DICE & Event Partner Joint Controllership Agreement for the Use of MIO Connect - FR
ACCORD DE CONTRÔLE CONJOINT DE DICE & DU PARTENAIRE ('Accord') POUR L'UTILISATION DE MIO CONNECT
Le présent Accord explique les responsabilités de DICE FM (« DICE ») et du partenaire de l'événement (« vous ») en ce qui concerne les parties en tant que contrôleurs conjoints des données personnelles de l'utilisateur final (« Fans »), qui sont traitées et partagées entre nous spécifiquement pour l'utilisation de MIO Connect.
Vous acceptez les termes de cet Accord en soumettant un e-mail via MIO Connect.
1. Définitions
1.1. « Contrôleur », « sous-traitant », « personne concernée », « données personnelles », « violation de données personnelles », « traitement » et « mesures techniques et organisationnelles appropriées » ont le sens défini dans le RGPD du Royaume-Uni ou de l'UE, selon le cas. , et tel que modifié/mis à jour de temps à autre (le « RGPD »).
1.2. « Destinataires autorisés » désigne les parties au présent accord, les employés de chaque partie, tout tiers engagé pour exécuter des obligations en rapport avec le présent accord, et tout conseiller professionnel de l'une ou l'autre des parties.
1.3. « Données personnelles » désigne les données personnelles à traiter et à partager entre les parties en vertu du présent Accord. Les données personnelles se limitent aux informations de contact pertinentes pour les fans contactés via MIO Connect.
2. Devoirs de transparence
Chaque partie est chargée d'informer en toute transparence les Fans dont les Données Personnelles sont susceptibles d'être traitées dans le cadre du présent Contrat (conformément au RGPD). Chaque partie :
A. est responsable de la création et de la publication de ses propres politiques de confidentialité ;
B. doit s'assurer que sa politique de confidentialité est rédigée dans un langage clair et simple et qu'elle fournisse suffisamment d'informations aux Fans pour qu'ils comprennent quelles Données Personnelles sont partagées entre les parties, les circonstances dans lesquelles elles seront partagées, les finalités du partage de données et soit l'identité avec laquelle les données sont partagées, soit une description du type d'organisation qui recevra les Données Personnelles, ainsi que la manière dont les personnes concernées peuvent exercer leurs demandes conformément aux droits accordés par le RGPD ; et
C. doit s'assurer qu'elle a mis en place tous les avis nécessaires pour permettre la divulgation ou le transfert licite des Données Personnelles aux destinataires autorisés dans le cadre du présent Accord.
3. Demandes des personnes concernées
Alors que les personnes concernées peuvent exercer les droits accordés en vertu du GDPR contre l'une des parties, chaque partie est responsable de répondre à toutes les demandes qu'elle reçoit dans le cadre du présent Accord.
4. Principes généraux de protection des données
Chaque partie se conformera aux principes de protection des données tels qu'énoncés dans le RGPD. En particulier, chaque partie s'engage à :
A. traiter les Données Personnelles de manière licite, loyale et transparente vis-à-vis des Fans ;
B. collecter des Données Personnelles pour des finalités déterminées, explicites et légitimes et ne pas les traiter ultérieurement de manière incompatible avec ces finalités ;
C. traiter les Données Personnelles de manière adéquate et pertinente qui doit être limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
D. prendre toutes les mesures raisonnables pour s'assurer que les Données Personnelles traitées sont exactes et tenues à jour ;
E. conserver les données personnelles sous une forme permettant l'identification des personnes concernées pendant la durée nécessaire à l'exécution de l'Accord ; et
F. traiter les Données Personnelles d'une manière qui garantit une sécurité appropriée des Données Personnelles, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées.
5. Légitimité du traitement
5.1. Chaque partie disposera d'une base légale conformément au RGPD pour le traitement des Données Personnelles divulguées à l'autre partie en vertu du présent Accord.
5.2. Le présent Accord est conclu conformément au RGPD. Rien dans le présent Accord ne sera interprété comme une substitution à l'obligation des parties de s'appuyer sur une base de traitement licite conformément au RGPD.
6. Mesures de sécurité
Chaque partie s'assurera qu'elle a mis en place des mesures techniques et organisationnelles appropriées pour se protéger contre le traitement non autorisé ou illégal des Données Personnelles et contre la perte ou la destruction accidentelle ou l'endommagement des Données Personnelles, y compris, le cas échéant :
A. la pseudonymisation et le cryptage des données personnelles ;
B. la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
C. la possibilité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique ; et
D. un processus pour tester, estimer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
7. Notification d'une violation de données à caractère personnel à l'autorité de contrôle et aux personnes concernées.
7.1. En cas de violation de données à caractère personnel affectant des Données Personnelles dans le cadre du présent Accord, la partie qui identifie en premier la violation de données ou la partie à l'origine de la cause de la violation doit en informer l'autre partie sans retard injustifié, et au plus tard 24 heures après avoir pris conscience de cela.
7.2. Les parties détermineront conjointement au cas par cas si la violation doit être notifiée à l'autorité de contrôle compétente et/ou aux personnes concernées.
7.3. Si la violation doit être signalée, les parties détermineront conjointement au cas par cas quelle partie notifie la violation à l'autorité de contrôle compétente et/ou aux personnes concernées.
8. Utilisation de processeurs de données et de sous-traitants ultérieurs.
8.1. Les parties ont le droit d'utiliser des processeurs de données et/ou des sous-traitants ultérieurs dans le cadre de l'Accord.
8.2. Si des sous-traitants et/ou sous-traitants de données sont utilisés, chaque partie est responsable du respect des exigences du RGPD. La partie utilisant des sous-traitants et/ou des sous-traitants ultérieurs devra :
A. n'utiliser que des sous-traitants qui fournissent des garanties suffisantes qu'ils mettront en œuvre les mesures techniques et organisationnelles appropriées de manière à répondre aux exigences du RGPD et à assurer la protection des Données Personnelles, des droits et libertés de la personne concernée ; et
B. s'assurer qu'un accord de traitement de données valide a été conclu entre la partie en tant que responsable du traitement et le sous-traitant.
9. Transferts de données vers des pays tiers.
9.1. Les parties peuvent transférer des Données Personnelles vers des pays tiers ou des organisations internationales lorsque cela est nécessaire à l'exécution de l'Accord.
9.2. Au moins une des garanties suivantes doit être appliquée :
A. Clauses contractuelles types adoptées par la Commission ou ;
B. Règles d'entreprise contraignantes définies et approuvées conformément au RGPD.
9.3. Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu sans aucune des garanties ci-dessus lorsque la Commission a décidé que le pays tiers assure un niveau de protection adéquat.
10. Organisation des contacts avec les personnes concernées et les autorités de contrôle.
10.1. Chacune des parties peut être contactée par les personnes concernées et les autorités de contrôle concernant les dispositions du présent Accord. Les parties décideront au cas par cas de la manière dont seront traitées les affaires pour lesquelles elles ont été contactées.