Accord de traitement des données

Le présent Accord de Traitement des Données (« DPA ») fait partie des Conditions d'Utilisation (ou de tout autre accord écrit ou électronique de titre similaire traitant du même sujet) («Accord») entre le Client (tel que défini dans l'Accord) et «Slide Craft Technologies Pvt Ltd» en vertu duquel le Sous-traitant fournit au Responsable du Traitement les logiciels et services (les « Services »). Le Responsable du Traitement et le Sous-traitant sont individuellement désignés comme une « Partie » et collectivement comme les « Parties ».

Les Parties cherchent à mettre en œuvre la présente DPA afin de se conformer aux exigences du RGPD de l'UE (défini ci-après) en ce qui concerne le traitement des Données à Caractère Personnel par le Sous-traitant (telles que définies en vertu du RGPD de l'UE) dans le cadre de ses obligations en vertu de l'Accord.

La présente DPA s'applique au traitement des Données à Caractère Personnel par le Sous-traitant, fournies par le Responsable du Traitement dans le cadre des obligations du Sous-traitant en vertu de l'Accord.

Sauf modification ci-dessous, les termes de l'Accord resteront pleinement en vigueur.

1. Définitions

Les termes non définis autrement dans les présentes auront la signification qui leur est donnée dans le RGPD de l'UE ou l'Accord. Les termes suivants auront les significations correspondantes qui leur sont attribuées ci-dessous :

  1. 1.1. «Transfert de Données» désigne un transfert de Données à Caractère Personnel du Responsable du Traitement au Sous-traitant, ou entre deux établissements du Sous-traitant, ou avec un sous-traitant par le Sous-traitant.
  2. 1.2. «UE RGPD» désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  3. 1.3. «Clauses Contractuelles Types» désigne les clauses contractuelles ci-jointes en Annexe 1 conformément à la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau de protection adéquat des données.
  4. 1.4. «Responsable du traitement» désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.
  5. 1.5. « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
  6. 1.6. «Sous-traitant ultérieur» désigne un sous-traitant/sous-contractant désigné par le Sous-traitant pour la fourniture de tout ou partie des Services et qui traite les Données à caractère personnel telles que fournies par le Responsable du traitement.
  1. 2. Objet du présent Accord
  2. La présente DPA énonce diverses obligations du Sous-traitant relatives au Traitement des Données à caractère personnel et sera limitée aux obligations du Sous-traitant en vertu de l'Accord. En cas de conflit entre les dispositions de l'Accord et de la présente DPA, les dispositions de la présente DPA prévaudront.
  3. 3. Catégories de Données à caractère personnel et de Personnes concernées
    1. L'objectif du Traitement des Données à caractère personnel par le Sous-traitant sera limité à la fourniture des Services par le Sous-traitant au Responsable du traitement et/ou à son Client, conformément à l'Accord.
  5. 4. Finalité du Traitement
    1. Le Responsable du traitement autorise le Sous-traitant à traiter les Données à caractère personnel dans la mesure déterminée et réglementée par le Responsable du traitement. La nature actuelle des Données à caractère personnel est spécifiée à l'Annexe I de l'Annexe 1 à la présente DPA. L'objectif du Traitement des Données à caractère personnel par le Sous-traitant sera limité à la fourniture des Services par le Sous-traitant au Responsable du traitement et/ou à son Client, conformément à l'Accord.
  6. 5. Durée du Traitement
    1. Le Sous-traitant traitera les Données à caractère personnel pendant la durée de l'Accord, sauf accord contraire écrit du Responsable du traitement.
  1. 6. Obligations du Responsable du traitement
    1. 6.1. Le Responsable du traitement garantit qu'il dispose de tous les droits nécessaires pour fournir les Données à caractère personnel au Sous-traitant pour le Traitement à effectuer en relation avec les services convenus. Dans la mesure requise par les Lois sur la protection des données, le Responsable du traitement est responsable de s'assurer qu'il fournit ces Données à caractère personnel au Sous-traitant sur la base d'une base juridique appropriée permettant des activités de traitement licites, y compris l'obtention de tous les consentements nécessaires des Personnes concernées à ce Traitement, et de s'assurer qu'un registre de ces consentements est tenu. Si un tel consentement est révoqué par la Personne concernée, le Responsable du traitement est responsable de communiquer le fait de cette révocation au Sous-traitant.
    2. 6.2. Le Responsable du traitement fournira à toutes les personnes physiques dont il collecte des Données à caractère personnel l'avis de confidentialité pertinent.
    3. 6.3. Le Responsable du traitement demandera au Sous-traitant de supprimer les Données à caractère personnel lorsque cela est requis par le Responsable du traitement ou par toute Personne concernée dont il collecte les Données à caractère personnel, à moins que le Sous-traitant ne soit autrement tenu de conserver les Données à caractère personnel en vertu de la loi applicable.
    4. 6.4. The Data Controller shall immediately advise the Data Processor in writing if it receives or learns of any:
      1. 6.4.1. Complaint or allegation indicating a violation of Data Privacy Laws regarding Personal Data;
      2. 6.4.2. Request from one or more individuals seeking to access, correct, or delete Personal Data;
      3. 6.4.3. Inquiry or complaint from one or more individuals relating to the collection, processing, use, or transfer of Personal Data; and
      4. 6.4.4. Any regulatory request, search warrant, or other legal, regulatory, administrative, or governmental process seeking Personal Data
  1. 7. Data Processor’s Obligations
  1. 7.1. The Processor will follow written and documented instructions received, including email, from the Controller, its affiliate, agents, or personnel, with respect to the Processing of Personal Data (each, an “Instruction”).
  2. 7.2. The Processing described in the Agreement and the relating documentation shall be considered as Instruction from the Controller.
  3. 7.3. At the Data Controller’s request, the Data Processor will provide reasonable assistance to the Data Controller in responding to/ complying with requests/ directions by Data Subject in exercising their rights or of the applicable regulatory authorities regarding Data Processor’s Processing of Personal Data.
  4. 7.4. In relation to the Personal Data, Data Controller shall obtain consent (where necessary) and/or provide notice to the Data Subject in accordance with Data Protection Laws to enable shared Personal Data to be provided to, and used by, the other Party as contemplated by this Agreement.
  5. 7.5. Where shared Personal Data is transferred outside the Data Processor’s territorial boundaries, the transferor shall ensure that the recipient of such data is under contractual obligations to protect such Personal Data to the same or higher standards as those imposed under this DPA and the Data Protection Laws.
  6. 7.6. The processor shall inform the controller if, in its opinion, a processing instruction infringes applicable legislation or regulation.
  7. 7.5. As A Data Processor, taking into account the nature of the processing and the information available to the Data Processor, the Data Processor shall assist the data controller in conducting any necessary Data Protection Impact Assessments (DPIAs), as required under GDPR.
  1. 8. Data Secrecy
    1. 8.1. To Process the Personal Data, the Processor will use personnel who are:
      1. 8.1.1. Informed of the confidential nature of the Personal Data, and
      2. 8.1.2. Perform the Services in accordance with the Agreement.
    2. 8.2. The Processor will regularly train individuals having access to Personal Data in data security and data privacy in accordance with accepted industry practice and shall ensure that all the Personal Data is kept strictly confidential.
    3. 8.3. The Processor will maintain appropriate technical and organizational measures for protection of the security, confidentiality, and integrity of the Personal Data as per the specifications as per the standards mutually agreed in writing by the Parties.
  1. 9. Audit Rights
  1. 9.1. Upon the Controller's reasonable request, the Processor will make available to the Controller, information as is reasonably necessary to demonstrate Processor’s compliance with its obligations under the EU GDPR or other applicable laws in respect of its Processing of the Personal Data.
  2. 9.2. When the Controller wishes to conduct the audit (by itself or through a representative) at Processor’s site, it shall provide at least fifteen (15) days’ prior written notice to the Processor; the Processor will provide reasonable cooperation and assistance in relation to audits, including inspections, conducted by the Controller or its representative.
  3. 9.3. The Controller shall bear the expense of such an audit.
  1. 10. Mechanism of Data Transfers
  1. Any Data Transfer for the purpose of Processing by the Processor in a country outside the European Economic Area (the “EEA”) shall only take place in compliance as detailed in Schedule 1 to the DPA. Where such model clauses have not been executed at the same time as this DPA, the Processor shall not unduly withhold the execution of such template model clauses, where the transfer of Personal Data outside of the EEA is required for the performance of the Agreement.
  1. 11. Sub-processors
    1. 11.1. The Controller acknowledges and agrees that the Processor, may engage a third-party Sub-processor(s) in connection with the performance of the Services, provided such Sub-processor(s) take technical and organizational measures to ensure confidentiality of Personal Data shared with them; The current Sub-processors engaged by the Processors and approved by the Controller are listed in Annex III of Schedule 1 hereto. The processor shall notify the controller at least thirty (30) calendar days in advance of any intended changes or additions to its Sub-processors listed in Annex III by emailing notice of the intended change to Customer. In accordance with Article 28(4) of the GDPR, the Processor shall remain liable to Controller for any failure on behalf of a Sub-processor to fulfil its data protection obligations under the DPA in connection with the performance of the Services.
    2. 11.2. If the Controller has a concern that the Sub-processor(s) Processing of Personal Data is reasonably likely to cause the Controller to breach its data protection obligations under the GDPR, the Controller may object to Processor’s use of such Sub-processor and the Processor and Controller shall confer in good faith to address such concern.
  1. 12. Personal Data Breach Notification
    1. 12.1. The Processor shall maintain defined procedures in case of a Personal Data Breach (as defined under the GDPR) and shall without undue delay notify Controller if it becomes aware of any Personal Data Breach unless such Data Breach is unlikely to result in a risk to the rights and freedoms of natural persons.
    2. 12.2. The Processor shall provide the Controller with all reasonable assistance to comply with the notification of Personal Data Breach to the Supervisory Authority and/or the Data Subject, to identify the cause of such Data Breach and take such commercially reasonable steps as reasonably required to mitigate and remedy such Data Breach.
    3. 12.3. No Acknowledgement of Fault by Processor. Processor’s notification of or response to a Personal Data Breach under this DPA will not be construed as an acknowledgement by Processor of any fault or liability with respect to the data incident.
  1. 13. Return and Deletion of Personal Data
    1. 13.1. The Processor shall at least thirty (30) days from the end of the Agreement or cessation of the Processor’s Services under the Agreement, whichever occurs earlier, shall return to the Controller all the Personal Data, or if the Controller so instructs, the Processor shall have the Personal Data deleted. The Processor shall return such Personal Data in a commonly used format or in the current format in which it was stored at discretion of the Controller, soon as reasonably practicable following receipt of Controller’s notification.
    2. 13.2. In any case, the Processor shall delete Personal Data including all the copies of it as soon as reasonably practicable following the end of the Agreement.
  1. 14. Technical and Organizational Measures
    1. Having regard to the state of technological development and the cost of implementing any measures, the Processor will take appropriate technical and organizational measures against the unauthorized or unlawful processing of Personal Data and against the accidental loss or destruction of, or damage to, Personal Data to ensure a level of security appropriate to: (a) the harm that might result from unauthorized or unlawful processing or accidental loss, destruction or damage; and (b) the nature of the data to be protected [including the measures stated in Annex II of Schedule 1]

SCHEDULE 1

ANNEX I

A. LIST OF PARTIES

Data exporter(s):

  1. Name : Customer (As set forth in the relevant Order Form).

Address: As set forth in the relevant Order Form.

Contact person’s name, position, and contact details: As set forth in the relevant Order Form.

Activities relevant to the data transferred under these Clauses: Recipient of the Services provided by Slide Craft Technologies Pvt Ltd in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/ Processor): Controller

Data importer(s):

  1. Name: Slide Craft Technologies Pvt Ltd

Address: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

Contact person’s name, position, and contact details: Avinash DPO, avinash@deck.in

EU representative contact details: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

Activities relevant to the data transferred under these Clauses: Provision of the Services to the Customer in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/processor): Processor.

B. DESCRIPTION OF TRANSFER

  1. Categories of data subjects whose personal data is transferred
  2. Customer’s authorized users of the Services.

Categories of personal data transferred

  1. Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Job, Language, Phone, Related person, Related URL, User ID, Username.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

  1. No sensitive data collected.

The frequency of the transfer (e.g., whether the data is transferred on a one-off or continuous basis).

  1. Continuous basis

Nature of the processing
The nature of the processing is more fully described in the Agreement and accompanying order forms

Purpose(s) of the data transfer and further processing

The purpose of the transfer is to facilitate the performance of the Services more fully described in the Agreement and accompanying order forms.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The period for which the Customer Personal Data will be retained is more fully described in the Agreement, Addendum, and accompanying order forms.

For transfers to (sub-) processors, also specify subject matter, nature, and duration of the processing

  1. The subject matter, nature, and duration of the Processing more fully described in the Agreement, Addendum, and accompanying order forms.

C.COMPETENT SUPERVISORY AUTHORITY

Data exporter is established in an EEA country.

The competent supervisory authority is as determined by application of Clause 13 of the EU SCCs.

ANNEX II

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational security measures implemented by Slide Craft Technologies Pvt Ltd as the data processor/data importer to ensure an appropriate level of security, taking into account the nature, scope, context, and purpose of the processing, and the risks for the rights and freedoms of natural persons.

  • Security
  • Security Management System.
    • Organization. Slide Craft Technologies Pvt Ltd designates qualified security personnel whose responsibilities include development, implementation, and ongoing maintenance of the Information Security Program.
    • Policies. Management reviews and supports all security related policies to ensure the security, availability, integrity and confidentiality of Customer Personal Data. These policies are updated at least once annually.
    • Assessments. Slide Craft Technologies Pvt Ltd engages a reputable independent third-party to perform risk assessments of all systems containing Customer Personal Data at least once annually.
    • Risk Treatment. Slide Craft Technologies Pvt Ltd maintains a formal and effective risk treatment program that includes penetration testing, vulnerability management and patch management to identify and protect against potential threats to the security, integrity or confidentiality of Customer Personal Data.
    • Vendor Management. Slide Craft Technologies Pvt Ltd maintient un programme efficace de gestion des fournisseurs
    • Gestion des incidents. Slide Craft Technologies Pvt Ltd examine régulièrement les incidents de sécurité, y compris la détermination efficace de la cause première et des mesures correctives.
    • Normes. Slide Craft Technologies Pvt Ltd exploite un système de gestion de la sécurité de l'information qui est conforme aux exigences de la norme ISO/IEC 27001:2022.
  • Sécurité du personnel.
    • Slide Craft Technologies Pvt Ltd le personnel est tenu de se comporter conformément aux directives de l'entreprise concernant la confidentialité, l'éthique commerciale, l'utilisation appropriée et les normes professionnelles. Slide Craft Technologies Pvt Ltd effectue des vérifications d'antécédents raisonnablement appropriées sur tout employé qui aura accès aux données des clients en vertu du présent Accord, y compris en ce qui concerne les antécédents professionnels et les casiers judiciaires, dans la mesure permise par la loi et conformément au droit du travail local applicable, aux pratiques habituelles et aux réglementations légales.
    • Le personnel est tenu de signer un accord de confidentialité écrit au moment de l'embauche et de protéger les Données personnelles des clients en tout temps. Le personnel doit accuser réception et se conformer à Slide Craft Technologies Pvt Ltdles politiques de confidentialité, de protection de la vie privée et de sécurité de l'entreprise. Le personnel reçoit une formation sur la protection de la vie privée et la sécurité sur la manière de mettre en œuvre et de se conformer au Programme de sécurité de l'information. Le personnel traitant les Données personnelles des clients est tenu de satisfaire à des exigences supplémentaires adaptées à son rôle (par exemple, des certifications). Slide Craft Technologies Pvt Ltd Le personnel de l'entreprise ne traitera pas les Données personnelles du client sans autorisation.
  • Contrôles d'accès
    • Gestion des accès. Slide Craft Technologies Pvt Ltd maintient un processus formel de gestion des accès pour la demande, l'examen, l'approbation et l'attribution des accès à tout le personnel ayant accès aux Données Personnelles du Client, afin de limiter l'accès aux Données Personnelles du Client et aux systèmes stockant, accédant ou transmettant les Données Personnelles du Client aux personnes dûment autorisées ayant un besoin d'accès. Des examens d'accès sont effectués périodiquement pour s'assurer que seul le personnel ayant accès aux Données Personnelles du Client en a toujours besoin.
    • Personnel de sécurité de l'infrastructure. Slide Craft Technologies Pvt Ltd a et maintient une politique de sécurité pour son personnel, et exige une formation en sécurité dans le cadre du programme de formation de son personnel. Slide Craft Technologies Pvt LtdSon personnel de sécurité de l'infrastructure est responsable de la surveillance continue de Slide Craft Technologies Pvt Ltd son infrastructure de sécurité, l'examen des Services et la réponse aux incidents de sécurité.
    • Contrôle d'accès et gestion des privilèges. Slide Craft Technologies Pvt LtdSes administrateurs et ceux du Client, ainsi que leurs utilisateurs finaux, doivent s'authentifier via un système d'authentification multi-facteurs ou via un système d'authentification unique (SSO) afin d'utiliser les Services
    • Processus et politiques d'accès aux données internes – Politique d'accès. Slide Craft Technologies Pvt Ltdses processus et politiques internes d'accès aux données sont conçus pour protéger contre l'accès, l'utilisation, la divulgation, l'altération ou la destruction non autorisés des Données Personnelles du Client. Slide Craft Technologies Pvt Ltd conçoit ses systèmes pour permettre uniquement aux personnes autorisées d'accéder aux données auxquelles elles sont autorisées à accéder, selon les principes du « moindre privilège » et du « besoin d'en connaître », et pour empêcher les personnes non autorisées d'y accéder. Slide Craft Technologies Pvt Ltd exige l'utilisation d'identifiants uniques, de mots de passe forts, d'une authentification à deux facteurs et de listes d'accès soigneusement surveillées afin de minimiser le risque d'utilisation non autorisée des comptes. L'octroi ou la modification des droits d'accès est basé sur : les responsabilités professionnelles du personnel autorisé ; les exigences de la tâche nécessaires pour effectuer les tâches autorisées ; le principe du besoin d'en connaître ; et doit être conforme à Slide Craft Technologies Pvt Ltd ses politiques et formations internes d'accès aux données. Les approbations sont gérées par des outils de workflow qui conservent des enregistrements d'audit de toutes les modifications. L'accès aux systèmes est enregistré pour créer une piste d'audit à des fins de responsabilisation. Lorsque des mots de passe sont utilisés pour l'authentification (par exemple, la connexion aux postes de travail), les politiques de mots de passe suivent les pratiques standard de l'industrie. Ces normes incluent la complexité des mots de passe, l'expiration des mots de passe, le verrouillage des mots de passe, les restrictions sur la réutilisation des mots de passe et la nouvelle demande de mot de passe après une période d'inactivité.
  • Sécurité des centres de données et du réseau
    • Centres de données.
      • Infrastructure. Slide Craft Technologies Pvt Ltd utilise AWS comme centre de données.
      • Résilience. Les zones de disponibilité multiples sont activées sur AWS et Slide Craft Technologies Pvt Ltd effectue régulièrement des tests de restauration de sauvegarde pour assurer la résilience.
      • Systèmes d'exploitation des serveurs. Slide Craft Technologies Pvt Ltd les serveurs sont personnalisés pour l'environnement applicatif et ont été renforcés pour la sécurité des Services. Slide Craft Technologies Pvt Ltd emploie un processus de révision de code pour renforcer la sécurité du code utilisé pour fournir les Services et améliorer les produits de sécurité dans les environnements de production.
      • Reprise après sinistre. Slide Craft Technologies Pvt Ltd réplique les données sur plusieurs systèmes afin de se protéger contre la destruction ou la perte accidentelle. Slide Craft Technologies Pvt Ltd a conçu et planifie et teste régulièrement ses programmes de reprise après sinistre.
      • Journaux de sécurité. Slide Craft Technologies Pvt Ltd ses systèmes ont la journalisation activée vers leur installation de journalisation système respective afin de prendre en charge les audits de sécurité, et de surveiller et détecter les attaques réelles et tentées, ou les intrusions dans, Slide Craft Technologies Pvt Ltd ses systèmes.
      • Gestion des vulnérabilités. Slide Craft Technologies Pvt Ltd effectue des analyses régulières de vulnérabilités sur tous les composants d'infrastructure de ses environnements de production et de développement. Les vulnérabilités sont corrigées en fonction des risques, avec l'installation des correctifs de sécurité critiques, élevés et moyens pour tous les composants dès que commercialement possible.
  • Réseaux et transmission.
    • Transmission de données. Les transmissions sur l'environnement de production sont effectuées via des protocoles Internet standard.
    • Surface d'attaque externe. Un groupe de sécurité AWS, équivalent à un pare-feu virtuel, est en place pour l'environnement de production sur AWS.
    • Réponse aux incidents. Slide Craft Technologies Pvt Ltd maintient des politiques et procédures de gestion des incidents, y compris des procédures détaillées d'escalade des incidents de sécurité. Slide Craft Technologies Pvt Ltd surveille une variété de canaux de communication pour détecter les incidents de sécurité, et Slide Craft Technologies Pvt Ltdle personnel de sécurité réagira rapidement aux incidents suspects ou connus, atténuera les effets néfastes de ces incidents de sécurité et documentera ces incidents de sécurité ainsi que leurs résultats.
    • Technologies de chiffrement. Slide Craft Technologies Pvt Ltd met à disposition le chiffrement HTTPS (également appelé SSL ou TLS) pour les données en transit.
  • Stockage, Isolation, Authentification et Destruction des Données. Slide Craft Technologies Pvt Ltd stocke les données dans un environnement multi-locataire sur des serveurs AWS. Les données, la base de données des Services et l'architecture du système de fichiers sont répliquées entre plusieurs zones de disponibilité sur AWS. Slide Craft Technologies Pvt Ltd isole logiquement les données des différents clients. Un système d'authentification central est utilisé pour tous les Services afin d'accroître la sécurité uniforme des données. Slide Craft Technologies Pvt Ltd assure l'élimination sécurisée des Données Client grâce à une série de processus de destruction de données.

ANNEXE III

LISTE DES SOUS-TRAITANTS

Le responsable du traitement a autorisé l'utilisation des sous-traitants suivants :

Name of Sub- Processor Description of Processing Location of Other Processor
Amazon Web Services Hosting the Production Environment and All customer data (eg document data etc) USA
Slack For messaging USA
Webflow For websites USA
Stripe Payment gateway USA
Adobe For design USA