Common use of Notification des violations de données à caractère personnel Clause in Contracts

Notification des violations de données à caractère personnel. 9.1. En cas de violation de données à caractère personnel, le sous-traitant doit notifier cette violation au responsable du traitement dans les meilleurs délais après en avoir pris connaissance. 9.2. La notification du sous-traitant au responsable du traitement doit avoir lieu, si possible, dans les 24 HEURES suivant le moment où le sous-traitant a pris connaissance de la violation de données à caractère personnel pour permettre au responsable du traitement de se conformer à son obligation de notifier la violation de données à caractère personnel à l’autorité de contrôle compétente, conformément à l’article 33 du RGPD. 9.3. Conformément à la clause 9, paragraphe 2, point a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données à caractère personnel à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33, paragraphe 3, du RGPD, doivent être mentionnées dans la notification du responsable du traitement à l’autorité de contrôle compétente : a. La nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ; b. les conséquences probables de la violation de données à caractère personnel ; c. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets négatifs. 9.4. Les parties définissent à l’annexe C tous les éléments que le sous-traitant doit fournir lorsqu’il aide le responsable du traitement à notifier une violation de données à caractère personnel à l’autorité de contrôle compétente.

Notification des violations de données à caractère personnel. 9.1. En cas Le Sous-Traitant notifie au Responsable de Traitement toute violation de données à caractère personnel, le sous-traitant doit notifier cette violation au responsable du traitement personnel dans les meilleurs délais un délai maximum de 48h après en avoir pris connaissance. 9.2connaissance et par courrier électronique à l’adresse indiquée par le client au moment de la souscription des services. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. La notification du sous-traitant contient au responsable du traitement doit avoir lieu, si possible, dans les 24 HEURES suivant le moment où le sous-traitant a pris connaissance moins : - la description de la nature de la violation de données à caractère personnel pour permettre au responsable du traitement de se conformer à son obligation de notifier la violation de données à caractère personnel à l’autorité de contrôle compétente, conformément à l’article 33 du RGPD. 9.3. Conformément à la clause 9, paragraphe 2, point a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données à caractère personnel à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33, paragraphe 3, du RGPD, doivent être mentionnées dans la notification du responsable du traitement à l’autorité de contrôle compétente : a. La nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que concernées par la violation et les catégories et le nombre approximatif d’enregistrements d'enregistrements de données à caractère personnel concernés ; b. ; - le nom et les coordonnées du Délégué à la Protection des Données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; - la description des conséquences probables de la violation de données à caractère personnel ; c. les ; - la description des mesures prises ou proposées par que le responsable du traitement Responsable de Traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à pour en atténuer les éventuels effets négatifs. 9.4éventuelles conséquences négatives. Les parties définissent Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Le Responsable de Traitement assume la communication auprès des personnes concernées des violations des données à l’annexe C tous les éléments caractère personnel. Il est rappelé que le sousSous-traitant doit fournir lorsqu’il aide le responsable du traitement à notifier une violation de Traitant n’a pas connaissance des données à caractère personnel qu’il héberge et qu’il n’est donc pas susceptible de déterminer si une violation des données à l’autorité de contrôle compétentecaractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

Notification des violations de données à caractère personnel. 9.1Le sous-traitant notifie au DPO Groupe ou DPO référent du responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par email. En Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Le sous-traitant met en place et maintient pendant toute la durée du Contrat, et obtient de chacun de ses sous-traitants qu’ils mettent en place et maintiennent pendant toute la durée du Contrat, un processus et des procédures de gestion des incidents de sécurité (y compris notamment des violations de données à caractère personnel) et de gestion de la continuité des prestations conformes aux standards de l’industrie. Le sous-traitant (i) communique au responsable de traitement le nom et les coordonnées de l’un de ses employés qui intervient comme principal interlocuteur du responsable de traitement en matière de sécurité et est disponible en cas de besoin 24h/24 et 7J/7 pour prendre en charge tout incident de sécurité. Toute demande du responsable de traitement relative à la sécurité doit être traitée avec diligence et de manière prioritaire par le sous-traitant. Sans limitation des autres droits et recours du responsable de traitement, en cas d’incident de sécurité ou de violation de données à caractère personnel avéré(e) ou présumé(e), le sous- traitant en avisera le responsable de traitement sans délai et au plus tard dans les 24 heures après la survenance de l’incident de sécurité ou de la violation de données à caractère personnel. Immédiatement après ladite notification, les Parties coordonneront leurs actions afin d’enquêter sur l’incident de sécurité concerné. Le sous-traitant s’engage à coopérer pleinement, à ses frais, avec le responsable de traitement afin de l’aider à gérer la situation, notamment, sans que cela ne soit limitatif : (i) en l’aidant pour toute enquête ; (ii) en fournissant au responsable de traitement ou au tiers indépendant désigné par le responsable de traitement un accès physique aux installations et opérations concernées ; (iii) en organisant des entretiens avec les employés du responsable de traitement et toutes autres personnes appropriées ; et (iv) en fournissant tous les registres, journaux, dossiers, communications de données et autres documents pertinents nécessaires pour se conformer aux lois, réglementations et standards de l’industrie ou tels que requis par le responsable de traitement. Le sous-traitant fournira également toute l’aide raisonnable nécessaire au responsable de traitement en cas de notification que ce dernier pourrait être contraint ou pourrait choisir de faire relativement à une violation de données à caractère personnel. Le sous-traitant s’engage à ne pas informer les tiers, y compris les personnes concernées, de toute violation de données à caractère personnel sans avoir obtenu le consentement préalable et écrit du responsable de traitement, sauf dans les cas prévus par le règlement européen sur la protection des données. Par ailleurs, le sous-traitant reconnait que le responsable de traitement est seul habilité à déterminer : (i) si la violation de données à caractère personnel doit ou non être notifiée à toute personne, autorité de régulation, autorité administrative ou à toute autre personne en vertu du règlement européen sur la protection des données ; et (ii) le contenu de ladite notification. Lorsque règlement européen sur la protection des données exige du responsable de traitement qu’il notifie la violation de données à caractère personnel aux personnes concernées, il est entendu que le sous-traitant supporte l’ensemble des coûts associés à ladite notification. Le sous-traitant prend les mesures appropriées, à ses frais, pour atténuer les conséquences de tout incident de sécurité et y remédier, et apporte toutes les modifications jugées nécessaires afin d’éviter que pareil Incident ne se reproduise. Le sous-traitant aide, à ses frais, le responsable de traitement à restaurer les données du responsable de traitement en cas de perte de données occasionnée par tout manquement à ses obligations au titre du Contrat. Le sous-traitant coopère et fournit au responsable de traitement l’assistance nécessaire s’agissant de toute plainte formulée par une personne concernée ou de toute enquête ou requête émanant d’une autorité de régulation en vertu du règlement européen sur la protection des données ou de toute autre réglementation applicable. Le sous-traitant remboursera au responsable de traitement les coûts réellement encourus par celui-ci afin d’apporter une réponse à tout incident de sécurité et d’atténuer les dommages occasionnés par celui-ci, y compris, entre autres, le coût des enquêtes, des notifications et/ou des mesures correctives. Lorsque le règlement européen sur la protection des données impose au responsable de traitement de notifier une violation de données à caractère personnel, le sous-traitant doit notifier prend en charge les frais liés à cette violation au responsable du traitement dans notification. Il est de convention expresse entre les meilleurs délais après en avoir pris connaissance. 9.2. La notification du sous-traitant au responsable du traitement doit avoir lieu, si possible, dans les 24 HEURES suivant le moment où le sous-traitant a pris connaissance Parties qu’en cas de la violation de données à caractère personnel pour permettre au responsable du traitement de se conformer à son obligation de notifier la violation de données à caractère personnel à l’autorité de contrôle compétente, conformément à l’article 33 du RGPD. 9.3. Conformément à la clause 9, paragraphe 2, point a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données à caractère personnel à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33, paragraphe 3, du RGPD, doivent être mentionnées dans la notification du responsable du traitement à l’autorité de contrôle compétente : a. La nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ; b. les conséquences probables de la violation de données à caractère personnel ; c. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y comprisles dommages suivants sont considérés comme directs : (i) les frais raisonnables et nécessaires d’enquête et de remédiation ; (ii) les couts raisonnables et nécessaires de notification lorsqu’un telle notification est requise par la réglementation applicable et (ii) les pénalités, le cas échéantdommages et intérêts, montants payés au titre de transaction, remboursements, compensation, et autres coûts liés au respect d’obligations résultant d’un jugement, d’une transaction ou de la réglementation applicable (les mesures visant « Pertes ») dans la mesure où ces Pertes sont dues à en atténuer les éventuels effets négatifs. 9.4. Les parties définissent à l’annexe C tous les éléments que le un manquement du sous-traitant doit fournir lorsqu’il aide le à ses obligations contractuelles. Le sous-traitant tient, et met à la disposition du responsable du traitement à notifier une violation de traitement, un registre des incidents de sécurité y compris notamment des violations de données à caractère personnel à l’autorité et documente toute information pertinente concernant les circonstances de contrôle compétenteces incidents et violations, les dommages et les mesures correctives prises afin d’atténuer leurs effets, ainsi que les actions et mesures prises afin d’éviter toute répétition de pareils incidents ou violations.

Notification des violations de données à caractère personnel. 9.1. En cas de violation de données Données, SPYRIT s’engage à caractère personnelprocéder à toutes investigations utiles sur les manquements aux règles de protection, le sous-traitant doit notifier cette violation au responsable du traitement afin d’y remédier dans les meilleurs plus brefs délais après en avoir pris connaissance. 9.2. La notification et/ou de diminuer dans la mesure du sous-traitant au responsable du traitement doit avoir lieu, si possible, dans l’impact de tels manquements auprès des personnes dont les 24 HEURES suivant le moment où le sous-traitant a pris connaissance de la données ont été collectées. SPYRIT notifie à l’Organisateur toute violation de données à caractère personnel pour dans un délai maximum de 48 heures après en avoir pris connaissance et par email. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable du traitement de se conformer à son obligation l’Organisateur, si nécessaire, de notifier la cette violation de données à caractère personnel à l’autorité de contrôle compétente, conformément à l’article 33 du RGPD.. La notification doit contenir au moins : 9.3. Conformément à (i) la clause 9, paragraphe 2, point a), le sous-traitant doit aider le responsable du traitement à notifier description de la nature de la violation de données à caractère personnel à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33, paragraphe 3, du RGPD, doivent être mentionnées dans la notification du responsable du traitement à l’autorité de contrôle compétente : a. La nature des données à caractère personnel, Données y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que concernées par la violation et les catégories et le nombre approximatif d’enregistrements d'enregistrements de données à caractère personnel Données concernés ; b. (ii) le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; (iii) la description des conséquences probables de la violation de données à caractère personnel Données; c. les (iv) la description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnelDonnées, y compris, le cas échéant, les mesures visant à pour en atténuer les éventuels effets négatifséventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. 9.4. Les parties définissent à l’annexe C tous les éléments que le sous-traitant doit fournir lorsqu’il aide le responsable du traitement à notifier une violation de données à caractère personnel à l’autorité de contrôle compétente.