Ce contrat sur le traitement de données (« ATD ») a pour principales fonctions (i) de désigner T.B.I. Refunds à IDA BUSINESS & TECHNOLOGY PARK, RING ROAD, KILKENNY, IRLANDE comme Responsables du traitement (« Responsable du traitement ») de la société requérante (ci-après le « Sous-traitant »).
Les Parties souhaitent convenir de certaines dispositions relatives à la protection et à la sécurité des données transmises par le Responsable du traitement au Sous-traitant afin de refléter les exigences des lois et règlements applicables, notamment les lois et règlements régissant la protection des données personnelles, tels que la Loi sur la protection des données selon le pays où le Responsable du traitement intervient.
1.1 Les termes en majuscules sont ceux qui sont définis dans l’Accord. « Dommages-intérêts » désigne l’ensemble des responsabilités, coûts, dépenses, dommages-intérêts et pertes (y compris, mais sans s’y limiter, les pertes directes, indirectes ou consécutives, le manque à gagner, la perte de réputation et tous intérêts, amendes, pénalités et frais juridiques (calculés sur une base d’indemnisation intégrale), et tous autres frais et dépenses professionnels raisonnables) que le Client subit ou engage en rapport avec le présent Accord ou avec une action en justice, notamment en raison de violations contractuelles, d’un acte délictuel (dont la négligence) et tout autre acte criminel de common law, ou en justice ou en vertu des dispositions légales ;
« Responsable du traitement » a la signification qui lui est donnée dans la Loi sur la protection des données ;
« Sous-traitant » a le sens qui lui est donné dans la Loi sur la protection des données ;
« Évaluation de l’impact sur la protection des données » a le sens qui lui est donné dans la Loi sur la protection des données ;
« Loi sur la protection des données » signifie la loi sur la protection des données et la loi sur la protection de la vie privée selon le pays de juridiction du responsable du traitement des données.
« Violation de la sécurité des données » a le sens qui lui est donné dans la Loi sur la protection des données ;
« Personne concernée » a le sens qui lui est donné dans la Loi sur la protection des données ;
« Données personnelles » a le sens qui lui est donné dans la Loi sur la protection des données ;
« Bouclier de protection de la vie privée » désigne le système et les principes du bouclier de protection de la vie privée mis en œuvre par le ministère américain du commerce et approuvés par la Commission européenne, ou tout système et principe de remplacement approuvés par la Commission européenne à cette fin de temps à autre ;
« Traitement » a le sens qui lui est donné dans la Loi sur la protection des données ; et « Traiter » sera interprété en conséquence ;
« Organisme de réglementation » désigne tout ministère du gouvernement et toute entité, comité ou organisme réglementaire, statutaire ou autre qui, en vertu d’une loi, d’une règle, d’un règlement, d’un code de pratique ou autrement, est habilité par une loi applicable à superviser, réglementer, enquêter ou influencer les questions traitées dans la présente entente ou toute autre affaire des parties ;
« Sous-processeur » a la signification qui lui est donnée dans la Loi sur la protection des données.
2.1 Responsable du traitement : Le Client est Responsable du Traitement des Données personnelles au sens de l’Annexe 1.
2.2 Sous-traitant : le Fournisseur agit en qualité de Sous-traitant en ce qui concerne les Données personnelles qu’il traite pour le compte du Client.
2.3 Le Fournisseur s’engage à respecter les obligations qui lui incombent en tant que Responsable du traitement en vertu de la Loi sur la protection des données. Si le Fournisseur a connaissance d’une raison quelconque qui l’empêcherait de se conformer à la Loi sur la protection des données ou d’un incident de non-respect de la Loi sur la protection des données dans le cadre du Traitement des Données personnelles en vertu du présent Accord, il doit en informer le Client dans les plus brefs délais possibles.
2.4 Instructions : Le Fournisseur ne traitera les Données personnelles que conformément au présent Accord et à toute autre instruction écrite du Client, et fera en sorte que seul son personnel traite les Données personnelles conformément au présent Accord et à toute autre instruction écrite du Client, sauf si la législation de l’Union ou de l’État membre l’y oblige et dans ce cas, le Fournisseur informe le Client de cette obligation légale avant traitement, à moins que cette législation interdise ces informations pour des raisons importantes d’intérêt public. Le Fournisseur s’engage à ne pas acquérir de droits ou d’intérêts sur les Données personnelles.
2.5 Droits des personnes concernées : Le Fournisseur s’engage à aider le Client à répondre aux demandes des Personnes concernées, en exerçant leurs droits en vertu de la Loi sur la protection des données, dans un délai raisonnable que le Client pourra spécifier.
2.6 Si le Fournisseur reçoit directement une telle demande de la part des Personnes concernées, le Fournisseur informera immédiatement le Client qu’il a reçu la demande et l’enverra immédiatement au Client. Le Fournisseur ne répondra en aucune façon à une telle demande, sauf sur instruction du Client.
2.7 Assistance : Le Fournisseur assistera le Client dans un délai raisonnable qu’il lui indiquera en ce qui concerne le respect des obligations qui lui incombent en vertu des présentes :
2.7.1 Sécurité du traitement
2.7.2 Avis d’atteinte à la protection des données
2.7.3 Études d’impact sur la protection des données
2.8 Transferts de données : Le Fournisseur transférera les Données personnelles ou d’autres informations relatives aux clients du Client conformément à ses obligations contractuelles. Le Client peut, entre autres exigences, demander au Fournisseur de :
2.8.1 conclure ou faire en sorte qu’un sous-traitant pertinent conclue un Accord de transfert de données approprié ; ou
2.8.2 pour les transferts vers les États-Unis d’Amérique, s’assurer que le destinataire a et continue de maintenir une certification valide et à jour en vertu du Bouclier de protection de la vie privée et se conforme aux principes du Bouclier de protection de la vie privée.
Les dispositions précédentes du présent Article 2.8 s’appliquent également à tout transfert ultérieur des Données personnelles ou autres informations relatives aux clients du Client.
2.9 Dans le cas où le mécanisme de transfert prévu à l’Article 8 cesse d’être valable, le Fournisseur est tenu, au choix du Client :
2.9.1 conclure et/ou faire en sorte que tout sous-traitant concerné conclue un autre mécanisme approprié de transfert de données ;
2.9.2 détruire toute Donnée personnelle en sa possession et/ou en celle de son sous-traitant ; ou
2.9.3 restituer au Client les Données personnelles en sa possession et/ou en celle de son sous-traitant.
2.10 Données personnelles des membres du groupe de clients : Dans le cas où plus d’un membre du groupe de clients transmet au Fournisseur, ou donne autrement accès au Fournisseur, des Données personnelles ou d’autres informations relatives à ses clients en vertu du présent Accord :
2.10.1 le Fournisseur conservera les Données personnelles et autres informations relatives aux clients de chaque membre séparément identifiées, par référence à ce membre ; et
2.10.2 le Fournisseur ne divulguera aucune des Données personnelles ou autres informations relatives aux clients d’un membre du Groupe de Clients, à un autre membre du Groupe de Clients, sans le consentement du membre propriétaire des Données personnelles ou autres informations concernant ses clients.
2.11 Sous-traitement : Le Fournisseur s’engage à ne pas engager de tiers pour traiter les Données personnelles du Client sans l’accord écrit préalable du Client.
2.12 Si le Fournisseur engage un tiers pour traiter les Données personnelles d’un Client, le Fournisseur imposera à ce tiers, au moyen d’un contrat écrit, les mêmes obligations de protection des données que celles énoncées dans le présent Accord et s’assurera que si un tiers engagé par le Fournisseur engage une autre personne pour Traiter les Données personnelles, le tiers est tenu de respecter toutes les obligations en matière de Traitement des Données personnelles qui sont imposées dans le présent Accord.
2.13 Le Fournisseur informera le Client de tout changement prévu concernant l’ajout ou le remplacement des autres sous-traitants et n’effectuera pas de tels changements sans le consentement écrit préalable du Client.
2.14 Le Fournisseur reste entièrement responsable envers le Client du Traitement par un tiers comme si le Traitement était effectué par le Fournisseur.
2.15 Sécurité : Le Fournisseur mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque pour la sécurité des Données personnelles, en particulier en cas de destruction accidentelle ou illicite, de perte, d’altération, d’utilisation non autorisée, de divulgation ou d’accès aux Données personnelles, y compris le cas échéant et comme notifié préalablement au Client :
2.15.1 la pseudonymisation et le cryptage des Données personnelles
2.15.2 la capacité d’assurer la confidentialité, l’intégrité et la disponibilité continues des Données personnelles et la résilience des Systèmes du Fournisseur utilisés pour un tel Traitement ;
2.15.3 la possibilité de rétablir la disponibilité et l’accès aux Données personnelles en cas d’incident physique ou technique ; et
2.15.4 un processus permettant de tester, d’évaluer et d’apprécier régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
2.16 Confidentialité : Le Fournisseur s’assurera que son personnel qui traite des Données personnelles dans le cadre du présent Accord soit soumis à des obligations de confidentialité en ce qui concerne ces Données personnelles.
2.17 Démonstration de la conformité : Le Fournisseur mettra à la disposition du Client toutes les informations nécessaires pour permettre et contribuer aux audits, y compris les inspections, effectués par le Client ou un autre auditeur mandaté par le Client.
2.18 Infractions : Le Fournisseur informera immédiatement le Client si, à son avis, une instruction donnée ou une demande faite en vertu du présent Accord viole la Loi sur la protection des données.
2.19 Avis d’atteinte à la sécurité des données : Le Fournisseur informera le Client dans les vingt-quatre (24) heures, s’il prend connaissance d’une Violation de la sécurité des données. Le Fournisseur ne communiquera avec aucune personne concernée au sujet d’une Violation de la sécurité des données sans le consentement écrit préalable du Client.
2.20 Dommages-intérêts Le Fournisseur s’engage à indemniser le Client, contre tout Dommages-intérêts subi par le Client, résultant de ou en relation avec :
2.20.1 Le Fournisseur agissant en dehors ou contrairement aux instructions légales du Client ;
2.20.2 Toute autre violation par le Fournisseur de ses obligations en vertu du présent Accord ou des Lois sur la protection des données ; et/ou
2.20.3 Tout acte ou omission du Fournisseur ou de son personnel qui, de quelque manière que ce soit, constitue une violation des Lois sur la protection des données par le Client.
2.21 Résiliation/expiration : En cas de résiliation ou d’expiration du présent Accord (ou à tout autre moment à la demande du Client), le Fournisseur retournera, détruira ou effacera définitivement, au choix du Client, toutes les copies des Données personnelles reçues et/ou traitées par lui en vertu du présent Accord, sauf si la Loi applicable exige la conservation des Données personnelles.
2.22 Survie de l’Article : Les dispositions du présent Article 2.22 resteront en vigueur jusqu’à ce que le Fournisseur ait retourné ou détruit toutes les Données personnelles conformément à l’Article 2.21.
3.1 Le présent Accord prend fin automatiquement à la résiliation ou à l’expiration des obligations du Responsable du traitement en relation avec les Services, et à la résiliation du présent Accord, le Responsable du traitement doit se conformer à ses obligations en vertu de l’Article 2.21 du présent Accord.
3.2 L’une ou l’autre des parties peut résilier le présent Accord avec effet immédiat par notification écrite à l’autre partie :
(a) si l’autre partie commet une violation substantielle de l’Accord ; ou
b) si l’autre partie devient ou est déclarée insolvable ou prend des mesures officielles pour faire faillite ou fait ou propose un concordat avec ses créanciers ou la nomination d’un séquestre ou d’un dirigeant semblable à l’égard de tout ou partie de ses actifs ou la prise de mesures pour la dissolution ou la radiation.
4.1 Contreparties : le présent Accord peut être signé en plusieurs exemplaires et par les Parties à l’Accord sur des exemplaires distincts, chacun d’eux étant un original mais constituant un seul et même accord.
4.2 Droit applicable et juridiction compétente : le présent Accord et tout litige ou réclamation découlant de son objet ou en relation avec celui-ci sont régis par les lois de la République d’Irlande et interprétés conformément à celles-ci. Les Parties se soumettront à la juridiction exclusive des tribunaux irlandais pour tout litige ou réclamation découlant du présent Accord ou en relation avec celui-ci.
Récupération de la TVA pour la durée du contrat.
Le Sous-traitant est responsable du traitement des données et des informations pour le compte du Responsable du traitement, étant entendu que le Responsable du traitement a obtenu le consentement nécessaire ou a le but légitime pour le traitement des données.
Les Données personnelles sont traitées afin de valider la TVA lorsque les achats ont été effectués en relation directe avec les voyages d’affaires et les dépenses associées.
Coordonnées (nom, adresse, adresse e-mail, numéros de téléphone), données de transaction.
Aucune donnée personnelle sensible n’est saisie.
Employés du Client
Mesures de sécurité et d’organisation. Les contrôles de sécurité techniques et organisationnels sont mis en œuvre conformément à la norme ISO27001 sur la sécurité de l’information, selon laquelle Taxback International est certifié par notre organisme d’accréditation externe.
Les données sont reçues par Taxback International de diverses sources dans le cadre de son application pour s’assurer que la TVA est récupérée pour (nom du client) comme convenu contractuellement.
Les données sont partagées avec nos fournisseurs de services, y compris (sans s’y limiter) ceux que nous engageons pour exécuter des fonctions de traitement des services mondiaux de TVA, y compris le stockage de vos données dans l’EEE et aux États-Unis. Toute personne nécessaire pour assurer la conformité de Taxback International à toute loi, réglementation ou exigence légale applicable.
Transferts de données selon les instructions du Responsable du traitement, y compris les autorités fiscales locales, conformément à chaque pays applicable pour le recouvrement de la TVA.
Données conservées selon les directives du Responsable du traitement.
Margaret Corrigan, The Taxback Group, IDA Business & Technology Park, Ring Road, Kilkenny, Irlande.