Traitement des données et

Politique de transfert

Mis à jour: 01.01.2021

introduction

Cet Addendum sur le traitement des données («Addendum») fait partie intégrante de l'accord de coopération, des conditions générales pour les partenaires («CG») ou de tout autre accord (CG ou tout autre accord ci-après également dénommé «Contrat») conclu entre l'Affilié de HOTELCONNECT Systems tel que défini dans le Contrat respectif («HOTELCONNECT Systems») et vous («Partenaire»). Cet Addendum complète les termes de l'Accord conclu entre HOTELCONNECT Systems et le Partenaire; considérant qu'en cas de dispositions contradictoires entre l'Accord et le présent Addendum, le présent Addendum prévaudra à moins que les Parties ne conviennent expressément par écrit de dérogations spécifiques au présent Addendum dans l'Accord.

1. Définitions

Aux fins du présent addendum, les termes en majuscules auront les significations suivantes. Les termes en majuscules non définis autrement dans les présentes auront le sens qui leur est donné dans le Contrat ou les CGV.

«Affilié (s)» désigne toute personne ou entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec cette entité; Aux fins de cette définition, le «contrôle» d'une entité signifie le pouvoir, directement ou indirectement, soit: (a) de voter 10% ou plus des titres ayant droit de vote ordinaire pour l'élection des administrateurs de cette entité; ou (b) diriger ou entraîner la direction de la direction et des politiques de cette entité, que ce soit par contrat ou autrement;

«Utilisateur autorisé» désigne une personne autorisée par le Partenaire à avoir accès à la Plateforme HOTELCONNECT et / ou au Compte HOTELCONNECT et à fournir des instructions et à recevoir des communications de HOTELCONNECT Systems, que ce soit via la Plateforme HOTELCONNECT, le Compte HOTELCONNECT, par e-mail ou autrement;

«Responsable du traitement» désigne une personne ou une entité qui détermine les finalités et les moyens du traitement des données personnelles;

«Législation sur la protection des données» désigne le RGPD et / ou toute autre législation applicable en matière de confidentialité des données du pays d'enregistrement de l'Affilié de HOTELCONNECT Systems tel que défini dans le Contrat;

«Personne concernée» désigne la personne identifiée ou identifiable à laquelle se rapportent les données personnelles;

«RGPD» désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et sur la libre circulation de ces données, et abrogeant la directive 95/46 / CE (règlement général sur la protection des données);

«Données personnelles» désigne toute information relative (i) à une personne physique identifiée ou identifiable et / ou, (ii) à une entité juridique identifiée ou identifiable (lorsque ces informations sont protégées par la législation sur la protection des données de la même manière que les données qui identifient une personne vivante) ; qui, aux fins du présent addendum, comprendra les données personnelles des invités, c.-à-d. les données contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, le titre, l'adresse e-mail et l'adresse, les numéros d'identification et / ou de passeport, les détails de paiement, les préférences des clients et les détails des services du partenaire et des données de connexion et de localisation limitées (ville). Les données personnelles ne contiennent aucune catégorie de données particulière.

«Traitement» désigne toute opération ou ensemble d'opérations qui est effectué sur des Données Personnelles, que ce soit par des moyens automatiques ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction; pour éviter tout doute, le traitement d'autres informations que les données personnelles (par exemple des données anonymisées) dans le but d'améliorer les services de HOTELCONNECT Systems ne relève pas du champ d'application du présent addendum;

«Sous-traitant» ou «Sous-traitant» désigne une personne ou une entité qui traite des données personnelles pour le compte d'un contrôleur et / ou d'un sous-traitant, selon le cas;

«Services» aux fins du présent Addendum désigne les services fournis par HOTELCONNECT Systems au Partenaire conformément au Contrat;

«Clauses contractuelles types» désigne les clauses contractuelles types (sous-traitants) pour le transfert de données à caractère personnel énoncées dans la décision de la Commission européenne du 5 février 2010 (2010/87 / CE), comme indiqué dans l'annexe n ° 1 des présentes;

«Autorité de surveillance» désigne une autorité publique indépendante qui est établie par un État membre de l'UE, les États-Unis ou un autre pays conformément au RGPD, au cadre du bouclier de protection des données UE-États-Unis ou à une loi correspondante.

2. Traitement des données

2.1 Traitement des données personnelles

HOTELCONNECT Systems et le partenaire reconnaissent que le partenaire est le contrôleur ou le sous-traitant principal en ce qui concerne le traitement des données personnelles pertinentes. HOTELCONNECT Systems traitera les données personnelles uniquement en tant que sous-traitant ou sous-traitant (tel qu'applicable à l'utilisation des services par le partenaire) au nom du partenaire et uniquement dans la mesure et de la manière nécessaires aux fins spécifiées par et conformément au présent Addendum, l'Accord ou selon les instructions du Partenaire de temps à autre. Lorsque HOTELCONNECT Systems estime raisonnablement qu'une instruction du Partenaire est contraire: (i) aux lois et réglementations applicables ou (ii) aux dispositions du Contrat ou de l'Addendum, HOTELCONNECT Systems entreprendra tous les efforts raisonnables pour informer le Partenaire et est autorisée à différer le l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le Partenaire dans la mesure requise par HOTELCONNECT Systems pour le convaincre qu'une telle instruction est légale, ou est mutuellement acceptée par le Partenaire et HOTELCONNECT Systems comme étant licite.

3. Traitement des systèmes HotelConnect

3.1 Traitement des données personnelles par HOTELCONNECT Systems
HOTELCONNECT Systems traitera les données personnelles comme des informations confidentielles et ne traitera les données personnelles qu'au nom et conformément aux instructions documentées du partenaire aux fins suivantes: (i) traitement conformément à l'accord; (ii) Traitement initié par les Utilisateurs autorisés dans leur utilisation des Services; et (iii) Traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple, par e-mail) lorsque ces instructions sont conformes aux termes du Contrat. Le Partenaire demande par la présente à HOTELCONNECT Systems d'informer les Personnes Concernées du Traitement de leurs Données Personnelles au nom du Partenaire par e-mail et de la possibilité d'utiliser les services de HOTELCONNECT Systems pour gérer les données, les réservations et les services associés des Personnes Concernées. Les systèmes HOTELCONNECT doivent tenir un journal des opérations de traitement réellement effectuées.

3.2 Mesures techniques et organisationnelles
HOTELCONNECT Systems maintiendra et mettra en œuvre des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les données personnelles contre la destruction accidentelle ou légale ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, et en relation avec la sécurité des données personnelles et des plates-formes utilisées pour fournir les services. comme décrit dans la législation sur la protection des données. Lors de la mise en œuvre de ces mesures, HOTELCONNECT Systems est en droit de prendre en compte la pratique standard actuelle pour déterminer ce qui est raisonnable, ainsi que la proportionnalité du coût de mise en à la place de ces mesures vise à protéger contre.

3.3 Personnel
HOTELCONNECT Systems veillera à ce que son personnel engagé dans le traitement des données personnelles soit informé de ses obligations et responsabilités en vertu des présentes, ait reçu une formation appropriée et soit informé de la nature confidentielle des données personnelles. Le «Personnel» désigne les employés et / ou agents, consultants, sous-traitants ou autres tiers: (i) qui sont engagés par HOTELCONNECT Systems afin qu'il puisse remplir ses obligations envers le Partenaire en vertu du Contrat ou de l'Addendum, et (ii) qui sont soumis à des obligations de confidentialité substantiellement dans la même mesure que celle énoncée dans l'accord et l'addendum. HOTELCONNECT Systems veillera à ce que l'accès du personnel aux données personnelles soit limité aux personnes exécutant les services conformément à l'accord, et les obligations de confidentialité du personnel survivront à la résiliation de l'engagement du personnel.

3.4 Notifications
HOTELCONNECT Systems informera le Partenaire dès que commercialement raisonnable par écrit:
3.4.1 de toute communication reçue d'un individu concernant (i) les droits d'un individu d'accéder, de modifier, de corriger, de supprimer ou de bloquer ses données personnelles; (ii) le droit d'un individu de rectifier, restreindre ou effacer ses données personnelles, à la portabilité des données, de s'opposer au traitement et de ne pas être soumis à une prise de décision automatisée; et (iii) toute plainte concernant le traitement des données personnelles par le partenaire; dans la mesure non interdite par la loi, de toute assignation ou autre ordonnance ou procédure judiciaire ou administrative visant à accéder ou à divulguer des données personnelles;
3.4.2 dans la mesure non interdite par la loi, de toute plainte, avis ou autre communication concernant le respect par le partenaire de la loi sur la protection des données et la vie privée et le traitement des données personnelles. HOTELCONNECT Systems fournira au Partenaire une coopération et une assistance commercialement raisonnables (aux frais du Partenaire) en relation avec une telle plainte, notification ou communication; et
3.4.3 d'une violation substantielle de la sécurité des Services qui entraîne un accès non autorisé aux Données du Partenaire dont nous avons connaissance, conformément à la loi applicable («Brèche de sécurité»). HOTELCONNECT Systems doit faire des efforts raisonnables pour identifier la cause d'une telle violation de sécurité et prendre les mesures nécessaires et raisonnables, et qui sont acceptables pour le partenaire, afin de remédier à la cause de cette violation de sécurité dans la mesure où la correction est sous le contrôle raisonnable de HOTELCONNECT Systems. . Les obligations des présentes ne s'appliquent pas aux incidents causés par le partenaire.

3.5 Pas d'acquittement
Le Partenaire convient que l'obligation de HOTELCONNECT Systems de notifier la violation de sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par HOTELCONNECT Systems de toute faute ou responsabilité de HOTELCONNECT Systems en ce qui concerne cette violation de sécurité.

3.6 Retours et suppression de données
Sous réserve des limitations énoncées dans les lois applicables, HOTELCONNECT Systems retournera au Partenaire toutes les Données du Partenaire persistantes (si elles ne sont pas déjà supprimées conformément à la loi applicable) en suivant des procédures standardisées et dans des délais commercialement raisonnables.

3.7 Conformité des systèmes HOTELCONNECT
HOTELCONNECT Systems se conformera à la législation sur la protection des données applicable à ses propres opérations et à la fourniture des services en vertu du contrat et à ses obligations en vertu du présent addendum.

3.8 Audit
Le Partenaire a le droit de réaliser un audit pour vérifier le respect par HOTELCONNECT Systems de ses obligations énoncées à l'Art. 28 RGPD et dans cet addendum. HOTELCONNECT Systems doit permettre au Partenaire de réaliser l'audit dans les conditions suivantes:
(i) le Partenaire demande à HOTELCONNECT Systems de réaliser l'audit via un avis écrit au moins 30 (trente) jours à l'avance;
(ii) le Partenaire précisera l'ordre du jour de cet audit dans la notification sous (i);
(iii) l'audit ne doit pas avoir lieu plus d'une fois par an;
(iv) tous les coûts et dépenses associés seront à la charge du Partenaire et remboursés à HOTELCONNECT Systems sur demande; et
(v) l'audit ne durera pas plus de l'équivalent de 1 jour ouvrable (8 heures) du représentant HOTELCONNECT Systems.

Dans le cas où le partenaire demande l'audit via une tierce partie indépendante - auditeur externe agréé, HOTELCONNECT Systems peut s'opposer à un auditeur externe agréé par le partenaire pour mener l'audit si l'auditeur n'est, de l'avis raisonnable de HOTELCONNECT Systems, pas suffisamment qualifié ou indépendant, un concurrent de HOTELCONNECT Systems, ou autrement manifestement inadapté. Une telle objection obligera le partenaire à désigner un autre auditeur. Dans le cas où le Partenaire requiert plus d'un audit au cours d'une année civile, le Partenaire doit obtenir au préalable l'autorisation écrite de HOTELCONNECT Systems et doit supporter les coûts associés à ces audits et rembourser HOTELCONNECT Systems tous les coûts raisonnablement encourus de ces audits. À la demande du Partenaire, HOTELCONNECT Systems fournira au Partenaire le coût estimé qu'il s'attend à engager au cours de cet audit selon la mesure spécifiée dans l'agenda fourni par le Partenaire.

4. Traitement du partenaire

4.1 Traitement des données personnelles par le partenaire

Le partenaire doit, dans son utilisation des services, traiter les données personnelles conformément aux exigences de la législation sur la protection des données. Pour éviter toute ambiguïté, le Partenaire garantit que ses instructions pour le Traitement des Données Personnelles seront conformes à la Législation sur la Protection des Données et qu'il ne passera aucune instruction ou ordre enjoignant à HOTELCONNECT Systems de prendre toute action ou ligne de conduite illégale ou autre. non conforme à la législation sur la protection des données. Le partenaire est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le partenaire a acquis les données personnelles.

4.2 Conformité du partenaire

En plus des obligations du Partenaire énoncées dans le Contrat, le Partenaire est responsable (i) de l'intégrité, de la sécurité, de la maintenance et de la protection appropriée des Données Personnelles, et (ii) du respect de toute loi et réglementation applicables en matière de confidentialité, de protection des données et de sécurité relatives à : (a) son traitement des données personnelles; (b) son utilisation des Services; et (c) toutes les exigences d'enregistrement ou de notification du Traitement des données auxquelles le Partenaire est soumis en vertu de la loi applicable.

4.3 Notifications

Le Partenaire accepte de faire toutes les notifications requises et d'obtenir les consentements et les droits requis de la part des individus en ce qui concerne la fourniture de services par HOTELCONNECT Systems au Partenaire. Lorsque HOTELCONNECT Systems reçoit une communication décrite à la sous-section 3.4.1 ou 3.4.3 et informe le partenaire de cette communication, il est de la responsabilité du partenaire de répondre et de prendre toutes les autres mesures appropriées concernant la communication. Le Partenaire s'engage à informer immédiatement HOTELCONNECT Systems de toute utilisation non autorisée des Services ou du compte du Partenaire ou de toute autre violation de la sécurité impliquant les Services.

4.4 Mesures techniques et organisationnelles

Le Partenaire est seul responsable de la mise en œuvre et du maintien des mesures de sécurité et autres mesures techniques et organisationnelles appropriées à la nature et au volume des Données personnelles que le Partenaire stocke ou traite autrement en utilisant les Services. Le Partenaire est également responsable de l'utilisation des Services par l'un de ses employés, toute personne que le Partenaire autorise à accéder ou à utiliser les Services, et toute personne qui accède à ses Données personnelles ou aux Services en raison de son incapacité à utiliser une sécurité raisonnable. précautions, même si une telle utilisation n'a pas été autorisée par le partenaire.

5. Coopération

5.1 Coopération entre les partenaires et HOTELCONNECT Systems

Le partenaire et HOTELCONNECT Systems acceptent de coopérer d'une manière commercialement raisonnable comme raisonnablement requis pour protéger les données personnelles en vertu des lois applicables, articles 35 et 36 du RGPD et du cadre du bouclier de protection des données UE-États-Unis pour effectuer une évaluation de l'impact de la protection des données liée au partenaire. l'utilisation des Services, dans la mesure où le Partenaire n'a pas autrement accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles pour HOTELCONNECT Systems. Le partenaire doit coopérer avec l'enquête raisonnable de HOTELCONNECT Systems sur les pannes de service, les problèmes de sécurité et toute violation de sécurité présumée. Le partenaire doit fournir une assistance raisonnable à HOTELCONNECT Systems dans le cadre de la coopération ou de la consultation préalable avec l'Autorité de surveillance dans l'exécution de ses tâches liées à la présente section, dans la mesure requise par le RGPD ou la loi applicable.

5.2 Assistance de HOTELCONNECT Systems avec les exigences de conformité du partenaire

Pendant la durée de l'Accord du Partenaire avec HOTELCONNECT Systems, le Partenaire peut demander que HOTELCONNECT Systems assiste les efforts du Partenaire pour se conformer aux obligations du Partenaire en vertu des lois et réglementations applicables en matière de protection des données ou de confidentialité, à condition (i) que l'assistance demandée soit pertinente pour les Services qui prennent en charge le Traitement des Données personnelles. Données, (ii) une telle assistance demandée est commercialement raisonnable et proportionnée à l'objectif de l'exercice auquel HOTELCONNECT Systems est invité à aider, et (iii) si HOTELCONNECT Systems accepte de l'aider, que tous ses coûts et dépenses associés (y compris le coût du temps de son personnel) seront à la charge du Partenaire et remboursés à HOTELCONNECT Systems sur demande.

6. Sous-traitement

6.1 En ce qui concerne les tiers ou la sous-traitance du traitement des données personnelles, HOTELCONNECT Systems ne peut autoriser un tiers (sous-traitant) à traiter les données personnelles qu'avec le consentement préalable du partenaire et à condition que les dispositions relatives au traitement des données et la protection des données dans le contrat du sous-traitant en ce qui concerne les données personnelles est à des conditions qui sont substantiellement les mêmes que celles énoncées dans le présent addendum à condition que le contrat du sous-traitant concernant les données personnelles se termine automatiquement à la résiliation du contrat pour n'importe quelle raison. Aux fins des présentes, les personnes suivantes sont approuvées par le partenaire en signant cet addendum: (i) les sous-traitants énumérés à l'annexe n ° 2 des présentes, (ii) les affiliés de HOTELCONNECT Systems et (iii) tout sous-traitant autorisé par le partenaire via ses Utilisateur autorisé en autorisant une intégration avec les services HOTELCONNECT Systems via un compte HOTELCONNECT ou autrement. HOTELCONNECT Systems peut, pendant la durée du contrat, impliquer de nouveaux sous-traitants dans le traitement, à condition que ces sous-traitants n'accèdent et n'utilisent les données personnelles que dans la mesure nécessaire pour exécuter les obligations qui leur sont sous-traitées.

6.2 Droit d'opposition pour les nouveaux sous-processeurs

Le Partenaire peut s'opposer à l'utilisation par HOTELCONNECT Systems d'un nouveau Sous-processeur en notifiant HOTELCONNECT Systems rapidement par écrit dans les dix (10) jours ouvrables suivant la réception de l'avis de HOTELCONNECT Systems et en précisant les lacunes. Dans le cas où le partenaire s'oppose à un nouveau sous-processeur, HOTELCONNECT Systems s'efforcera d'ajouter des garanties supplémentaires (couvrant les déficiences spécifiées) ou de changer le sous-processeur (vis-à-vis du sous-processeur); si HOTELCONNECT Systems est incapable de le faire, HOTELCONNECT Systems déploiera des efforts raisonnables pour mettre à la disposition du Partenaire une modification des Services ou recommandera une modification commercialement raisonnable de la configuration du Partenaire ou de l'utilisation des Services afin d'éviter le Traitement des Données Personnelles par la personne visée par l'objection. nouveau sous-processeur sans partenaire excessivement lourd. Si HOTELCONNECT Systems n'est pas en mesure de rendre disponible un tel changement dans un délai raisonnable, qui ne doit pas dépasser trente (30) jours, le Partenaire peut résilier uniquement la partie des Services qui ne peut pas être fournie par HOTELCONNECT Systems sans l'utilisation du nouveau sous-processeur en fournissant un avis écrit à HOTELCONNECT Systems. HOTELCONNECT Systems remboursera au Partenaire tous les frais prépayés couvrant le reste de la durée du Contrat suivant la date effective de résiliation en ce qui concerne la partie résiliée des Services, qui représentera le recours unique et exclusif du Partenaire dans le cadre de l'introduction d'un nouveau Sous- processeur.

6.3 Responsabilité

HOTELCONNECT Systems sera responsable des actes et omissions de ses sous-traitants dans la même mesure que HOTELCONNECT Systems serait responsable s'il exécutait les services de chaque sous-traitant directement selon les termes du présent addendum, sauf indication contraire dans le contrat.

7. Transfert de données

7.1 Transfert de données

Les parties conviennent que les données personnelles peuvent être transférées de l'Union européenne / de l'Espace économique européen vers un pays tiers, uniquement si l'une des conditions suivantes s'applique: (a) il existe une décision applicable de la Commission européenne qui stipule que le pays tiers garantit un niveau de protection adéquat; ou (b) le transfert peut avoir lieu parce que HOTELCONNECT Systems a fourni des garanties appropriées conformément à l'Art. 46 du RGPD, et à condition que des droits opposables de la personne concernée et des recours juridiques efficaces pour les personnes concernées soient disponibles; ou (c) les dérogations pour situation spécifique en vertu de l'art. 49 du RGPD s'appliquent. Aux fins de l'art. 7.1 du présent addendum, les clauses contractuelles types, qui constituent l'annexe n ° 1 (clauses contractuelles types) du présent addenda, sont considérées comme des garanties appropriées. Par la présente, le client autorise HOTELCONNECT Systems à conclure les clauses contractuelles types afin de transférer des données personnelles vers des pays tiers.

7.2 Clauses contractuelles types

Pour permettre le transfert de données depuis / vers des pays tiers vers / depuis l'Union européenne / l'Espace économique européen, les clauses contractuelles types (annexe n ° 1 du présent addendum) sont incorporées dans le présent addendum et en font partie intégrante.

8. Communication

8.1 Le Partenaire accepte que tout Utilisateur autorisé du Partenaire puisse être contacté et aura le droit de recevoir toute communication relative à cet Addendum.

9. Dispositions finales

9.1 Bénéficiaires tiers

Les personnes concernées sont les seuls tiers bénéficiaires des clauses contractuelles types, et il n'y a pas d'autres tiers bénéficiaires de l'accord et du présent addendum. Nonobstant ce qui précède, le Contrat et les conditions du présent Addendum s'appliquent uniquement aux parties et ne confèrent aucun droit à l'affilié d'un Partenaire, à l'utilisateur final du Partenaire ou à toute Personne concernée tierce.

9.2 Loi applicable

Rien dans le présent Addendum ne modifie la section Loi applicable du Contrat, qui, pour éviter tout doute, régira toutes les réclamations introduites en vertu du Contrat et du présent Addendum. Dans la mesure où les clauses contractuelles types sont applicables et dans la mesure où une personne concernée introduit une réclamation conformément à la clause 3.2 des clauses contractuelles types en relation avec le traitement par HOTELCONNECT Systems de données personnelles, les clauses contractuelles types doivent être régies par et interprété conformément à la clause 9 (loi applicable) des clauses contractuelles types.

9.3 Limitation de responsabilité

Les recours du partenaire, y compris ceux de ses affiliés, et la responsabilité de HOTELCONNECT Systems, découlant de ou liés à cet addendum et aux clauses contractuelles standard seront soumis aux limitations de responsabilité et aux clauses de non-responsabilité énoncées dans le contrat ou s'il n'y a pas de limitations de responsabilité stipulée dans le Contrat, les Parties conviennent et déclarent que le total des dommages pouvant résulter de la violation du présent Addendum et / ou des Clauses contractuelles types ne dépassera pas dix mille euros.

9.4 Terme

Le présent addendum est conclu pour la période égale à la durée de l'accord. Cet Addendum prendra fin simultanément et automatiquement avec la résiliation du Contrat.

9.5 Résiliation

HOTELCONNECT Systems peut résilier cet Addendum si HOTELCONNECT Systems propose des mécanismes alternatifs au Partenaire qui respectent les obligations des lois applicables en matière de confidentialité des données.

9.6 Homologues

Cet addendum peut être signé en plusieurs exemplaires, qui, pris ensemble, seront considérés comme un original.

Annexe n ° 1 Clauses contractuelles types (transformateurs)

Aux fins de l'article 26, paragraphe 2, de la directive 95/46 / CE pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données

L'entité partenaire qui est partie à l'addendum auquel ces clauses contractuelles types sont jointes.

Nom de l'organisation exportatrice de données:

Adresse:

Tél. …; fax…; e-mail: …

Autres informations nécessaires pour identifier l'organisation

(l'exportateur de données)

Et

Nom de l'organisation importatrice de données:…

Adresse: …

Tél. …; fax…; e-mail: …

Autres informations nécessaires pour identifier l'organisation:

(l'importateur de données ou le sous-traitant de données (selon le cas))

chacun une «partie»; ensemble «les parties»,

SONT CONVENUS des clauses contractuelles suivantes (les clauses) afin d'apporter des garanties adéquates en ce qui concerne la protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées à l'annexe 1 .

Clause 1

Définitions

Aux fins des clauses:

  1. `` données à caractère personnel '', `` catégories spéciales de données '', `` traitement / traitement '', `` responsable du traitement '', `` sous-traitant '', `` personne concernée '' et `` autorité de contrôle '' ont la même signification que dans la directive 95/46 / CE du Parlement européen et du Conseil du 24 octobre 1995 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et sur la libre circulation de ces données;

  2. «l'exportateur de données», le responsable du traitement qui transfère les données à caractère personnel;

  3. `` l'importateur de données '', le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées en son nom après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis au système d'un pays tiers garantissant protection au sens de l'article 25, paragraphe 1, de la directive 95/46 / CE;

  4. `` sous-traitant '', tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées aux activités de traitement à effectuer sur au nom de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du contrat de sous-traitance écrit;

  5. `` la loi applicable en matière de protection des données '', la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel applicable à un responsable du traitement dans l'État membre dans lequel l'exportateur de données se trouve établi;

`` mesures de sécurité techniques et organisationnelles '', les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte, l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre tout autre formes de traitement.

Clause 2

Détails du transfert

Les détails du transfert et en particulier les catégories particulières de données à caractère personnel le cas échéant sont précisés dans l'annexe 1 qui fait partie intégrante des clauses.

Clause 3

Clause de tiers bénéficiaire

  1. La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4 (b) à (i), la clause 5 (a) à (e) et (g) à (j), la clause 6 (1) et (2). , Article 7, article 8 (2) et articles 9 à 12 en tant que tiers bénéficiaire.

  2. La personne concernée peut opposer à l'importateur de données la présente clause, la clause 5 (a) à (e) et (g), la clause 6, la clause 7, la clause 8 (2) et les clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur de données par contrat ou de plein droit, en conséquence de quoi elle assume les droits et obligations de l'exportateur de données, en auquel cas la personne concernée peut les faire valoir contre une telle entité.

  3. La personne concernée peut opposer au sous-traitant la présente clause, la clause 5 (a) à (e) et (g), la clause 6, la clause 7, la clause 8 (2) et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations juridiques de l'exportateur de données par contrat ou de plein droit en vertu desquelles il assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité. Cette responsabilité civile du sous-traitant sera limitée à ses propres opérations de traitement en vertu des Clauses.

  4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si la législation nationale le permet.

Article 4

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit:

  1. que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes du Membre État dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État;

  2. qu'il a donné des instructions et pendant toute la durée des services de traitement de données à caractère personnel, il chargera l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la loi sur la protection des données applicable et aux clauses;

  3. que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat;

  4. qu'après évaluation des exigences de la loi applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger au regard de l'état de la technique et du coût de leur la mise en oeuvre;

  5. qu'il veillera au respect des mesures de sécurité;

  6. que, si le transfert implique des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou dès que possible après, le transfert que ses données pourraient être transmises à un pays tiers n'assurant pas une protection adéquate au sens de Directive 95/46 / CE;

  7. de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant conformément à la clause 5 (b) et à la clause 8 (3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension;

  8. de mettre à la disposition des personnes concernées sur demande une copie des clauses, à l'exception de l'annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitement qui doit être conclu conformément à les Clauses, sauf si les Clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales;

  9. qu'en cas de sous-traitement, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant assurant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses; et (j) qu'il veillera au respect de la clause 4 (a) à (i).

Article 5

Obligations de l'importateur de données

L'importateur de données accepte et garantit:

  1. traiter les données personnelles uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses; s'il ne peut pas fournir une telle conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et / ou de résilier le contrat;

  2. qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche d'exécuter les instructions reçues de l'exportateur de données et ses obligations au titre du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet défavorable substantiel sur les garanties et obligations prévues par les Clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et / ou de résilier le contrat;

  3. qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données personnelles transférées;

  4. qu'il informera rapidement l'exportateur de données:

    1. toute demande juridiquement contraignante de divulgation des données personnelles par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en droit pénal de préserver la confidentialité d'une enquête policière,

    2. tout accès accidentel ou non autorisé, et

    3. toute demande reçue directement des personnes concernées sans répondre à cette demande, sauf si elle a été autrement autorisée à le faire;

  5. traiter rapidement et correctement toutes les demandes de l'exportateur de données relatives à son traitement des données à caractère personnel faisant l'objet du transfert et se conformer aux conseils de l'autorité de contrôle concernant le traitement des données transférées;

  6. à la demande de l'exportateur de données de soumettre ses installations de traitement de données à l'audit des activités de traitement couvertes par les clauses qui seront effectuées par l'exportateur de données ou un organisme d'inspection composé de membres indépendants et en possession des qualifications professionnelles requises liées par un devoir de confidentialité, choisi par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle;

  7. de mettre à la disposition de la personne concernée sur demande une copie des clauses, ou de tout contrat existant de sous-traitement, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'annexe 2 qui doit être remplacé par une description succincte des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie de l'exportateur de données;

  8. qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable;

  9. que les services de traitement par le sous-traitant seront exécutés conformément à l'article 11;

  10. d'envoyer rapidement une copie de tout accord de sous-traitant conclu en vertu des clauses à l'exportateur de données.

Article 6

Responsabilité

  1. Les parties conviennent que toute personne concernée, qui a subi un dommage à la suite d'un manquement aux obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant, a le droit de recevoir une compensation de l'exportateur de données pour le dommage subi.

  2. Si une personne concernée n'est pas en mesure de déposer une demande d'indemnisation conformément au paragraphe 1 contre l'exportateur de données, en raison d'une violation par l'importateur de données ou son sous-traitant de l'une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse déposer une réclamation contre l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité successeur n'ait pris en charge l'intégralité obligations légales de l'exportateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité. L'importateur de données ne peut se prévaloir d'un manquement par un sous-traitant à ses obligations pour se soustraire à ses propres responsabilités.

  3. Si une personne concernée n'est pas en mesure d'intenter une action contre l'exportateur de données ou l'importateur de données visé aux paragraphes 1 et 2, résultant d'un manquement par le sous-traitant à l'une de ses obligations visées à la clause 3 ou à la clause 11 parce que l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse intenter une action contre le sous-traitant de données en ce qui concerne ses propres opérations de traitement en vertu des clauses comme si elle étaient l'exportateur de données ou l'importateur de données, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité. La responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.

Article 7

Médiation et juridiction

  1. L'importateur de données accepte que si la personne concernée invoque contre elle les droits de bénéficiaire tiers et / ou demande une indemnisation pour les dommages-intérêts en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée:

    1. de soumettre le litige à la médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle;

    2. de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

  2. Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux de rechercher des recours conformément à d'autres dispositions du droit national ou international.

Article 8

Coopération avec les autorités de contrôle

  1. L'exportateur de données s'engage à déposer une copie de ce contrat auprès de l'autorité de contrôle si elle le demande ou si un tel dépôt est requis en vertu de la législation applicable en matière de protection des données.

  2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données sous les données applicables. loi de protection.

  3. L'importateur de données informe rapidement l'exportateur de données de l'existence d'une législation qui lui est applicable ou de tout sous-traitant empêchant la réalisation d'un audit de l'importateur de données, ou de tout sous-traitant, conformément au paragraphe 2. Dans ce cas, l'exportateur de données a le droit prendre les mesures prévues à la clause 5 (b).

Article 9

Loi applicable

Les clauses sont régies par la loi de l'État membre dans lequel l'exportateur de données est établi.

Article 10

Modification du contrat

Les parties s'engagent à ne pas modifier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions commerciales lorsque cela est nécessaire, du moment qu'elles ne contredisent pas la clause.

Article 11

Sous-traitement

  1. L'importateur de données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des clauses, avec le consentement de l'exportateur de données, il ne le fait qu'au moyen d'un accord écrit avec le sous-traitant qui impose les mêmes obligations au sous-traitant que celles imposées à l'importateur de données en vertu du Clauses. Lorsque le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de cet accord.

  2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant doit également prévoir une clause de tiers bénéficiaire comme prévu à la clause 3 pour les cas où la personne concernée n'est pas en mesure de présenter la demande d'indemnisation visée au paragraphe 1 de la clause 6 contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité successeur n'a assumé l'intégralité des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité civile du sous-traitant sera limitée à ses propres opérations de traitement en vertu des Clauses.

  3. Les dispositions relatives aux aspects relatifs à la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

  4. L'exportateur de données tient une liste des accords de sous-traitement conclus en vertu des clauses et notifiés par l'importateur de données conformément à la clause 5 j), qui est mise à jour au moins une fois par an. La liste est à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Article 12

Obligation après la fin des services de traitement de données à caractère personnel

  1. Les parties conviennent qu'à la fin de la fourniture de services de traitement de données, l'importateur de données et le sous-traitant doivent, au choix de l'exportateur de données, renvoyer toutes les données personnelles transférées et leurs copies à l'exportateur de données ou détruire toutes les données données personnelles et certifier à l'exportateur de données qu'il l'a fait, à moins qu'une législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.

  2. L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et / ou de l'autorité de contrôle, ils soumettront ses installations de traitement de données à un audit des mesures visées au paragraphe 1.

Au nom de l'exportateur de données:

Nom (écrit en entier):

Position: Adresse:

Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant):

Signature……………………………………….

(cachet de l'organisation)

Au nom de l'importateur de données:

Nom (écrit en entier):

Position: Adresse:

Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant):

Signature……………………………………….

(cachet de l'organisation)

Annexe 1 aux clauses contractuelles types

une. Exportateur de données

L'exportateur de données est HOTELCONNECT Systems, un fournisseur de services tel que spécifié dans l'accord (le cas échéant).

b. Importateur de données

L'importateur de données est l'entité (un sous-traitant) qui reçoit des données personnelles en dehors de l'EEE et fournit certains services à HOTELCONNECT Systems en relation avec les services au partenaire.

c. Personnes concernées

Les données personnelles transférées peuvent concerner des personnes à propos desquelles des données personnelles sont transmises ou stockées par l'exportateur de données via le système et / ou les services hébergés par HOTELCONNECT Systems, qui incluent généralement des personnes (Invités ou prospects) utilisant les services du Partenaire.

ré. Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes: les données des clients contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, le titre, l'adresse e-mail et l'adresse, les numéros d'identité et / ou de passeport, les détails de paiement, les préférences des clients, et Détails des services du partenaire et données de connexion et de localisation limitées (ville) sous forme électronique qui sont transférées à l'importateur de données dans le contexte des services de HOTELCONNECT Systems (fournis par le sous-traitant / importateur concerné)

e. Opérations de traitement

Les données personnelles transférées seront soumises aux activités de traitement de base suivantes:

Collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition d'une autre manière, alignement ou combinaison, restriction, effacement ou destruction.

Le partenaire doit utiliser des précautions de sécurité raisonnables en relation avec son utilisation des services, y compris le cryptage approprié de toutes les données personnelles stockées sur ou transmises par le système hébergé.

Annexe 2 aux clauses contractuelles types

Cette annexe fait partie des clauses et doit être remplie et signée par les parties

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4 (d) et 5 (c) (ou document / législation ci-joint):

L'importateur de données met en œuvre des mesures de sécurité équivalentes à celles requises en vertu de l'accord, de l'addendum et de tout document accessoire conclu en vertu de l'accord.