Convention de traitement des données personnelles Annexe au Contrat conclu avec la pharmacie

• Responsable du traitement: la pharmacie agit comme Responsable du traitement des données des personnes concernées dont les données personnelles sont traitées sur la Plateforme tel qu’indiqué dans l’Annexe à cette Convention (détails des activités du traitement).
• Le Responsable du traitement doit se conformer aux lois applicables en matière de protection des données, en particulier la loi fédérale et ses ordonnances sur la protection des données personnelles.
• Sous-Traitant: le Responsable du traitement engage la Plateforme comme Sous-traitant dans le but de traiter ces données en son nom, lequel assure une protection adéquate des données personnelles qui lui sont transmises. L’objet, la durée et les détails des activités de traitement que le Responsable autorise le Sous-traitant à traiter sont indiquées en Annexe à la Convention.

Le Sous-traitant s’engage à ne traiter les données personnelles que :

1. sur instruction préalable du Responsable du traitement ;

2. dans la mesure et aussi longtemps que nécessaire pour remplir les finalités du Responsable du traitement ou selon le Contrat ;

3. dans le respect du droit applicable ;

4. comme le Responsable lui-même est autorisé à le faire ;

5. selon la nature, l’étendue et le but du Contrat et selon l’Annexe à cette Convention ;

6. en cas de transfert de données personnelles à l’étranger dans un pays sans niveau de protection adéquate, moyennant des garanties et des moyens juridiques appropriés et reconnus comme valables par l’autorité compétente.

Le Responsable se réserve le droit de donner des instructions sur la nature, l’étendue, les buts et les moyens du traitement des données par oral ou par écrit. 

Le Sous-traitant peut traiter les données personnelles Sous-traitées pour ses besoins légitimes liées à la fourniture des Services, notamment la sécurité de son infrastructure, l’amélioration des Services ou sa conformité légale, tels que décrits dans sa politique de confidentialité ou en cas d’intérêt privé prépondérant. Dans ce cas le Sous-traitant agit comme responsable du traitement pour ces activités.

Le Responsable doit obliger toutes les personnes qui traitent les données personnelles à respecter la confidentialité, la sécurité et la disponibilité des données personnelles et doit les former de manière appropriée pour garantir les principes fondamentaux de protection des données personnelles. 

Le Sous-traitant veille à ce que les personnes physiques qui lui sont subordonnées et qui ont accès aux données contractuelles ne les traitent que de manière confidentielle et sur ses instructions, à moins qu’elles ne soient tenues de les traiter en vertu de la loi. Le Sous-traitant veille à ce que les personnes physiques qui lui sont subordonnées et qui ont accès aux données contractuelles ne les traitent que de manière confidentielle et sur ses instructions, à moins qu’elles ne soient tenues de les traiter en vertu de la loi. 

Le Sous-traitant prend toutes les mesures techniques et organisationnelles appropriées qui sont nécessaires, compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, des circonstances et des finalités du traitement des données commandées, ainsi que des différents degrés de probabilité et de gravité des risques pour la personnalité et les droits fondamentaux des personnes concernées, afin de garantir un niveau de protection des données de la commande adapté au risque. 

Avant de commencer à traiter les données, le Responsable du traitement doit notamment prendre et maintenir pendant la durée du contrat principal les mesures techniques et organisationnelles nécessaires en fonction de la nature et du risque pour les individus et veiller à ce que le traitement des données soit effectué conformément à ces mesures. 

Le Responsable autorise par la présente, de manière générale, le recours à d’autres Sous-traitants par le Sous-traitant.

Le Sous-traitant imposera contractuellement à tout autre Sous-traitant les mêmes obligations en matière de protection des données que celles énoncées dans la présente Convention en ce qui concerne le Sous-traitant.

Le Sous-traitant vérifiera, avant chaque mandat et régulièrement au cours du mandat, que les autres Responsables du traitement des commandes ont pris des mesures techniques et organisationnelles appropriées et que celles-ci sont mises en œuvre de manière à ce que le traitement des données soit effectué conformément à la présente Convention. 

En cas de transferts de données personnelles à l’étranger dans un pays n’ayant pas de niveau de protection adéquate, le Sous-traitant ainsi que ses éventuels propres Sous-traitants imposera la mise en place de dispositions contractuelles ou juridiques appropriées et telles que reconnues par les autorités compétentes. Cela inclut, par exemple les clauses contractuelles types.

Le Sous-traitant aidera, dans la mesure du raisonnable, le Responsable à s’acquitter de son obligation de répondre aux demandes d’exercice des droits qui leur reviennent de la part des personnes concernées. 

Le Sous-traitant devra notamment : 

• informer dans les meilleures délais le Responsable si une personne concernée doit s’adresser directement au Sous-traitant pour demander à exercer ses droits en ce qui concerne les données de Sous-traitance ; 
• fournir au Responsable, à sa demande, toutes les informations qu’il détient sur le traitement des données dont le Responsable a besoin pour répondre à la demande d’une personne concernée et dont le Responsable ne dispose pas lui-même. 

Le Sous-traitant pourra déroger au présent article et répondre directement aux personnes concernées ou aux autorités afin de préserver ses droits ou s’il y est obligé en vertu d’une obligation légale. Il informera néanmoins le Responsable du traitement de toute démarche prise dans ce cadre.

Le Responsable du traitement s’engage à fournir une information sur la protection des données au personnes concernées, notamment au moyen de la Politique de confidentialité présente sur la Plateforme et selon les bases légales appropriées pour le traitement des données personnelles des personnes concernées.

Lorsque le consentement est nécessaire pour le traitement des données personnelles, le Responsable du traitement doit gérer la base légale et, cas échéant, la collecte ou le retrait du consentement pour les finalités en question. Il donne les instructions nécessaires au Sous-traitant pour la gestion des finalités et des données collectées selon la bonne base légale.

Lorsque, afin de fournir les Services, le Sous-traitant soit :

• collecte lui-même les données personnelles des personnes concernées (y compris les employés des pharmacies) avant la transmission des données personnelles au Responsable du traitement; ou 
• reçoit du Responsable du traitement les coordonnées des personnes concernées afin de s'engager ou de communiquer avec elles ;

le Sous-traitant informera les personnes concernées des détails du traitement des données et leur fournira, le cas échéant, l'accès aux notices d’informations présentes sur son centre de confidentialité pour les professionnels de la santé et les non-professionnels de la santé.

Lorsque le Responsable du traitement requiert du Sous-traitant la collecte de données personnelles, le Responsable fournira au Sous-traitant

Le Sous-traitant signale au Responsable, dans les meilleurs délais, toute violation de la sécurité des données, notamment les incidents entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données relatives à la commande, ou l’accès non autorisé à de telles données.  

Dans le cas où le Responsable du traitement est tenu d’informer l’autorité de surveillance, le PFPDT, conformément à l’art. 24 LPD (notification des violations de la sécurité des données), le Sous-traitant aidera le Responsable, à sa demande, à respecter ces obligations. Le Sous-traitant fournira toute aide raisonnable

Lors de coopération et d’assistance raisonnable par le Sous-traitant, chacune des parties conservera ses propres frais. En cas de violation de données ou de mesures à prendre causée par le Responsable du traitement, tout aide, coopération, assistance et fourniture de service permettant le Sous-traitant devra être remboursée au Sous-traitant par le Responsable du traitement.

Sur instruction du Responsable, le Sous-traitant, à la fin du Contrat, soit effacera complètement et irrévocablement toutes les données, soit les restituera au Responsable, à moins que la loi n’oblige le Sous-traitant à continuer de conserver les données.

Le Sous-traitant doit veiller à ce que le traitement des données soit conforme à cette Convention ainsi qu’aux instructions du Responsable. 

Lorsque cela est exigé par la loi, le Sous-traitant tient un registre de traitement des données personnelles. Celui-ci est mis à la disposition du client sur demande. 

Cette annexe donne plus d’informations sur les activités de traitement autorisées par le Responsable du traitement envers le ou les Sous-traitants.

Le tableau ci-dessous résume les rôles et responsabilités ainsi que les catégories de données, personnes concernées et destinataires autorisés.