RÈGLEMENT APPLICABLES AUX SOUS-TRAITANTS CHARGÉS DU TRAITEMENT DES DONNÉES PERSONNELLES DANS LA SOCIÉTÉ WIELKOPOLSKI INDYK

  1. INFORMATIONS GÉNÉRALES

1.1

Dans le souci de protéger le droit à la vie privée des Clients et des Contractants de la société Wielkopolski Indyk en respectant les exigences de la législation applicable, y compris les dispositions de la loi sur la protection de la vie privée, la société Wielkopolski Indyk a mis en œuvre un système de protection de la vie privée, y compris les dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et à l’abrogation de la directive 95/46/CE (ci-après RGPD), nous publions le Règlement applicable aux sous-traitants chargés du traitement des données personnelles dénommé ci-après le Règlement, spécifiant les règles de délégation du traitement des données aux entités auxquelles nous confions des données à caractère personnel mises à notre disposition en vue de leur traitement dans le cadre de notre coopération ou de nos services.

1.2

  1. Le Règlement est contraignant pour toutes les entités qui coopèrent avec la société Wielkopolski Indyk ou qui lui fournissent des services et auxquelles la société Wielkopolski Indyk confie, dans le cadre de la coopération ou des services qu’elles fournissent, des données à caractère personnel qu’elle administre en vue de leur traitement. Ces entités sont ci-après dénommées «sous-traitants » ou « Traitant ».
  2. Le Règlement s’applique à toutes les données personnelles dont le traitement est délégué par la société Wielkopolski Indyk à ses sous-traitants.
  3. Si le sous-traitant a conclu un accord distinct avec la société Wielkopolski Indyk concernant le traitement des données, les dispositions de cet accord prévalent sur les dispositions du présent Règlement. Dans la mesure où elles ne sont pas couvertes par le contrat, les dispositions des règlements s’appliquent.
  4. Les règlements ont été mis en œuvre le 24 mai 2018 et sont valables pour une durée indéterminée. La société Wielkopolski Indyk se réserve le droit de le modifier. Les sous-traitants seront informés de l’ampleur des modifications au moins 14 jours à l’avance.

1.3

Aux fins du présent règlement, les termes suivants ont la signification suivante :

  1. Responsable du traitement Wielkopolski Indyk sp. z o.o. [société à responsabilité limitée] sise à Bolesławiec à l’adresse Bolesławiec 12A, 62-050 Mosina, immatriculée dans le Registre National Judiciaire sous le numéro 0000646404,
    numéro NIP 7773271756, numéro REGON 365834337;
  2. RGPD – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (J O. UE. L. de 2016 r. No119, p. 1);
  3. Sous-traitant/Traitant – une entité qui traite des données à caractère personnel sous la direction du responsable du traitement et d’une manière déterminée par ce dernier ;
  4. Collaboration ? une collaboration entre le Responsable du traitement et un sous-traitant dans le cadre de laquelle le Responsable du traitement délègue au Traitant le traitement de données à caractère personnel ;
  5. Contrat ? Un Contrat de collaboration entre le Responsable de traitement et un sous-traitant dans le cadre de laquelle l’administrateur confie au sous-traitant le traitement de données à caractère personnel ;
  6. PORTÉE, FINALITÉ ET NATURE DU TRAITEMENT DES DONNÉES PERSONNELLES

2.1.

Chaque sous-traitant (traitant), à qui le Responsable du traitement délègue le traitement de données à caractère personnel dans le cadre de la coopération ou du contrat conclu, est tenu de traiter les données personnelles qui lui sont déléguées conformément aux principes énoncés dans le présent règlement et aux dispositions légales applicables.

2.2

  1. La délégation du traitement des données à caractère personnel au sous-traitant peut concerner, en particulier, les données des catégories de personnes suivantes :
  2. les employés et les collaborateurs du Responsable du traitement ;
  3. les personnes qui sont membres des organes du contrôleur ;
  4. clients et contractants du Responsable du traitement ;
  5. les employés, collaborateurs, sous-traitants ou contractants des personnes visées au point c).
  6. L’étendue des données à caractère personnel déléguées au sous-traitant pour traitement peut inclure :
  7. prénom et nom ;
  8. adresse ;
  9. adresse e-mail ;
  10. numéro de téléphone ;
  11. numéro de compte bancaire ;
  12. le numéro d’immatriculation de la voiture ou d’un autre véhicule (si la prestation en question est une voiture)
  13. les données permettant d’identifier la personne PESEL, NIP, série et numéro du document d’identité ;
  14. les données relatives à l’activité économique

2.3

  1. Le traitant est chargé du traitement des données personnelles dans la mesure où cela est nécessaire aux fins de la collaboration ou de la bonne exécution du Contrat.
  2. Les données à caractère personnel spécifiées au point 2.2. sont traitées :
  • exclusivement à des fins découlant de l’objet de la coopération ou de l’objet du Contrat, y compris l’exécution d’un service unique commandé sur une base de service immédiat sous une forme autrement que par écrit, et
  • dans la mesure où cela est nécessaire pour atteindre les objectifs de la coopération ou du Contrat.
  1. Les données ne peuvent être traitées à d’autres fins ou pour un champ d’application plus large que celui spécifié au paragraphe 2 de la présente section.
  2. Le traitement par le traitant des données à caractère personnel confiées dans un cadre plus large ou à des fins autres que celles indiquées aux paragraphes 1 et 2 de la présente section, en l’absence d’une base juridique appropriée, constituera une violation des dispositions du RGPD et des règlements, ce qui peut constituer un motif pour le Responsable du traitement de cesser de coopérer ou de passer d’autres commandes et d’en tirer les conséquences prévues par la loi.

2.4

  1. Les données personnelles peuvent être fournies au Traitant sous forme écrite ou électronique (par exemple sur papier, par message texte, par téléphone, par courrier électronique, par courrier postal) en personne ou à un numéro de téléphone, à une adresse électronique ou à une adresse postale indiqués par le Traitant.
  2. Le traitement des données personnelles par le Traitant peut s’effectuer sur papier ou à l’aide de systèmes informatiques, en fonction de la finalité du traitement des données.
  3. DURÉE DE DÉLÉGATION DU TRAITEMENT

3.1

  1. Le traitement des données à caractère personnel est délégué Traitant, sous réserve des dispositions du paragraphe 2 de la présente section, pour la durée de la collaboration ou du Contrat.
  2. Après la fin de la coopération ou la résiliation ou l’expiration du Contrat, le Traitant est autorisé à conserver les données personnelles qui lui ont été confiées uniquement dans la mesure et pendant la période nécessaires au respect par le sous-traitant de ses obligations légales (notamment fiscales), ainsi que pendant la période correspondant au délai de prescription des créances découlant de la coopération ou du Contrat.

3.2

À l’expiration de la période visée au paragraphe 3.1, le Traitant – selon la décision du Responsable du traitement – supprime ou renvoie au Responsable du traitement, toutes les données personnelles qui lui ont été confiées et détruit toutes les copies existantes dans un délai de 7 jours ouvrables à compter de la date de notification de la décision du Responsable de traitement, à moins que l’Union européenne ou la législation polonaise ne prescrive la conservation des données personnelles.

  1. DROITS ET OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

4.1

  1. Le Responsable du traitement, un auditeur ou toute autre personne autorisée par le contrôleur a le droit de contrôler le respect par le Traitant des règles relatives au traitement des données personnelles.
  2. Le Responsable du traitement, un auditeur ou toute autre personne autorisée par le contrôleur est habilité à contrôler le respect par le Traitant des règles relatives au traitement des données personnelles, notamment en demandant des informations concernant le traitement des données personnelles par le sous-traitant ou en effectuant une inspection sur les sites où les données à caractère personnel déléguées sont traitées.

4.2

  1. Le Responsable du traitement est tenu de coopérer avec le Traitant dans l’exécution des tâches qui lui incombent en vertu du règlement et de fournir des explications en cas de doute sur la légalité des instructions du Responsable du traitement.
  2. Les droits visés au présent paragraphe sont conférés au Responsable du traitement, respectivement en ce qui concerne les entités visées au point VI – dans le cas où le Responsable consent à ce que le Traitant délègue le traitement des données déléguée à d’autres sous-traitants (sous-traitement).
  3. OBLIGATIONS DU TRAITANT

5.1

  1. Le Traitant ne traite les données que sur instruction documentée du responsable du traitement, une telle instruction documentée étant également considérée comme une instruction transmise par voie électronique à une adresse électronique indiquée par le Traitant ou par message texte à un numéro de téléphone indiqué par le Traitant.
  2. Le Traitant ne traite pas, sans le consentement exprès du responsable du traitement, des données personnelles vers un pays tiers ou une organisation internationale, c’est-à-dire en dehors de l’EEE (Espace économique européen), à moins qu’il n’y soit obligé par le droit de l’Union européenne ou la législation nationale.
  3. En cas d’obligation ou d’intention de transférer des données personnelles en dehors de l’EEE, le Traitant informe le Responsable du traitement, sauf si la loi l’interdit, afin de permettre à ce dernier de prendre les décisions et les mesures nécessaires pour rendre le traitement licite ou pour mettre fin à la délégation du traitement.

5.2.

  1. Le Traitant veille à ce que seules les personnes autorisées à traiter les données personnelle qui lui sont confiées, conformément à l’article 29 du RGPD, et qui ont été formées aux règles de protection des données à caractère personnel, soient autorisées à traiter les données personnelles qui lui sont confiées.
  2. Le Traitant est également tenu de s’assurer que les personnes autorisées à traiter les données qui lui sont déléguées s’engagent à garder le secret ou sont soumises à une obligation légale de secret appropriée.
  3. Le Traitant est tenu de tenir un registre des personnes autorisées à traiter les données personnelles qui lui sont déléguées et de fournir ce registre à toute demande du responsable du traitement.

5.3.

  1. Le Traitant est tenu de mettre en œuvre et de maintenir, pendant toute la durée du traitement des données, les mesures techniques et organisationnelles appropriées qui sont nécessaires pour assurer une sécurité adéquate des données personnelles qui lui sont déléguées, en particulier pour protéger les données (par exemple en sécurisant le téléphone ou l’ordinateur au moyen d’un mot de passe non accessible à des tiers) contre l’accès par des personnes non autorisées.
  2. Le Traitant est tenu de préserver la confidentialité des données personnelles qui lui sont déléguées et des moyens de les sécuriser.
  3. Le Traitant est tenu d’informer le contrôleur à l’avance de tout changement prévu dans la manière dont les données sont traitées, d’une manière et à un moment qui permettent au Responsable du traitement d’avoir une possibilité réaliste de réagir si les changements prévus par le sous-traitant, de l’avis du Responsable, compromettent la sécurité des données ou augmentent le risque de violation des droits ou des libertés des personnes concernées.

5.4

  1. Il est du devoir du Traitant d’aider le responsable du traitement à respecter son obligation de répondre à la demande de la personne concernée dans l’exercice de ses droits énoncés au chapitre III du RGPD, c’est-à-dire, en particulier, dans l’exercice du droit de la personne concernée d’accéder à l’information :
  • l’accès au contenu de ses données ;
  • la rectification de ses données ;
  • la suppression de ses données ;
  • la limitation du traitement des données ;
  • la transmission de ses données auprès d’une autre entité ;
  • le retrait du consentement au traitement des données ;
  • le dépôt d’opposition au traitement de ses données.
  1. L’assistance visée au paragraphe 1 du présent article est fournie par le biais de mesures techniques et organisationnelles appropriées.
  2. En tout état de cause, le Traitant est tenu de fournir une assistance au plus tard 7 jours après avoir reçu une demande du Responsable.
  3. Le Traitant est tenu d’informer le responsable du traitement du fait ou de l’intention de recourir au traitement automatisé des données, y compris le profilage, dans la mesure et aux fins nécessaires pour que le responsable du traitement se conforme à l’obligation d’information.
  4. 5

Le Traitant est en outre tenu d’aider le Responsable du traitement à respecter les obligations énoncées aux articles 32 à 36 du RGPD, en particulier :

  • notifier au Responsable du traitement toute violation de données personnelles au plus tard 24 heures après la découverte de la violation, y compris au moins :
  1. la nature de la violation, la catégorie et le nombre approximatif de personnes concernées, le nombre approximatif d’enregistrements de données personnelles affectés par la violation,
  2. les conséquences possibles d’une violation de données à caractère personnel,
  3. les mesures prises ou proposées pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à minimiser ses éventuels effets négatifs

et fournir au Responsable du traitement les documents nécessaires concernant la violation pour lui permettre de se conformer à son obligation de notification à l’autorité de surveillance ;

  • communiquer au responsable du traitement une évaluation des incidences sur la protection des données des opérations de traitement envisagées lorsque le type de traitement est susceptible de présenter un risque élevé de violation des droits ou des libertés des personnes physiques en cas de modification de l’évaluation des risques au cours de l’exécution du présent contrat ou d’apparition de nouveaux risques ;
  • documenter toute violation de données personnelles sous la forme d’un registre des violations contenant, au minimum, des informations sur les circonstances de la violation de données personnelles, l’impact de la violation et les mesures correctives.

5.6

Les responsabilités du Traitant comprennent également :

  • la mise à la disposition du Responsable de toutes les informations nécessaires pour prouver le respect des obligations indiquées dans les règlements ou dans les dispositions régissant la protection des données personnelles, dans un délai de 5 jours ouvrables à compter de la date de réception de la demande du Responsable du traitement ;
  • permettre au Responsable, à un auditeur ou à toute autre personne autorisée par l’administrateur d’effectuer des audits, y compris des inspections, de coopérer à des contrôles et à des actions correctives dans un délai convenu avec le Traitant, ce Contrat devant être conclu au plus tard 7 jours avant l’audit prévu ;
  • se conformer aux recommandations formulées par le Responsable du traitement dans les délais fixés par ce dernier ;
  • informer sans délai le Responsable du traitement si, à son avis, une instruction qui lui a été donnée constitue une violation du RGPD ou d’une autre législation de l’Union européenne ou nationale en matière de protection des données ;
  • en informer le Responsable du traitement sans délai :
  1. de tout contrôle du traitement des données personnelles annoncé ou effectué par des autorités étatiques autorisées à effectuer de telles inspections, et de toute décision ou ordonnance administrative prise à l’encontre du sous-traitant dans le cadre du contrôle ;
  2. les procédures administratives, judiciaires ou préjudicielles, engagées ou en cours, liées au fait que le traitement des données personnelles a été confié au Traitant, ainsi que les décisions, ordonnances ou jugements rendus à l’encontre du Traitant en rapport avec ce qui précède.
  3. DÉLÉGATION ULTÉRIEURE DU TRAITEMENT DES DONNÉES PERSONNELLES

6.1

  1. Le traitement ultérieur de données personnelles par le sous-traitant à son sous-traitant (appelé sous-traitance) nécessite le consentement écrit du responsable du traitement. Le consentement peut être général ou spécifique.
  2. Le consentement est accordé à condition que :
  • la portée et l’objectif du traitement ne seront pas plus larges que ceux résultant des présentes conditions générales ou d’un Contrat sur le traitement des données conclu séparément avec le Responsable du traitement ;
  • l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement, seront conservés dans le Contrat de sous-traitance conformément aux conditions décrites dans les conditions générales ou dans un Contrat de délégation de traitement de données personnelles conclu séparément entre le sous-traitant et le responsable du traitement ;
  • La sous-traitance est nécessaire aux fins de la coopération ou de l’exécution du Contrat ;
  • La sous-transmission ne portera pas atteinte aux intérêts du responsable du traitement ;
  • Le Contrat de sous-traitance est conclu par écrit et conformément à la législation applicable au traitement des données personnelles et impose au sous-traitant du Traitant l’obligation d’exécuter toutes les obligations du sous-traitant au titre du présent Contrat ;
  • Dans le Contrat de sous-traitance, le Traitant oblige ses sous-traitants à respecter, lors du traitement des données déléguées, les obligations en matière de protection des données au moins au niveau défini dans les conditions générales ou dans un Contrat de délégation de traitement des données conclu séparément entre le sous-traitant et le responsable du traitement, ainsi que dans le RGPD et les dispositions du droit interne et à s’acquitter directement, vis-à-vis du responsable du traitement, des obligations d’information découlant des conditions générales, en particulier en ce qui concerne l’exercice des droits des personnes concernées et les atteintes à la sécurité des données.
  1. Le Responsable du traitement peut à tout moment, pour des raisons légitimes et documentées, retirer son consentement à la sous-traitance en ce qui concerne un sous-traitant spécifique du sous-traitant. Si le consentement est retiré, le Traitant n’est pas autorisé à continuer à confier le traitement au sous-traitant concerné.

6.2

La sous-traitance sans le consentement du Responsable du traitement constituera une violation des dispositions du RGPD et du présent règlement, ce qui peut constituer un motif d’interruption de la coopération ou de l’utilisation des services du transformateur et des conséquences prévues par la loi.

  1. RESPONSABILITÉ

7.1

  1. Le Traitant est pleinement responsable envers le contrôleur ou des tiers des dommages causés par le traitement de données personnelles en violation des dispositions du RGPD ou d’autres dispositions de la loi relative à la protection des données personnelles, en particulier lorsqu’il n’a pas respecté les obligations énoncées dans le RGPD dans d’autres dispositions de la loi et dans le Règlement ou dans un Contrat de traitement des données distinct conclu avec le Responsable du traitement.
  2. Le sous-traitant est responsable envers le Responsable du traitement des actes et omissions du sous-traitant auquel il a délégué le traitement des données, au même titre que de ses propres actes et omissions.
  3. DISPOSITIONS FINALES

8.1

Les règlements ont été mis en œuvre le 24 mai 2018 et sont valables pour une durée indéterminée. La société Wielkopolski Indyk se réserve le droit de le modifier. Les sous-traitants seront informés de l’ampleur des modifications au moins 14 jours à l’avance.