accord de processeur HRK Solutions B.V.

Version: Mars 2018

Définitions

  • GDPR, réglementation générale de la protection des données;
  • Sujet de données, personne physique identifiée ou identifiable à qui une donnée personnelle se rapporte;
  • Violation de données, une violation de la sécurité qui conduit par inadvertance ou illégalement à la destruction, à la perte, à la modification ou à la divulgation non autorisée d’un accès ou à un accès non autorisé à un accès transmis, stocké ou autrement traité Les données.
  • Un tiers, une personne physique ou morale, une autorité publique, un service ou un autre organisme, autre que la personne concernée, ni le contrôleur, ni le transformateur, ni les personnes qui, sous l’autorité directe du Le contrôleur ou le processeur sont autorisés à traiter les données personnelles.
  • Service: Le service qui sera fourni par HRK Solutions B.V. au contrôleur.
  • l’EEE, l’Espace économique européen.
  • Impact sur la protection des données Évaluation, réalisation d’une évaluation, avant l’exécution du traitement, de l’effet des activités de traitement prévues sur la sécurité des renseignements personnels.
  • Licence : L’accord de licence mettant en œuvre le service entre les parties à partir duquel découle cet accord de traitement.
  • Données personnelles, toutes les données relatives à une personne physique identifiée ou identifiable, telles que mentionnées à l’article 4 (1) GDPR;
  • Subprocesseur, un tiers non subordonné qui est impliqué par le processeur dans le traitement des données personnelles dans le cadre du contrat, n’étant pas les employés du processeur.
  • superviseur, l’Autorité néerlandaise de protection des données (AP), l’organe directeur indépendant nommé par la loi aux Pays-Bas en tant que superviseur de la supervision du traitement des données à caractère personnel;
  • Processeur, Hrk Solutions B.V., situé à la navette spatiale 60 à Amersfoort, avec kvK numéro 55430171, la partie qui traite les données personnelles pour le contrôleur, sans être soumis à son autorité directe;
  • l’accord , y compris les annexes qui y sont annexées;
  • Traitement, opération ou ensemble d’opérations relatives à des données personnelles ou à un ensemble de données personnelles, qu’elles soient effectuées ou non par le biais de processus automatisés, tels que la collecte, la capture, l’organisation, la structuration, le stockage, Mettre à jour, organiser, structurer, stocker, mettre à jour ou modifier, demander, consulter, utiliser, transmettre, transmettre, distribuer ou autrement mettre à disposition, aligner ou combiner, protéger, effacer ou Détruire les données.
  • Controller, entité juridique qui refuse un service de HRK Solutions B.V. et qui, seul ou conjointement avec d’autres, détermine le but et les moyens de traitement des données personnelles;

 

Que

  1. Considérant qu’en vertu des articles 28 et 32 du GDPR, le contrôleur est tenu de conclure un accord de traitement avec les transformateurs et de veiller à ce que le transformateur fournisse des garanties suffisantes en ce qui concerne les Mesures de sécurité relatives aux opérations de traitement à effectuer.
  2. Ce transformateur déclare avoir pris les mesures techniques et organisationnelles appropriées pour protéger les données (personnelles) contre les pertes ou contre toute forme de traitement illégal. Ces mesures, en tenant compte de l’état de la technique et des coûts de mise en œuvre, assureront un niveau de sécurité approprié compte tenu des risques posés par le traitement et de la nature des données à protéger.

 

D’ACCORD COMME SUIT:

 

ARTICLE 1. ÉMERGENCE, DURÉE ET RÉSILIATION

  1. Cet accord de traitement commence au moment de sa signature.
  2. Cet accord de processeur fait partie du service et s’appliquera pendant la durée de la licence au service.
  3. Si la licence prend fin jusqu’à ce que le service, cette convention de traitement se terminera également par l’application de la loi. Les parties ne peuvent pas mettre fin à l’accord de processeur séparément de la licence au service.
  4. À la résiliation ou à la dissolution de la licence au service, les Parties continuent de se conformer aux dispositions de l’entente de traitement en matière de confidentialité, de responsabilité, d’indemnité et de toute autre disposition qui, de par leur nature, sont destinés à persister après la résiliation ou la dissolution.
  5. Cet accord de traitement fait partie du service que le processeur fournit au contrôleur et est nécessaire pour son exécution. Le contrôleur s’assurera de la signature en temps opportun, correcte et complète de cet accord de processeur par une personne compétente. Le contrôleur indemnise le processeur pour toute réclamation, amende ou dommages résultant de la signature incorrecte, incomplète ou inopportune de cette entente de traitement.

 

ARTICLE 2. TRAITEMENT D’EXÉCUTION

  1. Dans l’exécution du contrat, le processeur traitera les données personnelles d’une manière prudente, appropriée et transparente et ne traitera les données personnelles que pour le compte du Contrôleur, conformément à ses Instructions, dans le cadre de la mise en œuvre du service.
  2. Le processeur traitera les données personnelles conformément à cet accord de traitement et aux lois et règlements applicables dans le domaine de la protection des données personnelles, y compris les exigences du GDPR.
  3. Les données personnelles à traiter par le processeur et les fins de traitement qui lui sont applicables, auxquelles correspond cet accord de processeur, sont spécifiées à l’annexe 2. Le processeur ne traitera pas les données personnelles à d’autres fins, sous réserve d’instructions écrites explicites du contrôleur ou de déviation des obligations légales.

 

ARTICLE 3. PROCESSEUR D’OBLIGATIONS

  1. Le processeur traite les données aux fins du Contrôleur, conformément à ses instructions écrites.
  2. Le contrôle des données personnelles mises à disposition dans le cadre de cet accord de processeur n’est jamais investi dans le traitement. Le transformateur ne prend pas de décisions concernant la réception et l’utilisation des données, la durée du stockage des données et la fourniture à des tiers.
  3. Les obligations du transformateur découlant de cette entente de traitement s’appliquent également à ceux qui traitent les données personnelles sous l’autorité du transformateur, y compris, sans s’y limiter, les membres du personnel. Le transformateur précise en outre que les personnes et les parties contractuelles agissant sous son autorité, y compris le personnel, ne seront légalement et conformément à cet accord de traitement et que le GDPR disposera des données personnelles Processus.
  4. Le transformateur doit fournir au Contrôleur toute l’assistance et la coopération nécessaires pour s’acquitter des obligations qui incombent aux parties en vertu du GDPR et d’autres lois et règlements applicables. Le transformateur doit en tout état de cause fournir au contrôleur une assistance en ce qui concerne la sécurité des données à caractère personnel, effectuer des audits et des audits, effectuer une évaluation d’impact sur la protection des données, Consultation du superviseur, conformité aux demandes du superviseur ou d’un autre organisme gouvernemental, conformité aux demandes du sujet des données et signalement d’une violation de données.
  5. Le processeur doit, à la demande du contrôleur, fournir des informations au contrôleur des mesures prises (sécurité) pour se conformer aux obligations du GDPR, de cet accord de traitement et des autres instructions de Contrôleur de données.
  6. Lorsque le contrôleur reçoit une demande d’une personne soumise désireuse d’exercer ses droits spéciaux, tels que, sans s’y limiter, une demande d’accès, de rectification, d’achèvement, de suppression ou de blocage de données à caractère personnel et s’opposer au traitement des données personnelles et à une demande de transférabilité des données personnelles, le processeur enverra une réponse dans les 14 jours au contrôleur et dans un délai de 30 jours coopérer avec la demande.
  7. Lorsqu’un sujet de données fait une demande au processeur, comme mentionné dans le paragraphe ci-dessus, le processeur renvoie la demande au contrôleur et le contrôleur de données s’en occupera. Le transformateur peut aviser la personne concernée de l’aiguillage.

 

ARTICLE 4. OBLIGATIONS DU CONTRÔLEUR

  1. Le contrôleur respectera les lois et règlements applicables lors du traitement des données personnelles.
  2. Dans le cas de lacunes du contrôleur en ce qui concerne le respect des lois et règlements applicables, le contrôleur indemnise le processeur pour les dommages subis par le transformateur ou subis.

 

ARTICLE 5. SUBVERWERKERS

  1. Le processeur n’a le droit d’externaliser tout ou partie de l’exécution de l’œuvre à des tiers en tant que sous-traitants, ne fonctionnant pas sous l’autorité du processeur, après que le consentement écrit préalable a été donné par le Contrôleur de données. Le contrôleur peut fixer des conditions à ce consentement écrit dans le domaine du secret et se conformer aux autres obligations de cet accord de traitement. Le consentement du contrôleur peut également couvrir une catégorie de sous-processeurs.
  2. Le transformateur, dans les cas où le travail est externalisé partiellement ou entièrement à des tiers, demeure le point de contact et responsable du respect des dispositions de cet accord de traitement. Le processeur garantit également que ces sous-processeurs assument au moins les mêmes obligations que celles convenues entre le processeur et le contrôleur. De plus, à sa demande, le contrôleur des processeurs donnera accès aux ententes avec les sous-traitants dans lesquels ces obligations sont incluses.
  3. Le contrôleur de données donne par la présente son consentement général à la participation de sous-processeurs et/ou de catégories de sous-processeurs par processeur.
  4. Le processeur doit informer le contrôleur au plus tard par écrit, au plus tard 7 jours avant tout ajout, remplacement ou modification prévu du sous-processeur (s), le contrôleur ayant la possibilité de S’opposer à ces changements. En cas d’objection, les parties négocient une solution.
  5. Le processeur doit fournir au contrôleur à sa demande un aperçu des sous-processeurs activés par les processeurs.

 

ARTICLE 6. Transfert

  1. Le processeur ne traitera que les données personnelles dans les pays de l’Espace économique européen (EEE). Le transfert vers d’autres pays n’est autorisé qu’après le consentement écrit préalable du contrôleur et conformément aux lois et règlements applicables.
  2. Controller a donné une autorisation écrite pour les transferts énumérés à l’annexe 2.
  3. Le contrôleur ne peut autoriser le transfert de données à caractère personnel à des pays tiers ou à des organisations internationales que si, à l’égard du pays tiers ou de l’organisation internationale, un La décision d’adéquation a été prise, des garanties appropriées ont été prises ou l’une des conditions fixées à l’article 49 alinéa 1 GDPR a été remplie.

 

ARTICLE 7. SÉCURITÉ ET CONTRÔLE

  1. Le processeur prendra, entretiendra et, si nécessaire, adaptera les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre les pertes et le traitement illégal.
  2. Ces mesures doivent assurer un niveau de sécurité approprié, en tenant compte de l’état de la technique, des coûts de mise en œuvre et en tenant compte des risques liés au traitement et de la nature des données à protéger. Entraîner. Les mesures visent également à empêcher la collecte inutile et le traitement ultérieur des données à caractère personnel. Un aperçu de ces mesures et de leurs politiques est énoncé à l’annexe 2.
  3. Le contrôleur a le droit, après notification écrite préalable, de prendre les mesures nécessaires pour déterminer si le processeur a pris les mesures techniques et organisationnelles appropriées. Le transformateur doit accorder l’accès au contrôleur ou à l’organisme de contrôle de la confidentialité, qui supervise le contrôleur. Le transformateur coopérera à l’exécution de la vérification, y compris en rendant disponible sa information pertinente. Le coût du contrôle est supporté par le Contrôleur. Le transformateur doit immédiatement communiquer avec le contrôleur si, de l’avis du transformateur, une instruction du contrôleur ou de l’organisme de vérification viole le GDPR et/ou les autres lois et règlements applicables.
  4. Si, au cours d’un contrôle, il est établi que le processeur ne se conforme pas aux dispositions de l’Accord sur les transformateurs, au GDPR et/ou à d’autres lois et règlements applicables concernant le traitement des données à caractère personnel, les Parties entreront en consultation A propos d’une solution.

 

ARTICLE 8. REPORTING DATA BREACHES ET INCIDENTS SECURITY

  1. En cas de découverte d’un éventuel contrôleur de violation de données, le processeur doit, dès que possible et en tout état de cause au plus tard dans les 24 heures suivant la découverte, informer de toutes les atteintes à la sécurité (soupçonnées) ainsi que d’autres incidents Faire rapport au superviseur ou aux sujets de données sur la base de la législation. Le transformateur a alors l’obligation d’annuler ou de limiter les conséquences de telles infractions et incidents dès que possible.
  2. Le processeur fournira également, à la demande du contrôleur, toutes les informations que le contrôleur juge nécessaires pour être en mesure d’évaluer l’incident. Si le processeur découvre une violation de données et/ou un incident de sécurité, les informations du processeur, qui sont égales aux informations à fournir au superviseur, doivent fournir.
  3. Après avoir signalé une violation de données au contrôleur des données, le contrôleur du processeur se tiendra au courant des nouveaux développements concernant la violation des données et des mesures prises par le processeur pour assurer l’étendue de la violation des données. Et pour éviter un incident similaire à l’avenir.
  4. Le contrôleur évalue si la violation de la sécurité mentionnée au paragraphe 1 de cet article constitue un risque pour les droits et libertés des personnes physiques, au sens de l’article 33 (1) et de l’article 34 (1) du GDPR.
  5. Le Contrôleur décide conformément aux articles 33 et 34 GDPR s’il signalera immédiatement la violation au superviseur et/ou informera le sujet des données (s) sans délai. Le processeur doit informer le Contrôleur et informer le (s) sujet de données de la personne responsable.
  6. Si nécessaire, le processeur doit fournir sa pleine coopération dans les plus brefs délais au contrôleur des données pour informer adéquatement le sujet des données (s) et ou le superviseur de ces violations de la sécurité.

 

ARTICLE 9. Secret

  1. Toutes les données personnelles que le processeur reçoit sur la base de cet accord de traitement sont soumises à une obligation de confidentialité envers des tiers. Toutes les personnes employées ou travaillant pour le processeur, sous l’autorité du transformateur, et le processeur lui-même, sont tenues de maintenir la confidentialité des données personnelles. Les employés du processeur signent un avis de confidentialité.
  2. Le processeur ne fournira, ne copiera, ni ne reproduira ou ne divulguera pas les données personnelles à des tiers sans le consentement du contrôleur.
  3. Si le processeur reçoit une demande d’un tiers de fournir l’accès aux données personnelles sur la base d’une obligation (légale) alléguée, il en informera d’abord le Contrôleur par écrit avant qu’il Fourni dans les données personnelles afin que le contrôleur puisse évaluer si la demande de ce tiers est bien fondée.

 

ARTICLE 10. RETOUR DES DONNÉES PERSONNELLES ET PÉRIODES DE CONSERVATION

  1. Les données personnelles traitées par le transformateur conformément à l’accord de traitement seront détruites à la demande du contrôleur après l’expiration de l’accord, ou après l’expiration d’une période de conservation légale.
  2. À la résiliation ou à la dissolution de l’accord, le contrôleur du processeur prévoit pendant 2 mois la possibilité de soumettre toutes les données, y compris les données personnelles, qui, sur la base de cet accord de processeur, aux processeurs et si le Les systèmes d’information du processeur sont présents pour se déplacer à un autre endroit. Le transformateur a le droit de facturer les frais encourus au contrôleur.
  3. Après 2 mois après la résiliation ou la dissolution de l’accord, le processeur supprimera ou détruira toutes les données, y compris les données personnelles, qui sont présentes avec elle en vertu de l’accord de processeurs (y compris les copies de celui-ci).

 

ARTICLE 11. Responsabilité

  1. Le contrôleur a le droit de tenir le processeur responsable en tant que processeur des instructions supplémentaires du contrôleur et des obligations découlant de cet accord de traitement et lorsque le processeur ne se conforme pas au GDPR ou à d’autres se conformer aux lois et règlements applicables dans le domaine de la protection de la vie privée et de la protection des données à caractère personnel.
  2. Le transformateur est responsable des dommages résultant du non-respect du GDPR ou d’autres lois et règlements applicables et des dispositions de cet accord de traitement, dans la mesure où ces dommages ont été causés par l’exportation de Processeur, mais jamais pour un montant supérieur au montant d’abonnement basé sur cet accord de traitement au cours des six derniers mois précédant l’événement préjudiciable. Cette limitation de responsabilité est nulle si et dans la mesure où le dommage est le résultat d’une intention ou d’une négligence grave du transformateur.
  3. Le transformateur n’est pas responsable des dommages indirects, y compris la stagnation des activités régulières de l’entreprise, la perte de profits, la perte d’épargne et les dommages qui en découlent, encourus par le Contrôleur en relation avec, Ou causée par l’exécution des travaux aux fins de cet accord de processeur par traitement.
  4. Le processeur annule le contrôleur contre les réclamations de sujets de données ou d’autres tiers, dans la mesure où ces réclamations se rapportent au traitement des renseignements personnels et à toutes les autres activités qui sont traitées dans le cadre de cette Contrôleur accompli ou a accompli, si cela est le résultat d’un acte illégal ou négligent de la part du processeur.

 

ARTICLE 12. DISPOSITIONS FINALES

  1. Le droit néerlandais s’applique exclusivement à cet accord de traitement. Les litiges seront soumis au tribunal compétent du district du centre des Pays-Bas.
  2. La déviation de cet accord de processeur n’est valable que si les parties s’entendent par écrit.
  3. De plus, lorsqu’une partie de cet accord de traitement est nulle ou destructrice, l’accord de traitement demeure en place. Les Parties entreprennent des consultations raisonnables pour parvenir à une disposition de remplacement qui suit dans la mesure du possible le contenu de la disposition vide ou destructible.

 

VUE d’ensemble des mesures ANNEX 1-Security

Description des mesures de sécurité prises par le transformateur :

  • Lors de l’utilisation de la notification d’analyse des doigts, seul un code d’identification unique et illisible est stocké. Ce code ne doit jamais être retracé à une image d’un doigt.
  • Les données personnelles traitées aux fins du contrôleur sont stockées dans une base de données distincte dans le cadre de l’application du processeur. Le processeur crée une base de données unique pour chaque client, afin de séparer de manière optimale les données.
  • En cas d’échec, une base de données spécifique est placée sur le serveur de test du processeur dans certains cas. Ce serveur de test fonctionne physiquement sur l’adresse de bureau du processeur dans Amersfoort. Au moment du placement sur le serveur de test, un décalage d’anonymisation se produit sur toutes les données sensibles.
  • Tout le trafic à l’intérieur et à partir de l’application du processeur passe par des connexions SSL sécurisées (HTTPS). Les connexions non sécurisées ne sont pas autorisées. Toutes les sauvegardes sont stockées cryptées.
  • Seul le personnel de support technique du processeur aux Pays-Bas a accès aux back-ups et aux codes nécessaires au décryptage.
  • Les utilisateurs de l’application doivent avoir un mot de passe.
  • En interne, les données sont protégées par un nom d’utilisateur et un mot de passe.

 

 

ANNEX 2 – Aperçu du traitement des données personnelles et des fins de traitement applicables à : Horeko Employee Manager (anciennement Horeko Planning) ou Horeko Kitchen Manager (anciennement Horeko Hospitality) avec Horeko Employee Manager

 

 

Description du travail et des fins de traitement :
Administration du personnel dans les applications Horeko. Les données sont traitées pour fournir au contrôleur un emplacement central pour son administration du personnel.

 

Catégories de sujets de données :
Contrôleur de données Employés

 

Catégories de données personnelles:
Prénom et dernier nom
Adresse e-mail
Adresse
Numéro de téléphone
Numéro et ID BSN
Contrat (données)
Avatar
Empreinte digitale

 

Périodes de conservation des données personnelles (ou des critères pour les établir) :
Les données sont conservées dans notre application tant que le contrôleur est actif (payant) client chez HRK Solutions B.V. Personnel du contrôleur qui demeurera en service dans le système afin de continuer à se conformer à l’exigence de rétention des heures travaillées. Une fois qu’un contrôleur de données n’est plus client chez HRK Solutions B.V., la base de données client correspondante est supprimée.

 

 

Transfert

Le contrôleur autorise le processeur pour le transfert suivant vers des pays tiers et/ou des organisations internationales :

 

Description du transfert Récipiendaire des données personnelles Garanties appropriées
Processor dispose de sa propre équipe de développement en dehors de l’EEE. Cette équipe n’a accès qu’aux bases de données anonymisées sur un serveur de test, où les données restent toujours sur le serveur de test aux Pays-Bas. Dans les exceptions de haut niveau, il y a une base de données non anonyme sur le serveur de test et il y a une propagation. Cela n’a lieu qu’après l’approbation des gestionnaires aux Pays-Bas. Équipe de développement dédiée de HRK Solutions B.V., Macédoine. Des garanties appropriées ont été prises pour ce transfert, par le biais d’un contrat type de transfert, sans ajoutniat ni modification, à savoir la décision de la Commission du 5 février 2010 (2010/87/UE).

 

 

 

 

ANNEX 2 – Traitement sommaire des données personnelles et des fins de traitement applicables à : Horeko Kitchen Manager (anciennement Horeko Hospitality)

 

Description du travail et des fins de traitement :
Enregistrement HACCP dans les applications Horeko. Les données sont traitées pour aider le contrôleur à se conformer à la législation haCCP obligatoire et au suivi de l’exécution des tâches obligatoires.

 

Catégories de sujets de données :
Contrôleur de données Employés

 

Catégories de données personnelles:
Prénom et dernier nom
Adresse e-mail
Adresse
Numéro de téléphone

 

Périodes de conservation des données personnelles (ou des critères pour les établir) :
Les données sont conservées dans notre application tant que le contrôleur est actif (payant) client chez HRK Solutions B.V. Personnel du contrôleur qui demeurera en service dans le système afin de continuer à se conformer à l’exigence de rétention des heures travaillées. Une fois qu’un contrôleur de données n’est plus client chez HRK Solutions B.V., la base de données client correspondante est supprimée.

 

 

Transfert

Le contrôleur autorise le processeur pour le transfert suivant vers des pays tiers et/ou des organisations internationales :

 

Description du transfert Récipiendaire des données personnelles Garanties appropriées
Processor dispose de sa propre équipe de développement en dehors de l’EEE. Cette équipe n’a accès qu’aux bases de données anonymisées sur un serveur de test, où les données restent toujours sur le serveur de test aux Pays-Bas. Dans les exceptions de haut niveau, il y a une base de données non anonyme sur le serveur de test et il y a une propagation. Cela n’a lieu qu’après l’approbation des gestionnaires aux Pays-Bas. Équipe de développement dédiée de HRK Solutions B.V., Macédoine. Des garanties appropriées ont été prises pour ce transfert, par le biais d’un contrat type de transfert, sans ajoutniat ni modification, à savoir la décision de la Commission du 5 février 2010 (2010/87/UE).