Accord de traitement des données

1. Définitions

a. CCPA signifie California Civil Code Sec.1798.100 et suiv.telle que modifiée (également connue sous le nom de California Consumer Privacy Act de 2018), y compris les modifications apportées au CCPA par la California Privacy Rights Act.

b. Les informations personnelles de Californie désignent les données personnelles soumises à la protection du CCPA.

c. Responsable du traitement, sous-traitant, personne concernée, données personnelles, violation de données personnelles, traitement et traitement auront le sens qui leur est donné dans les lois sur la protection des données ;

d. Les Données personnelles du client désignent toute information relative à une personne identifiée ou identifiable lorsque (i) ces informations sont contenues dans les Données client fournies dans le cadre du Contrat ;
et (ii) sont protégés en tant que données personnelles, informations personnelles ou informations personnellement identifiables en vertu des lois applicables sur la protection des données.

e. Lois sur la protection des données désigne toute la législation mondiale applicable en matière de protection des données et de confidentialité qui s'applique à la partie concernée dans le rôle de traitement des données personnelles en question dans le cadre du Contrat, y compris, sans s'y limiter, les lois européennes sur la protection des données, le CCPA et d'autres lois américaines. ;
dans chaque cas, tel que modifié, abrogé, regroupé ou remplacé de temps à autre.

F. L'Europe désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

g. Les Données européennes désignent les Données personnelles soumises à la protection des lois européennes sur la protection des données.

h. Les lois européennes sur la protection des données désignent les lois sur la protection des données applicables en Europe, y compris : (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. les données, le RGPD ;
(ii) Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
et (iii) les mises en œuvre nationales applicables de (i) et (ii) ;
ou (iii) le RGPD tel qu'il fait partie du droit national du Royaume-Uni en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait) (« RGPD du Royaume-Uni ») ;
et (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance (« LPD suisse ») ;
dans chaque cas, tel qu'il peut être modifié, remplacé ou remplacé.

je. RGPD désigne le Règlement général sur la protection des données ((UE) 2016/679) et sa version britannique conservée ;

j. Clauses contractuelles types désigne les clauses contractuelles types annexées à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021 actuellement disponibles à l'adresse https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en. tel qu'il peut être modifié, remplacé ou remplacé ;

k. Addendum britannique désigne l'addendum sur le transfert international de données publié par le commissaire à l'information du Royaume-Uni en vertu de l'article 119A(1) de la loi sur la protection des données de 2018, actuellement disponible à l'adresse https://ico.org.uk/media/for-organisations/documents/4019539/international .-data-transfer-addendum.pdf. tel qu'il peut être modifié, remplacé ou remplacé.

2. Conformité.

Les deux parties se conformeront à toutes les exigences applicables des lois sur la protection des données.
Cette annexe s'ajoute aux obligations ou aux droits d'une partie en vertu des lois sur la protection des données, et ne les soulage pas, ne les supprime pas ou ne les remplace pas.

3. Contrôleur/processeur.
Les parties ont déterminé qu'aux fins des lois sur la protection des données, SynerG traitera les données personnelles du client en tant que sous-traitant pour le compte du client.
Le client peut être soit un contrôleur, soit un sous-traitant.

4. Consentements.
Le Client veillera à ce qu'il dispose de tous les consentements et avis appropriés nécessaires pour permettre le transfert licite des données personnelles du client à SynerG, ainsi que la collecte légale de celles-ci par le Client utilisant les Services SynerG pendant la durée et aux fins de l'Accord et du DPA, et indemnisera SynerG contre toutes les pertes et dommages (y compris les amendes) résultant d'un manquement à cette obligation.

5. Nature, étendue, finalité du traitement et personnes concernées.
L'Annexe A définit la portée, la nature et la finalité du traitement des données personnelles des clients par SynerG, la durée du traitement ainsi que les types de données personnelles des clients et les catégories de personnes concernées.

6. Instructions client.
SynerG traitera les données personnelles du client uniquement sur les instructions documentées du client, à moins que SynerG ne soit tenu par les lois applicables de traiter autrement ces données personnelles du client.
Le Contrat et le DPA sont réputés être les instructions du Client ;
les parties peuvent convenir d'instructions supplémentaires.
SynerG informera le Client si, de l'avis de SynerG, les instructions du Client enfreignent les lois sur la protection des données ;

7. Obligations de haut niveau.

a. Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger les données personnelles des clients contre les violations de données personnelles, comme décrit à l'annexe B du présent DPA (« Mesures de sécurité »).
Nonobstant toute disposition contraire, SynerG peut modifier ou mettre à jour les mesures de sécurité à sa discrétion, à condition qu'une telle modification ou mise à jour n'entraîne pas une dégradation matérielle de la protection offerte par les mesures de sécurité.

b. S'assurer que tout le personnel engagé et autorisé par SynerG à traiter les données personnelles des clients s'est engagé à respecter la confidentialité ou est soumis à une obligation de confidentialité légale ou commune appropriée ;

c. Assister le Client dans la mesure où cela est raisonnablement possible (compte tenu de la nature du Traitement et des informations dont SynerG dispose), et aux frais et sur demande écrite du Client, à répondre à toute demande d'une Personne Concernée et à s'assurer de la conformité du Client. avec ses obligations en vertu des lois sur la protection des données en matière de sécurité, de notifications de violation, d'analyses d'impact et de consultations avec les autorités de contrôle ou les régulateurs ;

d. Informer le Client sans délai injustifié dès qu'il prend connaissance d'une Violation de Données Personnelles impliquant les Données Personnelles du Client ;

e. Sur instruction écrite du client, supprimez ou restituez les données personnelles du client et leurs copies au client à la résiliation du contrat, à moins que SynerG ne soit tenu par toute loi applicable de continuer à traiter ces données personnelles du client.
Aux fins du présent paragraphe, les données personnelles du client seront considérées comme supprimées lorsqu'elles ne seront plus utilisées par SynerG;

F. Pour les Données Européennes, assister le Client à assurer le respect des articles 32 à 36 du RGPD ;
mettre à disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA et permettre et contribuer raisonnablement aux audits, y compris les inspections menées par le Client pour évaluer la conformité au présent DPA dans la mesure requise par les lois sur la protection des données ;
et mettra à disposition toutes les informations raisonnablement nécessaires pour démontrer la conformité aux exigences de l'article 28 du RGPD pour les sous-traitants ;
et

g. Tenir des registres pour démontrer sa conformité à ce paragraphe

8. Fournisseur de services. Les parties conviennent que si le CCPA s'applique, le Client est une « entreprise » et SynerG est un « fournisseur de services » tel que défini dans le CCPA.
SynerG ne conservera, n'utilisera ou ne divulguera pas les informations personnelles californiennes qu'elle collecte en vertu du Contrat à des fins autres que l'exécution du Contrat ou autrement autorisé par le CCPA ;
et (b) SynerG ne conservera pas, n'utilisera pas ou ne divulguera pas les informations personnelles californiennes qu'il collecte en vertu du présent accord en dehors de la relation commerciale directe entre SynerG et le client, sauf autorisation contraire du CCPA. SynerG ne « vendra » ni ne « partagera » les informations personnelles californiennes telles que ces termes sont définis dans le CCPA, ni ne combinera les informations personnelles californiennes avec des informations personnelles obtenues auprès de sources autres que le client,
sauf dans la mesure nécessaire à l’exécution du Contrat.
De temps à autre, le Client peut demander, et SynerG fournira, des preuves raisonnables de sa conformité à la présente Section 8.

9. Sous-traitants ultérieurs. Le Client donne son autorisation générale et préalable à SynerG pour nommer des sous-traitants pour traiter les données personnelles du client, à condition que SynerG veille à ce que les conditions dans lesquelles il nomme ces sous-traitants soient conformes aux lois sur la protection des données et soient cohérentes avec les obligations imposées à SynerG dans ce paragraphe ; et restera responsable des actes et omissions de tout sous-traitant comme s'il s'agissait des actes et omissions de SynerG.
SynerG a actuellement nommé, en tant que sous-traitants ultérieurs, les tiers répertoriés à l'annexe C du présent DPA. SynerG informera le client si SynerG ajoute ou remplace des sous-traitants répertoriés à l'annexe C au moins 30 jours avant de tels changements, si le client choisit de recevoir de tels e-mails en contactant SynerG.

10. Données européennes : Mécanismes de transfert pour les transferts de données/Clauses contractuelles types.

a. SynerG ne transférera pas de données européennes vers un pays ou un destinataire non reconnu comme offrant un niveau adéquat de protection des données personnelles (au sens des lois européennes applicables sur la protection des données), à moins qu'il ne prenne au préalable toutes les mesures nécessaires pour garantir que le transfert soit effectué. conformément aux lois européennes applicables en matière de protection des données.
De telles mesures peuvent inclure (sans s'y limiter) le transfert de ces données personnelles à un destinataire couvert par un cadre approprié ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou tribunaux compétents comme fournissant un niveau adéquat de protection des données personnelles, à un destinataire qui a obtenu une autorisation de règles d'entreprise contraignantes conformément aux lois européennes sur la protection des données,

b. Le Client reconnaît que dans le cadre de l'exécution du Service, SynerG est un destinataire de Données européennes aux États-Unis.
Sous réserve des sous-sections (c), les parties conviennent que les clauses contractuelles types seront incorporées par référence et feront partie de l'accord comme suit :

1/ Transferts EEE. En ce qui concerne les données européennes soumises au RGPD (i) le Client est « l'exportateur de données » et SynerG est « l'importateur de données » ;(ii) les conditions du module deux s'appliquent dans la mesure où le client est un contrôleur de données européennes et les conditions du module trois s'appliquent dans la mesure où le client est un sous-traitant de données européennes;(iii) à l’Article 7, la clause d’amarrage facultative s’applique;(iv) à l'article 9, l'option 2 s'applique et les modifications apportées aux sous-traitants ultérieurs seront notifiées conformément à la section « Sous-traitants ultérieurs » du présent DPA;(v) à l'Article 11, la langue facultative est supprimée;(vi) aux articles 17 et 18,les parties conviennent que la loi applicable et le for pour les litiges relatifs aux clauses contractuelles types seront la République d'Irlande (sans référence aux principes de conflits de lois);(vii) les annexes des clauses contractuelles types seront réputées complétées avec les informations énoncées dans les annexes du présent DPA;et (viii) si et dans la mesure où les Clauses Contractuelles Types entrent en conflit avec une disposition du présent DPA, les Clauses Contractuelles Types prévaudront dans la mesure de ce conflit.

2/ Virements au Royaume-Uni.En ce qui concerne les données européennes soumises au RGPD britannique, les clauses contractuelles types s'appliqueront conformément à la sous-section (1) et les modifications suivantes (i) les clauses contractuelles types seront modifiées et interprétées conformément à l'addendum britannique. , qui sera incorporé par référence et fera partie intégrante du Contrat;(ii) Les tableaux 1, 2 et 3 de l'addendum britannique seront réputés complétés avec les informations énoncées dans les annexes du présent DPA et le tableau 4 sera réputé complété en sélectionnant « aucune des parties »;et (iii) tout conflit entre les termes des Clauses Contractuelles Types et l'Addendum du Royaume-Uni sera résolu conformément aux sections 10 et 11 de l'Addendum du Royaume-Uni.

3/ Virements suisses. En ce qui concerne les Données européennes soumises à la DPA suisse, les Clauses Contractuelles Types s'appliqueront conformément au paragraphe (1) et les modifications suivantes (i) les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la DPA suisse;(ii) les références à « l'UE », à « l'Union » et au « droit des États membres » seront interprétées comme des références au droit suisse ;et (iii) les références à « l'autorité de contrôle compétente » et aux « tribunaux compétents » seront remplacées par « le Préposé fédéral suisse à la protection des données et à la transparence » et les « tribunaux compétents en Suisse ».

c. Si SynerG ne peut pas se conformer à ses obligations en vertu des Clauses contractuelles types ou viole toute garantie en vertu des Clauses contractuelles types ou de l'Addendum britannique (le cas échéant) pour quelque raison que ce soit, et que le Client a l'intention de suspendre le transfert de données européennes à SynerG ou de résilier le Standard. Clauses contractuelles, ou Addendum au Royaume-Uni, le client s'engage à fournir à SynerG un préavis raisonnable pour permettre à SynerG de remédier à une telle non-conformité et de coopérer raisonnablement avec SynerG pour identifier les garanties supplémentaires, le cas échéant, qui peuvent être mises en œuvre pour remédier à une telle non-conformité.
Si SynerG n’a pas ou ne peut pas remédier à la non-conformité,

11. Modifications.
Nonobstant toute autre disposition contraire du Contrat, SynerG se réserve le droit d'apporter des mises à jour et des modifications à ce DPA, y compris pour tenir compte des modifications apportées aux lois sur la protection des données et réviser les dispositions de sécurité de ce DPA, à condition que SynerG ne réduise pas matériellement le niveau de sécurité global fourni aux Données Personnelles du Client.