autorités de supervision, qui conformément à la législation applicable ont accès aux installations du contrôleur de données et du processeur de données, ou des représentants agissant au nom de ces autorités de supervision, avec accès aux installations physiques du processeur de données sur la présentation de approprié identification.

12 L'accord des parties à d'autres termes

  1. (Séparé) Les termes relatifs aux conséquences de la violation des parties de ce contrat de traitement des données, le cas échéant, seront spécifiés dans le «Master Contrat» des parties ou dans Annexe Dà cet accord de traitement des données.

 

  1. La réglementation des autres termes entre les parties sera spécifiée dans le «Master Accord» des parties ou dansAnnexe Dà cet accord de traitement des données.

13 début et résiliation

  1. Cet accord de traitement des données entrera en vigueur à la date de la signature des deux parties à l'accord.

 

  1. Les deux parties ont le droit d'exiger ce contrat de traitement des données renégocié si les modifications de la loi ou la contrainte des dispositions contenues dans les présentes devraient donner naissance à une telle renégociation.

 

  1. L’accord des parties sur la rémunération, les termes, etc. dans le cadre d’amendements à ce contrat de traitement des données, le cas échéant, sera spécifié dans le «Master Contrat» des parties ou à l’annexe D à ce contrat de traitement des données.

 

  1. Cet accord de traitement des données peut être résilié en fonction des termes et conditions de résiliation, incl. Avis de résiliation, spécifié dans le «Master Accord».

 

  1. Cet accord de traitement des données s'applique tant que le traitement est effectué. Indépendamment de la résiliation de «l'accord de maître» et / ou de ce contrat de traitement des données, l'accord de traitement des données restera en vigueur jusqu'à la résiliation du traitement et l'effacement des données par le processeur de données et tout sous-processeur.

 

  1. Signature

 


Au nom du contrôleur de données

Nom:

 

Michael Stampe

 

Position:

 

PDG

 

Date:

 

 

01/04/18

  

 

14 Contacts de contrôleur de données et de processeurs de données / points de contact

 

  1. Les parties peuvent se contacter mutuellement en utilisant les contacts / points de contact suivants:

 

  1. Les parties sont sous l'obligation de se informer en permanence des modifications des contacts / points de contact.

 

 


Nom:

Mike Stampe

 

Position:

PDG

 

Numéro de téléphone:

+45 52137210

 

E-mail:

stampe@kv-stampe.dk

 


 

Annexe une information sur le traitement

 

Le traitement par le processeur de données des données personnelles au nom du contrôleur de données est:

  • Le contrôleur de données est capable d'utiliser Google Analytics qui appartient et gérés par le processeur de données pour collecter et traiter les données sur les membres du contrôleur de données.

 

Le traitement par le processeur de données des données personnelles au nom du contrôleur de données doit principalement concerner (la nature du traitement):

  • Le processeur de données met à disposition System Shopify au contrôleur de données et stocke par la présente des données personnelles sur les membres du contrôleur de données sur les serveurs de l'entreprise. "

 

Le traitement comprend les types de données personnelles suivants sur les sujets de données:

  • Nom, adresse e-mail, numéro de téléphone, adresse, détails de paiement et pays

 

Le traitement comprend les catégories de données suivantes suivantes:

 Les personnes qui ont acheté des produits sur le site Web ou qui se sont inscrites en tant que membre

 

Le traitement par le processeur de données des données personnelles au nom du contrôleur de données peut être effectué lorsque cet accord de traitement des données commence. Le traitement a la durée suivante:

  • Le traitement ne doit pas être limité dans le temps et doit être effectué jusqu'à ce que ce contrat de traitement des données soit résilié ou annulé par l'une des parties.

 

 

Annexe B Instruction concernant l'utilisation des données personnelles

 

 

B.1 Période de stockage/ Procédures d'effacement

  • Les données personnelles sont stockées pendant 3 ans, après quoi elles sont effacées par le processeur de données.

 

B.2 Lieu de traitement

Le traitement des données personnelles dans le cadre de cet accord de traitement des données ne peut pas être effectué à d'autres emplacements que ce qui suit sans le consentement écrit préalable du contrôleur de données:

  • Indiquez le processeur de données ou le sous-processeur à l'aide de l'adresse Ringvejen 60, 7900 Nykøbing mors