Informations sur le traitement des données
Article 1
Cet accord est régi par le règlement 2016/679 du Conseil de l’UE du 27 avril 2016 sur la protection des données (RGPD), ainsi que par toute autre législation pertinente applicable au territoire de l’Union européenne. L’ensemble de cette loi se réfère ci-dessous sous le titre de « Loi sur la protection des renseignements personnels ».
Les termes "Données personnelles", "Traitement", "Contrôleur", "Processeur", "Récepteur", "Préoccupé", "Infraction liée aux données personnelles" et "Autorité de surveillance" sont définis conformément aux définitions contenus dans les lois sur la protection des renseignements personnels.
Article 2
Les Parties se conformeront à la législation applicable en matière de protection de la vie privée. Avant de fournir les données personnelles au processeur ou d’ordonner au processeur de traiter les données personnelles, le Contrôleur note que ce traitement des données personnelles est autorisé conformément aux Article 6 du GDPR.
Article 3
Le sujet, la durée, la nature et le but du traitement sont énoncés à l’annexe 1 de la présente entente. L’annexe 1 contient également un aperçu du type de données personnelles et des catégories de personnes concernées.
Article 4
Les processeurs conserveront les données personnelles qu’ils traiteront au profit du Contrôleur et exigeront également de tous ceux qui agissent en vertu de son autorité de garder ces données secrètes, sauf dans la mesure où toute exigence légale les oblige à remarquer ou à venir de leur tâche le besoin de communication.
Les transformateurs doivent prendre des mesures pour s’assurer que toute personne physique agissant sous son autorité et ayant accès aux données personnelles ne les traite qu’au nom du Contrôleur, à moins qu’elle ne soit légale ou La législation des États membres a été en vigueur.
Le processeur ne traite ces données personnelles qu’au nom du Contrôleur, sous réserve d’obligations légales dérogatoires et conformément aux instructions écrites du Contrôleur. Cela s’applique, entre autres, au transfert de données à caractère personnel vers des pays en dehors de l’Espace économique européen (EEE), à moins qu’un traitement spécifique ne soit requis en vertu des lois et règlements applicables. Dans ce cas, le processeur informera le contrôleur du traitement avant de procéder à ce traitement des données personnelles, à moins qu’une telle communication ne soit autorisée.
Article 5
Le processeur informe le contrôleur si, à son avis, une instruction viole la législation applicable en matière de protection de la vie privée.
Article 6
Les transformateurs prendront les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre les pertes ou toute forme de traitement illégal. Ces mesures devraient garantir, compte tenu de l’état de la technologie et du coût de mise en œuvre, un niveau de sécurité approprié compte tenu des risques posés par le traitement et la nature des données personnelles.
Article 7
Le transformateur doit, à sa demande, mettre à disposition toutes les informations nécessaires pour vérifier le respect des obligations prévues à l’article 28 du GDPR et de cet accord.
Le Processeur doit également permettre au Contrôleur responsable, ou contrôleur autorisé par le Contrôleur responsable, de se conformer à cet accord et aux dispositions légales relatives au traitement des données personnelles des l’application, vérifier par des inspections et des audits. Le Contrôleur devrait prendre les mesures nécessaires pour s’assurer que ces inspections et audits ne vont pas au-delà de la nécessité de vérifier le respect des obligations en vertu de l’article 28 du GDPR et de cet accord et que l’intégrité et la confidentialité des données personnelles sont strictement respectées. Le Contrôleur effectue les inspections et les vérifications à ses propres risques et exempte le processeur de tous les dommages qui peuvent en résulter, y compris les violations des données personnelles qui en découlent.
Article 8
Le processeur doit informer le Contrôleur de :
Une violation de données («violation de données») à signaler conformément aux articles 33 et 34 du GDPR. Le processeur informera le contrôleur d’une violation de données sans délai indu et, si possible, dans les 72 heures;
Une plainte d’un intéressé;
Une demande d’une personne concernée concernant l’exercice de ses droits découlant du Règlement; /ou
Une enquête menée par l’Autorité de surveillance ou toute autre autorité compétente, à condition que cela soit autorisé en vertu des lois et règlements en vigueur.
Article 9
Le processeur coopère avec le Contrôleur à sa demande dans le cadre d’une demande ou d’une enquête d’une autorité de surveillance ou d’une autre autorité compétente, ou dans le cadre d’une demande ou d’une plainte d’un dont les données personnelles sont traitées par le processeur. Le processeur coopérera également avec le contrôleur afin de permettre au contrôleur responsable de se conformer à la législation applicable en matière de protection de la vie privée en ce qui concerne les opérations de traitement énumérées à l’annexe 1.
Article 10
Le processeur sous-traitera le traitement des données personnelles en totalité ou en partie à un sous-traitant sans le consentement préalable du Contrôleur. Le contrôleur a le droit de refuser ce consentement sans donner de raison ou d’y ajouter d’autres conditions. Le sous-traitant du transformateur doit au moins se conformer à des dispositions contractuelles égales aux dispositions du présent accord. Si le sous-traitant ne s’acquitte pas de ses obligations en matière de protection de la vie privée en vertu de cette entente avec le transformateur, le transformateur est entièrement responsable du contrôleur responsable de l’exécution des obligations du sous-traitant en vertu de l’accord d’impartition.
En signant cet accord, le Contrôleur autorise le processeur à engager des entreprises au sein du même consortium que le processeur pour le traitement des données personnelles, comme eHealthsoft cvba, Alandra bvba, MAD Factory bvba et SolFactory bv.
Article 11
Les transformateurs peuvent traiter les données personnelles dans des pays en dehors de l’EEE à condition que le processeur soit conforme aux dispositions du chapitre 5 du GDPR ("Transferts de données personnelles vers des pays tiers ou des organisations internationales").
Si des données à caractère personnel sont transmises à des pays extérieurs à l’EEE pendant la fourniture de services, le contrôleur et le processeur concluront un accord pour le transfert de données qui est au moins égal à l’approbation Clauses contractuelles standard de la Commission européenne. Si les clauses contractuelles standard sont déclarées invalides, les Parties s’entendent sur un autre mécanisme qui est permis en vertu de la Loi sur la protection des renseignements personnels applicable à ce moment-là.
Article 12
À la fin des services de traitement, le processeur supprimera, selon le choix du Contrôleur, toutes les données personnelles ou les retournera au Contrôleur et supprimera les copies, à moins que le processeur l’obligation légale ou professionnelle de préserver ces données. Les parties reconnaissent que cette obligation ne s’applique pas aux données conservées par le processeur à des fins de sauvegarde, à condition que les dispositions de sécurité et de confidentialité telles qu’elles sont énoncées dans le présent accord continuent de s’appliquer.
Article 13
En cas de contradiction entre une disposition de cet accord et une disposition d’un autre accord conclu entre les Parties, la disposition pertinente de la présente Entente a préséance.
Article 14
Cette entente sera modifiée d’un commun accord entre le contrôleur et le transformateur chaque fois que la Loi sur la protection des renseignements personnels sera requise.
Article 15
Le droit belge s’applique à toutes les relations juridiques entre le Contrôleur et le Processeur. Les tribunaux néerlandophones du district de Bruxelles sont compétents pour informer l’accord des litiges entre le Contrôleur et le Processeur découlant ou en relation avec (la mise en œuvre) de l’Accord à prendre.