Définitions Dans la présente Annexe concernant le traitement des données, l’abréviation « RGPD » signifie « Règlement général sur la protection des données » (règlement UE 2016/679), et « Responsable du traitement », « Sous-traitant », « Personne concernée », « Données à caractère personnel », « Violation de Données à caractère personnel » et « Traitement » ont les mêmes définitions que celles données à l’Article 4 du Règlement général sur la protection des données.
Aux fins de la présente Annexe, le client de PFU (EMEA) LIMITED est le Responsable du traitement et PFU (EMEA) LIMITED est le Sous-traitant.
Tous les autres termes mentionnés dans la présente Annexe seront définis ailleurs dans cette Annexe concernant le traitement des données.
Traitement des données
Dans l’exercice de ses activités, le Sous-traitant confirme que :
la durée, le sujet, la nature et l’objet du Traitement seront basés sur l’Article 6 (b) du RGPD (« Exécution du contrat ») ;
les types de Données à caractère personnel incluront uniquement ceux fournis au Sous-traitant directement par le Responsable du traitement ;
les catégories de Personnes concernées incluent vos représentants, utilisateurs et tous les autres individus identifiés ou identifiables grâce à vos Données à caractère personnel ; et
vos obligations et droits en tant que Responsable du traitement en relation avec vos Données à caractère personnel sont définis par le RGPD.
PFU (EMEA) Limited :
traitera uniquement vos Données à caractère personnel conformément à vos instructions, y compris en ce qui concerne le transfert de vos Données à caractère personnel, sous réserve de toute exception permise par l’Article 28(3)(a) du RGPD ;
veillera à ce que ses employés autorisés traitant vos Données à caractère personnel conformément à la présente Annexe s’engagent à respecter la confidentialité ou soient soumis à une obligation de confidentialité réglementaire appropriée concernant le traitement de vos Données à caractère personnel ;
mettra en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos Données à caractère personnel ;
vous informera de tout changement en lien avec la désignation de Sous-traitants ultérieurs et vous accordera un délai de 14 jours pour vous opposer à cette désignation ;
vous aidera, à l’aide de mesures techniques et organisationnelles appropriées, dans la mesure où cela est raisonnablement possible, à respecter vos obligations pour répondre à des demandes d’une Personne concernée faisant valoir ses droits conformément au Chapitre III du RGPD ;
vous aidera à assurer la conformité avec vos obligations en vertu des Articles 32 à 36 du RGPD, en tenant compte de la nature du Traitement et des informations à disposition de PFU (EMEA) LIMITED ;
à la résiliation de l’Accord, supprimera les Données à caractère personnel en vertu de l’Accord, sauf si une loi de l’Union européenne ou d’un État membre requiert la conservation des Données à caractère personnel ;
mettra à votre disposition toutes les informations nécessaires pour prouver la conformité avec les obligations du Sous-traitant en vertu de l’Article 28 du RGPD ; et
Vous autorisez PFU (EMEA) LIMITED à sous-traiter ses obligations de Traitement des données en vertu du présent Accord à des filiales de PFU (EMEA) LIMITED et à des tiers, dont PFU (EMEA) LIMITED vous fournira la liste sur demande écrite. PFU (EMEA) LIMITED ne pourra sous-traiter ces obligations qu’au moyen d’un accord écrit avec ledit Sous-traitant ultérieur, qui imposera les mêmes obligations de protection au Sous-traitant ultérieur que celles imposées à PFU (EMEA) LIMITED en vertu du présent Accord. Dans le cas où le Sous-traitant ultérieur ne respecte pas ces obligations, PFU (EMEA) LIMITED assumera l’entière responsabilité envers vous concernant l’exécution des obligations de protection des données de ce Sous-traitant ultérieur.
PFU (EMEA) LIMITED vous informera sans délai de toute Violation de vos Données à caractère personnel portée à sa connaissance. Cet avis inclura, au moment de la notification ou aussi rapidement que possible après la notification, des détails appropriés concernant la Violation de Données à caractère personnel lorsque cela est possible, y compris le nombre d’enregistrements vous concernant touchés, la catégorie et le nombre approximatif d’utilisateurs touchés, les conséquences anticipées de la violation et les solutions effectives ou proposées, le cas échéant, pour atténuer les effets indésirables potentiels de la violation.