Contrat de traitement des données

Annexe n° 3 au contrat de licence (le « Contrat ») conclu entre SIA ATOM Tech, numéro d'enregistrement : 40203185808 (le « Concédant ») et le « Licencié ».

‍

Le présent contrat de traitement des données est conclu par et entre SIA ATOM Tech, numéro d'enregistrement : 40203185808, adresse : Aldaru iela 10-4, LV-1050, Riga, Lettonie (le « concédant ») et l'utilisateur des services du concédant (le « licencié ») qui a accepté d'être lié par cet accord de traitement des données (« accord de traitement des données »).

‍

1. Définitions

1.1. « Contrat » désigne la relation contractuelle entre le Concédant et le Licencié régie par le contrat auquel le présent Contrat de traitement des données est annexé ;

1.2. « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

1.3. Ensemble de logiciels « objet de la licence » développé et maintenu par le Concédant et qui est concédé sous licence au Licencié en vertu du Contrat ;

1,4. « Services » désigne les services fournis dans le cadre de l'accord conclu entre le Concédant et le Licencié qui sont réglementés par le présent Contrat de traitement des données ;

1,5. Les autres termes utilisés dans cette annexe ont la même signification que dans le RGPD, notamment des termes tels que « Responsable du traitement », « Sous-traitant des données », « Données personnelles » et « Personne concernée », « Traitement » et d'autres termes lorsque le contexte l'exige.

‍

2. Champ d'application et rôles

2.1. Dans le cadre des Services fournis dans le cadre du Contrat, y compris l'octroi de licences au sujet de la licence, le Concédant aura accès aux données personnelles des utilisateurs du sujet de la licence. Le concédant est tenu de traiter les données personnelles uniquement dans la mesure nécessaire à l'exécution du contrat dans le but ultime de soutenir les activités de partage de véhicules, de location numérique et de transport du licencié grâce à l'utilisation du sujet de la licence.

2.2. Aux fins du présent contrat, le concédant est considéré comme le responsable du traitement des données, tandis que le licencié est le responsable du traitement des données.

2.3. Le Licencié, en tant que responsable du traitement des données, conserve l'entière responsabilité des données personnelles traitées par le biais de l'objet de la Licence. En tant que responsable du traitement, le licencié détermine quelles données personnelles collecter sur ses clients, comment elles sont utilisées et à quelles fins.

2,4. En tant que responsable du traitement des données, le titulaire de la licence est tenu d'informer les personnes concernées du traitement des données conformément aux actes normatifs applicables, y compris les articles 13 et 14 du RGPD. Le Licencié peut utiliser le sujet de la Licence pour transmettre les avis de confidentialité respectifs aux clients utilisant son service via le sujet de la Licence.

‍

3. Données personnelles

3.1. Les données personnelles traitées sont celles des utilisateurs de l'application mobile objet de la licence et comprennent les types de données personnelles suivants : données d'identification personnelles, y compris le nom, le prénom, les données de communication (par exemple, téléphone, adresse e-mail), l'historique des trajets, l'appareil utilisé par les utilisateurs, la langue et le solde payé pour les trajets. D'autres données personnelles peuvent être traitées à la demande du Licencié.

3.2. Le Licencié a accès à toutes les données personnelles générées et traitées par le Concédant.

‍

4. Traitement des données personnelles

4.1. Le concédant peut traiter les données personnelles :

4.1.1. Pour maintenir le fonctionnement de l'objet de la licence qui permet aux utilisateurs de louer des véhicules et de demander des trajets à l'aide d'une application mobile ;

4.1.2. Permettre au licencié de surveiller les trajets et l'historique des trajets, de gérer les clients et d'obtenir des statistiques ;

4.1.3. Organiser la collecte et l'entretien des véhicules ;

4.1.4. Surveiller les paiements entrants et détecter les débiteurs ;

4.1.5. Identifiez et enquêtez sur tout incident, et améliorez le fonctionnement du sujet de la licence.

4,2. Les données traitées pour l'exécution du Contrat peuvent être utilisées par le Concédant pour calculer les frais applicables en vertu du Contrat.

4.3. En tenant compte des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement des données personnelles, ainsi que du risque de probabilité et de gravité variables, le concédant mettra en œuvre des mesures techniques et organisationnelles pour la protection des données personnelles, notamment :

4.3.1. Sécurité physique : le concédant protège les données personnelles contre les dommages résultant de l'accès aux installations, au matériel ou au réseau du concédant en protégeant les installations contre tout accès non autorisé, en limitant l'accès à ces installations au personnel autorisé uniquement ;

4.3.2. Accès : le concédant garantit que seul le personnel autorisé peut avoir accès aux données personnelles traitées dans le cadre du Contrat et uniquement dans la mesure requise pour l'accomplissement des tâches prévues par le Contrat ;

4.3.3. Chiffrement : le concédant met en œuvre les mesures de sécurité fournies par Amazon Web Services pour la protection des données personnelles, y compris le cryptage des données personnelles stockées sur Amazon Web Services ;

4.3.4. Gestion du trafic : pour garantir la disponibilité des données et des services, l'équilibreur de charge est utilisé pour équilibrer les différentes charges de trafic entrant.

4,4. Les mesures techniques et organisationnelles sont soumises aux progrès techniques et aux développements ultérieurs. À cet égard, le Concédant est autorisé à mettre en œuvre des mesures alternatives adéquates. Le niveau de sécurité des mesures spécifiées doit être adéquat.

4,5. Le Concédant ne peut pas rectifier, effacer ou restreindre le traitement des données personnelles traitées pour le compte du Licencié de sa propre autorité, mais uniquement conformément aux instructions documentées du Licencié. Si une personne concernée contacte directement le Concédant, le Concédant doit immédiatement transmettre cette demande au Licencié.

4.6. Dans la mesure où le champ d'application du Contrat inclut, le concept de suppression, le droit à l'oubli, la correction, la portabilité des données et les informations seront assurés directement par le Licencié, tandis que le Concédant peut fournir son assistance si nécessaire pour exécuter une telle demande.

4,7. Le concédant doit préserver la confidentialité des données personnelles. Dans l'exécution des travaux, le concédant fera appel exclusivement à des employés tenus à la confidentialité et qui ont déjà été familiarisés avec les dispositions pertinentes en matière de protection des données. Le Concédant et toute personne placée sous son contrôle qui a accès à des données personnelles peuvent traiter ces données exclusivement conformément aux instructions du Licencié, y compris les pouvoirs accordés dans le présent Contrat, à moins qu'ils ne soient légalement tenus de les traiter.

4,8. Sur demande, le Licencié et le Concédant coopéreront avec l'autorité de surveillance dans l'exercice de leurs fonctions et s'informeront mutuellement sans délai de toute demande ou notification concernant l'objet de la Licence. Cela s'applique également aux enquêtes relatives à des infractions administratives ainsi qu'aux actions en responsabilité des personnes concernées ou de tiers ou à d'autres réclamations liées au sujet de la licence.

4,9. Le Concédant doit surveiller régulièrement les processus internes et les mesures techniques et organisationnelles afin de s'assurer que le traitement relevant de sa zone de responsabilité est effectué conformément aux exigences de la législation applicable en matière de protection des données et que les droits de la personne concernée sont protégés.

4,10. Les relations de sous-traitance au sens de cette disposition désignent les services directement liés à la fourniture du Service et à la livraison de l'objet de la Licence. Le concédant peut sous-traiter certains traitements de données personnelles à d'autres sous-traitants. Le responsable du traitement autorise par la présente le concédant à faire appel à des sous-traitants à la discrétion du concédant dans la mesure nécessaire à l'exécution du contrat. Ces sous-traitants peuvent inclure des sous-traitants hors de l'UE/EEE, y compris, mais sans s'y limiter, Amazon Web Services. Le Concédant informera le Licencié de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants.

‍

5. Droits et obligations

5.1. Le Concédant aidera le Licencié à se conformer aux obligations spécifiées aux articles 32 à 36 du RGPD concernant la sécurité des données personnelles, les obligations de déclaration en cas de fuite de données, les analyses d'impact relatives à la protection des données et les consultations préalables. Ceux-ci incluent, sans toutefois s'y limiter :

5.1.1. L'obligation de signaler sans délai les violations des données personnelles au Licencié ;

5.1.2. L'obligation de soutenir le Licencié dans le cadre de son devoir d'information de la personne concernée et de mettre à sa disposition sans délai toutes les informations pertinentes à cet égard ;

5.1.3. Le soutien du Licencié dans son analyse d'impact sur la protection des données ;

5.1.4. Soutenir le Licencié lors des consultations préalables avec l'autorité de surveillance.

5.2. Le Concédant a droit à une rémunération pour les services d'assistance non inclus dans les spécifications du Service.

5.3. Le Licencié est habilité à émettre des instructions concernant le traitement des données personnelles.

‍

6. Suppression et renvoi des données personnelles

6.1. Des copies ou des doublons de données personnelles ne peuvent être créés à l'insu du Licencié. Cela exclut les sauvegardes ainsi que les données requises pour se conformer aux exigences légales de conservation.

6.2. Pendant la validité du Contrat ainsi qu'à la résiliation du Contrat, le Licencié peut copier ou extraire de toute autre manière les données personnelles stockées dans l'objet de la Licence et le logiciel correspondant. À la résiliation du Contrat, le Licencié peut demander au Concédant de supprimer les données personnelles stockées ou traitées par le biais de l'objet de la Licence.

6.3. La documentation servant à prouver que le traitement des données personnelles est conforme à la commande et approprié peut être conservée par le concédant conformément aux périodes de conservation respectives au-delà de la durée du contrat. Toutefois, pour son propre soulagement, le Concédant peut également les retourner au Licencié à la fin du Contrat.

6.4. À la demande du Licencié, le Concédant met à la disposition du Licencié toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans la présente Annexe et permettre et contribuer aux audits, y compris les inspections, menés par le Responsable du traitement ou un autre auditeur mandaté par le Contrôleur des données.

‍

7. Modifications apportées à l'accord de traitement des données

7.1. Le présent contrat de traitement des données peut être modifié de temps à autre. Le Concédant informera le Licencié de toute modification importante apportée au présent Contrat de traitement des données avant que les modifications n'aient lieu.