ACCORD DE TRAITEMENT DES DONNÉES
ACCORD DE TRAITEMENT DES DONNÉES
Le présent Accord de traitement des données (« DPA » - Data Processor Agreement) établit les normes minimales de protection des données applicables par Optos GmbH (« Optos ») dans le cadre du Traitement des Données à caractère personnel (ces deux termes étant définis ci- après) en rapport avec la fourniture de Produit(s) et la prestation de Services dans le cadre d’un Contrat (tous ces termes étant définis ci- après). Le présent DPA est conclu entre le Client et Optos et il régit le Traitement par Optos des Données à caractère personnel que le Client télécharge, transmet ou auxquelles il donne accès d’une autre manière à Optos en relation avec la fourniture de Produit(s) et la prestation de Services.
LE PRÉSENT DPA EST INTÉGRÉ AU CONTRAT CORRESPONDANT PAR XXXXXX DANS LE BON DE COMMANDE SIGNÉ PAR LE CLIENT. EN SIGNANT UN BON DE COMMANDE ET EN CONCLUANT UN CONTRAT, LE CLIENT CONFIRME AVOIR LU, COMPRIS ET ACCEPTÉ LES STIPULATIONS DU PRÉSENT DPA.
Optos se réserve le droit de mettre à jour à tout moment les stipulations du présent DPA. La dernière mise à jour du DPA est datée du 2023 20 Avril. Les anciennes versions du DPA sont disponibles ici xxxxx://xxx.xxxxx.xxx/xx/xxxxxxxxx-xxxxxxxxxxx/.
IL EST CONVENU DE CE QUI SUIT :
1. Définitions
1.1. Dans le présent DPA, les termes ont le sens qui leur est donné dans le Contrat, sauf s’ils sont définis ci-après :
Société affiliée | désigne, pour chacune des Parties, la société mère ultime de cette Partie et toute société ou entité juridique dans laquelle la société mère ultime détient directement ou indirectement plus de 50 % du capital social émis ou contrôle autrement les activités de cette société ou entité juridique. |
Contrat | désigne le Contrat conclu entre le Client et Optos, constitué d’un Bon de commande validé par un Client dont l’identité est indiquée dans le Bon de commande concerné, qui intègre les Conditions générales de fourniture (publiées sur xxxxx://xxx.xxxxx.xxx/xxxxx-xxx-xxxxxxxxxx/) et le présent DPA. |
Responsable de traitement | désigne la Partie qui, agissant seule ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel. |
Client | désigne la partie définie dans la rubrique « Client » du Bon de Commande, qui a accepté de conclure le présent DPA par renvoi en validant le Bon de Commande et en concluant le Contrat correspondant. |
Législation sur la Protection des données | désigne les textes en vigueur suivants : (a) la législation relative à la protection des données et à la vie privée en vigueur dans l’Union européenne, ou dans un État membre de l’Union européenne, y compris, sans s’y limiter, le Règlement général sur la protection des données de l’UE (2016/679) (« RGPD de l’UE »), et toute loi mettant en œuvre la directive de l’UE sur les communications électroniques et la vie privée (2002/58/CE) ; (b) la loi fédérale allemande sur la protection des données (BDSG) ; (c) la loi fédérale suisse sur la protection des données ; (d) la législation sur la protection des données et la vie privée en vigueur au Royaume-Uni, y compris, sans s’y limiter, la loi britannique sur la protection des données de 2018, le RGPD de l’UE dans la mesure où ce texte est intégré à la législation de l’Angleterre et du Pays de Xxxxxx, de l’Écosse et de l’Irlande du Nord en vertu de l’article 3 de la loi britannique sur la sortie de l’Union européenne de 2018 (« RGPD du Royaume-Uni »), et le règlement de 2003 sur les communications électroniques et la vie privée (directive CE) (SI 2003/24/26) ; et (e) toute autre législation et obligation réglementaire en vigueur à tout moment qui s'applique à une partie et qui concerne l'utilisation de données à caractère personnel et de données personnelles relatives aux soins de santé (y compris, sans s'y limiter, la confidentialité des communications électroniques), ainsi que les orientations et les codes de pratique publiés par l'autorité de protection des données ou de contrôle compétente et applicables à une partie ; dans chaque cas, dans leur version amendée, complétée, promulguée à nouveau et/ou remplacée de temps à autre. |
Personne concernée | désigne une personne physique identifiée ou identifiable. |
EEE | désigne l’Espace économique européen. |
Clauses contractuelles types de l’UE | désigne les clauses contractuelles types relatives au transfert de Données à caractère personnel de l’EEE vers des pays tiers approuvées par la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 (dans sa version susceptible d’être modifiée, mise à jour ou remplacée à tout moment) dans le cadre des transferts de sous-traitant à sous-traitant. |
Partie | Désigne Optos ou le Client, ou les deux, selon le contexte. |
Données à caractère personnel | désigne toute information relative à une Personne concernée, y compris, sans s’y limiter, les Catégories particulières de Données à caractère personnel. |
Traiter ou Traitement | désigne toute opération ou tout ensemble d’opérations qui est effectué sur des Données à caractère personnel ou sur des ensembles de Données à caractère personnel, que ce soit ou non par des moyens automatisés, comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l’effacement ou la destruction. |
Sous-traitant | désigne la Partie qui Traite les Données à caractère personnel pour le compte du Responsable de Traitement. |
Violation de la Sécurité |
Clauses contractuelles types | désigne les Clauses contractuelles types du Royaume-Uni ou les Clauses contractuelles types de l’UE, selon le cas, spécifiées en vertu de l’article 17C de la Loi sur la protection des données de 2018 ou approuvées en vertu de la clause 46(2)(c) du RGPD de l’UE, ainsi que les mesures supplémentaires venant s’ajouter aux protections accordées dans les Clauses contractuelles types qui peuvent être nécessaires pour garantir que les Données à caractère personnel concernées sont soumises à un niveau de protection approprié, comme l’exige la Législation sur la Protection des données. |
Catégories particulières de Données à caractère personnel | désigne les Données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, les données génétiques et les données biométriques qui ne sont pas Traitées aux fins d’identifier spécifiquement une personne physique et uniquement dans la mesure nécessaire à des fins d’authentification et de sécurité, les données relatives à la santé ou les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique ou toute Donnée à caractère personnel qualifiée comme telle en vertu des Réglementations applicables. |
Sous-traitant ultérieur | désigne un sous-traitant ou une société affiliée qu’Optos engage et qui a ou peut avoir accès aux Données à caractère personnel. |
Employé d’Optos | désigne toute personne salariée ou engagée par Xxxxx qui intervient dans l’exécution du présent DPA. |
Autorité de contrôle | Le Commissaire à l’Information (Information Commissioner, tel qu’il est défini dans la Législation sur la Protection des données) et toute autre autorité de régulation ou de contrôle ayant compétence dans le pays de constitution des Parties au présent DPA, ou ayant compétence sur les Parties pour une autre raison. |
Transfert | |
Clauses contractuelles types du Royaume-Uni | désigne les Clauses contractuelles types de l’UE telles que modifiées par l’addendum britannique complété publié par l’ICO (Information Commissioner’s Office) conformément à l’article 119(A)(1) de la loi britannique sur la protection des données de 2018. |
1.2. Les Parties conviennent que le présent DPA remplace tout accord de traitement des données existant que les Parties ont pu conclure précédemment en rapport avec les activités couvertes par le Contrat.
2. Traitement des Données à caractère personnel
2.1. Optos exerce ses activités conformément au Contrat, en agissant en tant que Sous-traitant pour le compte du Client. Le Client restera le Responsable de Traitement pour toutes les Données à caractère personnel qui sont Traitées en vertu du Contrat. Les catégories de Personnes concernées, les catégories de Données à caractère personnel, la durée du Traitement et les activités de Traitement réalisées par Xxxxx sont décrites à l’Annexe 1 et peuvent être plus amplement détaillées dans le Contrat.
2.2. Le présent DPA s’applique au traitement des Données à caractère personnel par Optos et par chacune de ses Sociétés affiliées.
3. Obligations du Client
3.1. En tant que Responsable de Traitement, le Client respecte ses obligations en vertu de la Législation sur la Protection des données et du présent DPA. Plus précisément, le Client garantit qu’il dispose d’une base juridique au sens de l’article 6 du RGPD de l’UE/RGPD du Royaume- Uni pour que les Données à caractère personnel soient traitées par Optos en vertu du Contrat et comme détaillé à l’Annexe 1, et en cas de Catégorie particulière de données, le Client peut se fonder sur l’une des conditions énoncées dans l’article 9 du RGPD de l’UE/RGPD du Royaume-Uni autorisant le traitement des Catégories particulières de données.
3.2. Le Client demandera à Optos de Traiter les Données à caractère personnel pour son compte et conformément à la Législation sur la Protection des données. Les instructions de Traitement du Client sont indiquées à l’Annexe 1 et plus amplement détaillées dans le Contrat.
3.3. Le Client peut émettre des instructions supplémentaires concernant les activités de Traitement d’Optos, ou modifier ces instructions, à condition que ces instructions soient claires, compréhensibles, cohérentes avec les stipulations du Contrat et du présent DPA, raisonnables et conformes à la Législation sur la Protection des données. Le Client donne ces instructions supplémentaires ou modifiées par écrit ou par courrier électronique à Optos et le Client conserve ces instructions écrites. Le Client dédommagera Optos des coûts raisonnables encourus par Xxxxx en raison de la mise en œuvre de ces instructions supplémentaires.
3.4. Le Client doit (a) accorder à Optos un délai raisonnable pour mettre en œuvre ou respecter toute instruction supplémentaire ou modifiée et
(b) coopérer avec Xxxxx pour mettre en œuvre ou respecter ces instructions supplémentaires ou modifiées.
3.5. Le Client est tenu, dans les meilleurs délais, et au plus tard dans les trente-six (36) heures à partir du moment où il en a connaissance, de notifier à Optos toute violation de la Législation sur la Protection des données découlant des activités envisagées dans le cadre du présent DPA ou du Contrat, toute inexactitude concernant les Données à caractère personnel d’une Personne concernée, tout défaut d’exécution concernant le Traitement commandé des Données à caractère personnel ou toute autre irrégularité concernant le respect de la Législation sur la Protection des données. Dans ces cas, le Client prendra toutes les mesures, y compris, sans s’y limiter, les mesures légales, pour éviter ou limiter autant que possible les effets négatifs et les dommages potentiels pour lui-même, les Personnes concernées, Optos, et les Sociétés affiliées et Sous-traitants ultérieurs d’Optos.
3.6. Le Client fournira l’assistance demandée par Xxxxx pour qu’Xxxxx puisse répondre ou se défendre contre les demandes, requêtes ou enquêtes du Commissaire à l’information ou d’une autre Autorité de contrôle.
4. Obligations d’Optos
4.1. En tant que Sous-traitant, Optos respecte ses obligations en vertu de la Législation sur la Protection des données et du présent DPA.
4.2. Sous réserve de la clause 4.5, Optos veille à Traiter les Données à caractère personnel exclusivement conformément aux instructions du Client.
4.3. Pendant la durée du présent DPA, si Xxxxx reçoit une demande d’une Personne concernée relative à ses Données à caractère personnel, Optos renverra cette Personne concernée vers le Client pour soumettre ses demandes. Il incombera au Client de répondre à toutes ces demandes. Optos apportera au Client l’assistance que celui-ci peut raisonnablement exiger pour satisfaire à ses obligations de répondre aux demandes d’exercice des droits des Personnes concernées conformément aux Réglementations applicables, y compris, sans s’y limiter, aux demandes des Personnes concernées d’accéder à leurs Données à caractère personnel, de les rectifier ou de les supprimer. Le Client prendra en charge les coûts de cette assistance.
4.4. Optos apportera au Client l’assistance que celui-ci peut raisonnablement exiger pour que le Client puisse (a) effectuer une analyse d’impact sur la protection des données et une éventuelle consultation préalable du Commissaire à l’information ou d’une autre Autorité de contrôle et
(b) répondre ou se défendre contre les demandes, requêtes ou enquêtes du Commissaire à l’information ou d’une autre Autorité de contrôle. Le Client prendra en charge les coûts de cette assistance.
4.6. Optos informera le Client si, de son point de vue, une instruction reçue du Client enfreint la Législation sur la Protection des données.
4.7. Lors de la résiliation du présent DPA ou au terme de la prestation des activités de Traitement (la première des deux dates prévalant), Optos et ses Sous-traitants ultérieurs (le cas échéant) devront, selon les instructions du Client, restituer toutes les Données à caractère personnel au Client et/ou supprimer toutes les copies de ces Données à caractère personnel, à moins que le droit britannique applicable ou le droit des États membres de l’UE n’interdise à Optos de restituer ou de supprimer tout ou partie des Données à caractère personnel.
5. Sous-traitants ultérieurs
5.1. Au moment de la signature du présent DPA, Optos engage d’autres sous-traitants pour le traitement des données, énumérés à l’Annexe 1 et ses Sociétés Affiliées qui sont ici approuvés par le Client. Optos informera le Client (un email sera suffisant) s’il ajoute ou supprime des Sous- traitants ultérieurs. Le Client dispose de 10 (dix) jours civils à compter de cette notification pour s’opposer par écrit à la désignation par Optos d’un nouveau Sous-traitant ultérieur, à condition que cette opposition soit fondée sur des motifs raisonnables directement liés à la Législation sur la Protection des données. Dans ce cas, les Parties discuteront de ces difficultés de bonne foi afin de trouver une solution.
5.2. Optos ne peut engager un Sous-traitant ultérieur qu’en concluant avec ce dernier un DPA écrit, qui soit conforme à la Législation sur la Protection des données.
6. Confidentialité
6.1. Optos veille à ce que tous les employés d’Optos s’engagent à respecter la confidentialité, par exemple au moyen d’une clause de confidentialité dans leur contrat de travail.
7. Sécurité et Violation de la Sécurité
7.1. Optos mettra en œuvre des mesures organisationnelles et techniques appropriées pour protéger la confidentialité, l’intégrité et la disponibilité des Données à caractère personnel conformément à la Législation sur la Protection des données, y compris, sans s’y limiter, pour protéger les Données à caractère personnel contre la destruction, la perte, la divulgation ou l’accès non autorisé, ou toute autre forme de traitement
illicite. Pour être plus précis, Xxxxx doit prendre en compte l’état de l’art et les coûts de mise en œuvre lorsqu’il s’agit d’apprécier le caractère approprié de ces mesures organisationnelles et techniques et s’assurer que ces mesures offrent un niveau de sécurité approprié compte tenu des risques associés au Traitement et de la nature des Données à caractère personnel à protéger.
7.2. Le Client considère que les mesures décrites à l’Annexe 1 sont appropriées et conformes à la clause 7.1 et le Client demande par conséquent à Optos de mettre en œuvre et de maintenir ces Mesures de Sécurité. Optos peut périodiquement mettre à jour ou modifier les Mesures de Sécurité énoncées à l’Annexe 1, à condition que ces mises à jour et modifications n’entraînent pas de dégradation du niveau de sécurité.
7.3. Optos doit, dans les meilleurs délais, informer le Client de toute violation des mesures de sécurité visées dans la présente clause, entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illicite aux Données à caractère personnel transmises, conservées ou traitées d’une autre manière (une « Violation de la Sécurité »). Optos est également tenue de notifier au Client toute Violation de la Sécurité se produisant chez un Sous-traitant ultérieur. Optos met en place des procédures visant à détecter les Violations de la Sécurité, à y remédier et à s’en relever.
7.4. À la demande du Client, Xxxxx apportera toute la coopération raisonnable à la gestion de la Violation de la Sécurité du Client, comme aider le Client à informer les Autorités de contrôle et les Personnes concernées (si nécessaire) ; étant entendu, toutefois, que le Client supportera le coût d’une telle coopération.
7.5. L’obligation d’Optos de signaler ou de remédier à une Violation de la Sécurité comme cela est décrit dans la présente clause 7 ne saurait modifier la responsabilité du Client à l’égard des Violations de la Sécurité en vertu de la Législation sur la Protection des Données et ne saurait être interprétée comme la reconnaissance par Optos d’une quelconque faute ou responsabilité à l’égard de la Violation de la Sécurité.
7.6. Nonobstant ce qui précède, le Client reconnaît qu’il est responsable de son utilisation sécurisée des services décrits dans le Contrat, y compris la sécurisation de ses identifiants d’authentification de compte, la protection de la sécurité des Données à caractère personnel pendant leur transfert vers et depuis Optos et la prise de toutes les mesures appropriées pour crypter ou sauvegarder de manière sécurisée toutes les Données à caractère personnel téléchargées vers Optos.
8. Conformité
8.1. À la demande du Client, Optos fournira au Client toutes les informations raisonnables sur les activités de Traitement d’Optos dans le cadre du Contrat, nécessaires pour que le Client puisse vérifier qu’Optos respecte les stipulations du présent DPA. En outre, une fois tous les 2 (deux) ans, Optos autorisera si nécessaire un auditeur indépendant à effectuer (de manière confidentielle) un audit visant à démontrer la conformité avec les stipulations du présent DPA. Le Client donnera à Optos un préavis de cet audit d’au moins 30 (trente) jours. Cet audit
sera effectué pendant les heures d’ouverture habituelles d’Optos, dans les locaux d’Optos, et n’interférera pas de manière déraisonnable avec les activités professionnelles d’Optos. Les coûts relatifs à cet audit seront supportés par le Client, à moins que l’audit ne révèle un manquement important d’Optos à l’égard du présent DPA, auquel cas les coûts raisonnables de l’audit seront supportés par Xxxxx.
9. Transfert de Données à caractère personnel en dehors du Royaume-Uni et/ou de l’EEE
9.3. Lorsqu’Optos adopte les Clauses contractuelles types en vertu de la clause 9.2, les Clauses contractuelles types du Royaume-Uni s’appliquent à tout transfert transfrontalier de Données à caractère personnel des Personnes concernées du Royaume-Uni, comme l’exige la Législation sur la Protection des données. Par ailleurs, lorsque la législation sur la protection des données l’exige, les Clauses contractuelles types de l’UE s’appliquent aux transferts transfrontaliers des Données à caractère personnel de Personnes concernées de l’UE. Lorsqu’un remplacement ou une modification des Clauses contractuelles types du Royaume-Uni et/ou des Clauses contractuelles types de l’UE est approuvé par une Autorité de contrôle ou par une autorité compétente équivalente en vertu de la Législation sur la protection des données (une « Nouvelle solution »), la Nouvelle solution est, dans la mesure où elle est applicable, réputée remplacer les Clauses contractuelles types du Royaume-Uni et/ou les Clauses contractuelles types de l’UE (selon le cas) à compter de la date à laquelle la Nouvelle solution est approuvée et, le cas échéant, publiée notamment dans un journal officiel. Optos et le Client conviennent également de conclure tous les accords qui peuvent être requis afin de procéder au transfert transfrontalier licite des Données à caractère personnel, notamment en signant tous les contrats stipulés et approuvés par une Autorité de contrôle pour le transfert licite des Données à caractère personnel.
10. Responsabilité
10.1. La responsabilité de chaque Partie et de toutes ses Sociétés affiliées, prises dans leur ensemble, découlant du présent DPA ou s’y rapportant, que cette responsabilité soit contractuelle, délictuelle ou en vertu de toute autre théorie de la responsabilité, est soumise aux stipulations du
Contrat concernant (la limitation de) la responsabilité des Parties, et toute référence dans ces stipulations à la responsabilité d’une Partie correspond à la responsabilité globale de cette Partie et de toutes ses Sociétés affiliées en vertu du Contrat et du DPA.
10.2. Afin de lever toute ambigüité, il est précisé que la responsabilité totale d’Optos et de ses Sociétés affiliées à l’égard de toutes les réclamations du Client et ses Sociétés affiliées découlant du Contrat et du présent DPA ou s’y rapportant s’applique globalement à toutes les réclamations au titre du Contrat et du DPA, et, en particulier, ne doit pas être comprise comme s’appliquant individuellement ou séparément au Client ou ses Sociétés affiliées.
11. Durée et résiliation
11.1. Le présent DPA est automatiquement résilié lors de l’expiration ou la résiliation du Contrat.
12. Cession
12.1. Il est interdit au Client de céder ses obligations, droits ou recours en vertu du présent DPA sans le consentement écrit préalable d’Optos, et toute tentative de cession sera nulle et non avenue.
13. Non-renonciation
13.1. Le fait que l’une ou l’autre des Parties n’exerce pas ou retarde l’exercice d’un droit ou d’un recours prévu par les présentes ne sera pas considéré comme une renonciation à ce droit ou à ce recours ou à tout autre droit ou recours disponible en vertu des présentes.
14. Divisibilité
14.1. Si une stipulation (ou une partie de stipulation) du présent DPA est jugée inopposable ou invalide, les autres stipulations (ou parties de stipulations) du DPA conserveront néanmoins tous leurs effets et les Parties conviennent de négocier, en toute bonne foi, une stipulation (ou partie de stipulation) de substitution valide qui se rapproche le plus possible de l’intention des Parties. Sans limiter ce qui précède, il est expressément entendu et convenu que chaque stipulation (et partie de stipulation) du présent DPA qui prévoit une limitation de responsabilité, une exonération de garantie ou une exclusion de dommages est destinée par les parties à survivre aux autres stipulations et à en être indépendante.
15. Droit applicable
15.1. Le présent DPA est régi et interprété par le droit de la République fédéral d’Allemagne, sans considération des dispositions en matière de conflits de lois. L'application de la Convention des Nations Unies sur les contrats de vente internationale de marchandises est exclue. Si le client est un commerçant, une personne morale de droit public ou un fonds spécial de droit public, le lieu d'exécution et le tribunal compétent s'appliquant à tout litige découlant des relations contractuelles entre le client et Optos sont ceux du siège social d'Optos à Xxxxxxxxxxxxxx Xxx 00, 00000 Xxxxxxxxxx, Xxxxxxxxx.
16. Pas de relation d’agence ou de coentreprise
16.1. Rien de ce qui est contenu dans les présentes ne peut être considéré comme créant une association, un partenariat, une coentreprise ou une relation de mandant à mandataire, ou de commettant à préposé entre Optos et le Client, ou comme donnant à Optos ou au Client le droit, le pouvoir ou l’autorité de contracter une obligation ou de faire des déclarations ou d’offrir des garanties au nom d’une autre partie aux présentes.
17. Notifications.
17.1. Toutes les notifications en vertu des présentes doivent être faites par écrit et sont considérées comme ayant été données lorsqu’elles sont remises en main propre ou envoyées par courrier recommandé ou certifié ou par un service commercial de messagerie 24 heures (avec accusé de réception), dans chaque cas à l’adresse indiquée dans le présent DPA. Chaque partie peut désigner une adresse différente moyennant une notification de la manière prévue par les présentes.
18. Parties tierces.
18.1. Toute personne qui n’est pas partie au présent DPA n’a aucun droit en vertu de celui-ci ou en relation avec celui-ci.
Annexe 1
Opérations de traitement des données réalisées pour le Responsable de Traitement | Service clientèle / Gestion des réparations Généralités : Optos fabrique le dispositif d’imagerie rétinienne « optomap® ». Optos propose également des services d’entretien et de réparation continus aux clients (comme détaillé ci-dessous dans la section « finalités du traitement »), ainsi que des installations de stockage des données des clients sous la forme d’un PC autonome, dans un cloud ou via un lien directement vers les systèmes du responsable du traitement. C’est notamment au cours des services techniques susmentionnés qu’un ingénieur d’Optos peut être amené à voir ou à accéder à des données à caractère personnel appartenant à des patients du client. Ceci est limité au strict minimum, mais indispensable pour procéder aux réparations ou à l’entretien nécessaires. Le client devra autoriser l’accès à Optos (le sous-traitant) avant que le sous-traitant ne puisse voir les données ou y accéder, et, une fois l’entretien terminé, cette possibilité de voir et/ou d’accéder est immédiatement supprimée. Éléments spécifiques : Xxxxx installe l’équipement et le responsable de traitement le relie à ses systèmes internes. Cela signifie que les données restent à tout moment dans les systèmes du responsable de traitement, soumises aux mesures de sécurité prises par ce dernier. Si des interventions techniques sont nécessaires, les ingénieurs d’Optos disposent d’un accès à distance, mais en demanderont l’autorisation au responsable de traitement avant toute tentative d’accès. Cet accès ne sera pas établi sans l’autorisation du responsable du traitement et un journal de l’accès sera tenu par voie électronique. L’accès ne sera accordé que pendant le temps nécessaire au responsable de traitement pour entreprendre le travail, après quoi le responsable de traitement mettra fin à l’accès à distance. Les données à caractère personnel peuvent être déplacées en interne par le sous-traitant pour assurer l’assistance technique, mais les données ne seront pas extraites de l’environnement du responsable de traitement. |
Sous-traitant ultérieur | Non applicable à la date du Contrat – aucun sous-traitant ultérieur n’est nécessaire. |
Finalités du traitement et base juridique du traitement | Gestion du client ; Autres : Les données des patients peuvent être visibles ou conservées sur l’appareil pendant le processus d’entretien ou de remplacement : • Services d’assistance technique à distance • Services d’installation et de mise à jour (sur site et à distance) • Accès à distance pour le dépannage, les réparations et les mises à jour logicielles • Remplacement / réparation du matériel sur le site du Client • Formation des usagers Base juridique du traitement des données : Responsable de traitement : Article 6(1)(a) – consentement, (b) – contrat, (e) – intérêt public ou (f) – intérêts légitimes (en fonction des Données à caractère personnel spécifiques traitées et du statut du Client). Condition du traitement des catégories particulières de données à caractère personnel (données biométriques, données de santé/médicales des patients) : Responsable de traitement : Article 9(2)(h) – diagnostics médicaux |
Catégories de personnes concernées | DPI (données personnelles d’identification) Données d’identification biométriques relatives aux patients du Client |
Catégorie de données à caractère personnel | Adresse, Pays, Email, Données de localisation, Nom, Code postal, Numéro de téléphone, Autres : Nature des pannes et garantie/entretien, scans de la rétine |
Catégories particulières de données à caractère personnel (données sensibles) | Santé et Médicale, notamment données biométriques, à savoir scans de la rétine |
Transferts vers un pays tiers, y compris l’identification de ce pays tiers (ou organisation internationale) Description du mécanisme de transfert | Non applicable |
Description du mécanisme de transfert | Non applicable |
Durée du Traitement | La durée du Contrat. Comme indiqué ci-dessus, les données ne seront visibles et l’accès n’y est possible que pendant la période d’entretien, après quoi elles seront supprimées ou restituées intégralement au responsable du traitement. L’accès aux données sera également coupé à ce stade par l’ingénieur. |
Mesures de sécurité | Cryptage des données ; Cryptage à distance de bout en bout ; Politique de sécurité de l’information ; Politique de respect de la vie privée ; Politique de confidentialité des informations de santé |