Annexe No. 1 aux Termes et Conditions générales
Accord de Traitement des Donnees Personelles
Selon l’article 28 de Régulation (EU) 2016/679 du parlement Européen et du Conseil de protection des personnes au regard de le traitement des données personnelles et sur le libre mouvement des données, et abrogé Directive 95/46/EC (General Data Protection Régulation)
(the “GDPR”)
Parties
Docteur/Clinique – définie dans le document : Termes et Conditions Générales (ci-après le “Contrôleur”)
et
Estheticon, s.r.o., dont les bureaux sont enregistrés à l’adresse Dr. Milady Horákové 513/23a, Liberec IV-Perštýn, enregistrés à la court régionale de Ústí nad Labem, Section C, Entry 14604 (ci-après le “Processeur”).
(Le Contrôleur et le Processeur ci-après les “Parties”).
Lors du jour, mois et année mentionnée ci-dessous entre en vigueur l’utilisation des données personnelles (ci-après nommé, l’ « Accord »).
1. Sujet et objectif de l’Accord
1.1. Le Contrôleur et le Processeur travaillent ensemble sous une autre relation contractuelle impliquant la communication, en particulier l’offre des services du Contrôleur aux patientsen plus la transmission d'une partie du contenu du site web www.estheticon.fr à l'intermédiaire d'un widget. Cette coopération implique, ou peu impliquer, la transmission de données personnelles, où le Contrôleur détermine le but de le traitement des données, et fournie les fonds pour le traitement, et le Processeur traite aussi les données personnelles pour le Contrôleur dans le cadre de cet Accord du Traitement des Données Personnelles.
1.2. Cet Accord définie les droits et obligations des Parties dans le traitement des données personnelles ci-dessus indiqué.
2. Traitement des Données Personnelles
2.1. Le Processeur est en droit de traiter au nom du Contrôleur les données personnelles suivantes:
- Prénom et Nom
- Numéros de téléphone
- Les procédures dont sont intéressés les futures patients
- Description textuelle du problème
- Photographie(s) attachée(s) au message
- Proposition de date et heure pour une consultation (Ci-après la “Données Personnelles”)
- l'adresse IP
- une publication (un témoignage ou une question dans le forum de discussion) à laquelle le docteur répond.
2.2. Le processeur utilise les données personnelles uniquement pour:
- permettre aux clients potentiels (patients) de communiquer avec l'Administrateur
- permettre à l'Administrateur d'envoyer des courriels électroniques demandant un témoignage de leurs patients
- permettre le partage de contenu sur le site web du médecin via un widget
2.3. Le Contrôleur est en droit d’agrandir le but du traitement des données selon la loi, où les instructions concernant le traitement supplémentaire doit être transmises au Processeur par écrit. Pour les fins de cet Accord, est définie comme «par écrit » les communications par email par les Parties adresser par les personnes autoriser.
3. Droits et Obligations des Parties
3.1. Le Processeur s’engage à prendre les mesures techniques et organisationnelles afin de restreindre des accès aléatoire ou non-autorisé, changements, destruction, pertes ou autre manipulation non-autorisée concernant les données personnelles. Le Processeur s’engage sur les points suivants :
- a) Utiliser un accès sécurisé à l’ordinateur connu seulement du Processeur;
- b) Utiliser un accès sécurisé à la base de données contenant les données personnelles, et le Processeur ne doit pas afficher, sauvegarder ou divulguer les informations a une partie tierce;
- c) Effectuer le traitement en utilisant des logiciels et services qui sont conforme aux standards de sécurité des données définies par l’Union Européenne;
- d) Ne faire aucune copie de la base de données sans le consentement préalable du Contrôleur;
- e) La mise en place d’une sécurité adéquate, tel que l’cryptage ou autre moyens appropriés et nécessaires, toujours en accordance avec l’action et la donnée ;
- f) Ne pas permettre l’accès à des données tierces, sauf si l’accès en question est accepté par écrit par le Contrôleur ou est indiqué dans l’Accord;
- g) Maintenir la confidentialité de la donnée.
3.2. Le Processeur s’engage sur les points suivants:
- a) Traiter les données seulement sous la forme tel que reçue par le Contrôleur;
- b) Traiter les Données Personnelles dans le but défini dans cet Accord et seulement dans le cadre nécessaire pour atteindre ce but;
- c) Ne pas combiner des Données Personnelles acquises a des fins différentes;
- d) Stocker les Données Personnelles seulement pendant la période définie dans le devoir d’informer ou à la fin du consentement de l’utilisateur.
3.3. Le Processeur doit archiver au nom du Contrôleur toutes les données personnelles traitée avec le consentement donne par l’utilisateur final au Processeur. Le Processeur doit céder le consentement au Contrôleur sous deux jours ouvrés à partir du moment où le Contrôleur en est informé.
3.4. Le Processeur doit s’assurer que les employés et autres personnes autorisées par le Processeur pour traiter les Données Personnelles restent toujours dans le cadre défini dans cet Accord et le GDPR.
3.5. Le Processeur et le Contrôleur s’engagent à traiter les Données Personnelles définies dans cet Accord respectant le GDPR et autres régulations légales liées à cette activité.
3.6. Le Processeur s’engage de corriger, mettre à jour, supprimer ou déplacer les Données Personnelles à la demande du Contrôleur sans délai.
3.7. Dans le cas où la donnée fait une objection selon l’Article 21(1) du GDPR au Processeur et la légitimité de l’objection est prouvée, le Processeur s’engage de supprimer immédiatement la situation défectueuse après réception d’une demande écrite du Contrôleur. Une communication par Email entre les Parties est aussi considérée comme demande par écrit.
3.8. Le Processeur doit traiter les données avec professionnalisme, suivant les instructions du Contrôleur et agir en accord avec les intérêts du Contrôleur lorsque agissant sous cet Accord. Si le Processeur découvre que le Contrôleur est en violation de ces obligations imposées par le GDPR, le Processeur doit en informer le Contrôleur immédiatement.
3.9. Le Processeur s’engage à fournir au Contrôleur toute information nécessaire pour prouver que les obligations stipulées dans cet Accord ou le GDPR concernant les données personnelles ont été satisfaites, et permettent au Contrôleur ou a une partie tierce sous confidence du Contrôleur de faire un audit dans le cadre approprié. L’audit doit être annoncée en avance, au moins 30 jours avant le début de l’audit, et ne doit pas impacter de façon irraisonnable l’activité du Processeur. Le Contrôleur prend en charge les couts de l’audit non lié à une violation des obligations de la part du Processeur.
3.10 Le Contrôleur/ Administrateur est d'accord avec le fait que le Processeur peut éventuellement charger un autre processeur de traiter des données à caractère personnel sans une autorisation supplémentaire explicite de l'Administrateur. (ci-après le “Sous-Processeur”)
- a) Le Processeur tient l'Administrateur informé de tous les Sous-Processeurs potentiellement traitant les données à caractère personnel. Par conséquent l'Administrateur peut apporter sa contradiction. Il est possible de l'annoncer par le courriel ou par une autre chaîne de communication numérique. En cas d'aucune réponse dans le délai de 3 jours de la part de l'Administrateur, le Processeur est autorisé de charger le Sous-Processeur de traiter des données à caractère personnel.
- b) Si l'Administrateur apporte sa contradiction valable selon l'article a), le Processeur est autorisé de dénoncer le contrat concernant le traitement des données à caractère personnel avec la période de préavis de 14 jours commençant un jour après que le Processeur donne son congé à l'Administrateur. Il est possible de le donner par le courriel ou par une autre chaîne de communication numérique.
- c) Si le Processeur charge Le Sous-Processeur de traiter les données, il doit respecter les obligations de traitement qui sont définies par l'Accord de Traitement des Données Personnelles. Le Processeur est responsable du Sous-Processeur en ce qui concerne le traitement des données.
3.11 Au jour de la signature de cet Accord participent avec le Processeur les Sous-Processeurs suivants:
- Le consultant (L’Administrateur coopère dans certains cas avec des employés externes qui aident l’Administrateur à traiter les demandes de patients)
- AWS Amazon Web Service (web hosting)
- MaxMind, Inc. (traitement de l'emplacement par adresse IP
- Google dans le cadre du service Google Analytics (analyse du taux de fréquentation)
4. Durée de l’Accord
4.1. Cet Accord est en effet tant que la relation contractuelle définie dans l’Article 1.1. ce cet Accord est en effet.
4.2. En cas de résiliation de cet Accord ou la fin du traitement des Données Personnelles, le Processeur doit immédiatement supprimer les données fournies sur la base de cet Accord, sauf si les garder temporairement est dans l’intérêt légitime et raisonnable du Processeur.
5. Confidentialité
5.1. Le Processeur s’engage de maintenir la confidentialité des Données Personnelles traitées, en particulier ne pas les rendre publiques, diffuser ou divulguer à d’autres personnes qu’un employée du Processeur ou autre personnes autorisée à traiter les Données Personnelles. Le Processeur doit s’assurer que ses employés et autres personnes autorisés adhèrent aussi au devoir de confidentialité selon l’Article 5 de cet Accord. Cette obligation de la part du Processeur doit rester en vigueur après la résiliation de la relation contractuelle.
5.2. Le Processeur est en plus obligé de maintenir la confidentialité regardant les mesures de sécurité prises pour protéger les données personnelles, même après résiliation de la relation contractuelle.
6. Responsabilité
6.1. Si le Processeur enfreint ses obligations établies dans cet Accord ou le GDPR, le Processeur est responsable pour tous dommages occasionnés par cette violation. Le cadre de ces obligations est aussi appliqué pour les dommages causés aux parties tierces et les sanctions imposées par les autorités publiques suite a la violation du GDPR ou autres régulations sur la protection des Données Personnelles.
6.2. Le Processeur est aussi responsable pour les dommages causés par la violation de cet Accord par les employées du Processeur.
7. Provisions Finales
7.1. L’invalidité ou l’incompréhensibilité de toute disposition du présent Accord n’a aucun effet sur la validité des autres dispositions du présent Accord.
7.2. Les Parties s’engage à se fournir mutuellement toute la collaboration et tout le matériel nécessaires pour assurer une mise en œuvre harmonieuse et efficace du présent accord, en particulier dans le cas de négociations avec le Bureau de Protection des Données Personnelles ou autres autorités publiques.
mise à jour: 28.06.2019