Protection des données Aavenant
Cet addendum sur la protection des données ("DPA") fait partie des conditions d'utilisation disponibles à www.KampoCard.com/legal/terms, ou, le cas échéant, tout autre accord écrit séparé (l'"Accord" ou "l'Accord de Services"), par et entre KampoCard, Inc., une société du Delaware ("KampoCard") et le Client nommé dans l'Accord, en vertu duquel Le Client a acheté un abonnement pour accéder et utiliser le Service (tel que défini dans le Contrat). Les parties entendent que cet ATD soit une extension de l'Accord qui définira certaines exigences pour le traitement par KampoCard de certaines données personnelles fournies ou mises à disposition par le Client, ou collectées ou autrement obtenues par KampoCard, dans le cadre de la fourniture de services au Client.
Contenu
Annexe 1 : Objet et détails du traitement des données
Annexe 2 : Aperçu des mesures de sécurité techniques et opérationnelles de KampoCard
-
Définitions.
-
"Législation sur la protection des données" désigne toutes les lois applicables relatives à la confidentialité et au traitement des données personnelles qui peuvent exister dans toute juridiction concernée où KampoCard exerce ses activités. La législation sur la protection des données inclut, mais sans s'y limiter, le RGPD de l'UE et le RGPD du Royaume-Uni.
-
« Bonnes pratiques de l'industrie » signifie, en relation avec toute activité et en toute circonstance, l'exercice des mêmes compétences, expertises et jugements et l'utilisation d'installations et de ressources d'une qualité similaire ou supérieure à celles attendues d'une personne qui : (a) est qualifiée et expérimenté dans la fourniture des services en question, cherchant de bonne foi à se conformer à ses obligations contractuelles et cherchant à éviter toute responsabilité découlant de toute obligation de diligence qui pourrait raisonnablement s'appliquer ; (b) prend toutes les précautions appropriées et raisonnables et fait preuve de diligence dans l'exécution de ses obligations ; et (c) est conforme à toutes les lois applicables et à toutes les normes applicables de l'industrie, y compris toutes les normes de qualité reconnues de l'industrie et la loi applicable.
-
« responsable du traitement », « sous-traitant », « sous-traitant ultérieur », « personne concernée », « données personnelles », « traitement » et « mesures techniques et organisationnelles appropriées » doivent être interprétés conformément à la directive 95/46/CE, ou autre législation applicable en matière de protection des données, dans la juridiction concernée.
-
« RGPD UE » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant Directive 95/46/CE.
-
"clauses contractuelles types" désigne le modèle de contrat entre le responsable du traitement et le sous-traitant pour le transfert de données à caractère personnel vers des pays tiers adopté par la Commission européenne, décision d'exécution 2021/914 de la Commission du 4 juin 2021.
-
"UK Addendum" désigne l'International Data Transfer Addendum (version B1.0) publié par le Bureau du Commissaire à l'information en vertu de l'article 119 (A) de la loi britannique sur la protection des données de 2018, telle que modifiée, remplacée ou remplacée de temps à autre.
-
« RGPD britannique » désigne, collectivement, le RGPD de l'UE tel qu'enregistré dans la législation britannique en vertu de l'article 3 de la loi britannique de 2018 sur l'Union européenne (retrait) et de la loi britannique de 2018 sur la protection des données.
-
-
Portée. Les parties conviennent que, entre les parties, le Client est un responsable du traitement des données et que KampoCard est un sous-traitant en ce qui concerne les données personnelles que KampoCard traite pour le compte du Client dans le cadre de la fourniture des services en vertu du Contrat de Services (les "Services"). . L'objet du traitement des données, les types de données personnelles traitées et les catégories de personnes concernées seront définis par et/ou limités à ce qui est nécessaire pour exécuter les Services décrits dans le Contrat de Services. Le traitement sera effectué jusqu'à la date à laquelle KampoCard cesse de fournir les Services au Client. Les catégories de personnes concernées et les données personnelles sont précisées en Annexe 1 aux présentes.
-
Protection des données. En ce qui concerne les données personnelles traitées dans le cadre de la fourniture des Services, KampoCard respectera les exigences suivantes :
-
KampoCard traitera les données personnelles uniquement conformément aux instructions écrites du client et uniquement en conformité avec la législation sur la protection des données. Ces instructions peuvent être spécifiques ou de nature générale, comme indiqué dans le présent ATD, le Contrat de services, ou autrement notifié par écrit par le Client à KampoCard de temps à autre. La nature et les finalités du traitement seront limitées à celles nécessaires à l'exécution de ces instructions, et non aux fins propres à KampoCard, ou à toute autre fin, sauf si la loi l'exige. Si KampoCard est tenue par la loi de traiter les données personnelles à toute autre fin, KampoCard informera le Client de cette exigence avant le traitement, sauf si la loi l'interdit.
-
KampoCard ne traitera les données personnelles que dans la mesure et de la manière nécessaires à la fourniture des Services. KampoCard ne peut corriger, supprimer ou bloquer les données personnelles traitées pour le compte du Client que sur instruction du Client.
-
KampoCard mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre le traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, le vol, l'altération ou la divulgation accidentels. Ces mesures tiennent compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques. Les mesures doivent être adaptées au préjudice qui pourrait résulter de tout traitement non autorisé ou illicite, perte accidentelle, destruction, endommagement ou vol des données à caractère personnel et eu égard à la nature des données à caractère personnel à protéger et doivent au minimum être conforme à la législation sur la protection des données et aux bonnes pratiques de l'industrie. Ces mesures comprennent, selon le cas :
-
la pseudonymisation et le cryptage des données personnelles ;
-
la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
-
la possibilité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique ;
-
un processus pour tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
-
-
KampoCard ne donnera accès ni ne transférera aucune donnée personnelle à un tiers (y compris les sociétés affiliées, les sociétés du groupe ou les sous-traitants) sans donner au Client un préavis préalable et la possibilité de s'opposer au Client via une mise à jour to www.KampoCard.com/legal/subprocessors; nonobstant ce qui précède, les sous-traitants listés sur www.KampoCard.com/legal/subprocessors à la date du présent ATD sont réputés pré-approuvés par le Client, sous réserve des conditions contenues dans les présentes. Si le Client ne s'oppose pas de bonne foi pour des motifs liés à la protection des données à ce que KampoCard engage un sous-traitant pour exécuter toute partie des Services, KampoCard doit s'assurer de la fiabilité et de la compétence de ce tiers, de ses employés ou agents qui peuvent avoir accès aux les données personnelles traitées dans le cadre de la fourniture des Services, et doivent inclure dans tout contrat avec ces tiers des dispositions en faveur du Client qui sont substantiellement équivalentes à celles du présent ATD et du Contrat de Services et qui sont requises par la Législation applicable en matière de protection des données. Pour éviter toute ambiguïté, lorsqu'un tiers ne remplit pas ses obligations en vertu de tout accord de sous-traitement ou de toute législation applicable en matière de protection des données, KampoCard restera entièrement responsable envers le Client du respect de ses obligations en vertu du présent ATD et du Contrat de services.
-
KampoCard prendra des mesures raisonnables pour garantir la fiabilité et la compétence de tout membre du personnel de KampoCard ayant accès aux données personnelles. KampoCard veillera à ce que tout le personnel de KampoCard devant accéder aux données personnelles soit informé de la nature confidentielle des données personnelles et respecte les obligations énoncées dans le présent DPA.
-
KampoCard prendra toutes les mesures raisonnables pour aider le Client à respecter ses obligations en vertu de la législation applicable en matière de protection des données, y compris les obligations du Client de répondre aux demandes des personnes concernées d'exercer leurs droits en matière de données personnelles, de respecter les obligations de sécurité des données, de répondre aux violations de données et d'autres incidents impliquant des données personnelles, mener des évaluations d'impact sur la protection des données et consulter les autorités de contrôle. KampoCard informera rapidement le Client par écrit si elle reçoit : (i) une demande d'une personne concernée concernant des données personnelles ; ou (ii) une plainte, une communication ou une demande relative aux obligations du Client en vertu de la législation sur la protection des données.
-
KampoCard ne conservera aucune des données personnelles plus longtemps que nécessaire pour fournir les Services. À la fin des Services, ou à la demande du Client, KampoCard détruira ou restituera de manière sécurisée (au choix du Client) les données personnelles au Client.
-
En ce qui concerne les données personnelles relatives aux personnes concernées situées dans l'Espace économique européen ou au Royaume-Uni, le Client consent par la présente au traitement de ces données personnelles aux États-Unis par KampoCard, à condition que
-
KampoCard prendra les mesures raisonnablement requises par le Client sur une base continue pour assurer une protection adéquate de ces données personnelles conformément à la législation applicable en matière de protection des données ; et
-
KampoCard traitera ces données conformément aux clauses contractuelles types. Aux fins des descriptions dans les clauses contractuelles types et uniquement entre le Client et KampoCard, le Client accepte que le Client est un contrôleur de données et « exportateur de données » et KampoCard est le processeur de données et « importateur de données ». " dans le cadre des clauses contractuelles types. De plus, les annexes 1 et 2 du présent ATD remplaceront respectivement les annexes 1 et 2 des clauses contractuelles types.
-
En ce qui concerne les données personnelles protégées par le RGPD britannique, les clauses contractuelles types s'appliqueront avec les modifications suivantes : (A) les clauses contractuelles types sont réputées modifiées comme spécifié par l'addendum britannique, qui est réputé exécuté entre les parties ; (B) tout conflit entre les clauses contractuelles types et l'Addendum du Royaume-Uni sera résolu conformément à la Section 10 et à la Section 11 de l'Addendum du Royaume-Uni ; (C) Les tableaux 1 à 3 de la partie 1 de l'addendum britannique sont réputés complétés à l'aide des informations contenues dans les annexes du présent ATD ; et (D) le tableau 4 de la partie 1 de l'addendum du Royaume-Uni est réputé rempli en sélectionnant « aucune des parties ».
-
-
KampoCard autorisera le Client et ses auditeurs ou agents autorisés respectifs à effectuer des audits et des inspections raisonnables pendant la durée du Contrat de services, uniquement pour permettre au Client de vérifier que KampoCard traite les données personnelles conformément à ses obligations en vertu du présent ATD, du Contrat de services, et la législation applicable en matière de protection des données.
-
Si KampoCard prend connaissance d'une destruction, d'une perte, d'une altération, d'une divulgation ou d'un accès accidentels, non autorisés ou illégaux aux données personnelles traitées par KampoCard dans le cadre de la fourniture des Services dans le cadre du Contrat de Services (une "Violation de la Sécurité") ,
-
il doit, dans les 72 heures et sans retard injustifié, informer le Client et fournir au Client : une description détaillée de la Violation de sécurité ; le type de données ayant fait l'objet de la brèche de sécurité ; l'identité de chaque personne affectée, et les mesures prises par KampoCard afin d'atténuer et de remédier à cette brèche de sécurité, dans chaque cas dès que ces informations peuvent être collectées ou deviennent disponibles (ainsi que des mises à jour périodiques de ces informations et de toute autre information le Client peut raisonnablement demander concernant la Violation de la sécurité ); et
-
prendre immédiatement des mesures, à ses propres frais, pour enquêter sur la brèche de sécurité et identifier, prévenir et atténuer les effets de la brèche de sécurité et, avec l'approbation écrite préalable du client, effectuer toute récupération ou autre action nécessaire pour remédier à la brèche de sécurité Enfreindre.
-
-
KampoCard se conformera à tout moment et aidera le Client à se conformer à ses obligations applicables en vertu de la législation sur la protection des données. KampoCard fournira toute information demandée par le Client pour démontrer le respect des obligations énoncées dans le présent ATD. KampoCard ne s'acquittera pas de ses obligations en vertu du Contrat de services ou du présent DPA de manière à amener le Client à enfreindre l'une de ses obligations en vertu de la législation applicable en matière de protection des données.
-
KampoCard informera immédiatement le Client si, de l'avis raisonnable de KampoCard, une instruction de traitement des données personnelles donnée par le Client enfreint la législation applicable en matière de protection des données.
-
Annexe 1 : Objet et détails du traitement des données
Exportateur de données
L'exportateur de données est le client.
Importateur de données
L'importateur de données est KampoCard, Inc.
Personnes concernées
Les données personnelles transférées concernent les catégories de personnes concernées suivantes (veuillez préciser) :
-
le consommateur
-
contacts individuels du Client
-
toute autre personne concernée dont les données peuvent être traitées de temps à autre conformément à l'Accord et au présent ATD.
Catégories de données
Les données personnelles transférées concernent les catégories de données suivantes (veuillez préciser) :
-
Nom et prénom
-
Adresse e-mail
-
Numéro de téléphone
-
Adresse postale ou autre adresse
-
adresse IP
-
Photographies et/ou vidéo des personnes concernées
-
Profils de médias sociaux
-
Date de naissance
Catégories particulières de données (le cas échéant)
Les données personnelles transférées concernent les catégories particulières de données suivantes (veuillez préciser) :
-
Choix du pronom de genre
Opérations de traitement
Les données personnelles transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) : Comme décrit dans l'Accord.
Annexe 2 : Aperçu des mesures de sécurité techniques et opérationnelles de KampoCard
KampoCard adopte un système de gestion de la sécurité de l'information (ISMS) comme cadre d'amélioration continue de la sécurité.
Ce SMSI comprend (mais n'est pas limité à) :
Stratégies
KampoCard a et révise périodiquement les politiques de sécurité de l'information en tant que principales lignes directrices pour les pratiques de sécurité. Cela comprend la gestion des risques, la classification des données, le contrôle d'accès, le développement de logiciels et les violations de données.
Conscience
La sensibilisation à la sécurité et à la conformité est fondamentale et fournie à tous les utilisateurs. Certains utilisateurs peuvent avoir une connaissance spécifique supplémentaire, pertinente pour leur fonction.
Contrôle d'accès
L'accès est accordé sur la base du besoin d'en connaître et seul un petit nombre d'utilisateurs peut accéder aux systèmes de production où les informations des Clients sont stockées. L'authentification aux systèmes de production est effectuée avec l'authentification à 2 facteurs en standard.
Journalisation des audits
Des journaux d'audit pertinents sont conservés, y compris l'accès aux informations sensibles (y compris les données personnelles). Les journaux sont conservés dans une infrastructure distincte et uniquement accessibles par l'équipe de sécurité.
Violations de données
Des processus sont définis pour gérer les violations de données. Ces processus comprennent la notification aux parties prenantes concernées, selon le type d'incident et la législation applicable.
Sécurité Internet
KampoCard a mis en place plusieurs mesures de sécurité pour protéger notre infrastructure des menaces externes et internes. Cela inclut le cryptage, les pare-feu, les IDS et d'autres fournisseurs de cloud spécifiques. L'accès aux systèmes de production se fait en mode sécurisé et le cryptage en transit est un défaut. Les informations sensibles sont également chiffrées au repos.
Sécurité physique
KampoCard utilise des centres de données gérés par des fournisseurs de cloud et leur délègue toute la sécurité physique, après une diligence raisonnable.
Continuité de l'activité
KampoCard dispose de plusieurs implémentations techniques pour assurer la continuité d'activité de son service. Ceux-ci incluent des sauvegardes, une infrastructure résiliente et redondante et un plan de reprise après sinistre.
Développement
Le développement est effectué à l'aide d'une méthodologie de développement sécurisée qui comprend un examen par les pairs et un codage et des tests sécurisés.
Amélioration continue et révision
La posture de sécurité de KampoCard est basée sur un processus d'amélioration continue qui comprend un examen périodique de l'efficacité des contrôles de sécurité.