Política de datos

Datos relativos al uso de nuestros servicios

Los datos personales relativos al Cliente, recopilados en particular cuando se crean Cuentas de Administrador, son procesados por el Proveedor de Servicios con el fin de prestar los Servicios y gestionar y supervisar la relación con el Cliente.

El Proveedor de Servicios podrá transmitir los datos del Cliente a los subcontratistas que utilice para prestar los Servicios, previo acuerdo expreso de estos últimos.

El Proveedor de Servicios se compromete a conservar los datos recogidos sólo durante el tiempo necesario para los fines del tratamiento.

De conformidad con la normativa aplicable a la protección de datos personales y, en particular, el Reglamento Europeo n°2016/679 de 27 de abril de 2016 y la Ley de Protección de Datos de 6 de enero de 1978 modificada, el Cliente tiene:

- derecho de acceso, rectificación, supresión y portabilidad de sus datos, - derecho a limitar el tratamiento de sus datos,

- derecho a oponerse al tratamiento de sus datos y a su utilización con fines de prospección comercial,

- derecho a definir directrices sobre el destino de sus datos post mortem,

- derecho a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles,

que podrá ejercerse enviando una carta a la dirección del establecimiento del Proveedor de Servicios mencionada en las presentes condiciones de comparación. El Cliente también podrá presentar una reclamación ante la Comisión Nacional de Informática y Libertades ("CNIL").

Datos relativos a los usuarios

El Proveedor de Servicios se compromete a cumplir los compromisos establecidos en la presente cláusula y a garantizar que los términos de la misma sean cumplidos por su personal, ya sea permanente o no permanente, y por cualquier subcontratista, en particular transmitiéndoles compromisos similares a los establecidos a continuación.

La presente cláusula tiene por objeto definir las condiciones en las que el Prestador de Servicios se compromete a realizar las operaciones definidas a continuación por cuenta del Cliente, responsable del tratamiento de los datos personales de los Usuarios.

En este contexto, las Partes se comprometen a cumplir la normativa vigente aplicable al tratamiento de datos personales y, en particular, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, aplicable a partir del 25 de mayo de 2028 (o, en adelante, el "GDPR").

El Proveedor de Servicios está autorizado a tratar, por cuenta del responsable del tratamiento, el Cliente, los datos personales de los Usuarios necesarios para la prestación de los Servicios suscritos.

La naturaleza de las operaciones realizadas con los datos es el registro, la organización, la estructuración, el almacenamiento, la recuperación, la consulta, la utilización, la divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, la alineación o combinación, la restricción, el borrado o la destrucción.

La finalidad del tratamiento es el cumplimiento de las obligaciones del Proveedor de Servicios para con el Cliente, estipuladas en el presente documento o en cualquier documentación o apéndice puesto en conocimiento del Cliente.

Los datos del Usuario son los recogidos inicialmente por el Cliente cuando el Usuario crea una cuenta personal para utilizar la Aplicación, más los necesarios para la ejecución de los presentes Términos y Condiciones. Se trata de los apellidos, nombre, fecha de nacimiento, foto de perfil, preferencias alimentarias, número de teléfono móvil, dirección de correo electrónico, datos bancarios e información TRD. Para la ejecución del presente Contrato, el Cliente se compromete a facilitar al Proveedor de Servicios la información anteriormente mencionada, además de cualquier otra información que pueda resultar necesaria durante la ejecución del presente Contrato.

El Proveedor de Servicios se compromete a:

1. Tratar los datos exclusivamente para los fines para los que se externalizan;

2. tratar los datos de conformidad con las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que una instrucción constituye una infracción del Reglamento Europeo de Protección de Datos o de cualquier otra disposición del Derecho de la Unión o del Estado miembro relativa a la protección de datos, informará inmediatamente de ello al responsable del tratamiento. Además, si el encargado del tratamiento está obligado a transferir datos a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto, deberá informar al responsable del tratamiento de esta obligación legal antes del tratamiento, a menos que la ley de que se trate prohíba dicha información por motivos importantes de interés público.

3. garantizar la confidencialidad de los datos personales tratados en virtud del presente contrato;

4. garantizar que las personas autorizadas a tratar datos personales en virtud del presente contrato :

- se comprometan a respetar la confidencialidad o estén sujetos a una obligación legal adecuada de confidencialidad

- recibir la formación necesaria en materia de protección de datos personales

5. tener en cuenta, en relación con sus herramientas, productos, aplicaciones o servicios, los principios de protección de datos desde el diseño y de protección de datos por defecto;

6. Subcontratación: el Proveedor de Servicios, el subcontratista, podrá recurrir a otro subcontratista (en lo sucesivo, "el subcontratista") para llevar a cabo actividades de tratamiento específicas.

El encargado posterior del tratamiento deberá cumplir las obligaciones del presente contrato en nombre del responsable del tratamiento y de conformidad con las instrucciones de éste. Es responsabilidad del encargado inicial asegurarse de que el encargado posterior presente las mismas garantías suficientes en cuanto a la aplicación de las medidas técnicas y organizativas adecuadas para que el tratamiento cumpla los requisitos del Reglamento Europeo de Protección de Datos. Si el encargado posterior no cumple sus obligaciones en materia de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de sus obligaciones por parte del otro encargado.

En caso de recurrir a un subcontratista posterior, el Proveedor de Servicios informará al responsable del tratamiento por adelantado y por escrito de cualquier cambio previsto en relación con la adición o sustitución de otros subcontratistas. El responsable del tratamiento dispondrá de un plazo mínimo de QUINCE (15) DÍAS a partir de la fecha de recepción de esta información para presentar sus objeciones.

Dicha subcontratación sólo podrá llevarse a cabo si el responsable del tratamiento no ha planteado objeciones en el plazo acordado.

El Cliente, responsable del tratamiento, queda informado de que, por el momento, el Proveedor de Servicios utiliza los siguientes proveedores de servicios para garantizar el pago de los Pedidos de los Usuarios: EDENRED FRANCE, (S.A.S. au capital de 464.966.992 €, dont le siège social est situé 166-180, boulevard Gabriel Péri, 92240 Malakoff - 393 365 135 R.C.S. Nanterre ; SWILE (S.A.S. au capital de 49.171,20, con domicilio social en 7 centre, Immeuble l'Atlis, Bâtiment A, 561 rue Georges Meliés - 34000 Montpellier, inscrita en el Registro Mercantil y de Sociedades de Montpellier con el nº 824 012 173; OCTOPLUS, sociedad por acciones simplificada con un capital de 88.593,70, con domicilio social en 33, Rue du Temple, 75004 París, inscrita en el Registro Mercantil y de Sociedades de París con el número 531 601 136 RCS París; UP, Société Coopérative et Participative à forme Anonyme et à capital variable, inscrita en el Registro Mercantil y de Sociedades de NANTERRE con el número 642 044 366, con domicilio social en Z.A.C. des Louvresses, 27-29 avenue des Louvresses - 92230 GENNEVILLIERS; SODEXO PASS FRANCE, Sociedad Anónima con un capital social de 61.623.908 euros, inscrita en el Registro Mercantil de Nanterre con el número 340 393 065, con domicilio social en 19 Rue Ernest Renan, 92022 Nanterre Cedex; NATIXIS INTERTITRES, Sociedad Anónima con un capital social de 380.800, inscrita en el Registro Mercantil y de Sociedades de PARÍS con el nº B 718 503 386, con domicilio social en 30, avenue Pierre Mendès France 75013 Paris; AGENCE NATIONALE CHEQUES VACANCES, con domicilio social en 36, Bd Henri Bergson - 95200 Sarcelles.

7. Es responsabilidad del responsable del tratamiento proporcionar información a los interesados en el momento de la recogida de datos.

8. Cuando los interesados presenten solicitudes al encargado del tratamiento para ejercer sus derechos, éste enviará dichas solicitudes inmediatamente después de recibirlas por correo electrónico a la dirección de contacto de Pokawa.

9. El encargado del tratamiento notificará al responsable del tratamiento cualquier violación de datos personales en el plazo máximo de VEINTICUATRO (24) horas desde que tuvo conocimiento de ella por cualquier medio. Esta notificación irá acompañada de toda la documentación útil para que el responsable del tratamiento pueda, en su caso, notificar dicha violación a la autoridad de control competente.

10. Sin perjuicio de lo estipulado en el artículo 7.1 anterior, el subcontratista se compromete a aplicar las siguientes medidas de seguridad:

- seudonimización y cifrado de datos personales

- los medios para garantizar en todo momento la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de tratamiento;

- los medios para restablecer la disponibilidad de los datos personales y el acceso a los mismos en un plazo adecuado en caso de incidente físico o técnico, siempre que se haya suscrito la opción de asistencia;

11. Una vez finalizados los servicios relativos al tratamiento de dichos datos, el subencargado del tratamiento se compromete a: (elegir) (i) destruir todos los datos personales o (ii) devolver todos los datos personales al responsable del tratamiento o (iii) devolver los datos personales al encargado del tratamiento designado por el responsable del tratamiento ;

12. El encargado del tratamiento declara que mantiene registros escritos de todas las categorías de actividades de tratamiento realizadas por cuenta del responsable del tratamiento;

13. El responsable del tratamiento se compromete a :

- proporcionar al subcontratista los datos requeridos por el Proveedor de Servicios en los términos y condiciones definidos en el presente documento.

- documentar por escrito cualquier instrucción relativa al tratamiento de datos por parte del encargado del tratamiento.

- garantizar que el encargado del tratamiento cumple las obligaciones establecidas en el Reglamento Europeo de Protección de Datos previamente y durante todo el periodo de tratamiento.

- supervisar el tratamiento, incluida la realización de auditorías e inspecciones del transformador.

Por lo tanto, el Cliente es responsable del tratamiento de los datos personales de los Usuarios realizado por el Proveedor de Servicios para el cumplimiento de las presentes Condiciones Generales.

Por su parte, el Proveedor de Servicios es directamente responsable de las acciones de sus subcontratistas que no se ajusten al estado de la técnica o a la normativa aplicable.

El Proveedor de Servicios se compromete a no explotar ni utilizar, copiar o crear archivos de los datos del Cliente para sus propios fines o por cuenta de terceros.

A petición del Cliente, el Proveedor de Servicios se compromete a especificar en cualquier momento las ubicaciones geográficas de procesamiento, almacenamiento y tránsito de datos que se utilizarán para prestar los Servicios al Cliente, de modo que éste pueda cumplir con los requisitos legales aplicables.

El Proveedor de Servicios también se compromete a:

- hacer todo lo posible, en su propio nombre y en nombre y por cuenta de cualquier subcontratista, para colaborar con el Cliente y ayudarle, en particular proporcionándole cualquier información útil que le permita cumplir con los requisitos legales o de los reguladores relativos a la protección de datos personales, u organizando la aplicación, en su caso, de los derechos de acceso, rectificación, etc., concedidos a los clientes del Cliente;

- adoptar todas las medidas necesarias para proteger la seguridad y confidencialidad de los datos y de los datos personales, en particular en caso de tratamiento, almacenamiento, archivo o transferencia a países no pertenecientes a la Unión Europea que no se consideren dotados de una protección "adecuada" de los datos personales según una decisión oficial de la Comisión Europea.

En caso de que el subcontratista esté situado en países fuera de la Unión Europea que no dispongan de un nivel de protección adecuado, el Proveedor de Servicios se compromete a que el subcontratista se adhiera a todas las disposiciones del presente artículo y a las cláusulas contractuales para la transferencia de Datos Personales a subcontratistas establecidos en terceros países en el marco de la legislación y reglamentación antes mencionadas, mediante la firma de un Contrato específico relativo a la transferencia de Datos Personales a un país fuera de la Unión Europea que no disponga de un nivel de protección adecuado, cuyo modelo será enviado por el Cliente.

Este contrato será firmado por tres partes: el Cliente (responsable del tratamiento de datos), el Proveedor de Servicios (exportador de datos) y el encargado del tratamiento no perteneciente a la UE (importador de datos).