TRAITEMENT DES DONNÉES, CLIENTS ET FOURNISSEURS POTENTIELS

Clause d'information

Responsable : Carmen Uribesalazar Pero-Sanz
NIF : 24400340P
Adresse postale : Lg. Viobes, s/n 33529 Nava (Asturies)
Téléphone : 630 03 10 58
Courriel : info@elpedrueco.com

« Nous traitons pour le compte de l'entreprise les informations que vous nous fournissez afin de vous fournir le service demandé et/ou le facturer. Les données fournies seront conservées aussi longtemps que la relation commerciale sera maintenue ou pendant les années nécessaires au respect des obligations légales. Les données ne seront pas cédées à des tiers sauf dans les cas où il existe une obligation légale. Vous avez le droit d'obtenir la confirmation si chez CA El Pedrueco nous traitons vos données personnelles, vous avez donc le droit d'accéder à vos données personnelles, de rectifier des données inexactes ou de demander leur suppression lorsque les données ne sont plus nécessaires. Nous demandons également votre autorisation pour vous proposer des produits et services liés à ceux demandés et pour vous fidéliser en tant que client.

Entreprises de services contractuels :

1. Objet de la commande de traitement :
Grâce à ces clauses, Euroserver, en tant que société d'hébergement de ce site Web, les sociétés Redsys, en tant que société de gestion des paiements en ligne pour les produits et services proposés sur ce site Web, et Euroserver, en tant que société enregistrant le domaine, sont habilités à traiter les données. traiter, pour le compte de CA El Pedrueco en tant que responsable du traitement, les données personnelles nécessaires à la fourniture du service spécifié ci-dessous. Le traitement comprendra les services de courrier électronique, les formulaires de contact et l'hébergement Web.

2. Identification des informations concernées :
Pour l'exécution des services dérivés de la réalisation de l'objet de cette mission, l'entité CA El Pedrueco, en tant que responsable du traitement, met à la disposition de l'entité Euroserver. en tant que société d'hébergement de ce site Internet, Redsys en tant que société de gestion des paiements en ligne des produits et services proposés sur ce site Internet et Euroserver en tant que société d'enregistrement des domaines, les informations disponibles sur l'équipement informatique supportant le traitement des données effectué. la personne responsable.

3. Durée :
Cet accord a une durée indéterminée. Une fois ce contrat terminé, le sous-traitant devra restituer les données personnelles au responsable du traitement et supprimer toute copie en sa possession. Cependant, vous pouvez garder les données bloquées pour faire face à d'éventuelles responsabilités administratives ou juridictionnelles.

4. Obligations du responsable du traitement :
Le responsable du traitement et tout son personnel sont tenus de :

– Utilisez les données personnelles auxquelles vous avez accès uniquement dans le cadre de cette mission. Vous ne pouvez en aucun cas utiliser les données à vos propres fins.
– Traiter les données conformément aux instructions du responsable du traitement. Si le sous-traitant considère que l'une des instructions viole le RGPD ou toute autre disposition relative à la protection des données, le sous-traitant en informera immédiatement le responsable du traitement.
– Ne communiquez pas les données à des tiers, sauf autorisation expresse du responsable du traitement, dans les cas légalement admissibles.
– Maintenir le devoir de secret concernant les données personnelles auxquelles vous avez eu accès en vertu de cette mission, même après la fin du contrat.
– Garantir que les personnes autorisées à traiter les données personnelles s’engagent, expressément et par écrit, à respecter la confidentialité et à se conformer aux mesures de sécurité correspondantes, dont elles doivent être dûment informées.
– Tenir à la disposition du responsable la documentation prouvant le respect de l’obligation établie à l’article précédent.
– Garantir la formation nécessaire sur la protection des données personnelles pour les personnes autorisées à traiter les données personnelles.

Notification des violations de la sécurité des données :

Le responsable du traitement informera le responsable du traitement, sans délai injustifié et via l'adresse e-mail indiquée par le responsable, des violations de la sécurité des données personnelles dont il a la charge dont il a connaissance, ainsi que toutes les informations pertinentes pour la documentation et la communication de l’incident.

Au minimum, les informations suivantes seront fournies :

– Description de la nature de la violation de la sécurité des données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés.
– Coordonnées de la personne à contacter pour plus d’informations.
– Description des conséquences possibles de la violation de la sécurité des données personnelles. – — Description des mesures prises ou proposées pour remédier à la violation de la sécurité des données personnelles, y compris, le cas échéant, les mesures prises pour atténuer les effets négatifs potentiels.
– Si et dans la mesure où il n'est pas possible de fournir les informations simultanément, les informations seront fournies progressivement et sans retard injustifié.
– Mettre à la disposition du responsable toutes les informations nécessaires pour démontrer le respect de ses obligations, ainsi que pour réaliser des audits ou des inspections effectués par le responsable ou un autre auditeur mandaté par lui.
– Assister le responsable du traitement dans la mise en œuvre des mesures de sécurité nécessaires pour :
a) Garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanente des systèmes et services de traitement.
b) Rétablir rapidement la disponibilité et l'accès aux données personnelles, en cas d'incident physique ou technique.
c) Vérifier, évaluer et apprécier, de manière régulière, l'efficacité des mesures techniques et organisationnelles mises en œuvre pour garantir la sécurité du traitement.

Destination des données :

Le responsable du traitement ne conservera les données personnelles liées au traitement du responsable que si cela est strictement nécessaire à la fourniture du service, et uniquement pendant la durée strictement nécessaire à sa fourniture.

5. Obligations du responsable du traitement

Il appartient à la personne responsable du traitement :

– Donner au gestionnaire l’accès aux équipements afin de fournir le service contracté.
– S’assurer, avant et tout au long du traitement, du respect du RGPD par le sous-traitant.
– Superviser le traitement.

Registre des activités de traitement :

Traitement : Clients
Finalité du traitement : Gestion de la relation client
Description des catégories de clients et des catégories de données personnelles :
Clients : Personnes avec lesquelles une relation commerciale est entretenue en tant que clients
Catégories de données personnelles : Celles nécessaires au maintien de la relation commerciale et à la facturation d'identification : nom et prénom, NIF, adresse postale, numéros de téléphone, e-mail.
Coordonnées bancaires : pour les paiements par prélèvement automatique
Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées : Administration fiscale, Sécurité sociale, Banques et entités financières.
Lorsque cela est possible, les délais prévus pour la suppression des différentes catégories de données : Ceux prévus par la législation fiscale en matière de prescription des responsabilités

Traitement : Clients potentiels
Finalité du traitement : Gestion de la relation avec les clients potentiels
Description des catégories de clients potentiels et catégories de données personnelles : Clients potentiels : Personnes avec lesquelles nous cherchons à entretenir une relation commerciale en tant que clients Catégories de données personnelles : Celles nécessaires à la promotion commerciale de l'entreprise
identification : nom, prénom et adresse postale, numéros de téléphone, e-mail
Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées : Non envisagé Lorsque cela est possible, les délais de suppression des différentes catégories de données : Un an à compter du premier contact

Traitement : Prestataires
Finalité du traitement : Gestion de la relation avec les fournisseurs
Description des catégories de fournisseurs et des catégories de données personnelles :
Fournisseurs : Personnes avec lesquelles une relation commerciale est entretenue en tant que fournisseurs de produits et/ou services
Catégories de données personnelles : Celles nécessaires au maintien de la relation de travail d'identification : nom, NIF, adresse postale, numéros de téléphone, e-mail
Coordonnées bancaires : pour les paiements par prélèvement automatique
 Lorsque cela est possible, les délais prévus pour la suppression des différentes catégories de données : Ceux prévus par la législation fiscale en matière de prescription des responsabilités
 ANNEXE MESURES DE SÉCURITÉ INFORMATIONS D'INTÉRÊT GÉNÉRAL

Ce document a été conçu pour le traitement de données personnelles à faible risque, d'où il résulte qu'il ne peut pas être utilisé pour un traitement de données personnelles comprenant des données personnelles liées à l'origine ethnique ou raciale, à l'idéologie politique religieuse ou philosophique, à l'affiliation syndicale, aux données génétiques et biométriques. données, données de santé et données sur l'orientation sexuelle des personnes ainsi que tout autre traitement de données comportant un risque élevé pour les droits et libertés des personnes.

L'article 5.1.f du Règlement Général sur la Protection des Données (RGPD) détermine la nécessité d'établir des garanties de sécurité adéquates contre les traitements non autorisés ou illicites, la perte de données personnelles, la destruction ou les dommages accidentels. Cela implique la mise en place de mesures techniques et organisationnelles visant à garantir l'intégrité et la confidentialité des données personnelles et la possibilité (article 5.2) de démontrer que ces mesures ont été mises en pratique (responsabilité proactive). Selon le type de traitement que vous avez révélé en remplissant ce formulaire, les mesures minimales de sécurité que vous devez prendre en compte sont les suivantes :

MESURES ORGANISATIONNELLES INFORMATIONS QUI DOIVENT ÊTRE CONNAISSÉES PAR TOUS LES PERSONNELS AYANT ACCÈS AUX DONNÉES PERSONNELLES

Tout le personnel ayant accès aux données personnelles doit être conscient de ses obligations en matière de traitement des données personnelles et sera informé de ces obligations. Les informations minimales qui seront connues de tout le personnel seront les suivantes :

DEVOIR DE CONFIDENTIALITÉ ET DE SECRET L'accès de personnes non autorisées aux données personnelles doit être évité, à cette fin seront évités : laisser des données personnelles exposées à des tiers (écrans électroniques sans surveillance, documents papier dans les zones d'accès public, supports contenant des données personnelles, etc. .), cette considération inclut les écrans utilisés pour afficher les images du système de vidéosurveillance. Lorsque vous êtes absent du lieu de travail, l'écran sera verrouillé ou la session sera fermée. Les documents papier et supports électroniques seront stockés dans un endroit sécurisé (placards ou locaux à accès restreint) 24h/24. Les documents ou supports électroniques (CD, clés USB, disques durs, etc.) contenant des données personnelles ne seront pas éliminés sans garantir leur destruction. Aucune donnée personnelle ni aucune information personnelle ne sera communiquée à des tiers, un soin particulier sera apporté à ne pas divulguer de données personnelles protégées lors des consultations téléphoniques, emails, etc. Le devoir de secret et de confidentialité persiste même lorsque la relation de travail du travailleur avec l'entreprise prend fin.

DROITS DES PROPRIÉTAIRES DES DONNÉES Tous les travailleurs seront informés de la procédure à suivre pour faire valoir les droits des parties intéressées, en définissant clairement les mécanismes par lesquels les droits peuvent être exercés (moyens électroniques, référence au délégué à la protection des données si nécessaire). adresse, etc.) en tenant compte des éléments suivants : Sur présentation de leur pièce d'identité nationale ou de leur passeport, les propriétaires des données personnelles (intéressés) peuvent exercer leurs droits d'accès, de rectification, de suppression, d'opposition et de portabilité.

Le responsable du traitement doit répondre aux intéressés dans les plus brefs délais.

Pour le droit d'accès, les intéressés recevront une liste des données personnelles dont ils disposent, ainsi que la finalité pour laquelle elles ont été collectées, l'identité des destinataires des données, les délais de conservation et l'identité du personne responsable devant eux, qui peut demander la rectification, la suppression et l'opposition au traitement des données.

Pour le droit de rectification, les données des intéressés qui sont inexactes ou incomplètes seront modifiées en tenant compte des finalités du traitement.

Pour le droit de suppression, les données des intéressés seront supprimées lorsque les intéressés exprimeront leur refus ou leur opposition au consentement pour le traitement de leurs données et qu'il n'existe aucune obligation légale qui l'empêche.

Pour le droit à la portabilité, les intéressés doivent communiquer leur décision et informer le responsable, le cas échéant, de l'identité du nouveau responsable à qui ils fourniront leurs données personnelles.

Le responsable du traitement doit informer toutes les personnes ayant accès aux données personnelles des conditions de respect des droits des parties intéressées, de la manière et de la procédure selon lesquelles ces droits seront traités.
VIOLATIONS DE SÉCURITÉ DES DONNÉES PERSONNELLES

En cas de violations de la sécurité DES DONNÉES PERSONNELLES, telles que le vol ou l'accès inapproprié aux données personnelles, l'Agence espagnole de protection des données sera informée dans les 72 heures desdites violations de la sécurité, y compris toutes les informations nécessaires pour clarifier les faits qui ont donné lieu à un accès inapproprié aux données personnelles. données.

La notification sera effectuée par voie électronique via le siège électronique de l'Agence espagnole de protection des données à l'adresse : https://sedeagpd.gob.es

IDENTIFICATION DES MESURES TECHNIQUES

Lorsqu’un même ordinateur ou dispositif est utilisé pour le traitement de données personnelles et à des fins d’utilisation personnelle, il est recommandé d’avoir plusieurs profils ou utilisateurs différents pour chacune des finalités. Les utilisations professionnelles et personnelles de l’ordinateur doivent être séparées.

Il est recommandé d'avoir des profils avec des droits d'administration pour l'installation et la configuration du système et des utilisateurs sans privilèges ni droits d'administration pour l'accès aux données personnelles. Cette mesure empêchera l'obtention de privilèges d'accès ou la modification du système d'exploitation en cas d'attaque de cybersécurité.

L'existence de mots de passe sera garantie pour l'accès aux données personnelles stockées dans les systèmes électroniques. Le mot de passe comportera au moins 8 caractères, un mélange de chiffres et de lettres.

Lorsque les données personnelles sont accédées par différentes personnes, pour chaque personne ayant accès aux données personnelles, il y aura un nom d'utilisateur et un mot de passe spécifiques (identification sans ambiguïté).

La confidentialité des mots de passe doit être garantie, évitant qu'ils ne soient exposés à des tiers.

Pour gérer les mots de passe, vous pouvez consulter le guide de confidentialité et de sécurité Internet de l'Agence espagnole de protection des données et de l'Institut national de cybersécurité. En aucun cas les mots de passe ne seront partagés ou laissés écrits dans un lieu commun et accessibles à des personnes autres que l'utilisateur.

DEVOIR DE SAUVEGARDE

Les mesures techniques minimales pour garantir la protection des données personnelles sont énoncées ci-dessous :

MISE À JOUR DE L'ORDINATEUR ET DES APPAREILS :

Les appareils et ordinateurs utilisés pour le stockage et le traitement des données personnelles doivent être tenus à jour autant que possible.

MALWARE : Les ordinateurs et appareils sur lesquels le traitement automatisé des données personnelles est effectué disposeront d'un système antivirus qui garantit, dans la mesure du possible, le vol et la destruction des informations et données personnelles. Le système antivirus doit être mis à jour périodiquement.

PARE-FEU OU PARE-FEU : Pour éviter un accès à distance inapproprié aux données personnelles, on veillera à garantir l'existence d'un pare-feu activé sur les ordinateurs et appareils dans lesquels le stockage et/ou le traitement des données personnelles est effectué.

CHIFFREMENT DES DONNÉES : Lorsqu'il est nécessaire d'extraire des données personnelles en dehors des locaux où leur traitement est effectué, que ce soit par des moyens physiques ou par des moyens électroniques, la possibilité d'utiliser une méthode de cryptage doit être envisagée pour garantir la confidentialité des données personnelles dans cas d’accès abusif à l’information.

SAUVEGARDE : Périodiquement, une copie de sauvegarde sera effectuée sur un deuxième support différent de celui utilisé pour le travail quotidien. La copie sera conservée dans un endroit sûr, différent de celui où se trouve l'ordinateur contenant les fichiers originaux, afin de permettre la récupération des données personnelles en cas de perte d'informations.

Les mesures de sécurité seront revues périodiquement ; la revue peut être effectuée par des mécanismes automatiques (logiciels ou programmes informatiques) ou manuellement.

Considérez que tout incident de sécurité informatique survenu à une personne que vous connaissez pourrait vous arriver et préparez-vous à y faire face.

Si vous souhaitez plus d'informations ou des conseils techniques pour garantir la sécurité des données personnelles et des informations traitées par votre entreprise, l'Institut National de Cybersécurité (INCIBE) sur son site Internet www.incibe.es, met à votre disposition des outils à vocation business dans sa rubrique « Protégez votre entreprise » où elle dispose, entre autres services : d'une section de formation avec un jeu vidéo, des défis pour répondre aux incidents et des vidéos interactives de formation du secteur, un kit de sensibilisation pour employés, divers outils pour aider l'entreprise à améliorer sa cybersécurité, dont des politiques pour l'employeur, le personnel technique et l'employé, un catalogue d'entreprises et de solutions de sécurité et un outil d'analyse des risques. des dossiers thématiques complétés par des vidéos et des infographies et d'autres ressources, des guides pour les entrepreneurs. Par ailleurs, INCIBE, à travers le Bureau de Sécurité des Internautes, met également à disposition gratuitement des outils informatiques et des informations complémentaires qui peuvent être utiles à votre entreprise ou à votre activité professionnelle.