Accord de traitement des données

Le present Accord de Traitement des Donnees ("Accord") fait partie des Conditions Generales entre :

Le present Accord s'applique lorsque le Sous-traitant traite des donnees personnelles pour le compte du Responsable du traitement dans le cadre de la plateforme OverToo ("Service"). En acceptant les Conditions Generales, le Responsable du traitement accepte les termes du present Accord.

1. Objet et champ d'application

Le present Accord regit le traitement des donnees personnelles par le Sous-traitant pour le compte du Responsable du traitement conformement a l'article 28 du RGPD (UE) 2016/679. Le traitement est limite a ce qui est necessaire pour fournir le Service.

2. Roles des parties

• Le Responsable du traitement determine les finalites et les moyens du traitement des donnees personnelles.
• Le Sous-traitant traite les donnees personnelles uniquement pour le compte du Responsable du traitement.

Le Sous-traitant ne traite pas les donnees personnelles a ses propres fins.

3. Nature et finalite du traitement

Les activites de traitement effectuees par le Sous-traitant pour le compte du Responsable du traitement comprennent :

• Hebergement et stockage des donnees
• Gestion des comptes utilisateurs
• Planification et gestion des sessions
• Communication et notifications
• Facilitation du traitement des paiements
• Support technique et maintenance du systeme

4. Categories de donnees et de personnes concernees

5. Instructions

Le Sous-traitant ne traite les donnees personnelles que :

• sur la base d'instructions documentees du Responsable du traitement,
• dans la mesure necessaire a la fourniture du Service,
• ou lorsque la legislation applicable l'exige (auquel cas le Sous-traitant en informe le Responsable du traitement, sauf interdiction legale).

6. Confidentialite

Le Sous-traitant s'assure que l'ensemble du personnel autorise a traiter des donnees personnelles est soumis a des obligations de confidentialite appropriees et recoit une formation adequate en matiere de protection des donnees.

7. Mesures de securite

Le Sous-traitant met en oeuvre des mesures techniques et organisationnelles appropriees, notamment :

• Chiffrement en transit (TLS/HTTPS)
• Hachage securise des mots de passe
• Controles d'acces bases sur les roles
• Separation logique des donnees des locataires
• Surveillance et journalisation
• Evaluations de securite regulieres

8. Sous-traitants ulterieurs

Le Responsable du traitement autorise le Sous-traitant a faire appel aux categories suivantes de sous-traitants ulterieurs :

Catégorie	Exemples
Hebergement et infrastructure	Fournisseur de serveurs et d'hebergement cloud
Traitement des paiements	Stripe, PayPal, Przelewy24
Livraison de courrier electronique	Fournisseur SMTP configure par l'ecole (par exemple Gmail, Outlook 365)

Le Sous-traitant s'assure que les sous-traitants ulterieurs sont soumis a des obligations de protection des donnees equivalentes. Une liste actualisee des sous-traitants ulterieurs est disponible sur demande a support@overtoo.com.

9. Transferts internationaux

Lorsque des donnees personnelles sont transferees en dehors de l'EEE, le Sous-traitant assure des garanties appropriees, y compris les Clauses Contractuelles Types (CCT) ou d'autres mecanismes de transfert licites en vertu du Chapitre V du RGPD.

10. Assistance au Responsable du traitement

Le Sous-traitant assiste le Responsable du traitement, compte tenu de la nature du traitement, pour :

• la reponse aux demandes des personnes concernees (acces, rectification, effacement, portabilite, opposition),
• le respect des obligations du RGPD en matiere de securite et de notification des violations de donnees,
• les analyses d'impact relatives a la protection des donnees (AIPD) le cas echeant.

11. Violation de donnees personnelles

Le Sous-traitant doit :

• notifier le Responsable du traitement dans les meilleurs delais apres avoir pris connaissance d'une violation de donnees personnelles affectant les donnees du Responsable du traitement,
• fournir toutes les informations pertinentes pour aider le Responsable du traitement a se conformer aux articles 33 et 34 du RGPD.

12. Conservation et suppression des donnees

A la fin du Service :

• les donnees personnelles seront supprimees ou, a la demande ecrite du Responsable du traitement, restituees au Responsable du traitement,
• sauf si la conservation est requise par la legislation applicable.

Le Responsable du traitement est charge de demander une exportation des donnees avant la fin du contrat. Les demandes d'exportation doivent etre envoyees a support@overtoo.com.

13. Droits d'audit

Le Sous-traitant met a disposition les informations raisonnablement necessaires pour demontrer la conformite au present Accord. Les audits sont raisonnables et proportionnes, sous reserve d'un preavis ecrit, et ne compromettent pas la securite des autres clients.

14. Responsabilite

Chaque partie reste responsable de sa propre conformite au RGPD. Le Sous-traitant n'est responsable que des dommages causes par des manquements a ses obligations specifiques en vertu du present Accord ou de la legislation applicable en matiere de protection des donnees.

15. Droit applicable

Le present Accord est regi par le droit polonais, sous reserve du droit applicable de l'UE en matiere de protection des donnees, y compris le RGPD.

16. Relation avec les Conditions Generales

Le present Accord fait partie et est integre aux Conditions Generales regissant l'utilisation du Service. En cas de conflit entre le present Accord et les Conditions Generales, le present Accord prevaut en ce qui concerne les questions de protection des donnees.

17. Contact

Pour toute question relative à la protection des données ou pour demander une copie signée de cet Accord :

OverToo
E-mail : support@overtoo.com
Adresse : Warsaw, Poland