Anhang Unterauftragsverarbeiter persönliche Daten

Zweck dieses Anhangs ist es, die Bedingungen festzulegen, unter denen sich FYGR als Unterauftragnehmer und im Rahmen der in diesem Dokument definierten Dienste verpflichtet, im Auftrag seiner Nutzer die Verarbeitung personenbezogener Daten gemäß den geltenden Bestimmungen zum Schutz personenbezogener Daten, insbesondere dem geänderten Gesetz vom 6. Januar 1978 über Informatik, Dateien und Freiheiten sowie der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, die seit dem 25. Mai 2018 anwendbar ist (nachfolgend "DSGVO"), durchzuführen.

Für die Zwecke dieser Vereinbarung handelt FYGR in den folgenden Fällen als "Auftragsverarbeiter": wenn der Kunde durch die Nutzung des Budgea API-, Bridge- oder Fintecture-Dienstes personenbezogene Informationen über Dritte speichert oder ihnen Zugang zu diesen Informationen verschafft.

Es wird davon ausgegangen, dass der Nutzer als "für die Verarbeitung Verantwortlicher" im Sinne der Definitionen der DSGVO handelt.

Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Parteien somit jede für sich zur Einhaltung der geltenden Vorschriften, die für die Verarbeitung personenbezogener Daten gelten.‍.

Für die Zwecke dieses Dokuments haben die folgenden Begriffe die gleiche Bedeutung wie in der DSGVO:

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (nachstehend "betroffene Person" genannt) beziehen; als "identifizierbare natürliche Person" wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Sensible Daten oder besondere Datenkategorien: personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person. (Artikel 9 DSGVO)

Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder Datensätzen, wie das Erheben, das Speichern, die Organisation, die Strukturierung, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Verantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.Auftragsverarbeiter: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Empfänger: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten übermittelt werden, unabhängig davon, ob es sich dabei um einen Dritten handelt oder nicht. Öffentliche Behörden, die im Rahmen eines besonderen Untersuchungsauftrags nach dem Unionsrecht oder dem Recht eines Nutzerstaates möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die betreffenden öffentlichen Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften, die sich nach den Zwecken der Verarbeitung richten.

FYGR ist als Subunternehmer, der nach den Anweisungen des Nutzers handelt, berechtigt, die personenbezogenen Daten des Verantwortlichen in dem Maße zu verarbeiten, wie es für die Erbringung der Dienste erforderlich ist.

Die Art der von FYGR durchgeführten Operationen in Bezug auf personenbezogene Daten kann die Speicherung von Informationen und/oder jede andere Dienstleistung, wie in den AGB beschrieben, sein. Die Art der Persönlichen Daten und die Kategorien der betroffenen Personen werden vom Nutzer nach eigenem Ermessen bestimmt und kontrolliert. Die Verarbeitungsaktivitäten werden von FYGR für die in den ANB festgelegte Dauer durchgeführt.

La société FYGR  s’engage en qualité de sous-traitant à :

1. Traiter les Données à caractère personnel uniquement aux fins de réalisation des services ;
‍
2. Ne pas accéder ou utiliser les Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des services ;
‍
3. Traiter les Données à caractère personnel conformément aux instructions documentées de l’utilisateur ;
‍
4. Informer l’utilisateur si à son avis et compte tenu des informations dont elle dispose, une des instructions constitue une violation au RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats Utilisateurs relative à la protection des données.
‍
5. Garantir la confidentialité des Données à caractère personnel traitées dans le cadre de l’exercice de ses missions ;
‍
6. Le cas échéant, veiller à ce que les utilisateurs de son personnel autorisés à traiter les Données à caractère personnel :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

7. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

8. Sous-traitants ultérieurs :
FYGR peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des services (« Sous-traitant ultérieur »). L’utilisateur autorise expressément FYGR à engager ces sociétés en tant que Sous-traitants ultérieurs.

En tout état de cause, le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de FYGR. Il appartient à FYGR de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, FYGR  demeurerait pleinement responsable devant l’utilisateur de l’exécution par l’autre sous-traitant de ses obligations.

9. Droit d’information des personnes concernées :
L’utilisateur en tant que Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

10. Exercice des droits des personnes :
FYGR fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer à l’utilisateur toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées.

L’utilisateur, en tant que Responsable du traitement, est seul responsable des réponses à ces demandes.

L’utilisateur reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de FYGR, cela pourra être facturé à l’utilisateur à condition de le lui notifier et d’obtenir son accord au préalable.

11. Notification des violations de données à caractère personnel :
FYGR s’engage à notifier par tous moyens à l’utilisateur toute violation de données à caractère personnel dans un délai maximum de 72 (soixante-douze) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente (CNIL).

12. Aide de FYGR dans le cadre du respect par l’utilisateur de ses obligations :
FYGR  s’engage dans la mesure du possible et si cela s’avérait nécessaire à aider l’utilisateur, pour la réalisation d’analyses d’impact relative à la protection des données.

FYGR s’engage également, si cela était nécessaire, à aider l’utilisateur pour la réalisation de la consultation préalable de l’autorité de contrôle (CNIL).

13. Mesures de sécurité :
FYGR met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité, l’intégrité des traitements de données et protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

14. Sort des données :
À la fin du service (notamment en cas de résiliation des CGU), FYGR s’engage à supprimer tout contenu (notamment les données, fichiers, etc.) reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État Utilisateur de l’Union européenne, en exigent autrement.

L’utilisateur est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des services.

À cet égard, l’utilisateur est informé que la résiliation et l’expiration du service pour quelque raison que ce soit, ainsi que certaines opérations de mise à jour ou de réinstallation des services, peuvent automatiquement entraîner la suppression irréversible de tout contenu reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, ce compris toute sauvegarde potentielle.

15. Registre des catégories d’activités de traitement :
FYGR  déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’utilisateur comprenant :
le nom et les coordonnées de l’utilisateur pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
les catégories de traitements effectués pour le compte de l’utilisateur ;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

16. Documentation :
FYGR met à la disposition de ses utilisateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’utilisateur ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Dans le cadre de tels audits, l’utilisateur ou l’auditeur mandaté par lui ne seront toutefois pas autorisés à accéder aux secrets des affaires de FYGR, aux informations stratégiques de cette dernière ou aux informations que FYGR s’est engagée à garder confidentielles à l’égard de ses autres clients et/ou partenaires. FYGR pourra s’opposer à toute mesure de contrôle de l’utilisateur ou de l’auditeur mandaté par lui qui serait susceptible de leur donner accès à de telles données ou informations. FYGR veillera par ailleurs en tout état de cause à ce que l’auditeur et, plus généralement, le personnel procédant à l’audit soient soumis à des obligations de confidentialité appropriées.

Der Nutzer verpflichtet sich, seine Pflichten als Verantwortlicher für die Datenverarbeitung gemäß der DSGVO zu erfüllen. In dieser Eigenschaft hat er insbesondere sicherzustellen, dass:
- die Verarbeitung personenbezogener Daten eine geeignete Rechtsgrundlage hat (z. B. die Einwilligung der betroffenen Person, das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eine gesetzliche Bestimmung etc.);
- die Datenverarbeitungsregister aktualisiert werden;
- alle erforderlichen Formalitäten und Verfahren (wie z. B. eine Folgenabschätzung, eine Meldung oder ein Antrag auf Genehmigung bei der Aufsichtsbehörde oder einer anderen Stelle) gegebenenfalls durchgeführt wurden;
- die betroffenen Personen in knapper, transparenter, verständlicher und leicht zugänglicher Weise über die Verarbeitung personenbezogener Daten informiert werden ;
- Betroffene Personen haben die Möglichkeit, ihre Rechte, wie in der DSGVO vorgesehen, auszuüben;
- Innerhalb der eigenen Systeme und Vorgänge, die nicht zum Dienstleistungsumfang gehören, werden technische und organisatorische Maßnahmen umgesetzt, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Darüber hinaus verpflichtet sich der Nutzer:
- jede Anweisung bezüglich der Datenverarbeitung schriftlich zu dokumentieren;
- im Vorfeld und während der gesamten Dauer der Verarbeitung sicherzustellen, dass FYGR die in der DSGVO festgelegten Verpflichtungen einhält;
- die Verarbeitung zu überwachen, einschließlich der Durchführung von Audits und Inspektionen bei FYGR, unter den oben beschriebenen Bedingungen.