POLITIQUE DE CONFIDENTIALITE CONFORMEMENT A L’ARTICLE 28 DU RGPD Accord sur le traitement des données personnelles

1. Magicline fournit les services suivants au studio :

(i) Les informations suivantes fournissent un aperçu simple de ce qu'il advient de vos données personnelles lorsque vous visitez ce site Web. Les données personnelles sont toutes les données permettant de vous identifier personnellement. Vous trouverez les informations détaillées sur la protection des données dans notre déclaration de protection des données figurant ci-dessous.

(ii) Traitement des données mises à disposition par le studio pour créer des analyses de marché anonymisées

2. Magicline est tenue de traiter toutes les données personnelles auxquelles elle a accès dans le cadre de l'exécution des services dus en vertu du présent contrat de manière strictement séparée de toutes les données de Magicline et des données de tiers selon les spécifications du studio.

3. Les données des groupes de personnes suivants sont affectées par le traitement des données de commande :

(i) les employés du studio et

(ii) Les clients du Studio (ci-après dénommés les « Membres du Studio »). Cela concerne les données personnelles suivantes du groupe de personnes concernées sans exception

(iii) En ce qui concerne les salariés du Studio :

• Nom, adresse, IBAN, BIC du salarié concerné
• Date de naissance du salarié concerné
• Photo du salarié concerné
• Durée du contrat et modalités de paiement du salarié concerné
• engagements ouverts du salarié concerné
• Données sur le type et l'étendue d'utilisation des services proposés par le Studio par les salariés (fréquence et durée d'utilisation)

(iv) Concernant les membres du Studio :

• Nom, adresse, IBAN, BIC du membre concerné
• Date de naissance du membre concerné
• Photo du membre concerné
• Durée du contrat et modalités de paiement du membre concerné
• engagements ouverts du membre concerné
• Données sur le type et l'étendue de l'utilisation des services proposés par le Studio par ce membre (fréquence et durée d'utilisation)

4. Le traitement des données précitées a pour finalité, d'une part, d'accompagner le Studio dans la gestion des contrats conclus avec ses membres (administration des membres). D'autre part, il a pour but de fournir au Studio des données de marché internes et externes sous forme anonyme pour ses analyses de marché en utilisant les données des membres du Studio. Le but du traitement des données des salariés est de fournir au Studio un support technique pour la gestion du personnel.

(1) Magicline traite les données exclusivement conformément aux dispositions du contrat conclu avec le Studio et dans le cadre des instructions données par le Studio. Magicline n'utilise pas les données fournies pour le traitement des données d'une autre manière et ne les conserve pas plus longtemps que le Studio ne le détermine.

(2) Pour la recevabilité du traitement des données ainsi que pour la protection des droits des personnes dont les données sont traitées (les personnes concernées) conformément aux articles 12 à 22 du RGPD, le client est seul responsable.

(3) Magicline aidera le client à remplir ses obligations envers les personnes concernées.

(4) En règle générale, le client émet toutes les instructions par écrit ou par courrier électronique. Les instructions orales doivent être confirmées immédiatement par écrit ou par e-mail.

(1) Magicline a nommé le délégué à la protection des données d'entreprise suivant : Marc Althaus, DS Extern GmbH, Bredkamp 53a, 22589 Hambourg, https://www.dsextern.de/anfragen

(2) Le délégué à la protection des données doit s'assurer que le RGPD de l'UE et les autres réglementations sur la protection des données sont respectés en ce qui concerne la relation contractuelle. Le délégué à la protection des données effectue des contrôles réguliers à cet effet. Un protocole est établi sur les contrôles. Si le délégué à la protection des données découvre des irrégularités dans le traitement des données dans le cadre de ses fonctions, il doit en informer immédiatement la direction de Magicline. Le Studio sera immédiatement informé de tout changement de délégué à la protection des données.

(1) Magicline ne doit pas transmettre les données personnelles fournies à des tiers sans instructions écrites du Studio.

(2) Magicline doit traiter tous les documents et autres supports d'informations fournis dans le cadre de la commande avec une confidentialité absolue. Ceci s'applique également à toutes les autres informations dont Magicline a connaissance lors de l'exécution de la commande. Cette obligation s'applique pendant et après la fin du contrat.

(3) Magicline s'engage à maintenir la confidentialité dans le traitement des données personnelles du client conformément à l'article 28 paragraphe 3 b) du RGPD. Le mandataire garantit qu'il portera à la connaissance des salariés impliqués dans l'exécution des travaux les dispositions pertinentes en matière de protection des données avant de commencer le travail et qu'il s'engagera à les garder secrètes pendant la durée de leur travail et après la fin de la relation de travail. Le mandataire veille au respect des règles de protection des données dans son entreprise.

Concernant la correction, le blocage et la suppression des données, Magicline ne doit agir que sur instruction du Studio. Si une personne concernée contacte Magicline directement pour corriger ou supprimer ses données, Magicline devra transmettre immédiatement cette demande au Studio.

(1) Au moment de la conclusion du présent contrat, les sociétés énumérées à l'annexe 2 sont actives en tant que sous-traitants pour fournir des services partiels au mandataire et traitent et / ou utilisent également les données de la commande pour ce faire. Pour ces sous-traitants, le consentement à l'action est considéré avoir été donné. Les sous-traitants des pays tiers ne peuvent être mandatés que si les exigences particulières de l'article 44 et suivants du RGPD sont respectés (par exemple, décision d'adéquation de la Commission, clauses standard de protection des données, règles de conduite approuvées).

(2) Le mandataire doit informer le client de tout changement envisagé par rapport à l'implication ou au remplacement de sous-traitants autres que ceux énumérés à l'annexe 2, le client ayant la possibilité de s'opposer à ces changements. Il en va de même si le mandataire fait appel à d'autres tiers pour remplir ses obligations de prestation acceptées contractuellement. Chaque nouveau sous-traitant doit être signalé au client par écrit avant la mission pour que le client puisse s'opposer à la mission dans un délai d'une semaine à compter de la réception de la notification.

(3) Si le client refuse de donner son consentement pour des raisons non importantes, le mandataire peut résilier le contrat avec le client au moment de l'arrivée prévue du sous-traitant sans que le client puisse revendiquer de quelconques dommages-intérêts ou autre demande de paiement au mandataire dans ce contexte.

(4) Le mandataire doit sélectionner consciencieusement chaque sous-traitant, en accordant une attention particulière à l'adéquation concernant l'exécution des mesures techniques et organisationnelles convenues entre le client et le mandataire.

(5) Si le mandataire est autorisé au sens du présent accord à utiliser les services d'un sous-traitant afin de réaliser certaines activités de traitement pour remplir ses obligations de service existant envers le client, les mêmes obligations sont imposées à ce sous-traitant par le biais d'un contrat comme stipulé dans ce présent contrat entre le client et la mandataire. Cela s'applique en particulier en ce qui concerne les exigences de confidentialité, de protection des données et de sécurité des données ainsi que les droits de contrôle et de vérification du client décrits dans le présent contrat. Des garanties suffisantes doivent également être données pour que les mesures techniques et organisationnelles adéquates puissent être mises en œuvre de manière à ce que le traitement se déroule conformément aux exigences du RGPD.

(6) Sur demande écrite, le client peut obtenir l'accès aux informations du mandataire sur les obligations du sous-traitant en matière de protection des données, le cas échéant également en consultant les documents contractuels pertinents. Dans les conditions énoncées à l'article 8 du présent contrat, le client peut procéder à des inspections directement chez le sous-traitant.

(7) Il n'existe pas de relation de sous-traitance nécessitant une approbation du client si le contractant fait appel à des tiers dans le cadre d'un service auxiliaire au service principal, comme le personnel et les services postaux et d'expédition. Le mandataire est toutefois tenu d'assurer la protection et la sécurité des données du client, même dans le cas de services auxiliaires externes, de conclure des accords contractuels appropriés et conformes à la loi et de prendre des mesures de contrôle. Les services auxiliaires doivent être nommés en détail à l'avance.

(1) Si Magicline estime qu'une instruction enfreint le RGPD ou d'autres réglementations sur la protection des données, elle doit en informer immédiatement le Studio.

(2) Les obligations du mandataire en cas de perturbations, de violations présumées de la protection des données ou d'autres irrégularités de traitement découlent de l'article 10 du présent contrat.

(1) Le client est en droit de vérifier le respect des mesures techniques et organisationnelles de protection et de traitement des données par Magicline et ses sous-traitants par un mandataire tenu à la confidentialité, avant le début du service et régulièrement pendant la durée du service.

(2) Plutôt qu'une inspection sur site, Magicline peut également fournir la preuve de son respect des mesures techniques et organisationnelles en soumettant soit un rapport de test au moment demandé émanant de personnes indépendantes (telles que des auditeurs, des délégués à la protection des données ou des auditeurs qualité) soit une certification émanant des audits de sécurité informatique ou de protection des données - par ex. selon la protection de base BSI - ("Le rapport d'audit"). Le rapport d'audit doit permettre au Studio de s'assurer de manière appropriée que les mesures techniques et organisationnelles sont respectées.

(1) Le mandataire prend les mesures techniques et organisationnelles appropriées pour garantir un niveau de protection adapté au risque pour les droits et libertés des personnes concernées. Doivent notamment être pris en compte l'état de la technique, les coûts de mise en œuvre et le type, l'étendue et les finalités du traitement ainsi que les différences de probabilité d'occurrence et de gravité du risque au sens de l'article 32, paragraphe 1, du RGPD. Les mesures techniques et organisationnelles spécifiques prises par le mandataire sont énumérées à l'annexe 1.

(2) Étant donné que les mesures techniques et organisationnelles sont soumises au progrès technique et au développement technologique ultérieur, le mandataire peut mettre en œuvre d'autres mesures équivalentes, à condition que le niveau de sécurité des mesures spécifiées à l'annexe 1 ne soit pas inférieur. Les modifications importantes des mesures doivent être documentées par le mandataire et mises à la disposition du client sur demande.

(1) La mandataire doit informer immédiatement le client si lui-même ou une personne qu'il emploie a enfreint la réglementation relative à la protection des données personnelles, les stipulations du présent contrat ou une instruction émise par la personne responsable, s'il y a des indications qu'un tiers - quelle que soit la raison - pourrait avoir illégalement acquis connaissance des données de commande, ou si l'intégrité ou la confidentialité des données de commande a été mise en danger d'une quelconque manière (« incident de sécurité des données »).

(2) Les informations sur l'incident de sécurité des données comprennent des informations sur l'heure et le type de l'incident (y compris des informations sur les données de commande affectées et sous quelle forme), le système informatique concerné, les personnes concernées, l'heure de la découverte, les conséquences de l'incident de sécurité des données ainsi que les mesures prises par le mandataire et toutes les autres informations spécifiées à l'article 33, paragraphe 3 du RGPD. En outre, le mandataire doit fournir les informations nécessaires si une violation de la protection des données personnelles est susceptible d'entraîner un risque pour les droits et libertés des personnes physiques au sens de l'article 33, paragraphe 1, phrase 1 du RGPD et si le risque est susceptible d'être élevé au sens de l'article 34, paragraphe 1 du RGPD.

(3) Une première information du client doit être donnée immédiatement, une information dédiée, qui doit contenir toutes les informations conformément au paragraphe (2) ci-dessus, dans la mesure du possible dans les 24 heures après avoir pris connaissance de l'incident de sécurité des données.

(4) Après avoir pris connaissance d'un incident de sécurité des données, le mandataire doit immédiatement prendre toutes les mesures raisonnables pour minimiser et éliminer les menaces à l'intégrité ou à la confidentialité des données de commande, pour sécuriser les données de commande et pour éviter autant que possible d'éventuelles conséquences négatives pour les personnes concernées.

(5) En cas d'incident de sécurité des données, le mandataire est tenu de soutenir le client dans ses actions explicatives et correctives, y compris toutes les actions pour remplir les obligations légales, à la première demande, dans le cadre de ce qui est raisonnable.

(6) Le mandataire est tenu d'effectuer une analyse des causes immédiatement après avoir pris connaissance d'un incident de sécurité des données, de le documenter et de remettre la documentation au client sur demande. Si le mandataire détermine au cours de l'analyse que les mesures techniques et organisationnelles qui ont été prises pour protéger les données de la commande ne sont pas suffisantes pour garantir un niveau de protection approprié, il mettra en œuvre les mesures techniques et organisationnelles supplémentaires nécessaires à ses propres frais.

(1) Le présent contrat débute à la signature et est conclu pour la durée du contrat principal (durée du contrat).

(2) Les droits de résiliation sans préavis des parties restent inchangés. Le Studio est en droit de résilier ce contrat sans préavis en cas de violation grave par Magicline de la réglementation applicable en matière de protection des données ou des obligations en vertu du présent contrat, si Magicline ne peut ou ne veut pas exécuter une instruction du Studio ou refuse que le Studio exerce ses droits de contrôle en cas de violation du contrat.

(3) Chaque partie est en droit de résilier le présent contrat avec un préavis de deux semaines à la fin d'un mois civil si la mise en œuvre du contrat principal et / ou l'exécution du présent contrat est contestée par une autorité de contrôle compétente (notamment l'autorité compétente en matière de protection des données) et que le délai fixé par cette autorité pour remédier aux manquements identifiés reste lettre morte, ou si l'autorité responsable interdit à au moins une des parties de poursuivre la mise en œuvre du contrat de partenariat et / ou du présent contrat.

(4) Tout avis de résiliation doit être notifié par écrit.

(1) Magicline doit corriger, supprimer ou bloquer les données personnelles de la relation contractuelle si le client le demande au moyen d'une instruction et si cela n'est pas en conflit avec les intérêts légitimes du mandataire.

(2) Lors de la résiliation du présent contrat ou plus tôt, à la demande du client, Magicline doit remettre au client tous les documents et données relatifs à la relation contractuelle ou, avec son accord préalable, les détruire conformément aux règles de protection des données.

(3) La documentation qui sert de preuve du traitement approprié des données liées à la commande peut être stockée par Magicline au-delà de la fin du contrat conformément aux périodes de conservation respectives.

(1) Aucun accord subsidiaire verbal n'a été conclu. Les modifications et ajouts à ce contrat nécessitent de remplir les conditions réglementaires de l'article 28 (9) du RGPD. Cela s'applique également à toute modification de la forme écrite elle-même.

(2) Si une disposition du contrat est ou devient inefficace, les parties s'engagent à remplacer la disposition inefficace par une disposition effective qui se rapproche le plus possible de la volonté économique des parties. Il en va de même en cas de manquement à la règlementation.

(3) Le tribunal compétent pour tous les litiges découlant de et en relation avec ce contrat est celui de Hambourg. Les parties conviennent de l'applicabilité du droit allemand.