Vie privée – Confidentialité |
Dans le cadre d’utilisation de données privée, REDPHARMA s’engage par principe et explicitement à se conformer aux dispositions du règlement général sur la protection des données 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, en ce compris mais non limitativement, la loi 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Pour se faire, REDPHARMA approuvera de manière supplémentaire aux conditions générales, l’addendum de protection des données à caractère personnel en annexe.
Annexe à la clause vie privée :
ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES A CARACTERES PERSONNEL
Le présent addendum de protection des données à caractère personnel fait partie intégrante des conditions générales de la convention d’affiliation au service de Reporting Red-Data de REDPHARMA.
- Définitions
« Lois applicables » désigne les lois, règles, directives, règlements édictés ou promulgués par une entité gouvernementale (y compris tout gouvernement national ou étranger, supranational, étatique, de comté, municipal, local, territorial ou autre, y compris, le cas échéant, la Directive 95/46/CE, directive 2002/58/CE, décisions et orientations de la Commission européenne), telles que transposées dans la législation nationale de chaque État membre ou autre et modifiées, remplacées ou remplacées de temps à autre, y compris par le GDPR ou en complétant le GDPR, et tous les principes d’autorégulation de l’industrie qui sont applicables dans le lieu ou dans la région où les services sont fournis ou reçus, liés au traitement des données personnelles ou à l’interception, l’enregistrement ou la surveillance des communications.
« GDPR » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
« Données » désigne toutes les données à caractère personnel collectées ou reçues par REDPHARMA, qu’elles soient reçues des pharmaciens, de personnes concernées, de tiers, etc.
« Responsable du traitement » des données personnelles désigne le pharmacien qui recueille et gère les données personnelles de ses clients.
« Sous-traitant » désigne tout tiers désigné par REDPHARMA pour traiter les données à caractère personnel au nom du pharmacien dans le cadre d’un accord.
« Contrat » désigne la convention d’affiliation au service de Reporting Red-Data de REDPHARMA.
« Parties » ou « Partie » désigne REDPHARMA et le pharmacien, ensemble ou séparément.
Les termes « Commission », « Contrôleur », « Personne concernée », « État membre », « Données à caractère personnel », « Traitement » et « Autorités de surveillance » ont le même sens que dans le GDPR, et leurs termes apparentés doivent être interprétés en conséquence.
- Conformité à la loi
Les Parties se conforment aux obligations en vertu de toutes les lois applicables en ce qui concerne le traitement des données à caractère personnel avec le Contrat.
- Sauvegarde
Les Parties confirment et peuvent prouver qu’elles ont mis en place des mesures de sécurité appropriées pour protéger les données, y compris les mesures techniques et organisationnelles appropriées, contre tout traitement non autorisé ou illégal et contre toute perte, destruction ou dommage accidentel, de manière à assurer l’intégrité et la confidentialité des données. En tenant compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques.
- Traitement équitable
REDPHARMA confirme qu’elle traitera les données comme confidentielles uniquement conformément aux instructions écrites du pharmacien. REDPHARMA n’utilisera ou ne traitera aucunes données à d’autres fins que de fournir les services convenus par écrit. L’objet et les détails des données en cours de traitement doivent être définis dans le Contrat. Si REDPHARMA constate des erreurs ou des inexactitudes dans les données, elle en informera le pharmacien dans les plus brefs délais.
- Personnel manipulant des données personnelles
Les Parties prendront des mesures raisonnables pour assurer la fiabilité de tout employé, affilié, sous-traitant ou agent («Personnel») engagé dans le traitement de données. Elles confirment que toutes les données auxquelles elles ont accès ne seront accessibles qu’à leur personnel qui : (i) doit avoir accès (ii) avoir été formé au traitement approprié de données ; et (iii) est soumis à des obligations contractuelles de confidentialité, de sécurité et de confidentialité à l’égard de ces données.
- Transferts
Les Parties confirment qu’elles ne transféreront pas, et que tout sous-traitant ne transfèrera pas les données hors du pays dans lequel elles leur sont fournies, sauf (a) entre les Etats membres de l’Espace Economique Européen (« EEA ») « ) ; ou (b) sur les instructions écrites de pharmacien. Si des données venaient à être transmises en dehors de l’EEE, la Partie concernée entrera rapidement (ou exigera, dans le cas d’un transfert par ou à un sous-traitant, que ce sous-traitant entre rapidement dans un accord avec les Parties concernées sur les « clauses modèles UE » ou équivalentes.
- DPO et demandes de tiers
Les Parties confirment qu’elles auront un responsable de la protection des données à caractère personnel (ou un employé désigné) qui sera responsable de la gestion légale des données et de toutes les questions connexes et qui sera disponible pour aider REDPHARMA ou le pharmacien en temps opportun, si des demandes de renseignement ont été reçues de la part des personnes concernées ou de toute autorité compétente en matière de protection des données ou de confidentialité, en ce qui concerne les données qu’elles traitent. Les Parties confirment qu’elles fourniront, toute l’assistance et toute l’information qu’elles peuvent raisonnablement demander, en temps opportun, pour s’aider à se conformer à leurs obligations au titre du GDPR, en ce qui concerne les données personnelles.
- Sous-traitance
Pour recruter un sous-traitant, REDPHARMA doit être en possession d’une autorisation écrite préalable du pharmacien et conformément à la présente section et à l’article 28 du GDPR.
REDPHARMA peut continuer à utiliser les sous-traitants qu’elle a déjà engagés à la date du présent addendum, en respectant les obligations énoncées dans cette section et l’article 28 du GDPR.
REDPHARMA donnera au pharmacien un préavis écrit de la nomination de tout nouveau sous-traitant, y compris tous les détails du traitement à effectuer par le sous-traitant. En ce qui concerne chaque sous-traitant, REDPHARMA devra : (i) avant que le sous-traitant ne traite les données personnelles, effectuer une vérification diligente adéquate pour s’assurer que le sous-traitant est capable de fournir le niveau de protection requis pour les données à caractère personnel selon les lois applicables et le Contrat ; (ii) s’assurer que le sous-traitant exécute un contrat écrit comprenant des conditions qui offrent au moins le même niveau de protection pour les données à caractère personnel que celles énoncées dans le présent addendum et satisfont aux exigences de la loi applicable ; (iii) sur demande raisonnable, fournir au pharmacien pour examen des copies des accords avec les sous-traitants (sans mentions) des informations commerciales confidentielles non pertinentes aux exigences du présent addendum) que le pharmacien peut raisonnablement demander de temps en temps ; et (iv) être responsable des actes et omissions de ses sous-traitants.
- Faille de sécurité et violation des données à caractère personnel
Les Parties confirment qu’en cas de faille de sécurité, d’atteinte à l’intégrité des données à caractère personnel ou de violation de ces données elles : (i) prendront rapidement toutes les mesures correctives nécessaires et appropriées pour remédier aux causes sous-jacentes de la violation des données à caractère personnel et feront des efforts commerciaux raisonnables pour s’assurer que cette violation de données ne se reproduira pas ; (ii) informeront immédiatement l’autre Partie et, dans tous les cas, dans les vingt-quatre (24) heures, en fournissant des détails raisonnables sur l’atteinte à la protection des données personnelles et l’impact probable sur les sujets de données tels que mentionné à l’article 33, §3 du GDPR; et (iii) prendront toute mesure requise par la loi applicable et / ou à la demande raisonnable de l’autre Partie. Après concertation préalable avec REDPHARMA, le pharmacien prendra la décision finale de notifier ou non aux personnes concernées et / ou au grand public, en fonction de la gravité de la violation.
- Conservation
REDPHARMA s’assurera que toutes les données à caractère personnel en sa possession sont retournées au pharmacien ou détruites, au choix du pharmacien, quand elles ne sont plus nécessaires pour l’exécution des services convenus, dans un délai raisonnable d’un an maximum en tenant compte du type de données personnelles.
- Traitement des données à caractère personnel
Les Parties ne traiteront les données à caractère personnel que dans les strictes limites de l’exécution du Contrat, conformément aux instructions du pharmacien (le responsable de traitement).
- Droits des personnes concernées
REDPHARMA confirme avoir les moyens et prendre toutes les mesures raisonnables appropriées à la nature du traitement (techniques et organisationnelles) pour permettre et aider le pharmacien de répondre aux demandes raisonnables des sujets des personnes concernées, en relation avec leurs droits en vertu de l’article 12-22 du GDPR et dès lors s’acquitter de son obligation de donner suite aux demandes formulées par les personnes concernées.
- Données personnelles sensibles / spéciales
Les Parties confirment qu’elles ne partageront aucune catégorie sensible / spéciale de données personnelles, telle que définie aux articles 9 et 10 du GDPR, sauf accord exprès écrit des personnes concernées.
- Audit
Les Parties confirment qu’elles coopèrent pleinement à répondre à toute demande raisonnable d’informations du pharmacien et / ou de ses clients concernant le traitement de données à caractère personnel. Dans la mesure nécessaire pour permettre à toutes les Parties de se conformer à leurs obligations en vertu des lois applicables, REDPHARMA autorise le pharmacien ou toute autre personne qu’elle aura mandatée à effectuer une vérification de sa conformité au présent addendum et aux lois applicables.
- Évaluation de l’impact de la protection des données
REDPHARMA fournit une assistance raisonnable au pharmacien pour toute évaluation d’impact sur la protection des données, et des consultations préalables avec les autorités de surveillance ou d’autres autorités compétentes en matière de confidentialité des données que le pharmacien considère comme exigées par l’article 35 et/ou 36 du GDPR ou des dispositions équivalentes de toute autre loi applicable, dans chaque cas uniquement en relation avec le traitement des données à caractère personnel par, et en tenant compte de la nature du traitement et des informations mises à la disposition du fournisseur.
- Ordre de préséance
Les Parties reconnaissent et acceptent que les termes et conditions du présent addendum complètent la clause vie privée et confidentialité des conditions générales. Rien dans le présent addendum ne réduit les obligations des Parties en vertu du Contrat en ce qui concerne la protection des données ou leur permet de Traiter (ou permettre le traitement des) Données à caractère personnel d’une manière qui est interdite par le Contrat. En cas de conflit ou d’incompatibilité entre l’addendum, le GDPR et un accord, l’ordre de préséance sera: (1) le GDPR (2) l’addendum (3) un accord.
- Respect des obligations
De manière générale, REDPHARMA aidera le pharmacien (le responsable de traitement) à garantir et démontrer le respect de ses obligations en matière de traitement des données à caractère personnel.
ACCEPTATION DES PARTIES
REDPHARMA et le pharmacien acceptent que le présent addendum relatif au traitement des données à caractère personnel prenne effet dès le 1er mars 2020.