Zaapit

Portée

Annexe

Ce code de confidentialité des OEC traite du traitement des renseignements personnels des clients, des fournisseurs et des partenaires commerciaux et d'autres personnes par ZaapIT ou un tiers au nom de ZaapIT (collectivement,CSB Informations) . Le présent code de protection des renseignements personnels des OEC ne traite pas du traitement des renseignements personnels des employés dans le contexte de leur relation d'emploi avec ZaapIT à moins et dans la mesure où cet employé est un client de ZaapIT.

Opposition au traitement local

1.2.

Une société de groupe qui n'est pas établie dans l'EEE et qui n'est pas couverte par une décision d'adéquation peut refuser l'applicabilité du présent code de protection des renseignements personnels des OEC à l'égard du traitement des renseignements des OEC recueillis dans le cadre des activités de cette société de groupe, à condition que ces renseignements des OEC soient ensuite traités dans la juridiction pertinente de cette seule société de groupe (Traitement local) . L'exclusion par une société de groupe du traitement local à local nécessite l'autorisation préalable du dirigeant principal de la protection de la vie privée. Nonobstant une telle autorisation, le traitement local doit au moins être conforme aux lois locales applicables et aux exigences de sécurité et de gouvernance du présent Code de protection des renseignements personnels des OEC.

Traitement électronique et sur papier

1,3

Le présent Code de protection des renseignements personnels des OEC s'applique au traitement des renseignements sur les OEC par voie électronique et dans des systèmes de dépôt sur support papier systématiquement accessibles.

Applicabilité du droit local et du Code de confidentialité des OEC

1,4

Rien dans le présent Code de protection des renseignements personnels des OEC ne sera interprété comme supprimant les droits et les recours que les particuliers peuvent avoir en vertu du droit local applicable. Ce Code de protection des renseignements personnels des OEC prévoit des droits et des recours supplémentaires pour les particuliers seulement.

Sous-politiques et avis

1,5

Zaap La TI peut compléter ce Code de protection des renseignements personnels des OEC par des sous-politiques, des procédures ou des lignes directrices conformes au présent Code de protection des renseignements personnels des OEC.

Responsabilité

1,6

Ce code de confidentialité des OEC lie ZaapIT. L'exécutif responsable est responsable de la conformité de son entreprise avec le présent Code de protection des renseignements personnels des OEC. ZaapIT Le personnel doit se conformer au présent code de confidentialité des OEC.

Entrée en vigueur

1,7

Le présent Code de protection des renseignements personnels des OEC entrera en vigueur le 11 juin 2018 (Entrée en vigueur) et sera publié sur le site web de ZaapIT et sur le site intranet de ZaapIT.

Le Code de confidentialité des OEC complète les politiques antérieures

1,8

Ce code de protection des renseignements personnels des OEC complète toutes les politiques et les avis de protection des renseignements personnels de ZaapIT qui existent à la date d'entrée en vigueur.

Mise en œuvre

1,9

Le présent code de protection des renseignements personnels des OEC sera mis en œuvre dans l'organisation ZaapIT selon les délais précisés à l'article 22.

Objectifs commerciaux légitimes

2.1.

CSB Les renseignements doivent être recueillis, utilisés ou autrement traités par ZaapIT dans le cadre de la prestation de services à la clientèle, de l'utilisation des services aux fournisseurs et du développement des affaires avec les partenaires commerciaux à l'une ou plusieurs des fins suivantes (Objectifs) :

C'est vrai. Évaluation et acceptation d'un client, fournisseur ou partenaire d'affaires; conclusion et exécution d'accords avec un client, fournisseur ou partenaire d'affaires et règlement des transactions de paiement.Cet objectif comprend Traitement des renseignements sur les OEC nécessaires à l'évaluation et à l'acceptation des clients, des fournisseurs ou des partenaires commerciaux, y compris la confirmation et la vérification de l'identité des personnes concernées (cela peut comprendre l'utilisation d'un organisme de référence du crédit ou d'un autre tiers), la diligence raisonnable et le contrôle des listes de sanctions gouvernementales et/ou des organismes d'application de la loi accessibles au public et d'autres sources de données tierces,l'utilisation et la participation des registres d'incidents et des systèmes d'alerte sectorielle de ZaapIT et/ou des services de vérification de tiers.

Cet objectif comprend également le traitement des informations d'OEC dans le cadre de l'exécution des accords, y compris la livraison des services à la clientèle et le règlement des transactions de paiement dans le cadre desquelles ZaapIT peut fournir des informations d'OEC à la contrepartie ou à d'autres parties, selon le cas, à des fins de vérification ou de reconstruction;

ii. Performance des services à la clientèle.Cet objectif porte sur le traitement des renseignements sur les OEC nécessaires à la prestation des services à la clientèle;

iii. Utilisation des services aux fournisseurs.Cet objectif porte sur le traitement des renseignements sur les OEC nécessaires à l'utilisation des services aux fournisseurs par ZaapIT;

iv. Développement des entreprises avec les partenaires commerciaux.Cet objectif porte sur le traitement de l'information sur les OEC nécessaire au développement des entreprises entre ZaapIT et les partenaires commerciaux;

v. Développement et amélioration des produits et/ou des services.Cet objectif comprend Traitement de l'information d'OEC nécessaire au développement et à l'amélioration des produits et/ou services ZaapIT, de la recherche et du développement;

VI. Gestion des relations et marketing.Cet objectif comprend des activités telles que le maintien et la promotion de contacts avec les clients, les fournisseurs et les partenaires commerciaux, la gestion des comptes, le service à la clientèle, les rappels, la collecte d'informations sur les OEC par le biais des sites Web de ZaapIT, ainsi que l'élaboration, l'exécution et l'analyse d'enquêtes de marché et de stratégies de marketing;

Oui. Exécution des processus opérationnels, gestion interne et rapports de gestion.Il s'agit notamment de la gestion des actifs de la société, de l'évaluation du crédit (y compris la fixation de limites de crédit) et de la gestion des risques, de la conduite d'audits et d'enquêtes, des finances et de la comptabilité, de la mise en oeuvre de contrôles opérationnels, de la mise en place d'installations centrales de traitement à des fins d'efficacité, de la gestion des fusions, des acquisitions et des cessions, du traitement de l'information d'OEC aux fins de rapports et d'analyses de gestion, des archives et des assurances, des consultations juridiques ou commerciales et de la prévention, de la préparation ou du règlement des différends;

viii. Santé, sûreté, sécurité et intégrité, y compris la protection de la sécurité et de l'intégrité du secteur des affaires.Cet objectif comprend la protection des intérêts de ZaapIT et de ses employés et clients, y compris la sauvegarde de la sécurité et de l'intégrité de leur secteur d'activité, en particulier la détection, la prévention, l'enquête et la lutte contre les comportements criminels ou répréhensibles dirigés contre ZaapIT, ses employés ou clients, y compris l'utilisation et la participation aux registres d'incidents et aux systèmes d'alerte sectorielle de ZaapIT, ainsi que des activités telles que celles concernant la santé et la sécurité, la protection des actifs de ZaapIT et des employés, l'authentification du statut de client, de fournisseur ou de partenaire d'affaires et les droits d'accès (comme les activités de contrôle requises pour accéder aux locaux ou aux systèmes de ZaapIT);

ix. Respect de la loi.Cet objectif concerne Traitement de l'information d'OEC nécessaire à l'exécution d'une tâche effectuée pour se conformer à une obligation légale ou à une recommandation sectorielle à laquelle ZaapIT est soumis, y compris la divulgation de l'information d'OEC aux institutions gouvernementales ou aux autorités de surveillance, y compris les autorités fiscales, y compris la prévention du blanchiment d'argent, le financement du terrorisme et d'autres infractions, la diligence raisonnable des clients et l'obligation de diligence envers les clients (p. ex., la surveillance du crédit); ou

x. Protection des intérêts vitaux des individus.Ce but porte sur le traitement nécessaire pour protéger les intérêts vitaux d'un individu.

Lorsqu'il y a une question à savoir si un certain traitement de l'information sur les OEC peut être fondé sur une fin d'entreprise mentionnée ci-dessus, le responsable approprié de la protection des renseignements personnels devrait être consulté avant que le traitement ait lieu.

Consentement

2.2

Outre les fins commerciales énumérées à l'article 2.1, les renseignements sur les OEC peuvent être traités si la personne a donné son consentement au traitement. Le cas échéant, contrôleur des données La loi exige que ZaapIT demande le consentement de l'individu pour le traitement pertinent, ZaapIT, en plus de s'assurer qu'il existe un but commercial pour le traitement, demande également le consentement de l'individu pour le traitement.

Pour obtenir un consentement, ZaapIT doit informer l'individu :

i. des fins du traitement pour lesquelles le consentement est requis;

ii. quelle société de groupe est responsable du traitement;

iii. le droit de retirer son consentement à tout moment;

iv. que le retrait du consentement n'affecte pas la légalité du traitement pertinent avant ce retrait.

Lorsque le traitement est effectué à la demande d'un particulier (p. ex., il souscrit à un service ou cherche un avantage), il est réputé avoir donné son consentement au traitement.

Octroi, refus ou retrait du consentement

2,3

La personne peut refuser ou retirer son consentement à tout moment. Dès le retrait du consentement, ZaapIT cessera ce traitement dès que cela sera raisonnablement possible. Le retrait du consentement ne porte pas atteinte i) à la légalité du traitement fondé sur ce consentement avant son retrait; et ii) à la légalité du traitement à des fins commerciales non fondées sur le consentement après le retrait.

Utilisation des renseignements sur les OEC à des fins secondaires

3.1

En général, CSB Les renseignements ne doivent être utilisés qu'aux fins commerciales. CSB Les renseignements peuvent être traités à des fins commerciales autres que les fins commerciales (Objectif secondaire) seulement si l'objectif secondaire est étroitement lié à l'objectif commercial. Selon la sensibilité de l'information pertinente de l'OEC et si l'utilisation de l'information de l'OEC à des fins secondaires a des conséquences négatives potentielles pour l'individu, cette utilisation peut nécessiter des mesures supplémentaires telles que :

i. limiter l'accès à l'information sur les OEC;

ii. imposer des exigences supplémentaires en matière de confidentialité;

iii. prendre des mesures de sécurité supplémentaires, y compris le chiffrement ou la pseudonymisation;

iv. informer l'individu du but secondaire;

v. offrir une possibilité de refus à l'individu;

vi. obtenir le consentement d'un particulier conformément à l'article 2.2 ou à l'article 4.3 (le cas échéant).

Utilisations généralement autorisées pour le secondaire

Objet

3.2

Il est généralement permis de traiter les informations d'OEC aux fins suivantes (même si elles ne sont pas énumérées comme des fins commerciales), à condition que des mesures supplémentaires appropriées soient prises conformément à l'article 3.1:

i. transfert de l'information de l'OEC à une archive;

ii. audits ou enquêtes internes;

iii. mise en œuvre des contrôles opérationnels et de l'efficacité opérationnelle;

iv. la recherche statistique, historique ou scientifique;

v. le règlement des différends;

vi. consultation juridique ou commerciale; ou

vii. l'assurance.

À des fins spécifiques pour le traitement des renseignements sensibles

4.1.

Cet article énonce des règles spécifiques pour le traitement des informations sensibles. ZaapIT ne traitera les renseignements sensibles que dans la mesure nécessaire pour servir l'objectif opérationnel applicable.

Les catégories suivantes de renseignements sensibles peuvent être recueillies, utilisées ou autrement traitées pour une (ou plusieurs) des fins précisées ci-dessous:

C'est vrai. Renseignements sur les OEC à caractère racial ou ethniqueDans certains pays, les photos et les images vidéo des individus sont considérées comme des informations raciales ou ethniques. Zaap La TI peut traiter des photos (p. ex., une copie d'un passeport contenant une photo) et des images vidéo pour la protection des actifs de ZaapIT et des employés; des raisons d'accès au site et de sécurité; l'évaluation et l'acceptation des clients, y compris l'identification et l'authentification des clients (y compris la confirmation et la vérification de l'identité des personnes concernées); le statut de fournisseur ou de partenaire d'affaires et les droits d'accès; et vérifier et confirmer les conseils ou les décisions prises dans le cadre de l'entreprise pour référence future (p. ex. lorsque les personnes participent à des vidéoconférences enregistrées);

ii. Renseignements sur les OEC criminels(y compris les informations de l'OEC relatives au comportement criminel, aux casiers judiciaires ou aux procédures concernant un comportement criminel ou illégal), peuvent être traitées si nécessaire pour l'évaluation et l'acceptation des clients, y compris l'identification et l'authentification des clients (y compris la confirmation et la vérification de l'identité des personnes concernées); l'exécution d'un accord avec les clients; et pour protéger les intérêts de ZaapIT, de ses employés et clients, ainsi que pour l'utilisation et la participation des registres d'incidents et des systèmes d'alerte sectorielle de ZaapIT;

iii. Santé physique ou mentale OEC Information: Peut être traité si nécessaire pour l'évaluation et l'acceptation d'un Client, l'exécution d'un contrat avec un Client, et le respect de l'obligation de soins de ZaapIT Clients;

iv. Religion ou croyances: Peut être traité pour accommoder des produits ou services spécifiques pour un client, tels que des exigences alimentaires liées à la religion ou aux croyances, ou des vacances religieuses;

v. Renseignements biométriques sur les OEC(p. ex., empreintes digitales) : pour la protection de ZaapIT et de ses employés, les biens, l'accès au site et les raisons de sécurité.

Buts généraux du traitement des renseignements sensibles

4.2

Outre les objectifs spécifiques énumérés à l'article 4.1 ci-dessus, toutes les catégories d'informations sensibles peuvent être traitées dans (une ou plusieurs des) circonstances suivantes:

i. selon les besoins ou permis pour l'exécution d'une tâche effectuée pour se conformer à une obligation légale ou à une recommandation sectorielle à laquelle ZaapIT est soumis;

ii. pour le règlement des différends et/ou la prévention de la fraude;

iii. protéger un intérêt vital d'un individu, mais seulement lorsqu'il est impossible d'obtenir le consentement de l'individu en premier;

iv. dans la mesure nécessaire pour se conformer à une obligation de droit public international (par exemple, un traité); ou

v. si l'Information Sensitive a été postée ou autrement partagée à l'initiative de l'individu sur les médias sociaux ZaapIT ou a été manifestement rendue publique par l'individu.

Consentement et refus ou retrait

4.3

Outre les objectifs spécifiques énumérés à l'article 4.1 et les objectifs généraux énumérés à l'article 4.2, toutes les catégories d'informations sensibles peuvent être traitées si l'individu a donné son consentement explicite au traitement.

Le cas échéant, contrôleur des données La loi exige que ZaapIT demande le consentement de l'individu pour le traitement pertinent, ZaapIT, en plus de s'assurer que l'un des motifs énumérés à l'article 4.1 ou 4.2 existe pour le traitement, demande également le consentement de l'individu pour le traitement.

Les exigences énoncées aux articles 2.2 et 2.3 s'appliquent à l'octroi, au refus ou au retrait du consentement.

Autorisation préalable du dirigeant principal de la protection de la vie privée

4,4

Lorsque l'information sensible est traitée selon une exigence de la loi autre que la loi locale applicable au traitement, le traitement exige l'autorisation préalable du dirigeant principal de la protection de la vie privée compétent.

Utilisation de renseignements sensibles à des fins secondaires

4,5

Les renseignements sensibles des personnes peuvent être traités à des fins secondaires conformément à l'article 3.

Aucune information excessive sur les OEC

5.1

Zaap La TI limitera le traitement des renseignements sur les OEC aux renseignements sur les OEC qui sont raisonnablement adéquats et pertinents aux fins opérationnelles applicables. Zaap La TI doit prendre des mesures raisonnables pour supprimer ou faire des renseignements d'OEC non recouvrables qui ne sont pas requis aux fins opérationnelles applicables.

Période de stockage

5.2

Zaap La TI ne conservera généralement les renseignements sur les OEC que pour la période nécessaire à la réalisation de l'objectif d'affaires applicable, dans la mesure raisonnablement nécessaire pour se conformer à la loi applicable, ou selon les cas, compte tenu d'une prescription applicable. ZaapIT peut spécifier (p. ex. dans une sous-politique, un avis ou un calendrier de conservation des dossiers) une période pour laquelle certaines catégories de renseignements d'OEC peuvent être conservées.

Aussitôt après la fin de la période de stockage applicable, le responsable de la protection des renseignements personnels doit ordonner que les renseignements sur les OEC soient :

i. supprimé ou détruit en toute sécurité;

ii. dé-identifiés; ou

iii. transféré à une archive (sauf si cela est interdit par la loi ou un calendrier de conservation des documents applicable).

Qualité de l'information sur les OEC

5,3

CSB Les renseignements devraient être exacts, complets et tenus à jour dans la mesure raisonnablement nécessaire à l'objectif opérationnel applicable.

«Confidentialité par conception C'est-à-dire

5,4

Zaap La TI prend des mesures techniques et organisationnelles commercialement raisonnables pour veiller à ce que les exigences du présent article 5 soient mises en œuvre dans la conception de nouveaux systèmes et processus qui traitent les renseignements des OEC.

Information exacte, complète et à jour sur les OEC

5,5

Il incombe aux personnes de s'assurer que leurs renseignements sur les OEC, tels que détenus par ZaapIT, sont exacts, complets et à jour. Les particuliers doivent informer ZaapIT de tout changement apporté à leurs informations d'OEC conformément à l'article 7.

Exigences en matière d ' information

6,1

ZaapIT informe Les particuliers par une politique de confidentialité ou un avis concernant:

i. les fins commerciales (y compris les fins secondaires) pour lesquelles les renseignements sur les OEC sont traités;

ii. quelle société de groupe est responsable du traitement ainsi que des coordonnées du Bureau de la protection des renseignements personnels;

iii. les catégories de tiers auxquelles les informations de l'OEC sont divulguées (le cas échéant), la question de savoir si ces tiers sont couverts par une décision d'adéquation et, dans la négative, les informations sur le mécanisme de transfert de données visé à l'article 11.6 ii), iv) ou v), ainsi que les moyens d'obtenir une copie de ces informations ou d'y avoir accès;

iv. autres informations pertinentes, par exemple:

i. la nature et les catégories de l'information d'OEC traitée;

ii. la période pendant laquelle les renseignements de l'OEC seront conservés ou (si ce n'est pas possible) les critères utilisés pour déterminer cette période;

iii. un aperçu des droits des personnes en vertu du présent Code de protection des renseignements personnels des OEC, de la façon dont ces droits peuvent être exercés, y compris le droit d'obtenir une indemnisation;

iv. l'existence d'une prise de décision automatisée visée à l'article 10 ainsi que des informations significatives sur la logique en cause et les conséquences négatives potentielles pour l'individu; ou

v. la source de l'information sur les OEC (lorsque l'information sur les OEC n'a pas été obtenue de la part de la personne), y compris si l'information sur les OEC provenait d'une source publique.

CSB Renseignements non obtenus auprès de l'individu

6.2

Lorsque les informations de l'OEC n'ont pas été obtenues directement auprès de l'individu, ZaapIT fournit à l'individu les informations visées à l'article 6.1:

i. dans un délai raisonnable après l'obtention de l'OEC l'information, mais au moins dans un délai d'un mois, compte tenu des circonstances particulières de l'information d'OEC traitée;

ii. si CSB L'information est utilisée pour communiquer avec l'individu, au plus tard au moment de la première communication avec l'individu;

iii. si une divulgation à un autre destinataire est envisagée, au plus tard au moment de la première divulgation des renseignements sur les OEC.

Exceptions

6,3

Les prescriptions des articles 6.1 et 6.2 peuvent être inapplicables si:

i. l'individu dispose déjà des informations visées à l'article 6.1;

ii. il serait impossible ou impliquerait un effort disproportionné pour fournir les informations aux individus, auquel cas ZaapIT prendra des mesures supplémentaires pour atténuer les conséquences négatives potentielles pour l'individu, telles que celles énumérées à l'article 3.1;

iii. obtenir CSB L'information est expressément prévue par la loi applicable; ou

iv. les informations de l'OEC doivent demeurer confidentielles sous réserve d'une obligation de secret professionnel régie par le droit local applicable, y compris une obligation légale de secret.

Ces exceptions aux exigences ci-dessus peuvent être considérées comme des intérêts souverains, conformément à l'article 12.

Droit d'accès

7.1.

Toute personne a le droit de demander une copie de ses informations sur les OEC traitées par ZaapIT ou en son nom, et d'accéder davantage, si cela est raisonnablement possible, aux informations énumérées aux articles 6.1 ou 6.2.

Droit de rectification, de suppression et de restriction

7.2

Si les renseignements de l'OEC sont inexacts, incomplets ou non traités conformément à la loi applicable sur le contrôleur des données ou au présent code de protection des renseignements personnels de l'OEC, l'individu a le droit de faire rectifier, supprimer ou restreindre le traitement de ces renseignements (selon le cas). Dans le cas où ZaapIT a rendu l'information d'OEC publique, et que la Particulière a le droit de supprimer l'information d'OEC, en plus de supprimer l'information d'OEC pertinente, ZaapIT doit prendre des mesures commercialement raisonnables pour informer les tiers qui traitent l'information d'OEC pertinente ou qui sont liés à l'information d'OEC pertinente, que la Particulière a demandé la suppression de l'information d'OEC par ces tiers.

Droit d'opposition

7,3

L'individu a le droit de s'opposer :

i. le traitement de ses informations CSB sur la base de motifs convaincants liés à sa situation particulière, à moins que ZaapIT ne puisse démontrer un intérêt légitime prévalant pour le traitement;

ii. recevoir des communications de marketing sur la base de l'article 9 (y compris tout profilage y afférent).

Restrictions aux droits des individus

7,4

Les droits des individus énoncés aux articles 7.1-7.3 ci-dessus ne s'appliquent pas dans une ou plusieurs des circonstances suivantes:

i. le traitement est requis ou autorisé pour l'exécution d'une tâche effectuée conformément à une obligation légale de ZaapIT;

ii. le traitement est exigé ou autorisé pour une tâche effectuée dans l'intérêt public, y compris dans le domaine de la santé publique et à des fins d'archivage, de recherche scientifique ou historique ou de statistique;

iii. le traitement est nécessaire pour exercer le droit à la liberté d'expression et d'information;

iv. aux fins du règlement des différends;

v. l'exercice des droits par l'individu porte atteinte aux droits et libertés de ZaapIT ou d'autres personnes; ou

vi. dans le cas où une restriction spécifique des droits des personnes s'applique en vertu de la loi applicable sur le contrôleur des données.

Procédure

7,5

L'individu doit envoyer sa demande au contact indiqué dans la déclaration ou l'avis de confidentialité. Les particuliers peuvent aussi envoyer leur demande au bureau du dirigeant principal de la protection de la vie privée par courriel à : support+privacy@ZaapIT.com.

Avant de répondre à la demande de l'individu, ZaapIT peut exiger de l'individu:

i. préciser les catégories d'information sur les OEC auxquelles il souhaite avoir accès;

ii. préciser, dans la mesure raisonnablement possible, le système dans lequel les renseignements de l'OEC sont susceptibles d'être stockés;

iii. préciser les circonstances dans lesquelles ZaapIT a obtenu les renseignements de l'OEC;

iv. fournir la preuve de son identité lorsque ZaapIT a des doutes raisonnables concernant cette identité, ou fournir des informations supplémentaires permettant son identification;

v. payer une taxe pour indemniser ZaapIT pour les frais raisonnables liés à l'exécution de la demande de l'individu à condition que ZaapIT puisse raisonnablement démontrer que la demande est manifestement non fondée ou excessive, par exemple en raison de son caractère répétitif; et

vi. dans le cas d'une demande de rectification, de suppression ou de restriction, préciser les raisons pour lesquelles l'information de l'OEC est incorrecte, incomplète ou non traitée conformément à la loi applicable sur le contrôleur des données ou au présent code de confidentialité de l'OEC.

Période de réponse

7,6

Dans un délai d'un mois civil à compter de la réception de la demande par ZaapIT, ZaapIT informera l'individu par écrit ou électroniquement i) de la position de ZaapIT à l'égard de la demande et de toute mesure prise ou qu'elle prendra en réponse, ou ii) de la date ultime à laquelle elle sera informée de la position de ZaapIT et des motifs du retard, qui sera au plus tard deux mois civils après la période initiale d'un mois.

Plainte

7. 7

Une personne physique peut déposer une plainte conformément à l'article 17.3 et/ou déposer une plainte ou une réclamation auprès des autorités ou des tribunaux conformément à l'article 18 si:

i. la réponse à la demande n'est pas satisfaisante pour l'individu (par exemple, la demande est refusée);

ii. l'individu n'a pas reçu de réponse conformément à l'article 7.6; ou

iii. le délai accordé à l'individu conformément à l'article 7.6 est, à la lumière des circonstances pertinentes, déraisonnablement long, et l'individu s'est objecté mais n'a pas reçu un délai plus court et plus raisonnable dans lequel il recevra une réponse.

Refus des demandes

7,8

Zaap IT peut refuser une demande individuelle si:

i. la demande ne satisfait pas aux exigences des articles 7.1-7.3 ou aux exigences de l'article 7.4;

ii. la demande n'est pas suffisamment précise;

iii. l'identité de la personne concernée ne peut être établie par des moyens raisonnables, y compris des informations supplémentaires fournies par la personne concernée;

iv. ZaapIT peut raisonnablement démontrer que la demande est manifestement non fondée ou excessive, par exemple en raison de son caractère répétitif. Un intervalle de temps entre les demandes de six mois ou moins est généralement considéré comme un intervalle de temps déraisonnable.

Aucune obligation de traiter l'information d'identification

7,9

Zaap La TI n'est pas tenue de traiter des informations supplémentaires afin de pouvoir identifier l'individu dans le seul but de faciliter les droits de l'individu en vertu du présent article 7.

Exigences en matière de sécurité

8.1.

Zaap La TI prend les mesures techniques, physiques et organisationnelles appropriées, raisonnables sur le plan commercial, pour protéger les renseignements des OEC contre toute utilisation abusive ou accidentelle, illégale ou non autorisée de destruction, perte, altération, divulgation, acquisition ou accès. Pour ce faire, ZaapIT a élaboré et mis en œuvre le Système de gestion de la sécurité de l'information ZaapIT et d'autres sous-politiques et lignes directrices relatives à la protection de l'information CSB.

Accès aux données et confidentialité

8.2

ZaapIT doit fournir au personnel de ZaapIT l'accès à l'information sur les OEC uniquement dans la mesure nécessaire pour servir l'objectif opérationnel applicable et pour accomplir son travail. Zaap La TI impose des obligations de confidentialité au personnel ayant accès à l'information sur les OEC.

Sécurité des données Obligation de notification de violation

8.3

Zaap Les TI consignent toutes les infractions à la sécurité de l'information, y compris les faits relatifs à la violation de la sécurité de l'information, ses effets et les mesures correctives prises, que la documentation sera mise à la disposition du DPA d'Israeil et d'un DPA compétent pour effectuer une vérification en vertu de l'article 16.2 sur demande. Le cas échéant, contrôleur des données La loi l'exige, ZaapIT avise les particuliers d'une violation de la sécurité des données dès que possible après qu'elle a établi qu'une violation de la sécurité des données a eu lieu, sauf interdiction contraire, par exemple si un agent de la force publique ou une autorité de surveillance détermine que la notification entraverait une enquête (criminelle) ou porterait atteinte à la sécurité nationale, la confiance dans le secteur industriel concerné. Dans ce cas, la notification est retardée conformément aux instructions de l'autorité de police ou de surveillance. Zaap Les TI répondent rapidement aux demandes de renseignements des personnes concernant cette violation de la sécurité des données.

Commercialisation directe

9,1

Cet article énonce les exigences relatives au traitement des renseignements sur les OEC à des fins de marketing direct (p. ex., en communiquant avec l'individu par courriel, par télécopieur, par téléphone, par SMS ou autrement, en vue d'une sollicitation à des fins commerciales ou de bienfaisance).

Consentement à la commercialisation directe (opt-in)

9.2

Le cas échéant, contrôleur des données La loi l'exige, Zaap La TI n'envoie à des particuliers qu'une communication commerciale non sollicitée par courriel, télécopieur, sms et mms avec le consentement préalable de l'individu («opt-in»). Si la loi applicable sur le contrôleur des données n'exige pas le consentement préalable de l'individu, ZaapIT lui offre la possibilité de refuser cette communication commerciale non sollicitée.

Exception (opt-out)

9,3

Le consentement préalable de l'individu pour envoyer une communication commerciale non sollicitée par courriel, télécopieur, sms et mms n'est pas requis en vertu du présent Code de confidentialité des OEC si :

i. un particulier a communiqué ses coordonnées électroniques à une société de groupe dans le cadre d'une vente d'un produit ou d'un service de cette société de groupe;

ii. ces coordonnées sont utilisées pour la commercialisation directe des produits ou services similaires de cette société de groupe; et

iii. l'individu a été clairement et distinctement donné la possibilité de s'opposer gratuitement, et de manière facile, à cette utilisation de ses coordonnées électroniques lorsqu'elles sont collectées par la société du groupe.

Informations à fournir dans chaque communication

9.4

Dans chaque communication de marketing direct que ZaapIT fait à l'individu, ZaapIT offre à l'individu la possibilité de refuser d'autres communications de marketing direct de ZaapIT.

Objection à la commercialisation directe

9,5

Si une personne s'oppose à recevoir des communications marketing de ZaapIT, ou retire son consentement à recevoir de telles communications, ZaapIT prendra des mesures pour s'abstenir d'envoyer d'autres communications marketing comme l'exige spécifiquement la personne. Zaap Les TI le feront dans le délai prescrit par la loi applicable sur le contrôleur des données.

Tiers et commercialisation directe

9,6

Le cas échéant, contrôleur des données La loi l'exige, ZaapIT ne doit fournir des renseignements sur les OEC ou utiliser ces renseignements pour le compte de tiers qu'à des fins de marketing direct avec le consentement préalable de la personne concernée. Le cas échéant, contrôleur des données La loi n'exige pas le consentement préalable de l'individu, ZaapIT offre à l'individu la possibilité de renoncer à ces fins de marketing direct de tiers.

Renseignements personnels concernant les enfants

9,7

Zaap La TI ne doit pas utiliser de renseignements personnels sur les enfants à des fins de marketing direct, sans le consentement préalable des détenteurs de la responsabilité parentale sur les enfants. Zaap La TI doit faire des efforts raisonnables pour vérifier que le consentement est donné ou autorisé par les détenteurs de la responsabilité parentale sur les enfants.

Dossiers de commercialisation directe

9,8

Zaap La TI tient un registre des personnes qui ont exercé leur droit d'opt-in ou d'opt-out et vérifie régulièrement les registres publics d'opt-out conformément à la loi applicable sur le contrôleur des données.

Décisions automatisées

10.1

Des outils automatisés peuvent être utilisés pour prendre des décisions au sujet des personnes, mais les décisions ayant un résultat négatif important pour la personne ne peuvent pas être fondées uniquement sur les résultats fournis par l'outil automatisé. Cette restriction ne s'applique pas si:

i. l'utilisation d'outils automatisés est nécessaire à l'accomplissement d'une tâche effectuée pour se conformer à une obligation légale ou à une recommandation sectorielle à laquelle ZaapIT est soumis;

ii. la décision est prise par ZaapIT aux fins a) de la conclusion ou de l'exécution d'un contrat ou b) de la gestion du contrat, à condition que la demande sous-jacente ayant abouti à une décision de ZaapIT ait été faite par l'individu (par exemple, lorsque des outils automatisés sont utilisés pour filtrer les soumissions de jeux promotionnels); ou

iii. la décision est prise sur la base du consentement explicite de la personne.

Les points i) et iii) ne s'appliquent que si des mesures appropriées sont prises pour protéger les intérêts légitimes de l'individu (par exemple, l'individu a eu la possibilité d'exprimer son point de vue).

Les exigences énoncées aux articles 2.2 et 2.3 s'appliquent à la demande, au refus ou au retrait du consentement individuel.

Transfert à des tiers

11.1

Cet article énonce les exigences relatives au transfert des renseignements de l'OEC de ZaapIT à un tiers. Il est à noter qu'un transfert de renseignements sur les OEC comprend des situations dans lesquelles ZaapIT communique des renseignements sur les OEC à un tiers (p. ex. dans le contexte de la diligence raisonnable de l'entreprise) ou où ZaapIT offre un accès à distance aux renseignements sur les OEC à un tiers.

Contrôleurs tiers et transformateurs tiers

11,2

Il existe deux catégories de tiers:

C'est vrai. Contrôleurs tiers: il s'agit de tiers qui traitent l'information des OEC et déterminent l'objet et les moyens du traitement (par exemple, les partenaires commerciaux de ZaapIT qui fournissent leurs propres biens ou services directement aux clients);

ii. Processeurs tiers: il s'agit de tiers qui traitent l'information d'OEC uniquement au nom de ZaapIT et sous sa direction (p. ex., des tiers qui traitent l'information d'OEC dans l'exécution de services ou de soutien technique à la clientèle pour les clients ou les services d'hébergement).

Transfert aux fins d'affaires applicables seulement

11,3

Zaap La TI transfère les renseignements d'OEC à un tiers dans la mesure nécessaire pour servir l'objet commercial applicable (y compris les fins secondaires visées à l'article 3 ou les fins pour lesquelles la personne a donné son consentement conformément à l'article 2).

Contrats de tiers contrôleur

11,4

Les tiers contrôleurs (autres que les organismes gouvernementaux) ne peuvent traiter les informations d'OEC transférées par ZaapIT que s'ils ont un contrat écrit ou électronique avec ZaapIT. Dans le contrat, ZaapIT s'efforce de protéger contractuellement les intérêts de protection de la vie privée de ses personnes lorsque les renseignements sur les OEC sont traités par des tiers contrôleurs. Tous ces contrats doivent être rédigés conformément aux lignes directrices appropriées.

Contrats de transformateurs tiers

11,5

Les transformateurs tiers peuvent traiter les OEC Informations seulement si elles ont valablement conclu un accord écrit ou électronique avec ZaapIT (Contrat de transformateur) . Le contrat de transformateur doit comprendre les dispositions suivantes :

i. le tiers transformateur ne traitera les renseignements d'OEC qu'aux fins autorisées par ZaapIT et conformément aux instructions documentées de ZaapIT, y compris en ce qui concerne le transfert des renseignements d'OEC à tout tiers transformateur qui n'est pas visé par une décision d'adéquation, à moins que le tiers transformateur ne soit tenu de le faire en vertu des exigences obligatoires applicables au tiers transformateur et notifié à ZaapIT;

ii. le tiers transformateur garde les renseignements des OEC confidentiels et impose des obligations de confidentialité au personnel ayant accès aux renseignements des OEC;

iii. le tiers transformateur prend les mesures de sécurité techniques, physiques et organisationnelles appropriées pour protéger l'information d'OEC;

iv. le tiers transformateur n'autorise les sous-traitants à traiter des renseignements d'OEC que dans le cadre de ses obligations envers ZaapIT a) avec le consentement préalable spécifique ou générique de ZaapIT et b) sur la base d'un accord valablement conclu par écrit ou électronique avec le sous-traitant, qui impose des conditions de traitement relatives à la protection de la vie privée similaires à celles imposées au tiers transformateur en vertu du contrat de transformateur et à condition que le tiers transformateur demeure responsable envers ZaapIT de l'exécution du sous-traitant conformément aux conditions du contrat de transformateur. Si ZaapIT donne un consentement général à la participation de sous-traitants, le tiers transformateur avise ZaapIT de tout changement dans ses sous-traitants et lui donne la possibilité de s'opposer à ces changements pour des motifs raisonnables;

c. Zaap Les TI devraient être en mesure de vérifier les mesures de sécurité prises par le tiers transformateur : a) par l'obligation du tiers transformateur de soumettre ses installations de traitement de l'information pertinentes à des vérifications et des inspections par ZaapIT, un tiers au nom de ZaapIT, ou par toute autorité gouvernementale compétente; b) par une déclaration délivrée par un tiers évaluateur indépendant qualifié au nom du tiers transformateur attestant que les installations de traitement de l'information du tiers transformateur utilisées pour le traitement des informations de la DGEC sont conformes aux exigences du contrat de traitement;

VI. Le tiers transformateur doit traiter rapidement et de manière appropriée:

i. les demandes d'informations nécessaires pour démontrer le respect par le tiers transformateur de ses obligations en vertu du contrat de processeur et informer ZaapIT si des instructions de ZaapIT à cet égard violent la loi applicable sur le contrôleur de données;

ii. les demandes et les plaintes des OEC selon les instructions de ZaapIT;

iii. les demandes d'assistance de ZaapIT, dans la mesure où elles sont raisonnablement nécessaires pour assurer le respect de la loi sur le traitement des informations d'OEC et de la loi sur le contrôleur des données applicable;

Oui. Le tiers processeur informe rapidement ZaapIT d'une atteinte à la sécurité des données impliquant des informations CSB;

viii. Au moment de la résiliation du contrat de transformateur, le tiers transformateur doit, au choix de ZaapIT, retourner à ZaapIT les renseignements de l'OEC et les copies de ces renseignements ou les supprimer de façon sécuritaire, sauf dans la mesure où le contrat de transformateur ou la loi applicable en dispose autrement.

Transfert d'informations CSB à des tiers en dehors de l'EEE qui ne sont pas couverts par des décisions d'adéquation

11.6

Le présent article énonce des règles supplémentaires pour les informations de l'OEC qui sont: a) collectées à l'origine dans le cadre d'activités d'une société de groupe située dans l'EEE ou couvertes par une décision d'adéquation; b) transférées à un tiers situé en dehors de l'EEE et non couvertes par une décision d'adéquation.

CSB Les informations ne peuvent être transférées que si:

i. le transfert est nécessaire pour l'exécution d'un contrat avec l'individu, pour la gestion d'un contrat avec l'individu, ou pour prendre les mesures nécessaires à la demande de l'individu avant de conclure un contrat, par exemple pour le traitement des commandes;

ii. un contrat a été conclu entre ZaapIT et le tiers concerné en vertu duquel : a) ce tiers est lié par les termes du présent code de protection de la vie privée des OEC, comme c'était le cas pour une société de groupe; b) prévoit des garanties à un niveau de protection similaire à celui prévu par le présent code de protection de la vie privée des OEC; ou c) qui est reconnu par la loi sur la protection des données comme assurant un niveau de protection de la vie privée adéquat;

iii. le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de l'individu entre ZaapIT et un tiers (par exemple, en cas de rappel);

iv. le tiers a été certifié dans le cadre d'un programme «port sûr» qui est reconnu en vertu de la loi sur la protection des données comme fournissant un niveau adéquat de protection de la vie privée, comme le programme EU-U.S. Privacy Shield;

v. le tiers a mis en œuvre des règles d'entreprise contraignantes ou un mécanisme de contrôle des transferts semblable à un niveau adéquat de protection de la vie privée;

vi. le transfert est nécessaire pour protéger un intérêt vital de l'individu;

vii. le transfert est nécessaire pour l'établissement, l'exercice ou la défense d'une réclamation légale;

viii. le transfert est nécessaire pour répondre à un besoin urgent de protéger les intérêts publics d'une société démocratique; ou

ix. le transfert est nécessaire à l'accomplissement d'une tâche effectuée pour se conformer à une obligation légale à laquelle la société de groupe concernée est soumise.

Les points viii) et ix) ci-dessus nécessitent l'approbation préalable du dirigeant principal de la protection de la vie privée.

Consentement au transfert

11,7

Outre les motifs énumérés à l'article 11.6, ZaapIT peut transférer des informations d'OEC à un tiers situé en dehors de l'EEE qui n'est pas visé par une décision d'adéquation si le particulier a donné son consentement au transfert. Le cas échéant, contrôleur des données La loi exige que ZaapIT, outre l'un des motifs énumérés à l'article 11.6, demande le consentement de l'individu pour le transfert pertinent.

Avant de demander le consentement, l'individu doit recevoir les renseignements suivants :

i. l'objet du transfert;

ii. l'identité de la société du groupe cédant;

iii. l'identité ou les catégories de tiers auxquels les renseignements de l'OEC seront transférés;

iv. les catégories d'information sur les OEC qui seront transférées;

v. le pays vers lequel les renseignements de l'OEC seront transférés; et

vi. le fait que les renseignements de l'OEC seront transférés à un tiers non visé par une décision d'adéquation.

Oui. Les exigences énoncées aux articles 2.2 et 2.3 s'appliquent à l'octroi, au refus ou au retrait du consentement individuel.

Processeurs internes

11.8

Les transformateurs internes peuvent traiter les OEC Informations uniquement si elles ont valablement conclu un contrat écrit ou électronique avec la société du groupe agissant en qualité de responsable du traitement des données des informations CSB pertinentes, lequel contrat doit en tout état de cause inclure les dispositions énoncées à l'article 11.5.

Intérêts supérieurs

12.1

Les obligations de ZaapIT ou les droits des individus visés aux articles 12.2. et 12.3. peuvent être annulés si, dans les circonstances particulières en cause, il existe un besoin urgent qui l'emporte sur l'intérêt de l'individu (Intérêt supérieur) . Un intérêt primordial existe s'il est nécessaire :

i. protéger les intérêts commerciaux légitimes de ZaapIT, y compris:

ii. la santé, la sécurité ou la sûreté des employés ou des particuliers;

iii. les droits de propriété intellectuelle, les secrets commerciaux ou la réputation de ZaapIT;

iv. la continuité des opérations de ZaapIT;

v. le maintien de la confidentialité dans une vente, une fusion ou une acquisition d'une entreprise proposée; ou

vi. la participation de conseillers ou de consultants de confiance à des fins commerciales, juridiques, fiscales ou d'assurance;

vii. prévenir ou enquêter (y compris en coopérant avec les forces de l'ordre) sur des violations présumées ou réelles de la loi; ou

viii. protéger ou défendre les droits ou libertés de ZaapIT, de ses employés ou d'autres personnes.

Exceptions en cas d'intérêt supérieur

12,2

Si un intérêt supérieur existe, une ou plusieurs des obligations suivantes de ZaapIT ou des droits de l'individu peuvent être annulés:

i. Article 3.1 (l'obligation de traiter les informations des OEC à des fins étroitement liées);

ii. Article 5.2 (stockage et suppression des données);

iii. Articles 6.1 et 6.2 (informations fournies aux particuliers);

iv. Articles 7.1-7.3 (droits des individus);

v. Article 8.2 (Limitations d'accès au personnel et exigences de confidentialité);

vi) Articles 11.4, 11.5 et 11.6 ii) (contrats avec des tiers).

Informations sensibles

12,3

Les exigences des articles 4.1 et 4.2 (Information sensible) ne peuvent être réservées qu'aux intérêts souverains énumérés à l'article 12.1 i) a), b), c) et e), ii) et iii).

Consultation avec le dirigeant principal de la protection de la vie privée

12,4

L'annulation des obligations de ZaapIT ou des droits des personnes fondées sur un intérêt supérieur exige une consultation préalable du dirigeant principal de la protection de la vie privée. Le dirigeant principal de la protection de la vie privée documente ses conseils.

Information à l'individu

12,5

Sur demande de l'individu, ZaapIT informe l'individu de l'intérêt supérieur pour lequel des obligations de ZaapIT ou des droits de l'individu ont été annulés, sauf si l'intérêt supérieur particulier annule les exigences des articles 6.1 ou 7.1 - 7.3, auquel cas la demande est rejetée.

Directeur de la protection de la vie privée

13.1

Zaapit Inc. nomme un dirigeant principal de la protection de la vie privée chargé :

C'est vrai. Superviser la conformité au présent Code de protection des renseignements personnels des OEC;

ii. présenter des rapports périodiques, le cas échéant, au Directeur général sur les risques pour la protection des données et les questions de conformité;

iii. le suivi de la performance et de l'examen périodique d'une évaluation d'impact sur la protection des données (EIDD) avant la mise en œuvre d'un nouveau système ou d'un processus opérationnel impliquant le traitement des informations d'OEC comme décrit à l'article 14.3;

iv. Décision sur les plaintes visées à l'article 16.3; et

v. Coordonner, conjointement avec le responsable de la protection des renseignements personnels, les enquêtes officielles ou les enquêtes sur le traitement des renseignements sur les OEC par une autorité publique.

Sécurité et confidentialité Conseil

13.2

Le dirigeant principal de la protection des renseignements personnels doit tenir un conseil consultatif sur la sécurité et la protection des renseignements personnels. Le Conseil de sécurité et de protection de la vie privée a créé et doit maintenir un cadre de respect de la vie privée pour :

C'est vrai. d) Élaborer et maintenir (y compris la surveillance et les essais) des politiques, des procédures et des informations sur les systèmes (comme l ' exigent les articles 14 et 15);

ii. planifier des programmes de formation et de sensibilisation;

iii. Surveillance et rapports sur la conformité au présent Code de protection des renseignements personnels des OEC;

iv. Superviser la collecte, l'enquête et le règlement des enquêtes, des préoccupations et des plaintes relatives à la vie privée;

v. Déterminer et mettre à jour les sanctions appropriées en cas de violation du présent Code de protection des renseignements personnels des OEC (p. ex., les normes disciplinaires en collaboration avec d'autres fonctions internes pertinentes, comme les RH et le droit).

Principes de confidentialité

13,3

Le dirigeant principal de la protection de la vie privée a établi et doit maintenir un réseau mondial de responsables de la protection de la vie privée suffisant pour se conformer directement au présent Code de protection des renseignements personnels des OEC dans leurs régions ou organisations respectives.

Les responsables de la protection des renseignements personnels doivent accomplir les tâches suivantes:

C'est vrai. conseiller régulièrement leurs équipes exécutives respectives et le dirigeant principal de la protection de la vie privée sur les risques liés à la protection de la vie privée et les questions de conformité, y compris toute nouvelle exigence légale que le responsable de la protection de la vie privée estime entraver la capacité de ZaapIT à se conformer au présent code de protection de la vie privée des OEC (comme l'exige l'article 20.3);

ii. Maintenir et veiller à la mise en oeuvre des politiques et procédures, à la tenue des informations du système et à l'exécution des évaluations d'impact sur la protection des données (EIDD);

iii. Mettre en œuvre le cadre de conformité à la vie privée tel que requis par le dirigeant principal de la protection de la vie privée;

iv. être disponibles pour les demandes d'approbation ou de conseil en matière de protection de la vie privée conformément à l'article 7;

v. possède et autorise toutes les sous-politiques appropriées en matière de protection de la vie privée dans leur organisation;

vi. Coopérer avec le dirigeant principal de la protection de la vie privée et d'autres responsables de la protection de la vie privée.

Exécutif responsable

13,4

L'exécutif responsable s'acquitte au moins des tâches suivantes:

C'est vrai. Veiller à la mise en œuvre des politiques et procédures, à la tenue à jour des informations relatives au système et à l'exécution des EIDD (comme l'exige l'article 14);

ii. s'assurer que l'information d'OEC est supprimée, détruite, désidentifiée ou transférée (comme l'exige l'article 5.2);

iii. Déterminer comment se conformer au présent Code de protection des renseignements personnels des OEC en cas de conflit avec la loi applicable (comme l'exige l'article 20.2).

Vie privée Responsable avec un poste statutaire

13,5

Lorsqu'un responsable de la protection des renseignements personnels occupe son poste conformément à la loi, il s'acquitte de ses responsabilités professionnelles dans la mesure où elles ne sont pas incompatibles avec son poste statutaire.

Politiques et procédures

14.1

Zaap La TI doit élaborer et mettre en oeuvre des politiques et des procédures pour se conformer au présent Code de protection des renseignements personnels des OEC.

Informations sur le système

14.2

Zaap La TI doit tenir à jour l'information facilement disponible concernant la structure et le fonctionnement de tous les systèmes et processus qui traitent l'information sur les OEC (p. ex. inventaire des systèmes et des processus). Une copie de ces informations sera fournie au DPA d'Israeil ou à un DPA compétent pour la vérification en vertu de l'article 16.2 sur demande.

Évaluation de l'impact de la protection des données

14,3

Zaap Les TI maintiennent une procédure pour effectuer et documenter une évaluation préalable de l'impact qu'un traitement donné peut avoir sur la protection des informations d'OEC, lorsque ce traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes, en particulier lorsque de nouvelles technologies sont utilisées (évaluation d'impact sur la protection des données). Lorsque l'analyse d'impact sur la protection des données montre que, malgré les mesures d'atténuation prises par ZaapIT, le traitement présente encore un risque résiduel élevé pour les droits et libertés des clients, le DPA d'Israeil sera consulté avant que ce traitement ait lieu.

Formation du personnel

15.1

Zaap La TI doit dispenser une formation sur les obligations et les principes énoncés dans le présent Code de protection des renseignements personnels des OEC et sur d'autres obligations en matière de protection des renseignements personnels et de sécurité des données au personnel qui a accès à l'information des OEC ou qui a des responsabilités en la matière.

Vérification des comptes

16.1

Zaap L'équipe de vérification interne doit vérifier les processus et procédures opérationnels qui impliquent le traitement des renseignements sur les OEC pour se conformer au présent Code de protection des renseignements personnels des OEC. Les audits sont effectués dans le cadre des activités régulières de l'équipe d'audit interne de ZaapIT ou à la demande du responsable de la protection de la vie privée. Le dirigeant principal de la protection de la vie privée peut demander qu'une vérification soit effectuée par un vérificateur externe conformément au présent article. Les normes professionnelles d'indépendance, d'intégrité et de confidentialité applicables sont respectées lors de la conduite d'un audit. Le dirigeant principal de la protection de la vie privée et les responsables appropriés de la protection de la vie privée doivent être informés des résultats des vérifications. Toute violation de ce code de protection des renseignements personnels des OEC identifiée dans le rapport de vérification sera signalée à l'exécutif responsable. Une copie des résultats de la vérification relative à la conformité au présent Code de protection des renseignements personnels des OEC sera fournie sur demande au DPA d'Israeil ou à tout DPA compétent.

Audit du DPA

16,2

Sous réserve de l'article 16.3, l'APP d'Israeil peut demander une vérification des installations utilisées par ZaapIT pour le traitement des renseignements sur les OEC pour se conformer au présent Code de protection des renseignements personnels des OEC. En outre, un DPA qui a le droit, en vertu de la loi applicable sur le contrôleur des données, d'auditer une société de groupe (a DPA compétent-) sera autorisé à vérifier le transfert de données pertinent pour se conformer au présent code de confidentialité des OEC, sous réserve des mêmes conditions que celles qui s'appliqueraient à une vérification par le DPA en vertu de la Loi sur le contrôleur des données applicable.

Procédure d'audit du DPA

16,3

Zaap La TI facilitera tout audit effectué par un DPA en vertu de l'article 16.2 en prenant les mesures suivantes:

C'est vrai. Partage de l'information : Zaap La TI tentera de résoudre la demande en fournissant des renseignements au DPA, y compris des rapports d'audit ZaapIT, en discutant avec des experts de ZaapIT et en examinant la sécurité, la vie privée et les contrôles opérationnels en place.

ii. Examens: Si les informations disponibles par le biais de ces mécanismes sont insuffisantes pour répondre aux objectifs énoncés par le DPA, ZaapIT fournira au DPA la possibilité de communiquer avec l'auditeur de ZaapIT et, si nécessaire, un droit direct d'examiner les installations de traitement des données de ZaapIT.

iii. Portée: Aucune disposition du présent article 16.3 ne sera interprétée comme supprimant les droits d'audit qu'un DPA peut avoir en vertu de la loi applicable. Ce code de protection des renseignements personnels des OEC prévoit des droits de vérification supplémentaires pour les ADP seulement. En cas de conflit entre le présent article 16.3 et la loi applicable, les dispositions de la loi applicable l'emportent.

Rapport annuel sur la protection des renseignements personnels

16.4

Le dirigeant principal de la protection de la vie privée doit produire un rapport annuel sur la protection des renseignements personnels des OEC à l'intention du dirigeant général de ZaapIT Inc. sur la conformité au présent Code sur la protection des renseignements personnels des OEC, les risques liés à la protection de la vie privée et d'autres questions pertinentes.

Chaque responsable de la protection des renseignements personnels doit fournir des renseignements pertinents au rapport au dirigeant principal de la protection des renseignements personnels.

Atténuation

16,5

Zaap La TI doit, si elle l'indique, veiller à ce que des mesures adéquates soient prises pour remédier aux infractions au présent code de protection des renseignements personnels des OEC identifiées lors de la surveillance ou de la vérification de la conformité conformément au présent article 16.

Plainte

17.1

Les particuliers peuvent déposer une plainte pour toute réclamation qu'ils ont en vertu de l'article 18.1 ou pour violation de leurs droits en vertu de la loi applicable sur le contrôleur des données conformément à la procédure de plainte prévue dans la politique ou le contrat de confidentialité. La plainte doit être transmise au responsable de la protection des renseignements personnels approprié.

Le responsable approprié de la protection des renseignements personnels doit :

i. aviser le dirigeant principal de la protection de la vie privée;

ii. analyser la plainte et ouvrir une enquête;

iii. au besoin, conseiller l'entreprise sur les mesures appropriées de conformité et surveiller, jusqu'à la fin, les étapes conçues pour atteindre la conformité.

Le responsable de la protection des renseignements personnels compétent peut consulter toute autorité gouvernementale compétente sur une question particulière au sujet des mesures à prendre.

Réponse à l'individu

17,2

Zaap La TI fera des efforts raisonnables pour régler les plaintes sans retard excessif, de sorte qu'une réponse soit donnée à l'individu client dans le mois civil suivant la date de dépôt de la plainte. Le responsable approprié de la protection de la vie privée doit informer l'individu par écrit par les moyens qu'il a utilisés à l'origine pour contacter ZaapIT (par exemple, par la poste ou par courriel) soit i) de la position de ZaapIT à l'égard de la plainte et de toute mesure que ZaapIT a prise ou prendra en réponse, ou ii) lorsqu'il sera informé de la position de ZaapIT, qui sera au plus tard deux mois civils après la période initiale d'un mois. Le responsable approprié de la protection de la vie privée doit envoyer une copie de la plainte et de sa réponse écrite au dirigeant principal de la protection de la vie privée.

Plainte déposée auprès du dirigeant principal de la protection de la vie privée

17,3

Une personne peut déposer une plainte auprès du dirigeant principal de la protection de la vie privée si :

i. le règlement de la plainte par le responsable de la protection de la vie privée n'est pas satisfaisant pour l'individu (p. ex., la plainte est rejetée);

ii. l'individu n'a pas reçu de réponse comme l'exige l'article 17.2;

iii. le délai accordé à l'individu en vertu de l'article 17.2 est, compte tenu des circonstances pertinentes, déraisonnablement long et l'individu s'est objecté mais n'a pas reçu de délai plus court et plus raisonnable dans lequel il recevra une réponse; ou

iv. dans l'un des événements énumérés à l'article 7.7.

La procédure décrite aux articles 17.1 à 17.2 s'applique aux plaintes déposées auprès du directeur de la protection de la vie privée.

Si la réponse du dirigeant principal de la protection de la vie privée à la plainte n'est pas satisfaisante pour l'individu (par exemple, la demande est rejetée), l'individu peut déposer une plainte ou une réclamation auprès des autorités ou des tribunaux conformément à l'article 18.2.

Procédure de plainte

18.1

Les particuliers sont encouragés à suivre d'abord la procédure de plainte énoncée à l'article 17 du présent Code de protection des renseignements personnels des OEC avant de déposer une plainte ou une réclamation auprès des ADP compétents ou des tribunaux.

Droits des individus

18.2

Si ZaapIT viole le Code de protection des renseignements personnels à l'égard des renseignements sur les OEC d'une personne (Personnes touchéesConformément au présent Code de protection des renseignements personnels, l'individu touché peut, en tant que tiers bénéficiaire, faire exécuter toute réclamation résultant d'une violation des articles 1.6, 2 à 11, 12.5, 16.2, 17, 18 et 20.4 à 20.5 conformément à l'article 18.2.

Les droits énoncés dans le présent article s'ajoutent aux autres droits ou recours qu'un particulier peut avoir autrement par la loi et ne portent pas préjudice à ceux-ci.

Compétence pour les réclamations des particuliers

18.2

En cas de violation du présent Code de protection des renseignements personnels des OEC, le particulier peut, à son choix, déposer une plainte ou une réclamation auprès du DPA israélien ou du tribunal:

Droit de demander des dommages-intérêts

18,3

Dans le cas où une personne physique a une réclamation au titre de l'article 18.2, et

i. le traitement pertinent est régi par la loi sur la protection des données, cette personne a le droit d'intenter une action en justice pour dommages subis par une personne en raison d'une violation du présent code de confidentialité des OEC dans la mesure prévue par la loi applicable; ou

ii. le traitement pertinent n'est pas régi par la loi sur la protection des données, ce particulier a le droit de déposer une action en justice pour les dommages directs réels (qui excluent, sans limitation, les pertes de profits ou de revenus, les pertes de chiffre d'affaires, le coût du capital et les coûts d'arrêt), subis par un particulier en raison d'une violation du présent code de confidentialité des OEC, dans la mesure prévue par la loi applicable.

Charge de la preuve relative à la demande de dommages-intérêts

18.4

Si un particulier présente une demande de dommages-intérêts en vertu de l'article 18.2, il lui appartiendra de démontrer qu'il a subi les dommages-intérêts pertinents et d'établir des faits qui montrent qu'il est plausible que le dommage a été causé en raison d'une violation du Code de protection des renseignements personnels des OEC. Il appartiendra par la suite à la société de groupe concernée de prouver que les dommages subis par l'individu en raison d'une violation de ce code de confidentialité des OEC ne sont pas attribuables à ZaapIT .

Assistance mutuelle et recours

18,5

Toutes les sociétés du groupe coopèrent et s'entraident dans la mesure raisonnablement possible pour traiter:

i. une demande, une plainte ou une réclamation présentée par un particulier; ou

ii. une enquête ou une enquête légale par un DPA ou une autorité gouvernementale compétente.

La société de groupe qui reçoit une demande, une plainte ou une réclamation d'un particulier est responsable du traitement de toute communication avec ce dernier au sujet de sa demande, de sa plainte ou de sa réclamation, sauf si les circonstances le dictent autrement.

Conseils du DPA d'Israeil et des DPD compétents

18.6

Zaapit Inc doit se conformer à l'avis de l'APP d'Israeil et des ADP compétents émis sur l'interprétation et l'application du présent Code de protection des renseignements personnels des OEC.

Atténuation

18,7

Zaapit Inc doit veiller à ce que des mesures adéquates soient prises pour remédier aux violations du présent Code de protection des renseignements personnels des OEC par une société de groupe.

Loi applicable au Code

18,8

Le présent Code de protection des renseignements personnels des OEC sera régi et interprété conformément à la loi israélienne.Tous les différends découlant de l'Accord auront lieu exclusivement à Tel-Aviv Israël.

Non-respect

19,1

Non-conformité des employés au présent Code de protection des renseignements personnels des OEC peut entraîner des mesures disciplinaires conformément aux politiques ZaapIT et au droit local, jusqu'au licenciement.

Conflit de droit lors du transfert de renseignements d'OEC

20.1

Lorsqu'une obligation légale de transférer des informations CSB est en conflit avec la législation des États membres de l'EEE/Royaume-Uni, le transfert nécessite l'approbation préalable du responsable de la protection de la vie privée. Le dirigeant principal de la protection de la vie privée peut demander l'avis du DPA d'Israeil ou d'une autre autorité gouvernementale compétente.

Conflit entre le Code de protection des renseignements personnels des OEC et la loi

20.2

Dans tous les autres cas, lorsqu'il y a conflit entre le droit local applicable et le présent Code de protection des renseignements personnels des OEC, l'exécutif responsable concerné doit consulter le dirigeant principal de la protection des renseignements personnels pour déterminer comment se conformer au présent Code de protection des renseignements personnels des OEC et résoudre le conflit dans la mesure où cela est raisonnablement possible compte tenu des exigences juridiques applicables à la société de groupe concernée.

Nouvelles exigences juridiques contradictoires

20,3

Les responsables de la protection de la vie privée concernés, en consultation avec le service juridique, doivent informer rapidement l'exécutif responsable de toute nouvelle exigence juridique qui pourrait nuire à la capacité de ZaapIT de se conformer au présent Code de protection des renseignements personnels des OEC.

Rapports au DPA responsable

20,4

Si ZaapIT se rend compte que la législation locale applicable d'un pays non-EEE / non-Royaume-Uni est susceptible d'avoir un effet négatif important sur la protection offerte par ce code de protection de la vie privée, ZaapIT le signalera à l'ADP d'Israeil.

Demandes de divulgation de renseignements sur les OEC

20,5

Si ZaapIT reçoit une demande de divulgation d'informations CSB d'une autorité chargée de l'application de la loi ou d'un organisme de sécurité de l'État d'un pays non-EEE / non-Royaume-Uni (Autorité), elle évaluera d'abord au cas par cas si cette demande (demande de divulgation) est juridiquement valide et contraignante pour ZaapIT. Toute divulgation La demande qui n'est pas juridiquement valide et contraignante pour la Société sera rejetée conformément à la loi applicable.

Sous réserve de l'alinéa suivant, ZaapIT informe sans délai l'APD d'Israeil de toute demande de divulgation juridiquement valide et contraignante et demande à l'Autorité de mettre ces demandes en attente pour un délai raisonnable afin de permettre à l'APD d'émettre un avis sur la validité de la divulgation pertinente.

Si la suspension et/ou la notification d'une demande de divulgation sont interdites, par exemple en cas d'interdiction en droit pénal de préserver la confidentialité d'une enquête policière, ZaapIT demandera à l'Autorité de lever cette interdiction et documentera qu'elle a fait cette demande. En tout état de cause, ZaapIT fournira chaque année à la DPA d'Israeil des renseignements généraux sur le nombre et le type de demandes de divulgation qu'elle a reçues au cours de la période de 12 mois précédente, dans toute la mesure permise par la loi applicable.

En tout état de cause, tout transfert par ZaapIT d'information CBS à une autorité en réponse à une demande de divulgation ne sera pas massif, disproportionné ou aveugle d'une manière qui irait au-delà de ce qui est nécessaire dans une société démocratique.

Approbation des modifications

21.1

Toute modification au présent Code de protection des renseignements personnels des OEC nécessite l'approbation préalable du directeur général de ZaapIT Inc. et sera ensuite communiquée aux compagnies du groupe. Le dirigeant principal de la protection de la vie privée informe rapidement le DPA d'Israeil des modifications apportées au présent Code de protection de la vie privée qui ont une incidence importante sur la protection offerte par le présent Code de protection de la vie privée ou par le Code de protection de la vie privée lui-même et il sera chargé de coordonner les réponses de ZaapIT à ses questions. D'autres changements (le cas échéant) seront notifiés par le dirigeant principal de la protection de la vie privée à l'APD d'Israeil sur une base annuelle.

Date d'entrée en vigueur des changements

21.2

Toute modification entre en vigueur immédiatement après son approbation conformément à l'article 21.1 et est publiée sur l'intranet global ZaapIT.

Versions antérieures

21,3

Toute demande, plainte ou réclamation d'un particulier concernant le présent Code de protection des renseignements personnels des OEC doit être jugée en regard de la version du présent Code de protection des renseignements personnels des OEC telle qu'elle est en vigueur au moment où la demande, la plainte ou la réclamation est présentée.

Période de transition pour les nouvelles entreprises du groupe

22.1

Toute entité qui devient une société de groupe après la date d'entrée en vigueur doit se conformer au présent code de confidentialité des OEC dans l'année qui suit sa création.

Période de transition pour les entités divorcées

22.2

Une entité divisée (ou des parties spécifiques de celle-ci) restera couverte par le présent Code de protection des renseignements personnels des OEC après sa cession pendant la période que ZaapIT exige pour démêler le traitement des renseignements des OEC relatifs à cette entité divisée.

Période de transition pour les systèmes informatiques

22,3

Lorsque la mise en oeuvre du présent Code de protection des renseignements personnels des OEC exige des mises à jour ou des modifications aux systèmes de technologie de l'information (y compris le remplacement des systèmes), la période de transition est de deux ans à compter de la date d'entrée en vigueur ou de la date à laquelle une entité devient une société de groupe, ou de toute période plus longue qui est raisonnablement nécessaire pour terminer le processus de mise à jour, de modification ou de remplacement.

Période de transition pour les accords existants

22,4

Lorsqu'il existe des ententes avec des tiers touchés par le présent Code de protection des renseignements personnels des OEC, les dispositions des ententes l'emporteront jusqu'à ce que les ententes soient renouvelées dans le cours normal des activités.

Période transitoire pour les traitements locaux

22,5

Services locaux Le traitement assujetti au présent Code de protection des renseignements personnels des OEC doit être conforme au présent Code de protection des renseignements personnels des OEC dans les cinq ans suivant la date d'entrée en vigueur.

Conformité pendant la période transitoire

22,6

Au cours des périodes de transition prévues aux articles 22.1 à 22.5, aucune information sur les OEC ne sera transférée à une société de groupe en vertu du présent code de confidentialité des OEC jusqu'à ce que cette société de groupe soit (i) entièrement conforme ou (ii) qu'un mécanisme de transfert de données alternatif ait été mis en place, comme des clauses contractuelles types.

Coordonnées

ZaapIT As LTD

Décision d'adéquation

Une décision prise par la Commission européenne en vertu de l'article 25 de la directive relative à la protection des données, selon laquelle un pays ou une région ou une catégorie de destinataires dans ce pays ou cette région est considéré comme assurant un niveau de protection des données "approprié".

Contrôleur de données applicable Droit

CONTRÔLE DES DONNÉES APPLICABLES La loi s'entend des dispositions de la loi obligatoire d'un pays contenant des règles pour la protection des personnes à l'égard du traitement des informations personnelles, y compris les exigences de sécurité et la libre circulation de ces informations personnelles applicables à ZaapIT en sa qualité de contrôleur des données des informations personnelles.

Archive

ARCHIVE s'entend d'une collection d'information sur les OEC qui n'est plus nécessaire pour atteindre les fins pour lesquelles l'information sur les OEC a été recueillie à l'origine ou qui n'est plus utilisée pour des activités commerciales générales, mais qui est utilisée uniquement à des fins historiques, scientifiques ou statistiques, de règlement des différends, d'enquête ou d'archivage général. Une archive comprend tout ensemble de données qui ne peut plus être consulté par un employé autre que l'administrateur du système.

Le président

ARTICLE désigne un article du présent Code de confidentialité des OEC.

Règles d'entreprise contraignantes

LES RÈGLES DU CORPORAT DE BINDING s'entendent d'une politique de confidentialité d'un groupe d'entreprises qui, en vertu du droit local applicable (comme l'article 25 de la directive européenne sur la protection des données), est considérée comme assurant un niveau adéquat de protection pour le transfert d'informations personnelles au sein de ce groupe d'entreprises.

Développement des entreprises

DÉVELOPPEMENT DES ENTREPRISES désigne les tâches et les processus visant à développer et à mettre en œuvre des possibilités de croissance au sein et entre ZaapIT et Business Partners.

Partenaire

PARTENAIRE D'ENTREPRISE: tout tiers, autre qu'un client ou un fournisseur, ayant ou ayant eu une relation d'affaires ou une alliance stratégique avec ZaapIT (par exemple, partenaire de commercialisation conjoint, coentreprise ou partenaire de développement conjoint, investisseur).

Objectif opérationnel

BUT DES ENTREPRISES désigne un but pour le traitement des informations des OEC conformément aux articles 2 ou 3 ou pour le traitement des informations sensibles conformément aux articles 4 ou 3.

Directeur de la protection de la vie privée

OFFICE DE LA PRIVATION DU CHEF: l'agent visé à l'article 13.1.

Enfants

LES ENFANTS s'entendent des personnes âgées de moins de treize (13) ans.

DPA compétent

L'APP COMPÉTENT a le sens énoncé à l'article 16.2 ci-dessus.

CSB Informations

Les OEC INFORMATIONS ont le sens énoncé à l'article 1.1 ci-dessus

CSB Code de confidentialité

CSB CODE PRIVACY signifie ce code de confidentialité pour les renseignements sur les clients, les fournisseurs et les partenaires commerciaux.

Client

On entend par CLIENT toute personne, organisation privée ou organisme gouvernemental qui achète, peut acheter ou a acheté un produit ou un service ZaapIT.

Services à la clientèle

SERVICES DE CLIENT désigne les services fournis par ZaapIT aux clients pour soutenir les produits et services de ZaapIT offerts à leurs employés ou clients ou en cours d'utilisation (par exemple, la plateforme de gestion des transactions numériques de ZaapIT et les services connexes). Ces services peuvent comprendre l'entretien, la mise à niveau, le remplacement, l'inspection et les activités d'appui connexes visant à faciliter l'utilisation continue et durable des produits et services ZaapIT.

Contrôleur de données

L'entité ou la personne physique qui, seule ou conjointement avec d'autres, détermine les buts et les moyens du traitement des renseignements personnels.

Évaluation de l'impact sur la protection des données

ÉVALUATION DE L'IMPACT DE LA PROTECTION DES DONNÉES (IDPD) : une procédure permettant de mener et de documenter une évaluation préalable de l'impact qu'un traitement donné peut avoir sur la protection de l'information d'OEC, lorsque ce traitement risque d'entraîner un risque élevé pour les droits et libertés des individus, en particulier lorsque de nouvelles technologies sont utilisées.

Un DPIA contient:

i. une description:

i. la portée et le contexte du traitement;

ii. les fins opérationnelles pour lesquelles les renseignements sur les OEC sont traités;

iii. les fins précises pour lesquelles des informations sensibles sont traitées;

iv. les catégories de bénéficiaires de l'information des OEC, y compris les bénéficiaires qui ne sont pas visés par une décision d'adéquation;

v. CSB les périodes de stockage de l'information;

ii. une évaluation:

i. la nécessité et la proportionnalité du traitement;

ii. les risques pour le droit des personnes à la vie privée;

iii. les mesures visant à atténuer ces risques, y compris les mesures de protection, de sécurité et d'autres mécanismes (tels que la protection de la vie privée par conception) pour assurer la protection des renseignements des OEC.

Protection des données Droit

PROTECTION DES DONNÉES LE DROIT s'entend des dispositions de la loi obligatoire d'un pays de l'EEE / pays du Royaume-Uni / pays de l'IL contenant des règles pour la protection des personnes à l'égard du traitement des informations personnelles, y compris les exigences en matière de sécurité et la libre circulation de ces informations personnelles.

Violation de la sécurité des données

BREACH DE SÉCURITÉ DES DONNÉES désigne l'acquisition, l'accès, l'utilisation ou la divulgation non autorisées de renseignements d'OEC non chiffrés qui compromet la sécurité ou la vie privée de ces renseignements dans la mesure où le compromis présente un risque élevé de préjudice financier, de réputation ou autre pour la personne. Une sécurité des données La violation est réputée ne pas avoir eu lieu lorsqu'il y a eu acquisition, accès ou utilisation involontaires de renseignements sur les OEC non chiffrés par un employé de ZaapIT ou de tiers transformateur ou une personne agissant sous leur autorité respective, si :

i. l'acquisition, l'accès ou l'utilisation de l'information sur les OEC ont été faits de bonne foi et dans le cours et la portée de l'emploi ou de la relation professionnelle de cet employé ou d'une autre personne;

ii. les renseignements de l'OEC ne sont pas acquis, consultés, utilisés ou communiqués par une personne.

Entité divorcée

L'ENTITÉ DIVIGÉE s'entend de la cession par ZaapIT d'une société ou d'une entreprise de groupe au moyen:

i. une vente d'actions dont la société de groupe cédée n'est plus considérée comme une société de groupe; et/ou

ii. une défusion, la vente d'actifs, ou toute autre manière ou forme.

Zaapit

ZaapIT signifie ZaapIT AS LTD. et ses sociétés du groupe.

La société ZaapIT Inc.

La Commission des Communautés européennes doit signifier Zaapit AS LTD.

DPA

DPA désigne toute autorité de protection des données d'un des pays de l'EEE / Royaume-Uni / IL.

EEE

L'EEE ou l'ESPACE ÉCONOMIQUE EUROPÉEN désigne tous les États membres de l'Union européenne, ainsi que la Norvège, l'Islande et le Liechtenstein, et aux fins du présent code de la vie privée, la Suisse.

Entrée en vigueur

DATE D'ENTRÉE EN VIGUEUR: la date à laquelle le présent code de protection des renseignements personnels des OEC entre en vigueur conformément à l'article 1.7.

Employé

On entend par EMPLOYÉ les personnes suivantes:

i. un employé, un candidat à l'emploi ou un ancien employé de ZaapIT, y compris des travailleurs temporaires travaillant sous la supervision directe de ZaapIT (par exemple, des entrepreneurs indépendants et des stagiaires). Ce terme ne comprend pas les personnes travaillant à ZaapIT en tant que consultants ou employés de tiers fournissant des services à ZaapIT;

ii. un (ancien) administrateur exécutif ou non exécutif de ZaapIT ou (ancien) membre du conseil de surveillance ou d'un organe similaire de ZaapIT.

Groupe

GROUP COMPANY s'entend de ZaapIT Inc. et toute société ou entité juridique dont ZaapIT Inc. possède, directement ou indirectement, plus de 50 % du capital-actions émis, dispose d'au moins 50 % du pouvoir de vote aux assemblées générales des actionnaires, a le pouvoir de nommer la majorité des administrateurs ou dirige d'une autre manière les activités de cette autre entité juridique; toutefois, une telle société ou entité juridique n'est considérée comme une société de groupe que tant qu'il existe une liaison et/ou une relation.

Individuel

INDIVIDUEL s'entend de toute personne (employée de ou toute personne travaillant pour) Client, fournisseur ou partenaire d'affaires et de toute autre personne dont l'information d'OEC ZaapIT traite dans le cadre de la prestation de ses services.

Processeur interne

PROCESSEUR INTERNE désigne toute société de groupe qui traite l'information d'OEC comme un processeur de données au nom d'une autre société de groupe agissant comme contrôleur de données.

Traitement local

LOCAL POUR LE TRAITEMENT LOCAL a le sens énoncé à l'article 1.2 ci-dessus.

Unité administrative

UNITÉ ORGANISATIONNELLE désigne chaque unité opérationnelle et chaque fonction du personnel de ZaapIT.

Intérêt supérieur

On entend par INTÉRÊT SUPÉRIEUR les intérêts pressants énoncés à l'article 12.1 sur la base desquels les obligations de ZaapIT ou les droits des individus énoncés aux articles 12.2 et 12.3 peuvent, dans des circonstances particulières, être annulés si cet intérêt pressant l'emporte sur l'intérêt de l'individu.

Renseignements personnels

INFORMATIONS PERSONNELLES: toute information relative à une personne identifiée ou identifiable.

Code de confidentialité

CODE DE CONFIDENTIALITÉ signifie le présent Code de protection des renseignements personnels pour les OEC.

Responsable de la protection des renseignements personnels

Le responsable de la protection de la vie privée est nommé par le dirigeant principal de la protection de la vie privée conformément à l'article 13.3.

Traitement

Le traitement s'entend de toute opération effectuée sur des renseignements d'OEC, que ce soit par des moyens automatiques, tels que la collecte, l'enregistrement, l'entreposage, l'organisation, la modification, l'utilisation, la divulgation (y compris l'octroi d'un accès à distance), la transmission ou la suppression des renseignements d'OEC.

Contrat de transformateur

CONTRAT DU PROCESSEUR désigne tout contrat de traitement des renseignements sur les OEC conclu par ZaapIT et un tiers.

Exécutif responsable

EXÉCUTION RESPONSABLE: l'exécutif d'entreprise de ZaapIT de niveau le plus bas ou le directeur général non exécutif d'une fonction ou d'une unité d'affaires de ZaapIT qui détient la propriété budgétaire principale du traitement concerné.

Objectif secondaire

LE DEUXIÈME OBJET a le sens attribué à ce terme à l'article 3.1.

Sécurité et confidentialité Conseil

CONSEIL DE SÉCURITÉ ET DE PRIVATION: le conseil visé à l'article 13.2.

Informations sensibles

INFORMATIONS SENSIVES signifie CSB Information qui révèle l'origine raciale ou ethnique d'une personne, ses opinions politiques ou son appartenance à des partis politiques ou à des organisations similaires, ses croyances religieuses ou philosophiques, son appartenance à une organisation professionnelle ou syndicale ou à un syndicat, sa santé physique ou mentale, y compris toute opinion à ce sujet, son handicap, son information génétique sur les OEC, son information biométrique sur les OEC, ses dépendances, sa vie sexuelle, ses condamnations ou infractions pénales ou ses numéros de sécurité sociale émis par le gouvernement.

Personnel

STAFF s'entend de tous les employés et autres personnes qui traitent l'information d'OEC dans le cadre de leurs fonctions ou responsabilités respectives en tant qu'employés ou personnes sous l'autorité directe de ZaapIT utilisant les systèmes informatiques de ZaapIT ou travaillant principalement à partir des locaux de ZaapIT.

Fournisseur

SUPPLIER désigne tout tiers qui fournit des biens ou des services à ZaapIT (p. ex., un agent, un consultant ou un vendeur), y compris les transformateurs tiers.

Services aux fournisseurs

SERVICES SUPPLÉMENTAIRES désigne les biens ou services fournis par le fournisseur en vertu d'un accord avec ZaapIT.

Troisième partie

On entend par TROISIÈME PARTIE toute personne ou entité (p. ex. une organisation ou une autorité gouvernementale) à l'extérieur de ZaapIT.

Contrôleur tiers

LE CONTRÔLE DE LA TROISIÈME PARTIE s'entend d'un tiers qui traite les renseignements d'OEC et détermine les buts et les moyens du traitement.

Processeur tiers

LE PROCESSEUR DE TROISIÈME PARTIE s'entend d'un tiers qui traite des renseignements d'OEC au nom de ZaapIT qui ne sont pas sous l'autorité directe de ZaapIT.

INTERPRÉTATION DE CE CODE DE PRIVÉE DU CSB :

C'est vrai. Sauf indication contraire du contexte, toute référence à un article ou à une annexe donné fait référence à cet article ou à cette annexe dans ou au présent document, étant donné qu'elle peut être modifiée de temps à autre;

ii. les rubriques ne sont incluses que pour des raisons de commodité et ne doivent pas servir à l'élaboration d'une disposition du présent Code de protection des renseignements personnels des OEC;

iii. un mot ou une phrase est défini, ses autres formes grammaticales ont une signification correspondante;

iv. la forme masculine comprend la forme féminine;

v. les mots "comprend", "comprend" et "y compris" et les mots qui les suivent doivent être interprétés sans limitation à la généralité de tout mot ou concept antérieur et inversement;

vi. une référence à un document (y compris, sans restriction, une référence au présent Code de protection des renseignements personnels des OEC) est faite au document tel que modifié, modifié, complété ou remplacé, sauf dans la mesure interdite par le présent Code de protection des renseignements personnels des OEC ou cet autre document;

vii. une référence à la loi ou à une obligation juridique comprend toute exigence réglementaire, les orientations sectorielles et les meilleures pratiques émises par les autorités de contrôle nationales et internationales compétentes ou d'autres organismes.