3,1
Le sous-traitant est tenu de garantir la confidentialité de l'accord conformément à l'Article 28(3) s. 2 l. b, 29 et 32 (4) du Règlement, en exigeant de toutes les personnes impliquées dans le traitement des données personnelles de respect de la confidentialité sous forme écrite.
3.2
Le sous-traitant doit organiser les processus et les mesures dont il est responsable de manière à ce qu'ils répondent aux exigences de protection des données et en s'assurer que les données personnelles sont traitées exclusivement dans le respect des instructions de protection des données du client (en particulier en séparant les données personnelles à partir des données des autres clients du sous-traitant) et que des tiers ne peuvent pas accéder à ces données.
3.3
Le sous-traitant doit garantir la sécurité du traitement des données selon l'article 28 (3) lit. c, 32 du GDR, notamment en combinaison avec l'art. 5(1),(2) du Règlement général sur les éléments finis, dans le cadre des tâches qui leur sont assignées en conformité avec le contrat. Le sous-traitant sera tenu de prendre les mesures techniques et organisées appropriées afin d'assurer en permanence la sécurité des données et de garantir un niveau de sécurité approprié au risque de confidentialité, d'intégrité, de disponibilité et de continuité des systèmes et services relatifs au traitement.. Il est nécessaire de prendre en compte l'état de l'art, les coûts de mise en œuvre, la nature, la portée, les circonstances et les objectifs du traitement ainsi que la probabilité et la gravité variables du risque pour les droits et les libertés des personnes physiques au sens de l'art. 32(1) du GDPR. Sous réserve des instructions supplémentaires de protection des données de la part du client, les mesures techniques et d'structural indicatif dans l'Annexe 2 du présent Accord DP seront considérées comme des mesures au sens de la Section 3.3 du présent Accord DP avec la conclusion du contrat et/ou du présent Accord DP..
3,4
Le sous-traitant ne traitera aucune donnée individuelle au-delà de la mesure requise pour exécuter les actions strictement requises par l'accord (en particulier toute duplication non autorisée ou transfert à des tiers).
3,5
Le sous-traitant doit supprimer ou détruire (également appelé « supprimer ») toutes les données personnelles fournies et traitées ultérieurement dans tous les systèmes du sous-traitant (y compris les duplications, les fichiers d'archivage et de sauvegarde, ) conformément aux dispositions de l'Annexe 2 du présent Accord DP, si le traitement des données personnelles n'est plus nécessaire pour l'exécution du contrat de traitement.
3,6
La suppression des données personnelles doit être documentée par le sous-traitant et confirmée par écrit à la demande du client. Les données personnelles devant être conservées ou enregistrées sont exclues de cette obligation de suppression. Conformément aux dispositions légales, ces données personnelles doivent être limitées dans leur traitement et supprimées après l'expiration de l'exigence de conserver ou de conserver les données.
