Accord sur le traitement des commandes (AVV]
conformément à l'art. 28, al. 3 du Règlement général sur la protection des données (RGPD]
§ 1 Objet et durée de la commande
(1] Le présent accord régit les droits et obligations des parties dans le cadre du traitement des données personnelles par le sous-traitant (traitement des commandes] pour le compte du client (responsable du traitement]. Il s'applique à toutes les activités dans lesquelles les employés du sous-traitant ou les tiers mandatés par lui peuvent entrer en contact avec les données personnelles du responsable du traitement.
(2] La durée de cet accord est conforme à la durée du contrat principal concernant l'utilisation du logiciel "BusWay". Il prend fin automatiquement à la fin du contrat principal, sauf s'il existe des obligations légales de conservation.
§ 2 Nature et finalité du traitement
(1] Le sous-traitant met à la disposition du responsable du traitement une plateforme Software-as-a-Service (SaaS]. Le traitement comprend la collecte, le stockage, l'évaluation et la mise à disposition de données pour soutenir les opérations commerciales.
(2] La finalité du traitement est l'instruction numérique des Route/Lines, la navigation du personnel de conduite, la gestion des informations de route ainsi que la garantie technique du fonctionnement du logiciel.
§ 3 Nature des données et cercle des personnes concernées
(1] Catégories de personnes concernées : Employés du client (chauffeurs, répartiteurs, administrateurs].
(2] Nature des données personnelles traitées :
- Données d'identification (nom d'utilisateur, adresse e-mail, prénom et nom].
- Données de localisation et de mouvement (coordonnées GPS pendant l'utilisation active de l'application, historiques des itinéraires].
- Métadonnées de l'appareil (adresse IP, ID de l'appareil, version du système d'exploitation, version de l'application].
- Données d'utilisation (horodatage des connexions, itinéraires créés ou parcourus, journaux de synchronisation].
§ 4 Obligations du sous-traitant
(1] Le sous-traitant traite les données personnelles exclusivement dans le cadre des accords conclus et selon les instructions du responsable du traitement, à moins qu'il ne soit tenu à un autre traitement par des dispositions légales.
(2] Le sous-traitant garantit que toutes les personnes autorisées à traiter les données personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
(3] Le sous-traitant prend toutes les mesures nécessaires conformément à l'art. 32 RGPD (Sécurité du traitement] afin de garantir un niveau de protection adapté au risque.
(4] Le sous-traitant assiste le responsable du traitement dans le respect des obligations mentionnées aux art. 32 à 36 RGPD (par exemple, notification des violations de la protection des données personnelles] dans la mesure du possible.
§ 5 Obligations du responsable du traitement
(1] Le responsable du traitement est seul responsable de l'évaluation de la licéité du traitement conformément à l'art. 6 al. 1 RGPD ainsi que du respect des droits des personnes concernées (par exemple, information des employés sur la localisation GPS].
(2] Le responsable du traitement donne généralement ses instructions par l'utilisation des fonctions du logiciel (par exemple, création ou suppression d'utilisateurs]. Les instructions orales doivent être confirmées immédiatement par écrit ou sous forme de texte (e-mail].
§ 6 Mesures techniques et organisationnelles (MTO]
(1] Le sous-traitant a pris des mesures techniques et organisationnelles appropriées pour protéger les données contre l'accès non autorisé, la perte ou la modification.
- Confidentialité: Chiffrement de la transmission de données (SSL/TLS], protection par mot de passe (hachage], contrôles d'accès.
- Intégrité: Contrôle de la saisie, journalisation des accès au système, séparation des données des mandants (séparation logique].
- Disponibilité: Sauvegardes régulières, infrastructure de serveur redondante, plans d'urgence (reprise après sinistre].
- Résilience: Utilisation d'infrastructures cloud évolutives et vérification régulière de la sécurité du système.
§ 7 Relations de sous-traitance
(1] Le responsable du traitement accorde au sous-traitant l'autorisation générale de faire appel à d'autres sous-traitants (sous-traitants] pour l'exécution des obligations contractuelles.
(2] Le sous-traitant informe le responsable du traitement de toute modification prévue concernant le recours à d'autres sous-traitants ou leur remplacement. Le responsable du traitement dispose d'un droit d'opposition.
(3] Les sous-traitants actuellement utilisés sont énumérés dans l'annexe à ce contrat.
§ 8 Droits de contrôle
(1] Le responsable du traitement a le droit de vérifier dans une mesure raisonnable le respect des dispositions légales et des réglementations de ce contrat par le sous-traitant. Comme il s'agit d'une solution SaaS, la preuve peut être apportée en priorité par des certificats ou des attestations de tiers indépendants.
§ 9 Suppression et restitution des données
(1] Après la fin de la fourniture des services de traitement, le sous-traitant supprime toutes les données personnelles ou les restitue au responsable du traitement, à moins qu'il n'existe une obligation légale de conservation.
§ 10 Dispositions finales
(1] Si certaines parties de cet accord sont invalides, cela n'affecte pas la validité des autres dispositions.
(2] Le droit de la République fédérale d'Allemagne s'applique. Le tribunal compétent est celui du siège du sous-traitant.
Le sous-traitant utilise les prestataires de services suivants pour l'exécution de ses prestations :
| Prestation de service | Prestataire de services | Emplacement du serveur |
|---|---|---|
| Hébergement, base de données et backend | Strato AG | Berlin / Karlsruhe, DE |
| Données cartographiques et géocodage | Google Cloud EMEA | Dublin, IE (UE] |
| Revendeur / Commerçant officiel | Paddle.com Market Ltd | Londres, UK (Décision d'adéquation] |