Bijlage - Verwerker van persoonsgegevens

Het doel van deze bijlage is om de voorwaarden vast te leggen waaronder FYGR, in zijn hoedanigheid van onderaannemer en in het kader van de diensten die in het document worden gedefinieerd, zich ertoe verbindt om verwerkingen van persoonsgegevens uit te voeren voor rekening van zijn gebruikers in overeenstemming met de toepasselijke bepalingen inzake de bescherming van persoonsgegevens, in het bijzonder de gewijzigde wet van 6 januari 1978 betreffende gegevensverwerking, gegevensbestanden en individuele vrijheden en Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 van toepassing sinds 25 mei 2018 (hierna "RGPD").

In het kader hiervan treedt FYGR dus op als "verwerker" in de volgende gevallen: wanneer de klant persoonlijke informatie met betrekking tot derden opslaat of toegankelijk maakt via het gebruik van de Budgea API, Bridge of Fintecture service.

De gebruiker daarentegen wordt verondersteld op te treden als "verantwoordelijke voor de verwerking" in de zin van de definities van de RGPD.

In het kader van hun contractuele relatie verbinden de partijen zich er aldus toe om, elk wat hem betreft, de geldende reglementering inzake de verwerking van persoonsgegevens na te leven.

Voor de toepassing van deze verordening hebben de volgende begrippen dezelfde betekenis als in de RGPD:

Persoonsgegevens: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (hierna "betrokkene" genoemd); als een "identificeerbare natuurlijke persoon" wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online identificator, of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.

Gevoelige gegevens of bijzondere categorieën van gegevens: persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijkt, alsook genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens die de gezondheid betreffen of gegevens die het seksleven of de seksuele geaardheid van een natuurlijke persoon betreffen. (Artikel 9 van de GDPR)

Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, beperken, wissen of vernietigen van gegevens.

Verantwoordelijke voor de verwerking : de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt; Subverwerker: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, ten behoeve van de verantwoordelijke voor de verwerking, persoonsgegevens verwerkt.

Ontvanger: de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, al dan niet als derde, persoonsgegevens ontvangt. Overheidsinstanties die persoonsgegevens kunnen ontvangen in het kader van een specifiek onderzoek overeenkomstig de EU-wetgeving of de wetgeving van een gebruikersstaat, worden echter niet als ontvangers beschouwd; de verwerking van dergelijke gegevens door de overheidsinstanties in kwestie voldoet aan de toepasselijke gegevensbeschermingsregels, afhankelijk van de doeleinden van de verwerking.

FYGR mag, als onderaannemer die handelt in opdracht van de gebruiker, de Persoonsgegevens van de verantwoordelijke verwerken in de mate die nodig is voor de levering van de diensten.

De aard van de activiteiten die FYGR uitvoert met betrekking tot de Persoonsgegevens kan bestaan uit de opslag van informatie en/of andere diensten zoals beschreven in de AVG. Het type Persoonsgegevens en de categorieën van betrokken personen worden door de gebruiker naar eigen goeddunken bepaald en gecontroleerd. De verwerkingsactiviteiten worden door FYGR uitgevoerd gedurende de periode die in de AGV is bepaald.

La société FYGR  s’engage en qualité de sous-traitant à :

1. Traiter les Données à caractère personnel uniquement aux fins de réalisation des services ;
‍
2. Ne pas accéder ou utiliser les Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des services ;
‍
3. Traiter les Données à caractère personnel conformément aux instructions documentées de l’utilisateur ;
‍
4. Informer l’utilisateur si à son avis et compte tenu des informations dont elle dispose, une des instructions constitue une violation au RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats Utilisateurs relative à la protection des données.
‍
5. Garantir la confidentialité des Données à caractère personnel traitées dans le cadre de l’exercice de ses missions ;
‍
6. Le cas échéant, veiller à ce que les utilisateurs de son personnel autorisés à traiter les Données à caractère personnel :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

7. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

8. Sous-traitants ultérieurs :
FYGR peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des services (« Sous-traitant ultérieur »). L’utilisateur autorise expressément FYGR à engager ces sociétés en tant que Sous-traitants ultérieurs.

En tout état de cause, le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de FYGR. Il appartient à FYGR de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, FYGR  demeurerait pleinement responsable devant l’utilisateur de l’exécution par l’autre sous-traitant de ses obligations.

9. Droit d’information des personnes concernées :
L’utilisateur en tant que Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

10. Exercice des droits des personnes :
FYGR fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer à l’utilisateur toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées.

L’utilisateur, en tant que Responsable du traitement, est seul responsable des réponses à ces demandes.

L’utilisateur reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de FYGR, cela pourra être facturé à l’utilisateur à condition de le lui notifier et d’obtenir son accord au préalable.

11. Notification des violations de données à caractère personnel :
FYGR s’engage à notifier par tous moyens à l’utilisateur toute violation de données à caractère personnel dans un délai maximum de 72 (soixante-douze) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente (CNIL).

12. Aide de FYGR dans le cadre du respect par l’utilisateur de ses obligations :
FYGR  s’engage dans la mesure du possible et si cela s’avérait nécessaire à aider l’utilisateur, pour la réalisation d’analyses d’impact relative à la protection des données.

FYGR s’engage également, si cela était nécessaire, à aider l’utilisateur pour la réalisation de la consultation préalable de l’autorité de contrôle (CNIL).

13. Mesures de sécurité :
FYGR met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité, l’intégrité des traitements de données et protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

14. Sort des données :
À la fin du service (notamment en cas de résiliation des CGU), FYGR s’engage à supprimer tout contenu (notamment les données, fichiers, etc.) reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État Utilisateur de l’Union européenne, en exigent autrement.

L’utilisateur est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des services.

À cet égard, l’utilisateur est informé que la résiliation et l’expiration du service pour quelque raison que ce soit, ainsi que certaines opérations de mise à jour ou de réinstallation des services, peuvent automatiquement entraîner la suppression irréversible de tout contenu reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, ce compris toute sauvegarde potentielle.

15. Registre des catégories d’activités de traitement :
FYGR  déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’utilisateur comprenant :
le nom et les coordonnées de l’utilisateur pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
les catégories de traitements effectués pour le compte de l’utilisateur ;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

16. Documentation :
FYGR met à la disposition de ses utilisateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’utilisateur ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Dans le cadre de tels audits, l’utilisateur ou l’auditeur mandaté par lui ne seront toutefois pas autorisés à accéder aux secrets des affaires de FYGR, aux informations stratégiques de cette dernière ou aux informations que FYGR s’est engagée à garder confidentielles à l’égard de ses autres clients et/ou partenaires. FYGR pourra s’opposer à toute mesure de contrôle de l’utilisateur ou de l’auditeur mandaté par lui qui serait susceptible de leur donner accès à de telles données ou informations. FYGR veillera par ailleurs en tout état de cause à ce que l’auditeur et, plus généralement, le personnel procédant à l’audit soient soumis à des obligations de confidentialité appropriées.

De gebruiker verbindt zich ertoe te voldoen aan de verplichtingen die krachtens de RGPD op hem rusten als verantwoordelijke voor de verwerking. In dit verband is hij er in het bijzonder verantwoordelijk voor dat:
- de verwerking van persoonsgegevens een passende rechtsgrondslag heeft (bijvoorbeeld de toestemming van de betrokkene, het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of een wettelijke bepaling, enz.);
- de gegevensverwerkingsregisters worden bijgehouden;
- alle vereiste formaliteiten en procedures (zoals een effectbeoordeling, kennisgeving of verzoek om toestemming van de toezichthoudende autoriteit of een andere instantie) zijn uitgevoerd, indien van toepassing;
- betrokkenen worden geïnformeerd over de verwerking van persoonsgegevens op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier;
- de betrokkenen de mogelijkheid hebben om hun rechten uit te oefenen, zoals bepaald in de RGPD;
- technische en organisatorische maatregelen worden geïmplementeerd binnen de eigen systemen en activiteiten die niet binnen het toepassingsgebied van de diensten vallen, om de veiligheid van de verwerking van persoonsgegevens te waarborgen.

Bovendien verbindt de gebruiker zich ertoe om:
- alle instructies met betrekking tot de verwerking van gegevens schriftelijk te documenteren;
- er vooraf en tijdens de hele duur van de verwerking voor te zorgen dat FYGR de verplichtingen uit de RGPD naleeft;
- toezicht te houden op de verwerking, met inbegrip van het uitvoeren van audits en inspecties bij FYGR, onder de hierboven beschreven voorwaarden.