Accord de traitement de données( Conformité GDPR)

Effectif, le 1er Mai 2018

1. Portée et objet de l'accord

Ce traitement des données («DPA») reflète l'accord des parties en ce qui concerne les conditions régissant le traitement des données personnelles en vertu des Conditions d'utilisation d'IBANCOM (les «Conditions d'utilisation»). Cette LPD est une modification aux conditions de service et prend effet dès son incorporation dans les conditions de service, laquelle incorporation peut être spécifiée dans une ordonnance ou une modification des conditions de service signée. Dès son incorporation dans le TOS, le DPA fera partie du TOS.

2. Définitions

Dans cette accord:

(a) « Services » désigne les services fournis au Client dans le cadre du TOS ;
(b) « Données Personnelles » désigne toute information relative à une personne physique identifiée ou identifiable («personne concernée»);
(c) « Clients », « vérificateur » ou « vous » désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel;
(d) « Processeur », « IBANCOM » ou « nous » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
(e) « Processus/ le traitement » toute opération ou ensemble d'opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés tels que collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autrement mise à disposition, alignement ou combinaison, restriction, effacement ou destruction;
(f) « Sous-traitant » ou « Sous-traitance» désigne un sous-traitant tiers engagé par le sous-traitant qui, dans le cadre de la prestation des services par le sous-traitant, traite les données personnelles du client ;
(g) « Mesures de sécurité techniques et organisationnelles »: les mesures visant à assurer un niveau de sécurité adapté au risque, y compris la pseudonymisation et le cryptage des données personnelles, la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement, la possibilité de rétablir rapidement la disponibilité et l'accès aux données personnelles en cas d'incident physique ou technique, un processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
(h) "Lois sur la protection des données" désigne toutes les lois et réglementations, y compris les lois et règlements de l'Union européenne, de l'Espace économique européen et de leurs États membres, applicables au traitement des données à caractère personnel en vertu de l'Accord.

3. Application de l'accord

Cet accord s'applique à:
a) toutes les données envoyées à la date du présent contrat par le client à IBANCOM pour traitement;
b) toutes les données auxquelles l'IBANCOM accède sous l'autorité du client pour traitement à compter de la date du présent contrat; et
c) toutes les données autrement reçues par IBANCOM pour traitement au nom du client;
en relation avec les Services.

4. Catégories de données personnelles et but du traitement des données personnelles

Afin d'exécuter le Contrat, et en particulier d'exécuter les Services pour le compte du Client, le Client autorise et demande à IBANCOM de traiter les Données Personnelles suivantes: Informations Client: informations que nous pouvons collecter de votre utilisation des sites Web d'IBANCOM et de vos interactions avec nous hors ligne tels que :

• Information contact : nom, adresse du domicile, numéro de téléphone ou de mobile, adresse e-mail et mot de passe.
• Information Financière : numéro de carte de crédit et informations de facturation (numéro d'identification fiscale, numéro de la TVA du payeur, adresse de facturation, adresse électronique de facturation, où les factures sont envoyées); Le numéro de carte de crédit est géré par Avangate (notre passerelle de paiement), par Paypal, ou d'autres types de paiement; IBANCOM ne facture votre carte de crédit que pour les paiements.
• Coordonnées de l'emploi, y compris: nom de l'employeur, titre et fonction du poste, coordonnées de l'entreprise; IBANCOM traite les informations clients selon les termes de notre politique de confidentialité générale.

Données de services: données qui résident sur des systèmes IBANCOM, client ou tiers auxquels IBANCOM a fourni l'accès pour effectuer des services.

• Données stockées et traitées par les utilisateurs, telles que: données envoyées pour traitement, historique des opérations effectuées par les utilisateurs.
• Informations sur le fichier journal: Trois types de journaux sont sauvegardés par le système IBANCOM: Les journaux de connexion qui sont essentiellement des journaux de chaque demande à chaque application. Ces journaux de connexion peuvent inclure des informations telles que la requête Web, l'adresse IP, le type de navigateur, les pages et URL de renvoi / sortie, le nombre de clics, les noms de domaine, les pages de destination et autres informations. Le deuxième type de journaux sont des journaux d'application, qui sont produits par notre logiciel pendant le traitement des données. Les journaux des journaux d'application sont un enregistrement de toutes les données d'entrée envoyées à nos serveurs pour traitement, qui peuvent aider IBANCOM à identifier et diagnostiquer la source des problèmes actuels du système et à aider à prévoir les problèmes futurs.
IBANCOM traite les informations client conformément aux termes de sa politique de confidentialité, et traite les données des services comme confidentielles conformément aux termes de votre commande de services

Catégories de sujets de données: Les sujets de données comprennent les représentants du client et les utilisateurs finaux, tels que les employés, les demandeurs d'emploi, les entrepreneurs, les collaborateurs, les partenaires et les clients du client. Les personnes concernées peuvent également inclure des personnes qui tentent de communiquer ou de transférer des données personnelles aux utilisateurs des services.

5. Responsibilité de IBANCOM

IBANCOM traitera les données personnelles uniquement pour la fourniture des services et acceptera :

• (a) Traiter et utiliser les données personnelles aux fins énoncées dans le présent accord ou seulement sur des instructions documentées du client et à aucune autre fin, sauf avec le consentement exprès écrit préalable du client, ou
• (b) Ne pas divulguer des Données à des tiers sauf à ceux de ses employés, agents et sous-traitants qui sont engagés dans le traitement des Données et sont soumis aux obligations contraignantes ou sauf tel que requis par toute loi ou règlement;
• (c) Mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre tout traitement non autorisé ou illicite ou perte, destruction ou dommage accidentels, et en tenant compte de l'état de développement technologique et des coûts de mise en œuvre de ces mesures, assurer un niveau de sécurité approprié. au préjudice qui pourrait résulter d'un traitement non autorisé ou illicite, d'une perte, d'une destruction ou d'un dommage accidentel et de la nature des données à protéger;
• (d) Informer le client dans les meilleurs délais en cas d'exercice par les personnes concernées de leurs droits en vertu des lois de protection des données relatives aux données et, le cas échéant, aider le client à se conformer à l'obligation de répondre à ces demandes en considération des engagements prévus à l'article 7 ;
• (e) Ne pas traiter ou transférer les données en dehors de l'Union européenne, sauf avec l'autorisation expresse écrite préalable du client et s'assurer que ces transferts sont effectués conformément aux règles.

6. Responsibilité du client

Le client du service, en tant que responsable du traitement des données, doit accepter la responsabilité de respecter la législation applicable en matière de protection des données. Notamment, le Client a l'obligation d'évaluer la légalité du traitement des données personnelles stockées sur la Plateforme.

Le Client s'engage à respecter à tout moment la législation applicable en matière de protection des données et, en particulier, le Client veillera à ce que toute divulgation de Données à caractère personnel à IBANCOM soit effectuée avec le consentement de la personne concernée ou autrement légale. Le contrôle des Données Personnelles reste la propriété du Client, et entre le Client et IBANCOM, le Client demeurera en tout temps le Contrôleur de Données aux fins des Services, des CGU et du présent Contrat de Traitement de Données. Le client est responsable du respect de ses obligations en tant que responsable du traitement en vertu de la loi sur la protection des données, en particulier pour la justification de toute transmission de données personnelles à IBANCOM (y compris les notifications requises et l'obtention des consentements requis). Traitement et utilisation des données.

7. Droits des données du sujet

IBANCOM accordera au Client un accès électronique à l'environnement de la Plateforme contenant des Données Personnelles pour permettre au Client de supprimer, libérer, corriger ou bloquer l'accès à des Données Personnelles spécifiques ou, si cela n'est pas possible et dans la mesure permise par la loi, instructions pour supprimer, libérer, corriger ou bloquer l'accès aux données personnelles.

IBANCOM transmettra au Client toute requête d'une personne concernée en vue de supprimer, de libérer, de corriger ou de bloquer les Données personnelles traitées dans le cadre du Contrat.

8. Transfert de données transfrontalier et en dehors

IBANCOM traite toutes les données personnelles d'une manière conforme aux exigences de la loi sur la protection des données applicable et de la présente convention de traitement des données dans tous les pays du monde.

Les données sont stockées par IBANCOM dans des centres de données situés en Allemagne gérés par son sous-traitant Hetzner Online GmbH

Industriestr. 25
91710 Gunzenhausen
Allemagne
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3

Les Data centers sont localisés à
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


En ce qui concerne les données personnelles stockées par IBANCOM dans les centres de données de l'EEE doit assurer la conformité de ses sous-traitants avec les exigences de la loi de protection des données applicable comme suit:
• (i) IBANCOM a conclu des contrats avec des sous-traitants qui prévoient que le sous-traitant assumera des obligations de protection des données et de confidentialité conformément aux lois applicables en matière de protection des données;
• (ii) en outre, lorsqu'un sous-traitant traite des données à caractère personnel dans ou depuis un pays qui n'a pas reçu de constatation d'adéquation, IBANCOM exigera que le sous-traitant exécute des clauses types intégrant des exigences de sécurité compatibles avec celles de cet accord.

9. Sous-traitance

IBANCOM ne sous-traitera aucune de ses opérations de traitement effectuées au nom du Client dans le cadre du Contrat et des CGU sans le consentement écrit préalable du Client.

Lorsque IBANCOM sous-traite ses obligations en vertu du Contrat, avec le consentement du Client, elle le fait uniquement au moyen d'un accord écrit avec le sous-traitant qui impose au sous-traitant les mêmes obligations que celles imposées à IBANCOM en vertu du Contrat. Lorsque le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, IBANCOM reste entièrement responsable vis-à-vis du client pour l'exécution des obligations du sous-traitant en vertu de cet accord.

Le Client en tant que Contrôleur de Données peut demander à IBANCOM d'auditer le Sous-traitant ou de confirmer qu'un tel audit a eu lieu (ou, le cas échéant, d'obtenir ou d'aider le Contrôleur à obtenir un rapport d'audit tiers concernant les opérations du Sous-traitant). . Le Contrôleur aura également le droit, sur demande écrite, de recevoir des copies des termes pertinents de l'accord d'IBANCOM avec les Sous-traitants pouvant traiter des Données personnelles, sauf si l'accord contient des informations confidentielles, auquel cas l'IBANCOM peut fournir une version expurgée de l'accord.

Les dispositions relatives à la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par la loi de l'État membre dans lequel le client est établi.

10. Mesures techniques et organisationnelles

Lors du traitement de données à caractère personnel pour le compte du client dans le cadre des services, IBANCOM veille à mettre en œuvre et à maintenir la conformité avec les mesures de sécurité techniques et organisationnelles appropriées pour le traitement de ces données. En conséquence, IBANCOM mettra en œuvre les mesures suivantes:

• a) Pour empêcher que des personnes non autorisées aient accès aux systèmes de traitement de données dans lesquels les données personnelles sont traitées (contrôle d'accès physique), IBANCOM doit prendre des mesures pour empêcher l'accès physique, telles que le personnel de sécurité et les locaux sécurisés.
• b) Pour empêcher l'utilisation de systèmes de traitement de données sans autorisation (contrôle d'accès au système), les éléments suivants peuvent, entre autres, être appliqués en fonction des services particuliers commandés: authentification par mot de passe et consignation de l'accès à plusieurs niveaux.
Pour les services API hébergés sur l'IBANCOM: (i) l'accès logique aux centres de données est restreint et protégé par un pare-feu / VLAN; et (ii) les processus de sécurité suivants sont appliqués: consignation centralisée et alerte, et (iii) pare-feu.
• c) S'assurer que les personnes autorisées à utiliser un système de traitement de données n'ont accès qu'aux données personnelles auxquelles elles ont accès et que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement et / ou après stockage (contrôle d'accès aux données), les données personnelles sont accessibles et gérables uniquement par un personnel autorisé, l'accès direct aux requêtes de base de données est restreint et les droits d'accès aux applications sont établis et appliqués.

En plus des règles de contrôle d'accès énoncées ci-dessus, IBANCOM implémente une politique d'accès en vertu de laquelle Data Controller contrôle l'accès à son environnement API Services et aux données personnelles et autres données par son personnel autorisé.

• d) Veiller à ce que les Données Personnelles ne puissent être lues, copiées, modifiées ou retirées sans autorisation pendant la transmission ou le transport électronique, et qu'il soit possible de vérifier et d'établir à quelles entités le transfert de Données Personnelles est envisagé ), IBANCOM se conformera aux exigences suivantes: Sauf indication contraire pour les services API, les transferts de données en dehors de l'environnement de service sont cryptés (HTTPS). Le contenu des communications (y compris les adresses de l'expéditeur et du destinataire) envoyé via certains services de messagerie ou de messagerie ne peut pas être chiffré une fois reçu par le biais de ces services. Le contrôleur de données est seul responsable des résultats de sa décision d'utiliser des communications ou des transmissions non cryptées.
• e) Pour s'assurer qu'il est possible de vérifier si et par qui les données personnelles ont été saisies dans des systèmes de traitement de données, modifiés ou supprimés (contrôle d'entrée), IBANCOM se conformera aux exigences suivantes: La source de données personnelles est sous le contrôle du client , et l'intégration des données personnelles dans le système est gérée par transfert sécurisé de fichiers (c.-à-d. via des services Web ou entrés dans l'application) à partir du client.
• f) Pour assurer la protection des données personnelles contre la destruction ou la perte accidentelle: des sauvegardes sont régulièrement effectuées; les sauvegardes sont cryptées et sécurisées.
• g) Pour garantir que les données personnelles collectées à des fins différentes peuvent être traitées séparément, les données des différents environnements des contrôleurs de données sont logiquement séparées sur les systèmes d'IBANCOM.

11. Droits d'audits

Le Client peut vérifier la conformité d'IBANCOM aux termes du Contrat et du présent Contrat de traitement des données jusqu'à une fois par an..

Le Client peut effectuer des audits plus fréquents des systèmes informatiques du Service qui traitent les Données Personnelles dans la mesure requise par les lois applicables au Client. Si une tierce partie doit effectuer l'audit, le tiers doit être mutuellement accepté par les deux parties et doit signer un accord écrit de confidentialité acceptable pour IBANCOM avant de procéder à l'audit..

Pour demander un audit, le Client doit soumettre un plan d'audit détaillé au moins 4 semaines avant la date d'audit proposée, décrivant la portée, la durée et la date de début proposées de l'audit. IBANCOM examinera le plan d'audit et informera le contrôleur des données de toute préoccupation ou question (par exemple, toute demande d'informations susceptible de compromettre les politiques de sécurité, de confidentialité ou d'emploi d'IBANCOM).

Les rapports d'audit sont des Informations confidentielles des parties aux termes de l'Accord. Toute vérification est à la charge du responsable du traitement.

Toute demande d'assistance d'IBANCOM pour un audit est considérée comme un service distinct si une telle assistance nécessite l'utilisation de ressources différentes ou supplémentaires. IBANCOM demandera l'approbation écrite et l'accord du contrôleur de données pour payer les frais afférents avant d'effectuer une telle vérification.

12. Gestion des incidents et notification de violation

IBANCOM évalue et répond aux incidents qui créent un soupçon d'accès non autorisé ou de traitement de données personnelles.

Le Client est informé de ces incidents et, en fonction de la nature de l'activité, définit les chemins d'escalade et les équipes d'intervention pour traiter ces incidents. IBANCOM travaillera avec le Client, avec les équipes techniques appropriées et, le cas échéant, avec les forces de l'ordre extérieures pour répondre à l'incident. L'objectif de la réponse à l'incident sera de restaurer la confidentialité, l'intégrité et la disponibilité de l'environnement Services, et d'établir les causes profondes et les étapes de correction.

Le personnel des opérations d'IBANCOM reçoit des instructions sur la manière de répondre aux incidents dans lesquels la manipulation de données personnelles peut avoir été interdite.

IBANCOM notifiera le Client sans retard indu après avoir pris connaissance d'une violation de données personnelles. IBANCOM enquêtera dans les plus brefs délais sur toute atteinte à la sécurité et prendra des mesures raisonnables pour identifier ses causes profondes et éviter qu'elles ne se reproduisent. Au fur et à mesure que les informations sont collectées ou disponibles, IBANCOM fournira au contrôleur de données une description de la violation de la sécurité, du type de données qui a fait l'objet de la violation et d'autres informations que Data Controller peut raisonnablement demander concernant personnes. Les parties conviennent de coordonner de bonne foi l'élaboration du contenu de toute déclaration publique connexe ou de tout avis requis pour les personnes concernées.

13. Divulgations requises par la loi

Sauf disposition contraire de la loi, IBANCOM notifiera sans délai au Client toute assignation, décision judiciaire, administrative ou arbitrale émanant d'un organe exécutif ou administratif ou d'une autre autorité gouvernementale (la «demande») qu'il reçoit et qui concerne les Données Personnelles IBANCOM. Traitement au nom du client. À la demande du Client, IBANCOM fournira en sa possession des informations raisonnables susceptibles de répondre à la demande et à toute assistance raisonnablement nécessaire pour que le Client puisse répondre à la demande dans les meilleurs délais. Le Client reconnaît qu'IBANCOM n'a pas la responsabilité d'interagir directement avec l'entité faisant la demande.

14. Obligation après la fin des services de traitement des données personnelles

Les parties conviennent qu'à la cessation de la fourniture des services de traitement de données, IBANCOM mettra à disposition pour récupération ou autrement retournera les données personnelles du client stockées dans l'environnement de la plate-forme, sauf si la législation imposée aux parties l'empêche de retourner ou de détruire tout ou partie de les données personnelles transférées. Dans ce cas, les parties garantissent qu'il garantira la confidentialité des données personnelles transférées et ne traiteront plus activement les données personnelles transférées.

15. Loi applicable

Cet accord sera régi par la loi de l'État membre dans lequel le client est établi.