CONDITIONS DE TRAITEMENT DES DONNÉES
Conditions de traitement des données
Ces conditions de traitement des données (« Conditions ») font partie des conditions de service entre ZARO Inc. et ses sociétés affiliées et filiales telles que AS ZARO Lettonie, ZARO Custom Printing, SL et autres (« ZARO ») et les commerçants (définis ci-dessous). concernant les services de ZARO. Ces conditions sont contraignantes entre ZARO et les commerçants et constituent un accord de traitement des données. En cas de conflit entre les présentes Conditions et le Contrat, les présentes Conditions prévaudront. Si vous n'acceptez pas ces Conditions, n'utilisez pas le Service (tous deux définis ci-dessous).
1. Définitions
Les termes commençant par une majuscule et non autrement définis dans les présentes auront la même signification que celle indiquée dans le Contrat.
« Accord » désigne les conditions de service conclues par ZARO et le commerçant concernant l'utilisation du service de ZARO.
« Personne concernée », « Responsable du traitement », « Sous-traitant », « Autorité de contrôle » et « Processus » ont la signification donnée dans le RGPD.
« Lois sur la protection des données » désigne (a) le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. (« RGPD ») et toute loi nationale applicable mettant en œuvre ou complétant la loi, y compris la loi britannique sur la protection des données de 2018 (le cas échéant) ; (b) la directive 2002/58/CE sur la vie privée en ligne et toute loi nationale de mise en œuvre applicable ; et (c) le règlement e-Privacy 2017/003 (une fois entré en vigueur) ; dans chaque cas, tel que modifié, consolidé, réédicté ou remplacé de temps à autre.
« Marchand » désigne toute personne, qu'elle soit personne morale ou personne physique, qui utilise le Service de ZARO pour exécuter des commandes et/ou livrer ses produits aux destinataires, y compris les clients du Marchand.
« Clauses types » désigne les clauses contractuelles types (du contrôleur au sous-traitant) telles que définies dans la décision de la Commission du 5 février 2010 (C (2010) 593), telles que modifiées, mises à jour ou remplacées de temps à autre.
« Parties » désigne ZARO et le commerçant.
« Données personnelles » désigne les données personnelles soumises au RGPD et à toute législation nationale mettant en œuvre le RGPD, y compris la loi britannique sur la protection des données de 2018 (le cas échéant), y compris les données personnelles des commerçants de ZARO à qui des biens et services sont proposés dans l'EEE et dans l'EEE. Royaume-Uni (les « pays RGPD ») ;
« Programme Privacy Shield » désigne les cadres de protection des données UE-États-Unis et Suisse-États-Unis tels que conçus par le ministère américain du Commerce et approuvés par la Commission européenne et l'administration suisse (respectivement) comme offrant une protection adéquate concernant la collecte, l'utilisation et la conservation des données. informations personnelles transférées de l’UE, du Royaume-Uni et/ou de la Suisse (le cas échéant) vers les États-Unis.
« Service » désigne les services d'impression à la demande offerts par ZARO aux commerçants, y compris l'impression pour un usage personnel ou l'externalisation de l'impression et de la livraison de produits aux clients du commerçant, ainsi que l'image de marque, l'entreposage et l'exécution, la conception, le marchandisage et d'autres services que ZARO propose. peut fournir conformément aux exigences du commerçant.
« Pays tiers » désigne tous les pays en dehors de l'Espace économique européen (« EEE »), à l'exclusion des pays approuvés comme offrant une protection adéquate des données personnelles par la Commission européenne de temps à autre, qui, à la date du présent accord, comprennent Andorre, l'Argentine, Canada, îles Féroé, Guernesey, île de Man, Israël, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.
2. Objet des Conditions
Les présentes Conditions régissent la relation entre ZARO et le commerçant en ce qui concerne tout traitement de données personnelles par ZARO au nom du commerçant.
Dans la mesure où ZARO traite les données personnelles pour le compte du commerçant, le commerçant est le contrôleur et ZARO est le sous-traitant, traitant ces données personnelles uniquement pour le compte du commerçant.
Le commerçant nomme et charge par la présente ZARO de traiter les données personnelles comme prescrit par les présentes conditions, y compris en ce qui concerne le transfert de données personnelles vers un pays tiers ou une organisation internationale.
3. Détails du traitement
3.1 Dans la mesure où ZARO traite les données personnelles pour le compte du commerçant, les détails de traitement suivants s'appliquent :
Catégories de personnes concernées. Les clients du commerçant (utilisateurs finaux des services de ZARO) et les clients potentiels du commerçant ou autres utilisateurs finaux des services de ZARO, dont le commerçant a autorisé ZARO à traiter les données personnelles.
Type de données personnelles. Données personnelles relatives aux clients du commerçant et toutes données personnelles contenues dans le contenu imprimé du commerçant (le cas échéant) et données personnelles révélées lors de l'utilisation de tout service ZARO, y compris le nom, l'adresse e-mail, le numéro de téléphone, l'adresse de livraison et d'autres informations sur les clients du commerçant. .
Nature et finalité du traitement. ZARO traite les données conformément aux présentes conditions afin de fournir le service au commerçant et d'assurer par ailleurs le respect des obligations énoncées dans l'accord entre le commerçant et ZARO dans la mesure où cela implique le traitement de données personnelles. ZARO a uniquement accès aux données personnelles qui ont été fournies par le commerçant et utilise ces données personnelles conformément aux instructions du commerçant telles qu'énoncées dans les présentes conditions.
Durée du traitement. Les données seront traitées pendant la durée du Contrat.
4. Obligations du commerçant
Le commerçant garantit qu'il s'est conformé et continue de se conformer aux lois sur la protection des données, y compris celles énoncées à la clause 4(b).
Le commerçant confirme que les données personnelles transférées à ZARO ont été collectées par le commerçant sur une base légale valable et que le commerçant a obtenu tous les consentements nécessaires ou donné toutes les notifications nécessaires comme prescrit par les lois sur la protection des données, et que le commerçant est en droit de fournir les Données personnelles à ZARO.
Le commerçant confirme que les présentes conditions contiennent des instructions suffisantes à l'intention de ZARO concernant le traitement des données personnelles, ainsi que la portée et les finalités de celui-ci.
Si cela est raisonnablement nécessaire, le commerçant peut fournir à ZARO des instructions supplémentaires concernant le traitement des données personnelles autres que celles prescrites par les présentes conditions. Ces instructions supplémentaires doivent être raisonnables à exécuter par ZARO, correctement documentées et conformes aux lois sur la protection des données et doivent également être acceptées par ZARO.
Le commerçant sera responsable de l'exactitude des données personnelles et de leur mise à jour et informera ZARO en cas de modification des données personnelles.
ZARO ne sera pas responsable des réclamations ou plaintes des personnes concernées concernant toute mesure prise par ZARO suite à une action conformément aux instructions reçues du commerçant. En outre, le commerçant s'engage à indemniser et à dégager ZARO de toute responsabilité sur demande pour toutes réclamations, responsabilités, coûts, dépenses, pertes ou dommages (y compris les pertes consécutives, la perte de profit et la perte de réputation et tous les intérêts, pénalités et dommages légaux et autres frais et dépenses professionnels) encourus par ZARO résultant directement ou indirectement d'une violation de la présente clause 4.
5. Obligations de ZARO
ZARO ne traitera les données personnelles qu'au nom du commerçant et suivra toujours les instructions du commerçant prescrites par les présentes conditions, ou telles qu'elles sont autrement fournies à ZARO par écrit conformément à la clause 4(e) ; si ZARO ne peut pas assurer une telle conformité pour quelque raison que ce soit (y compris si l'instruction viole les lois sur la protection des données), elle s'engage à informer le commerçant de son incapacité à se conformer dès que raisonnablement possible.
ZARO a mis en œuvre les mesures techniques et organisationnelles appropriées spécifiées à l'Annexe 1 (Mesures de sécurité techniques et organisationnelles) des présentes Conditions et continuera à s'y conformer pendant la durée des présentes Conditions et de l'Accord.
ZARO surveille et s'assure que tout le personnel autorisé de ZARO impliqué dans le traitement des données en vertu des présentes Conditions s'est engagé à respecter des obligations de confidentialité ou est soumis à une obligation légale appropriée de confidentialité.
D'autres obligations de ZARO sont définies dans les articles 6 à 9.
6. Assistance au Commerçant
Compte tenu de la nature du traitement, ZARO fournira toute l'assistance raisonnable au commerçant en prenant des mesures techniques ou organisationnelles, dans la mesure du possible, pour le respect des obligations du commerçant en tant que responsable du traitement en ce qui concerne :
Toute demande des personnes concernées concernant l'accès, la rectification, l'effacement, la restriction, la portabilité, le blocage ou la suppression de leurs données personnelles que ZARO traite pour le compte du commerçant. Dans le cas où une personne concernée envoie une telle demande directement à ZARO, ZARO transmettra rapidement cette demande au commerçant ;
L'enquête sur toute faille de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données Personnelles appartenant au Commerçant ou à tout accès accidentel ou non autorisé ou à tout autre événement affectant l'intégrité, la disponibilité ou la confidentialité des données personnelles appartenant au commerçant (une « violation de données ») et la notification à l'autorité de contrôle compétente et aux personnes concernées concernant cette violation de données (le cas échéant) ; en outre, ZARO informera rapidement le commerçant de toute violation de données ; et
Le cas échéant, la préparation d'analyses d'impact sur la protection des données et, le cas échéant, la réalisation de consultations avec toute autorité de contrôle.
7. Sous-traitants et transfert de données
Pour que ZARO soit en mesure de remplir ses obligations prescrites par le Contrat et d'administrer et de fournir le Service, le Marchand accorde par la présente à ZARO l'autorisation écrite générale d'engager des sous-traitants ultérieurs. Le commerçant peut obtenir la liste des sous-traitants actuels engagés par ZARO en saisissant l'adresse e-mail du compte enregistré dans la section ci-dessous. La liste comprendra l'identité des sous-traitants ultérieurs, les services fournis et le pays de localisation.
Le commerçant sera informé de la nomination ou de tout changement prévu concernant l'ajout ou le remplacement des sous-traitants ultérieurs de ZARO dans cette section du site Web de ZARO. Cette notification apparaîtra 10 (dix) jours avant l'engagement du sous-traitant ultérieur. Pendant cette période, le commerçant peut s'opposer à la nomination ou au remplacement du sous-traitant ultérieur en envoyant une notification écrite à Privacy@ZARO.shop, en fournissant des motifs raisonnables d'opposition (par exemple, en cas de violation possible des lois sur la protection des données). Si le commerçant ne s'y oppose pas, ZARO peut procéder à la nomination ou au remplacement.
ZARO confirme par la présente que ses sous-traitants ultérieurs sont tenus, contractuellement ou autrement, sous une forme contraignante, de se conformer aux obligations de traitement des données qui ne sont pas moins onéreuses pour le sous-traitant concerné que les obligations de ZARO telles que prescrites par les présentes Conditions.
Lorsque ZARO traite, accède et/ou stocke des données personnelles dans un pays tiers, ZARO doit :
se conformer aux obligations de l'importateur de données énoncées dans les clauses types, qui sont par la présente intégrées et font partie des présentes conditions avec les détails de traitement énoncés à la clause 3 (Détails du traitement) et les mesures de sécurité techniques et organisationnelles énoncées à l'annexe 1. (Mesures de sécurité techniques et organisationnelles) s'appliquant respectivement aux fins de l'Annexe 1 et de l'Annexe 2 des Clauses types, et le Commerçant se conformera aux obligations de l'Exportateur de données dans les Clauses modèles ; et
Le commerçant reconnaît et accepte que ZARO puisse nommer une société affiliée ou un sous-traitant tiers pour traiter les données personnelles du commerçant dans un pays tiers, à condition qu'il garantisse que ce traitement a lieu conformément aux exigences des lois sur la protection des données. Les parties conviennent que les données personnelles peuvent être transférées à une société affiliée ou à un sous-traitant tiers certifié pour traiter ces données dans le cadre du programme Privacy Shield. Alternativement, le commerçant donne à ZARO un mandat pour exécuter les clauses types avec les détails de traitement énoncés à la clause 3 (détails du traitement) et les mesures de sécurité techniques et organisationnelles énoncées à l'annexe 1 (mesures de sécurité techniques et organisationnelles) applicables aux fins. de l'Annexe 1 et de l'Annexe 2, respectivement, des Clauses types, avec tout sous-traitant ou société affiliée concerné qu'il nomme au nom du Commerçant.
8. Vérification
Sur demande écrite du commerçant, ZARO fournira des informations suffisantes pour démontrer le respect des obligations énoncées dans les présentes conditions et les lois sur la protection des données. Ces informations doivent être fournies dans la mesure où ces informations sont sous le contrôle de ZARO et ZARO n'est pas empêché de les divulguer par la loi applicable, un devoir de confidentialité ou toute autre obligation envers un tiers.
Si les informations fournies à la demande du commerçant, selon le jugement raisonnable du commerçant, ne sont pas suffisantes pour confirmer le respect par ZARO des présentes conditions, alors ZARO s'engage à autoriser et à contribuer aux audits de traitement des données.
De tels audits peuvent être effectués par un tiers indépendant jouissant d'une bonne réputation sur le marché, à condition qu'il possède une expérience et une compétence suffisantes pour effectuer des audits de traitement des données, et l'élection d'un tel auditeur doit être mutuellement convenue par le commerçant et ZARO.
Le calendrier et les autres aspects pratiques liés à un tel audit ou inspection sont déterminés par ZARO, et ces informations et assistance sont fournies uniquement aux frais du commerçant. ZARO se réserve le droit de facturer au commerçant tout travail supplémentaire ou autre coût encouru dans le cadre de ces audits. Le commerçant ne peut demander un tel audit qu'une fois tous les 2 ans au maximum.
L'auditeur devra signer un accord de confidentialité, qui comprend l'obligation de ne pas divulguer d'informations commerciales dans son rapport d'audit, et le rapport final devra également être fourni à ZARO.
9. Restitution et suppression des Données
Au choix du commerçant, ZARO supprimera ou restituera toutes les données personnelles au commerçant après la fin du contrat, et supprimera les copies existantes, à moins qu'une loi applicable n'exige que ZARO stocke ces données personnelles.
10. Loi applicable
Les présentes Conditions sont régies par les lois de la République de Lettonie et sont soumises à la procédure de résolution des litiges prescrite par l'Accord.
11. Modifications
ZARO se réserve le droit, à sa discrétion, de modifier les présentes Conditions. En cas de changements importants, ZARO informera le commerçant par écrit, lui donnant le droit de résilier le contrat.
Annexe 1
Mesures de sécurité techniques et organisationnelles
ZARO prendra, entre autres, les mesures techniques et organisationnelles suivantes pour assurer la sécurité physique des données personnelles et contrôler l'entrée, l'accès, le transfert, la saisie, la disponibilité et la séparation des données personnelles :
1. pour établir l'identité des personnes autorisées et empêcher tout accès non autorisé aux locaux et installations de ZARO dans lesquels les données personnelles sont traitées :
Toutes les entrées sont sécurisées ou verrouillées et ne sont accessibles qu'avec la clé/carte à puce/clés numériques internes appropriées ;
Les locaux sont protégés par un système d'alarme ;
Tous les visiteurs doivent s'identifier et sont enregistrés par le personnel autorisé ;
Surveillance vidéo des locaux ;
Les visiteurs sont accompagnés à tout moment par le personnel de ZARO ;
Des agents de sécurité qualifiés sont postés dans et autour du bâtiment 24h/24 et 7j/7,
2. pour empêcher tout accès non autorisé aux systèmes de traitement des données :
Utilisation d'un logiciel antivirus de pointe incluant le filtrage des e-mails et la détection des logiciels malveillants ;
Utilisation de pare-feux ;
Pendant les périodes d'inactivité, les PC des utilisateurs et des administrateurs sont verrouillés ;
Les utilisateurs doivent configurer des mots de passe complexes et 2FA dans tous les systèmes possibles ;
Concept de moindre privilège, autorisant uniquement l'accès nécessaire aux utilisateurs pour accomplir leur fonction professionnelle. L'accès au-dessus de ces moindres privilèges nécessite une autorisation appropriée ;
Les processus de gestion des départs, des déménagements et des sortants sont en place et couvrent les droits d'accès en fonction des tâches du poste ;
Authentification à 2 facteurs RSA/ed25519 en place pour les connexions à distance les plus critiques ;
Analyse des vulnérabilités et correction en place ;
Programme de tests d'intrusion des centres de données et des sites Web en place.
3. empêcher les activités non autorisées dans les systèmes de traitement des données en dehors du champ d'application des autorisations accordées :
L'accès des utilisateurs et des administrateurs au réseau est basé sur un modèle de droits d'accès basé sur un groupe/un rôle. Il existe un concept d'autorisation en place qui accorde des droits d'accès aux données uniquement sur la base du « besoin de savoir » ;
Administration des droits des utilisateurs via les administrateurs système ou les propriétaires du système ;
Audits de gouvernance et de contrôles informatiques effectués régulièrement par des tiers externes ;
Audits de contrôle interne effectués régulièrement.
4. garantir que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées par des personnes non autorisées lors de leur transmission électronique ou pendant leur transport ou leur enregistrement sur des supports de données et garantir qu'il est possible d'examiner et d'établir où se trouvent ou ont eu les données personnelles à transmettre par un équipement de transmission de données
Ces conditions de traitement des données (« Conditions ») font partie des conditions de service entre ZARO Inc. et ses sociétés affiliées et filiales telles que AS ZARO Lettonie, ZARO Custom Printing, SL et autres (« ZARO ») et les commerçants (définis ci-dessous). concernant les services de ZARO. Ces conditions sont contraignantes entre ZARO et les commerçants et constituent un accord de traitement des données. En cas de conflit entre les présentes Conditions et le Contrat, les présentes Conditions prévaudront. Si vous n'acceptez pas ces Conditions, n'utilisez pas le Service (tous deux définis ci-dessous).
1. Définitions
Les termes commençant par une majuscule et non autrement définis dans les présentes auront la même signification que celle indiquée dans le Contrat.
« Accord » désigne les conditions de service conclues par ZARO et le commerçant concernant l'utilisation du service de ZARO.
« Personne concernée », « Responsable du traitement », « Sous-traitant », « Autorité de contrôle » et « Processus » ont la signification donnée dans le RGPD.
« Lois sur la protection des données » désigne (a) le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. (« RGPD ») et toute loi nationale applicable mettant en œuvre ou complétant la loi, y compris la loi britannique sur la protection des données de 2018 (le cas échéant) ; (b) la directive 2002/58/CE sur la vie privée en ligne et toute loi nationale de mise en œuvre applicable ; et (c) le règlement e-Privacy 2017/003 (une fois entré en vigueur) ; dans chaque cas, tel que modifié, consolidé, réédicté ou remplacé de temps à autre.
« Marchand » désigne toute personne, qu'elle soit personne morale ou personne physique, qui utilise le Service de ZARO pour exécuter des commandes et/ou livrer ses produits aux destinataires, y compris les clients du Marchand.
« Clauses types » désigne les clauses contractuelles types (du contrôleur au sous-traitant) telles que définies dans la décision de la Commission du 5 février 2010 (C (2010) 593), telles que modifiées, mises à jour ou remplacées de temps à autre.
« Parties » désigne ZARO et le commerçant.
« Données personnelles » désigne les données personnelles soumises au RGPD et à toute législation nationale mettant en œuvre le RGPD, y compris la loi britannique sur la protection des données de 2018 (le cas échéant), y compris les données personnelles des commerçants de ZARO à qui des biens et services sont proposés dans l'EEE et dans l'EEE. Royaume-Uni (les « pays RGPD ») ;
« Programme Privacy Shield » désigne les cadres de protection des données UE-États-Unis et Suisse-États-Unis tels que conçus par le ministère américain du Commerce et approuvés par la Commission européenne et l'administration suisse (respectivement) comme offrant une protection adéquate concernant la collecte, l'utilisation et la conservation des données. informations personnelles transférées de l’UE, du Royaume-Uni et/ou de la Suisse (le cas échéant) vers les États-Unis.
« Service » désigne les services d'impression à la demande offerts par ZARO aux commerçants, y compris l'impression pour un usage personnel ou l'externalisation de l'impression et de la livraison de produits aux clients du commerçant, ainsi que l'image de marque, l'entreposage et l'exécution, la conception, le marchandisage et d'autres services que ZARO propose. peut fournir conformément aux exigences du commerçant.
« Pays tiers » désigne tous les pays en dehors de l'Espace économique européen (« EEE »), à l'exclusion des pays approuvés comme offrant une protection adéquate des données personnelles par la Commission européenne de temps à autre, qui, à la date du présent accord, comprennent Andorre, l'Argentine, Canada, îles Féroé, Guernesey, île de Man, Israël, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.
2. Objet des Conditions
Les présentes Conditions régissent la relation entre ZARO et le commerçant en ce qui concerne tout traitement de données personnelles par ZARO au nom du commerçant.
Dans la mesure où ZARO traite les données personnelles pour le compte du commerçant, le commerçant est le contrôleur et ZARO est le sous-traitant, traitant ces données personnelles uniquement pour le compte du commerçant.
Le commerçant nomme et charge par la présente ZARO de traiter les données personnelles comme prescrit par les présentes conditions, y compris en ce qui concerne le transfert de données personnelles vers un pays tiers ou une organisation internationale.
3. Détails du traitement
3.1 Dans la mesure où ZARO traite les données personnelles pour le compte du commerçant, les détails de traitement suivants s'appliquent :
Catégories de personnes concernées. Les clients du commerçant (utilisateurs finaux des services de ZARO) et les clients potentiels du commerçant ou autres utilisateurs finaux des services de ZARO, dont le commerçant a autorisé ZARO à traiter les données personnelles.
Type de données personnelles. Données personnelles relatives aux clients du commerçant et toutes données personnelles contenues dans le contenu imprimé du commerçant (le cas échéant) et données personnelles révélées lors de l'utilisation de tout service ZARO, y compris le nom, l'adresse e-mail, le numéro de téléphone, l'adresse de livraison et d'autres informations sur les clients du commerçant. .
Nature et finalité du traitement. ZARO traite les données conformément aux présentes conditions afin de fournir le service au commerçant et d'assurer par ailleurs le respect des obligations énoncées dans l'accord entre le commerçant et ZARO dans la mesure où cela implique le traitement de données personnelles. ZARO a uniquement accès aux données personnelles qui ont été fournies par le commerçant et utilise ces données personnelles conformément aux instructions du commerçant telles qu'énoncées dans les présentes conditions.
Durée du traitement. Les données seront traitées pendant la durée du Contrat.
4. Obligations du commerçant
Le commerçant garantit qu'il s'est conformé et continue de se conformer aux lois sur la protection des données, y compris celles énoncées à la clause 4(b).
Le commerçant confirme que les données personnelles transférées à ZARO ont été collectées par le commerçant sur une base légale valable et que le commerçant a obtenu tous les consentements nécessaires ou donné toutes les notifications nécessaires comme prescrit par les lois sur la protection des données, et que le commerçant est en droit de fournir les Données personnelles à ZARO.
Le commerçant confirme que les présentes conditions contiennent des instructions suffisantes à l'intention de ZARO concernant le traitement des données personnelles, ainsi que la portée et les finalités de celui-ci.
Si cela est raisonnablement nécessaire, le commerçant peut fournir à ZARO des instructions supplémentaires concernant le traitement des données personnelles autres que celles prescrites par les présentes conditions. Ces instructions supplémentaires doivent être raisonnables à exécuter par ZARO, correctement documentées et conformes aux lois sur la protection des données et doivent également être acceptées par ZARO.
Le commerçant sera responsable de l'exactitude des données personnelles et de leur mise à jour et informera ZARO en cas de modification des données personnelles.
ZARO ne sera pas responsable des réclamations ou plaintes des personnes concernées concernant toute mesure prise par ZARO suite à une action conformément aux instructions reçues du commerçant. En outre, le commerçant s'engage à indemniser et à dégager ZARO de toute responsabilité sur demande pour toutes réclamations, responsabilités, coûts, dépenses, pertes ou dommages (y compris les pertes consécutives, la perte de profit et la perte de réputation et tous les intérêts, pénalités et dommages légaux et autres frais et dépenses professionnels) encourus par ZARO résultant directement ou indirectement d'une violation de la présente clause 4.
5. Obligations de ZARO
ZARO ne traitera les données personnelles qu'au nom du commerçant et suivra toujours les instructions du commerçant prescrites par les présentes conditions, ou telles qu'elles sont autrement fournies à ZARO par écrit conformément à la clause 4(e) ; si ZARO ne peut pas assurer une telle conformité pour quelque raison que ce soit (y compris si l'instruction viole les lois sur la protection des données), elle s'engage à informer le commerçant de son incapacité à se conformer dès que raisonnablement possible.
ZARO a mis en œuvre les mesures techniques et organisationnelles appropriées spécifiées à l'Annexe 1 (Mesures de sécurité techniques et organisationnelles) des présentes Conditions et continuera à s'y conformer pendant la durée des présentes Conditions et de l'Accord.
ZARO surveille et s'assure que tout le personnel autorisé de ZARO impliqué dans le traitement des données en vertu des présentes Conditions s'est engagé à respecter des obligations de confidentialité ou est soumis à une obligation légale appropriée de confidentialité.
D'autres obligations de ZARO sont définies dans les articles 6 à 9.
6. Assistance au Commerçant
Compte tenu de la nature du traitement, ZARO fournira toute l'assistance raisonnable au commerçant en prenant des mesures techniques ou organisationnelles, dans la mesure du possible, pour le respect des obligations du commerçant en tant que responsable du traitement en ce qui concerne :
Toute demande des personnes concernées concernant l'accès, la rectification, l'effacement, la restriction, la portabilité, le blocage ou la suppression de leurs données personnelles que ZARO traite pour le compte du commerçant. Dans le cas où une personne concernée envoie une telle demande directement à ZARO, ZARO transmettra rapidement cette demande au commerçant ;
L'enquête sur toute faille de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données Personnelles appartenant au Commerçant ou à tout accès accidentel ou non autorisé ou à tout autre événement affectant l'intégrité, la disponibilité ou la confidentialité des données personnelles appartenant au commerçant (une « violation de données ») et la notification à l'autorité de contrôle compétente et aux personnes concernées concernant cette violation de données (le cas échéant) ; en outre, ZARO informera rapidement le commerçant de toute violation de données ; et
Le cas échéant, la préparation d'analyses d'impact sur la protection des données et, le cas échéant, la réalisation de consultations avec toute autorité de contrôle.
7. Sous-traitants et transfert de données
Pour que ZARO soit en mesure de remplir ses obligations prescrites par le Contrat et d'administrer et de fournir le Service, le Marchand accorde par la présente à ZARO l'autorisation écrite générale d'engager des sous-traitants ultérieurs. Le commerçant peut obtenir la liste des sous-traitants actuels engagés par ZARO en saisissant l'adresse e-mail du compte enregistré dans la section ci-dessous. La liste comprendra l'identité des sous-traitants ultérieurs, les services fournis et le pays de localisation.
Le commerçant sera informé de la nomination ou de tout changement prévu concernant l'ajout ou le remplacement des sous-traitants ultérieurs de ZARO dans cette section du site Web de ZARO. Cette notification apparaîtra 10 (dix) jours avant l'engagement du sous-traitant ultérieur. Pendant cette période, le commerçant peut s'opposer à la nomination ou au remplacement du sous-traitant ultérieur en envoyant une notification écrite à Privacy@ZARO.shop, en fournissant des motifs raisonnables d'opposition (par exemple, en cas de violation possible des lois sur la protection des données). Si le commerçant ne s'y oppose pas, ZARO peut procéder à la nomination ou au remplacement.
ZARO confirme par la présente que ses sous-traitants ultérieurs sont tenus, contractuellement ou autrement, sous une forme contraignante, de se conformer aux obligations de traitement des données qui ne sont pas moins onéreuses pour le sous-traitant concerné que les obligations de ZARO telles que prescrites par les présentes Conditions.
Lorsque ZARO traite, accède et/ou stocke des données personnelles dans un pays tiers, ZARO doit :
se conformer aux obligations de l'importateur de données énoncées dans les clauses types, qui sont par la présente intégrées et font partie des présentes conditions avec les détails de traitement énoncés à la clause 3 (Détails du traitement) et les mesures de sécurité techniques et organisationnelles énoncées à l'annexe 1. (Mesures de sécurité techniques et organisationnelles) s'appliquant respectivement aux fins de l'Annexe 1 et de l'Annexe 2 des Clauses types, et le Commerçant se conformera aux obligations de l'Exportateur de données dans les Clauses modèles ; et
Le commerçant reconnaît et accepte que ZARO puisse nommer une société affiliée ou un sous-traitant tiers pour traiter les données personnelles du commerçant dans un pays tiers, à condition qu'il garantisse que ce traitement a lieu conformément aux exigences des lois sur la protection des données. Les parties conviennent que les données personnelles peuvent être transférées à une société affiliée ou à un sous-traitant tiers certifié pour traiter ces données dans le cadre du programme Privacy Shield. Alternativement, le commerçant donne à ZARO un mandat pour exécuter les clauses types avec les détails de traitement énoncés à la clause 3 (détails du traitement) et les mesures de sécurité techniques et organisationnelles énoncées à l'annexe 1 (mesures de sécurité techniques et organisationnelles) applicables aux fins. de l'Annexe 1 et de l'Annexe 2, respectivement, des Clauses types, avec tout sous-traitant ou société affiliée concerné qu'il nomme au nom du Commerçant.
8. Vérification
Sur demande écrite du commerçant, ZARO fournira des informations suffisantes pour démontrer le respect des obligations énoncées dans les présentes conditions et les lois sur la protection des données. Ces informations doivent être fournies dans la mesure où ces informations sont sous le contrôle de ZARO et ZARO n'est pas empêché de les divulguer par la loi applicable, un devoir de confidentialité ou toute autre obligation envers un tiers.
Si les informations fournies à la demande du commerçant, selon le jugement raisonnable du commerçant, ne sont pas suffisantes pour confirmer le respect par ZARO des présentes conditions, alors ZARO s'engage à autoriser et à contribuer aux audits de traitement des données.
De tels audits peuvent être effectués par un tiers indépendant jouissant d'une bonne réputation sur le marché, à condition qu'il possède une expérience et une compétence suffisantes pour effectuer des audits de traitement des données, et l'élection d'un tel auditeur doit être mutuellement convenue par le commerçant et ZARO.
Le calendrier et les autres aspects pratiques liés à un tel audit ou inspection sont déterminés par ZARO, et ces informations et assistance sont fournies uniquement aux frais du commerçant. ZARO se réserve le droit de facturer au commerçant tout travail supplémentaire ou autre coût encouru dans le cadre de ces audits. Le commerçant ne peut demander un tel audit qu'une fois tous les 2 ans au maximum.
L'auditeur devra signer un accord de confidentialité, qui comprend l'obligation de ne pas divulguer d'informations commerciales dans son rapport d'audit, et le rapport final devra également être fourni à ZARO.
9. Restitution et suppression des Données
Au choix du commerçant, ZARO supprimera ou restituera toutes les données personnelles au commerçant après la fin du contrat, et supprimera les copies existantes, à moins qu'une loi applicable n'exige que ZARO stocke ces données personnelles.
10. Loi applicable
Les présentes Conditions sont régies par les lois de la République de Lettonie et sont soumises à la procédure de résolution des litiges prescrite par l'Accord.
11. Modifications
ZARO se réserve le droit, à sa discrétion, de modifier les présentes Conditions. En cas de changements importants, ZARO informera le commerçant par écrit, lui donnant le droit de résilier le contrat.
Annexe 1
Mesures de sécurité techniques et organisationnelles
ZARO prendra, entre autres, les mesures techniques et organisationnelles suivantes pour assurer la sécurité physique des données personnelles et contrôler l'entrée, l'accès, le transfert, la saisie, la disponibilité et la séparation des données personnelles :
1. pour établir l'identité des personnes autorisées et empêcher tout accès non autorisé aux locaux et installations de ZARO dans lesquels les données personnelles sont traitées :
Toutes les entrées sont sécurisées ou verrouillées et ne sont accessibles qu'avec la clé/carte à puce/clés numériques internes appropriées ;
Les locaux sont protégés par un système d'alarme ;
Tous les visiteurs doivent s'identifier et sont enregistrés par le personnel autorisé ;
Surveillance vidéo des locaux ;
Les visiteurs sont accompagnés à tout moment par le personnel de ZARO ;
Des agents de sécurité qualifiés sont postés dans et autour du bâtiment 24h/24 et 7j/7,
2. pour empêcher tout accès non autorisé aux systèmes de traitement des données :
Utilisation d'un logiciel antivirus de pointe incluant le filtrage des e-mails et la détection des logiciels malveillants ;
Utilisation de pare-feux ;
Pendant les périodes d'inactivité, les PC des utilisateurs et des administrateurs sont verrouillés ;
Les utilisateurs doivent configurer des mots de passe complexes et 2FA dans tous les systèmes possibles ;
Concept de moindre privilège, autorisant uniquement l'accès nécessaire aux utilisateurs pour accomplir leur fonction professionnelle. L'accès au-dessus de ces moindres privilèges nécessite une autorisation appropriée ;
Les processus de gestion des départs, des déménagements et des sortants sont en place et couvrent les droits d'accès en fonction des tâches du poste ;
Authentification à 2 facteurs RSA/ed25519 en place pour les connexions à distance les plus critiques ;
Analyse des vulnérabilités et correction en place ;
Programme de tests d'intrusion des centres de données et des sites Web en place.
3. empêcher les activités non autorisées dans les systèmes de traitement des données en dehors du champ d'application des autorisations accordées :
L'accès des utilisateurs et des administrateurs au réseau est basé sur un modèle de droits d'accès basé sur un groupe/un rôle. Il existe un concept d'autorisation en place qui accorde des droits d'accès aux données uniquement sur la base du « besoin de savoir » ;
Administration des droits des utilisateurs via les administrateurs système ou les propriétaires du système ;
Audits de gouvernance et de contrôles informatiques effectués régulièrement par des tiers externes ;
Audits de contrôle interne effectués régulièrement.
4. garantir que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées par des personnes non autorisées lors de leur transmission électronique ou pendant leur transport ou leur enregistrement sur des supports de données et garantir qu'il est possible d'examiner et d'établir où se trouvent ou ont eu les données personnelles à transmettre par un équipement de transmission de données
