Anexo - Encargado del tratamiento de datos personales

El presente Anexo tiene por objeto definir las condiciones en las que FYGR, en su calidad de subcontratista y en el marco de los servicios definidos en el documento, se compromete a realizar operaciones de tratamiento de datos personales por cuenta de sus usuarios de conformidad con las disposiciones aplicables en materia de protección de datos personales, en particular la Ley modificada de 6 de enero de 1978 relativa a la informática, a los ficheros y a las libertades y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 aplicable desde el 25 de mayo de 2018 (en adelante, "RGPD").

Por tanto, a los efectos del presente Reglamento, FYGR actúa como "encargado del tratamiento" en los siguientes casos: cuando el cliente almacena o facilita el acceso a información personal relativa a terceros mediante el uso del servicio API, Bridge o Fintecture de Budgea.

Por su parte, se presume que el usuario actúa como "responsable del tratamiento" en el sentido de las definiciones dadas por el RGPD.

En el marco de su relación contractual, las partes se comprometen así, cada una en lo que le concierne, a cumplir con la normativa vigente aplicable al tratamiento de datos personales.‍

A efectos del presente documento, los siguientes términos tendrán el mismo significado que se les atribuye en el RGPD:

Datos personales: cualquier información sobre una persona física identificada o identificable (en lo sucesivo, "interesado"); se considerará "persona física identificable" toda persona física que pueda ser identificada, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea, o uno o varios elementos específicos, característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Datos sensibles o categorías especiales de datos: datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como los datos genéticos, los datos biométricos destinados a identificar de manera unívoca a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona física. (Artículo 9 del RGPD)

Tratamiento: cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales o a conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Responsable del tratamiento : la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento; Subencargado del tratamiento: la persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Destinatario : la persona física o jurídica, autoridad pública, agencia u otro organismo que reciba datos personales, ya sea un tercero o no. No obstante, las autoridades públicas que puedan recibir datos personales en el contexto de una investigación específica de conformidad con la legislación de la UE o la legislación de un Estado usuario no se consideran destinatarios; el tratamiento de dichos datos por parte de las autoridades públicas en cuestión cumple las normas de protección de datos aplicables en función de los fines del tratamiento.

FYGR está autorizado, en calidad de subcontratista que actúa siguiendo las instrucciones del usuario, a tratar los Datos Personales del Responsable en la medida necesaria para la prestación de los servicios.

La naturaleza de las operaciones realizadas por FYGR en relación con los Datos Personales podrá ser el almacenamiento de información y/o cualesquiera otros servicios descritos en las CGC. El tipo de Datos Personales y las categorías de personas afectadas son determinados y controlados por el usuario a su entera discreción. Las actividades de tratamiento son llevadas a cabo por FYGR durante el período de tiempo establecido en los TCGU.

La société FYGR  s’engage en qualité de sous-traitant à :

1. Traiter les Données à caractère personnel uniquement aux fins de réalisation des services ;
‍
2. Ne pas accéder ou utiliser les Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des services ;
‍
3. Traiter les Données à caractère personnel conformément aux instructions documentées de l’utilisateur ;
‍
4. Informer l’utilisateur si à son avis et compte tenu des informations dont elle dispose, une des instructions constitue une violation au RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats Utilisateurs relative à la protection des données.
‍
5. Garantir la confidentialité des Données à caractère personnel traitées dans le cadre de l’exercice de ses missions ;
‍
6. Le cas échéant, veiller à ce que les utilisateurs de son personnel autorisés à traiter les Données à caractère personnel :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

7. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

8. Sous-traitants ultérieurs :
FYGR peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des services (« Sous-traitant ultérieur »). L’utilisateur autorise expressément FYGR à engager ces sociétés en tant que Sous-traitants ultérieurs.

En tout état de cause, le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de FYGR. Il appartient à FYGR de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, FYGR  demeurerait pleinement responsable devant l’utilisateur de l’exécution par l’autre sous-traitant de ses obligations.

9. Droit d’information des personnes concernées :
L’utilisateur en tant que Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

10. Exercice des droits des personnes :
FYGR fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer à l’utilisateur toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées.

L’utilisateur, en tant que Responsable du traitement, est seul responsable des réponses à ces demandes.

L’utilisateur reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de FYGR, cela pourra être facturé à l’utilisateur à condition de le lui notifier et d’obtenir son accord au préalable.

11. Notification des violations de données à caractère personnel :
FYGR s’engage à notifier par tous moyens à l’utilisateur toute violation de données à caractère personnel dans un délai maximum de 72 (soixante-douze) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente (CNIL).

12. Aide de FYGR dans le cadre du respect par l’utilisateur de ses obligations :
FYGR  s’engage dans la mesure du possible et si cela s’avérait nécessaire à aider l’utilisateur, pour la réalisation d’analyses d’impact relative à la protection des données.

FYGR s’engage également, si cela était nécessaire, à aider l’utilisateur pour la réalisation de la consultation préalable de l’autorité de contrôle (CNIL).

13. Mesures de sécurité :
FYGR met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité, l’intégrité des traitements de données et protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

14. Sort des données :
À la fin du service (notamment en cas de résiliation des CGU), FYGR s’engage à supprimer tout contenu (notamment les données, fichiers, etc.) reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État Utilisateur de l’Union européenne, en exigent autrement.

L’utilisateur est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des services.

À cet égard, l’utilisateur est informé que la résiliation et l’expiration du service pour quelque raison que ce soit, ainsi que certaines opérations de mise à jour ou de réinstallation des services, peuvent automatiquement entraîner la suppression irréversible de tout contenu reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, ce compris toute sauvegarde potentielle.

15. Registre des catégories d’activités de traitement :
FYGR  déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’utilisateur comprenant :
le nom et les coordonnées de l’utilisateur pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
les catégories de traitements effectués pour le compte de l’utilisateur ;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

16. Documentation :
FYGR met à la disposition de ses utilisateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’utilisateur ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Dans le cadre de tels audits, l’utilisateur ou l’auditeur mandaté par lui ne seront toutefois pas autorisés à accéder aux secrets des affaires de FYGR, aux informations stratégiques de cette dernière ou aux informations que FYGR s’est engagée à garder confidentielles à l’égard de ses autres clients et/ou partenaires. FYGR pourra s’opposer à toute mesure de contrôle de l’utilisateur ou de l’auditeur mandaté par lui qui serait susceptible de leur donner accès à de telles données ou informations. FYGR veillera par ailleurs en tout état de cause à ce que l’auditeur et, plus généralement, le personnel procédant à l’audit soient soumis à des obligations de confidentialité appropriées.

El usuario se compromete a cumplir las obligaciones que le incumben como responsable del tratamiento de datos en virtud del RGPD. En este sentido, es especialmente responsable de garantizar que:
- el tratamiento de datos personales tenga una base jurídica adecuada (por ejemplo, el consentimiento del interesado, el interés legítimo del responsable del tratamiento o una disposición legal, etc.); - se mantengan actualizados los registros de tratamiento de datos; - se lleven a cabo todas las formalidades y procedimientos necesarios.);
- se mantienen actualizados los registros de tratamiento de datos;
- se han llevado a cabo todas las formalidades y procedimientos necesarios (como una evaluación de impacto, notificación o solicitud de autorización a la autoridad de control o a cualquier otro organismo) cuando proceda;
- se informa a los interesados sobre el tratamiento de datos personales de forma concisa, transparente, inteligible y fácilmente accesible;
- se ofrece a los interesados la posibilidad de ejercer sus derechos, tal y como establece el RGPD;
- se aplican medidas técnicas y organizativas en sus propios sistemas y operaciones que no entran en el ámbito de los servicios para garantizar la seguridad del tratamiento de los datos personales.

Además, el usuario se compromete a:
- documentar por escrito cualquier instrucción relativa al tratamiento de datos;
- garantizar, previamente y durante toda la duración del tratamiento, que FYGR cumple con las obligaciones establecidas en el RGPD;
- supervisar el tratamiento, incluyendo la realización de auditorías e inspecciones en FYGR, en las condiciones descritas anteriormente.