Appendice sul trattamento dei dati

La presente Appendice costituisce parte integrante del Contratto ed è stipulata da:

(i) Il Cliente (" Esportatore di dati ")
(ii) POSTCODEZIP (" Importatore di dati ")

Ciascuno essendo un " Partito " e comunemente " Parti ".

Preambolo

DOVE l'Importatore di dati fornisce servizi software professionali, computer e servizi correlati;

Ove ai sensi del Contratto, l'Importatore di dati abbia acconsentito a fornire all'Esportatore di dati i servizi specificati nel Contratto (i " Servizi ");

Ove, fornendo i Servizi, l'Importatore di dati riceve o benefici dell'accesso alle informazioni dell'Esportatore di dati o alle informazioni di altre persone che hanno una relazione (potenziale) con l'Esportatore di dati, tali informazioni possono essere qualificate come dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (" GDPR ") e altre leggi applicabili in materia di protezione dei dati.

DOVE la presente Appendice contiene i termini e le condizioni applicabili alla raccolta, al trattamento e all'uso di tali dati personali da parte dell'Importatore di dati nella sua qualità di agente autorizzato al trattamento dei dati dell'Esportatore di dati, per garantire che le Parti rispettino la legge applicabile sulla protezione dei dati .

PERTANTO, e per consentire alle Parti di continuare la loro relazione legalmente, le Parti hanno concluso la presente Appendice come segue:

Parte 1

1. Struttura del documento e definizioni

1.1 Struttura

Questa appendice comprende diverse parti come segue:

Parte 1:	contiene disposizioni generali, ad esempio riguardanti le definizioni utilizzate in questa Appendice, il rispetto delle leggi locali, i tempi e la risoluzione
Parte 2:	contiene il corpo del documento Standard Contractual Clauses non modificato
Appendice 1.1 della Parte 2:	contiene i dettagli delle operazioni di trattamento fornite dall'Importatore di dati all'Esportatore di dati in qualità di agente autorizzato al trattamento dei dati (inclusi il trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati) ai sensi del presente Appendice
Appendice 2 della Parte 2:	contiene una descrizione delle misure di sicurezza tecniche e organizzative dell'Importatore di dati, che sono applicate in relazione a tutte le attività di trattamento descritte nell'Appendice 1.1 della Parte 2
Parte 3:	contiene le firme delle Parti vincolate dalla presente Appendice e identifica ciascun Importatore di Dati

1.2 Terminologia e definizioni

Ai fini della presente Appendice si applicano la terminologia e le definizioni utilizzate dal GDPR (nel corpo del documento Standard Contractual Clause nella Parte 2, dove i termini definiti non sono in maiuscolo).

"Stato membro"	indica un paese appartenente all'Unione Europea o allo Spazio Economico Europeo
"Categorie speciali di dati (personali)"	si riferisce a dati personali idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, i dati biometrici, se trattati al fine di identificare in modo univoco una persona, i dati relativi alla salute, i dati relativi al sesso della persona vita o orientamento sessuale
"Clausole contrattuali standard"	indica le clausole contrattuali tipo per il trasferimento dei dati personali degli incaricati del trattamento stabiliti in paesi terzi, ai sensi della decisione 2010/87/UE della Commissione del 5 febbraio 2010, che è stata modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione il 16 dicembre 2016
"Responsabile del trattamento"	indica qualsiasi agente incaricato del trattamento, situato all'interno o all'esterno dell'UE/SEE, che accetta di ricevere dall'Importatore di dati o da qualsiasi altro responsabile del trattamento dell'Importatore di dati, dati personali ai fini esclusivi del trattamento che sarà svolto dall'Esportatore di dati dopo che trasferimento in conformità con le istruzioni dell'Esportatore di dati, i termini della presente Appendice e il Contratto con l'Importatore di dati

2. Obblighi dell'Esportatore di dati

2.1 L'Esportatore di dati ha l'obbligo di garantire il rispetto di tutti gli obblighi applicabili ai sensi del GDPR e di qualsiasi altra legge sulla protezione dei dati applicabile che si applica all'Esportatore di dati e di dimostrare tale conformità come richiesto dall'articolo 5, paragrafo 2, del GDPR. L'Esportatore di dati garantisce che l'Importatore di dati ha ottenuto il consenso preventivo degli interessati ai sensi dell'articolo 6 (a) del GDPR e ha adempiuto all'obbligo di informare gli interessati ai sensi degli articoli 13 e 14 del GDPR.

2.2 L'Esportatore di dati deve fornire all'Importatore di dati i rispettivi file delle attività di trattamento ai sensi dell'articolo 30, paragrafo 1, del GDPR relativi ai Servizi di cui alla presente Appendice, nella misura necessaria affinché l'Importatore di dati adempia all'obbligo di cui Articolo 30, paragrafo 2, del GDPR.

2.3 L'Esportatore di dati deve nominare un responsabile della protezione dei dati o un rappresentante nella misura richiesta dalla legge sulla protezione dei dati applicabile. L'Esportatore di dati è obbligato a fornire i dati di contatto dell'agente per la protezione dei dati o del rappresentante, se presente, all'Importatore di dati.

2.4. L'Esportatore di dati conferma prima del completamento del trattamento, accettando la presente Appendice, che le misure di sicurezza tecniche e organizzative dell'Importatore di dati, come indicato nell'Appendice 2 alla Parte 2, sono appropriate e sufficienti per proteggere i diritti dell'interessato e conferma che l'importatore di dati fornisce garanzie sufficienti a tale riguardo.

3. Conformità alle leggi locali

Al fine di soddisfare i requisiti di attuazione degli incaricati del trattamento di cui all'articolo 28 del GDPR, si applicano le seguenti modifiche:

3.1 Istruzioni

(i) L'Esportatore di dati istruisce l'Importatore di dati a trattare i dati personali solo per conto dell'Esportatore di dati. Le istruzioni dell'Esportatore di dati sono fornite nella presente Appendice e nel Contratto. L'Esportatore di dati ha l'obbligo di garantire che tutte le istruzioni fornite all'Importatore di dati siano conformi alle leggi sulla protezione dei dati applicabili. L'Importatore di dati deve trattare i dati personali solo in conformità con le istruzioni fornite dall'Esportatore di dati salvo quanto diversamente richiesto dall'Unione Europea o dalla legge dello Stato membro (in quest'ultimo caso si applica la Parte 1 Clausola 3.2 (iv) (c)) .
(ii) Tutte le altre istruzioni che vanno oltre le istruzioni in questa Appendice o nel Contratto devono essere incluse nell'oggetto della presente Appendice e del Contratto. Se l'attuazione di questa istruzione aggiuntiva comporta costi per l'importatore di dati, l'importatore di dati deve informare l'esportatore di dati di tali costi e fornire una spiegazione prima di attuare l'istruzione. Solo dopo che l'Esportatore di dati ha confermato l'accettazione di questi costi per l'attuazione dell'istruzione, l'Importatore di dati dovrà implementare questa istruzione aggiuntiva. L'Esportatore di dati deve fornire ulteriori istruzioni per iscritto a meno che l'urgenza o altre circostanze specifiche non richiedano un'altra forma (es. orale, elettronica). Le istruzioni in forma diversa da quella scritta devono essere confermate per iscritto e senza indugio dall'Esportatore di dati.
1. A meno che l'Esportatore di dati non possa eseguire da solo la rettifica, la cancellazione o la limitazione dei dati personali, le istruzioni possono riguardare anche la rettifica, la cancellazione e/o la limitazione dei dati personali come stabilito nella Parte 1 Clausola 3.3.
2. L'importatore di dati deve informare immediatamente l'esportatore di dati se, a suo avviso, un'istruzione viola il GDPR o altre disposizioni applicabili in materia di protezione dei dati dell'Unione Europea o di uno Stato membro (" Disputed Instruction"). Se l'importatore di dati ritiene che un'istruzione violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati dell'Unione Europea o di uno Stato membro, l'importatore di dati non è obbligato a seguire l'istruzione contestata. Se l'esportatore di dati conferma l'istruzione contestata su ricezione di informazioni dall'importatore di dati e riconosce la propria responsabilità per l'istruzione contestata, l'importatore di dati dovrà attuare l'istruzione contestata, a meno che l'istruzione contestata non riguardi (i) l'attuazione di misure tecniche e organizzative, (ii) i diritti dei dati Soggetti o (iii) incarico di Responsabili del Trattamento. Nei casi da (i) a (iii), l'Importatore di Dati può rivolgersi a un'autorità di controllo competente per far valutare legalmente l'Istruzione impugnata da tale autorità.Se l'autorità di controllo dichiara legittima l'Istruzione impugnata, l'Importatore di dati dovrà attuare l'Istruzione impugnata. Parte 1 Clausola 3.1 (ii) rimane applicabile.

3.2 Obblighi dell'importatore di dati

(i) L'importatore di dati deve garantire che le persone autorizzate dall'importatore di dati a trattare i dati personali per conto dell'esportatore di dati, in particolare i dipendenti dell'importatore di dati e i dipendenti di qualsiasi subappaltatore, si siano impegnate a rispettare la riservatezza o siano soggette a un appropriato obbligo legale di riservatezza e che le persone che hanno accesso ai dati personali li elaborino in conformità con le istruzioni dell'Esportatore di dati.
(ii) L'importatore di dati deve attuare le misure di sicurezza tecniche e organizzative di cui all'appendice 2 alla parte 2 prima di elaborare i dati personali per conto dell'esportatore di dati. L'importatore di dati può modificare di volta in volta le misure di sicurezza tecniche e organizzative se non forniscono una protezione inferiore a quella di cui all'appendice 2 alla parte 2.
(iii) L'importatore di dati metterà a disposizione dell'esportatore di dati, su richiesta dell'esportatore di dati, le informazioni per dimostrare il rispetto degli obblighi dell'importatore di dati ai sensi della presente appendice. Le Parti convengono che questo obbligo di informazione è soddisfatto fornendo all'Esportatore di dati un rapporto di audit (che copre la sicurezza dei principi, la disponibilità del sistema e la riservatezza) ("Rapporto di audit"). Se sono legalmente necessarie ulteriori attività di audit, l'Esportatore di dati può richiedere che le ispezioni siano effettuate dall'Esportatore di dati o da un altro revisore nominato dall'Esportatore di dati, previa esecuzione da parte di tale revisore di un accordo di riservatezza con l'Importatore di dati a carico dell'Importatore di dati ragionevole soddisfazione ("Audit"). Tale Audit è soggetto alle seguenti condizioni:(i) la preventiva formale accettazione scritta dell'Importatore di dati; e (ii) l'Esportatore di dati sosterrà tutti i costi relativi all'audit in loco per l'Esportatore di dati e l'Importatore di dati. L'esportatore di dati deve creare un rapporto di audit che riassuma i risultati e le osservazioni dell'audit in loco ("Rapporto di audit in loco"). I Rapporti di verifica in loco e i Rapporti di verifica sono informazioni riservate dell'importatore di dati e non devono essere divulgati a terzi a meno che non sia richiesto dalla legge sulla protezione dei dati applicabile o in conformità con il consenso dell'importatore di dati.I Rapporti di verifica in loco e i Rapporti di verifica sono informazioni riservate dell'importatore di dati e non devono essere divulgati a terzi a meno che non sia richiesto dalla legge sulla protezione dei dati applicabile o in conformità con il consenso dell'importatore di dati.I Rapporti di verifica in loco e i Rapporti di verifica sono informazioni riservate dell'importatore di dati e non devono essere divulgati a terzi a meno che non sia richiesto dalla legge sulla protezione dei dati applicabile o in conformità con il consenso dell'importatore di dati.
(iv) L'importatore di dati ha l'obbligo di informare l'esportatore di dati senza indebito ritardo:
1. un. per quanto riguarda qualsiasi richiesta legalmente vincolante di divulgazione di dati personali da parte di un'autorità di contrasto, salvo diversamente vietato, come un divieto penale per proteggere la riservatezza di un'indagine delle forze dell'ordine
2. B. in merito a qualsiasi reclamo e richiesta ricevuti direttamente da un interessato (ad esempio in materia di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati, opposizione al trattamento dei dati, processo decisionale automatizzato) senza rispondere a tale richiesta, a meno che l'Importatore di dati non sia stato autorizzato a fare così
3. C. se l'Importatore o Responsabile del trattamento è obbligato, ai sensi del diritto dell'Unione Europea o dello Stato membro cui è soggetto l'Importatore o Responsabile del trattamento, a trattare i dati personali al di là delle istruzioni dell'Esportatore, prima di procedere a tale trattamento oltre le istruzioni, a meno che le leggi dell'Unione Europea o dello Stato membro vietino tale trattamento per motivi di interesse pubblico vitale, nel qual caso la notifica all'Esportatore di dati specifica l'obbligo legale previsto da tale legge dell'Unione Europea o dello Stato membro; o
4. D. se l'Importatore di dati realizza una violazione dei dati personali, unicamente a causa sua o di un suo subappaltatore, che pregiudicherebbe i dati personali dell'Esportatore di dati oggetto del presente contratto, nel qual caso l'Importatore di dati assisterà l'Esportatore di dati nel suo obbligo, nei confronti della normativa applicabile in materia di protezione dei dati, di informare gli interessati e, ove applicabile, le autorità di controllo fornendo le informazioni a sua disposizione, ai sensi dell'articolo 33, paragrafo 3, del GDPR.
5. (v) Su richiesta dell'Esportatore di dati, l'Importatore di dati è obbligato ad assistere l'Esportatore di dati nell'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati che può essere richiesta dall'articolo 35 del GDPR e una consultazione preventiva che può essere richiesto dall'articolo 36 del GDPR in merito ai servizi forniti dall'Importatore di dati all'Esportatore di dati ai sensi della presente Appendice, fornendo le informazioni necessarie e necessarie all'Esportatore di dati. L'importatore di dati sarà obbligato a fornire tale assistenza solo se l'esportatore di dati non può adempiere al proprio obbligo con altri mezzi. L'importatore di dati informerà l'esportatore di dati del costo di tale assistenza. Non appena l'esportatore di dati avrà confermato che può sostenere questo costo, l'importatore di dati fornirà questo aiuto all'esportatore di dati.
6. (vi) Al termine della fornitura dei servizi, l'Esportatore di dati può richiedere la restituzione dei dati personali trattati dall'Importatore di dati ai sensi della presente Appendice entro un mese dall'esecuzione dei servizi. A meno che la legislazione dello Stato membro o dell'Unione Europea non richieda all'Importatore di dati di archiviare o conservare tali dati personali, l'Importatore di dati cancellerà tutti i dati personali o non personali dopo il periodo di un mese, indipendentemente dal fatto che siano stati restituiti a l'Esportatore di dati su sua richiesta o meno.

3.3 Diritti degli interessati

1. (i) L'Esportatore di dati gestisce e risponde alle richieste avanzate dagli interessati. L'Importatore di dati non è obbligato a rispondere direttamente agli interessati.
2. (ii) Se l'Esportatore di dati richiede l'assistenza dell'Importatore di dati nell'elaborazione e nella risposta alle richieste dell'Interessato, l'Esportatore di dati dovrà emettere un'ulteriore istruzione in conformità con la Clausola 3.1 (ii) della Parte 1. L'Importatore di dati assisterà l'Esportatore di dati con le seguenti misure organizzative adeguate e tecniche per rispondere alle richieste di esercizio dei diritti degli interessati di cui al Capo III del GDPR come segue:
3. un. Per quanto riguarda le richieste di informazioni, l'Importatore di dati fornirà all'Esportatore di dati solo le informazioni richieste dagli articoli 13 e 14 del PGRD che potrebbe avere a sua disposizione se l'Esportatore di dati non riesce a trovarle da solo.
4. B. Per quanto riguarda le richieste di accesso (articolo 15 del GDPR), l'importatore di dati fornirà all'esportatore di dati solo le informazioni che dovrebbero essere fornite a un interessato per la suddetta richiesta di accesso, che potrebbe avere a sua disposizione se il quest'ultimo non può trovarlo da solo.
5. C. Per quanto riguarda le richieste di rettifica (articolo 16 del GDPR), le richieste di cancellazione (articolo 17 del GDPR), la limitazione delle richieste di trattamento (articolo 18 del GDPR) o le richieste di portabilità (articolo 20 del GDPR), e solo se l'Esportatore di dati non è in grado di rettificare o cancellare, limitare o trasmettere i dati personali a un altro terzo, l'Importatore di dati offrirà all'Esportatore di dati la possibilità di rettificare o cancellare, limitare o trasmettere i dati personali interessati all'altro terzo, o se ciò non è possibile, fornirà assistenza per rettificare o cancellare, limitare o trasmettere all'altra terza parte i dati personali interessati.
6. D. Per quanto riguarda la notifica relativa alla rettifica, cancellazione o limitazione del trattamento (articolo 19 del GDPR), l'Importatore di dati assisterà l'Esportatore di dati notificando tutti i destinatari di dati personali incaricati dall'Importatore di dati come responsabili del trattamento se l'Esportatore di dati lo richiede e se l'Esportatore di dati non è in grado di porre rimedio alla situazione da solo.
7. e. Per quanto riguarda il diritto di opposizione esercitato da un interessato (articoli 21 e 22 del GDPR) l'Esportatore di dati determinerà se l'opposizione è legittima e come affrontarla.
8. (iii) Gli obblighi di assistenza dell'Importatore di dati sono limitati ai dati personali trattati all'interno della sua infrastruttura (es. database, sistemi, applicazioni di proprietà o forniti dall'Importatore di dati).
9. (iv) L'Esportatore di dati determinerà se un Interessato può esercitare i diritti degli Interessati di cui alla Clausola 3.1 della presente Parte 1 e informerà l'Importatore di dati della misura in cui l'assistenza specificata nelle Clausole 3.3 (ii), ( iii) della Parte 1 è necessario.
10. (v) Se l'Esportatore di dati richiede misure tecniche e organizzative aggiuntive o modificate per soddisfare i diritti degli interessati che vanno oltre l'assistenza fornita dall'Importatore di dati ai sensi della Sottoclausola 3.3 (ii), (iii) della Parte 1, i Dati L'importatore informerà l'esportatore di dati dei costi di attuazione di tali misure tecniche e organizzative aggiuntive o modificate. Non appena l'Esportatore di dati ha confermato di essere in grado di sostenere tali costi, l'Importatore di dati dovrà attuare tali misure tecniche e organizzative aggiuntive o modificate per assistere l'Esportatore di dati nel rispondere alle richieste degli Interessati.
11. (vi) Senza limitare l'ambito della Clausola 3.3 (v) della Parte 1, l'Esportatore di dati è obbligato a rimborsare all'Importatore di dati le spese ragionevoli sostenute per rispondere alle richieste degli Interessati.

3.4 Sottotrattamento

1. (i) L'Esportatore di dati autorizza l'utilizzo da parte dell'Importatore di dati di subappaltatori per la fornitura di servizi ai sensi della presente Appendice. L'Importatore di dati selezionerà con attenzione tali Responsabili del trattamento. L'Esportatore di dati approva i responsabili del trattamento dei dati elencati nell'Appendice 1.1 alla fine della Parte 2.
2. (ii) L'Importatore di dati trasferirà i propri obblighi ai sensi della presente Appendice al o ai responsabili del trattamento dei dati nella misura applicabile ai servizi subappaltati.
3. (iii) L'importatore di dati può licenziare, sostituire o nominare un altro responsabile del trattamento dei dati appropriato e affidabile a sua discrezione. Se richiesto per iscritto dall'Esportatore di dati, l'Importatore di dati deve seguire la procedura di seguito indicata:

1. un. L'importatore di dati informerà l'esportatore di dati prima di qualsiasi modifica all'elenco dei responsabili del trattamento dei dati di cui alla clausola 3.4 (i) della parte 1. Se l'esportatore di dati non si oppone ai sensi della clausola 3.4. (b) della Parte 1 trenta giorni dopo aver ricevuto la notifica dall'Importatore di dati, gli ulteriori responsabili del trattamento si considerano accettati.
2. B. Se l'Esportatore di dati ha un motivo legittimo di opporsi a un Responsabile del trattamento aggiuntivo, ne darà preventiva comunicazione scritta all'Importatore di dati entro trenta giorni dal ricevimento della comunicazione dell'Importatore di dati e prima che il servizio dell'Importatore di dati sia messo in funzione. Se l'Esportatore di dati si oppone all'utilizzo di un elaboratore di dati aggiuntivo, l'importatore di dati può eliminare l'obiezione con una delle seguenti opzioni (scelta a sua discrezione): (A) l'importatore di dati annullerà i suoi piani per utilizzare un elaboratore aggiuntivo in relazione a i dati personali dell'Esportatore di dati; (B) l'Importatore di dati adotterà le misure correttive richieste dall'Esportatore di dati nella sua opposizione (cancellando l'opposizione) e utilizzerà il responsabile del trattamento aggiuntivo in relazione ai dati personali dell'Esportatore di dati;(C) l'Importatore di dati può cessare di fornire o l'Esportatore di dati può accettare di non utilizzare (temporaneamente o permanentemente) un aspetto particolare del servizio che implicherebbe l'utilizzo dell'ulteriore responsabile del trattamento dei dati personali dell'Esportatore di dati da parte dell'Esportatore di dati.
1. (iv) se il Responsabile del trattamento ha sede al di fuori dell'UE-SEE in un Paese a cui non è riconosciuto un livello adeguato di protezione dei dati a seguito di una decisione della Commissione Europea, l'Importatore di dati adotterà le misure per rispettare un livello adeguato di protezione dei dati ai sensi del GDPR (tali misure possono comprendere - tra l'altro - l'utilizzo di contratti di trattamento dei dati basati sulle clausole del Modello UE, il trasferimento a responsabili del trattamento autocertificati nell'ambito dello Scudo di protezione UE-USA , o un programma simile).

3.5 Scadenza

La scadenza della presente Appendice è identica alla data di scadenza del corrispondente Contratto. Salvo quanto diversamente previsto nella presente Appendice, i diritti ei doveri relativi alla risoluzione saranno gli stessi contenuti nel Contratto.

4. Limitazione di responsabilità

4.1 Ciascuna parte adempie ai propri obblighi ai sensi della presente Appendice e della normativa applicabile sulla protezione dei dati.

4.2 Qualsiasi responsabilità relativa a una violazione degli obblighi previsti dalla presente Appendice o dalla legislazione applicabile in materia di protezione dei dati sarà soggetta e regolata dalle disposizioni di responsabilità stabilite o applicabili al Contratto, salvo quanto diversamente previsto nella presente Appendice. Se la responsabilità è disciplinata dalle disposizioni di responsabilità stabilite o applicabili al Contratto, per il calcolo dei limiti di responsabilità o per la determinazione dell'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante dalla presente Appendice sarà considerata derivante dal Contratto.

5. Disposizioni generali

5.1 In caso di incongruenze o discrepanze tra le Parti 1 e 2 della presente Appendice, prevarrà la Parte 2. Nello specifico, anche in tal caso, resta valida la Parte 1 che va semplicemente oltre la Parte 2 (ossia i termini delle clausole Standard) senza contraddirla.

5.2 In caso di discrepanza tra le disposizioni della presente Appendice e quelle di altri contratti vincolanti le parti, la presente Appendice prevarrà per quanto riguarda gli obblighi di protezione dei dati delle parti. In caso di dubbio sul fatto che le clausole di altri contratti riguardino gli obblighi di protezione dei dati delle parti, prevale la presente Appendice.

5.3 Se una qualsiasi disposizione della presente Appendice non è valida o non applicabile, il resto della presente Appendice rimarrà in pieno vigore ed effetto. La disposizione nulla o inapplicabile sarà (i) modificata per garantirne la validità e l'applicabilità, preservando per quanto possibile l'intenzione delle parti, o - se ciò non è possibile - (ii) interpretata come se la parte invalida o inapplicabile avesse avuto mai stato parte del contratto. Quanto sopra si applica anche in caso di omissione nella presente Appendice.

5.5 Nella misura necessaria, le Parti possono richiedere modifiche alla Parte 1, Clausola 3 (Conformità alla normativa locale) o ad altre parti dell'Appendice al fine di conformarsi a interpretazioni, direttive o ordini emessi dalle autorità competenti dell'Unione o dal Stati membri, disposizioni nazionali di applicazione o qualsiasi altro sviluppo giuridico relativo al GDPR o altre condizioni di delega a qualsiasi entità coinvolta nel trattamento dei dati e in particolare per quanto riguarda l'uso delle clausole contrattuali standard nel GDPR. I termini delle Standard Contractual Clauses non possono essere modificati o sostituiti se non espressamente approvati dalla Commissione Europea (es. con nuove adeguate clausole e standard di protezione dei dati).

5.6 Qualsiasi riferimento in questa Appendice alle "Clausole" si intende riferito a tutte le disposizioni della presente Appendice, salvo diversa indicazione.

5.7 La scelta della legge nella Parte 2, Clausola 9 si applica all'intero Contratto.

6. Dati personali trasmessi e trattati dai soggetti per finalità personali (trasferimento dal titolare al titolare del trattamento)

6.1 Le Parti sanno perfettamente che alcuni dati personali saranno trasferiti dall'Esportatore di dati all'Importatore di dati e viceversa, e che tali dati sono trattati da ciascuna Parte per le proprie finalità. Per quanto riguarda tali dati personali, non pregiudica le altre disposizioni della presente Appendice (ad eccezione di questa clausola 6).

6.2 L'Esportatore di dati può trasferire all'Importatore di dati i dati personali relativi al personale dell'Importatore di dati, comprese le informazioni su incidenti di sicurezza, o qualsiasi altro documento o file creato o stabilito dall'Esportatore di dati in relazione ai Servizi forniti dal personale di l'importatore di dati. L'Importatore di dati può trattare tali dati personali per le proprie finalità, in particolare nei suoi rapporti professionali con il personale dell'Importatore di dati, per il controllo della qualità e la formazione, o per scopi commerciali.

6.3. L'Importatore di dati può trasferire i dati personali all'Esportatore di dati, inclusi il nome e i dettagli di contatto del personale dell'Importatore di dati. L'Esportatore di dati può trattare tali dati personali per i propri scopi.

6.4 Entrambe le parti devono rispettare tutte le leggi sulla protezione dei dati applicabili, incluso il GDPR, nella raccolta, elaborazione e utilizzo di tali dati personali ricevuti dall'altra parte ai sensi della clausola 1 della Parte 1. In particolare, entrambe le Parti adottano adeguate misure di sicurezza, fornendo un livello di protezione simile alle misure di sicurezza di cui all'appendice 2 della parte 2. Qualsiasi accesso a tali dati personali è limitato alla necessità di conoscerli.

6.5 Entrambe le Parti devono cancellare tali dati personali il prima possibile dopo il raggiungimento degli obiettivi.

Parte 2

DECISIONE DELLA COMMISSIONE

il 5 febbraio 2010

sulle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi della Direttiva 95/46/CE del Parlamento Europeo e del Consiglio

Clausola 1

Definizioni

Ai sensi delle clausole:

a) "dati personali", "categorie particolari di dati", "trattamento/trattamento", "responsabile del trattamento", "responsabile del trattamento", "interessato" e "autorità di controllo" hanno lo stesso significato della 95/46/CE Direttiva del Parlamento Europeo e del Consiglio del 24 ottobre 1995 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (1);

b) l'"Esportatore di dati" è il titolare del trattamento dei dati personali;

c) l'"Importatore di dati" è il responsabile del trattamento che accetta di ricevere dall'Esportatore di dati i dati personali destinati ad essere trattati per conto dell'Esportatore di dati dopo il trasferimento secondo le sue istruzioni e nei termini di queste clausole e che non è soggetto al meccanismo di un paese terzo che garantisce una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46/CE; (d) "Responsabile del trattamento" indica il responsabile del trattamento incaricato dall'Importatore di dati o da qualsiasi altro responsabile del trattamento dell'Importatore di dati che accetta di ricevere dall'Importatore di dati o da qualsiasi altro responsabile del trattamento dei dati personali dell'Importatore di dati esclusivamente per attività di trattamento a essere effettuato per conto dell'Esportatore di dati dopo il trasferimento secondo le istruzioni dell'Esportatore di dati,alle condizioni previste nelle presenti Clausole e nei termini del subappalto scritto del contratto di trattamento dei dati;

e) "normativa applicabile in materia di protezione dei dati": la normativa che tutela i diritti e le libertà fondamentali delle persone fisiche, compreso il diritto alla riservatezza in relazione al trattamento dei dati personali, e si applica a un responsabile del trattamento nello Stato membro in cui è stabilito l'Esportatore di dati;

f) "misure tecniche e organizzative relative alla sicurezza" significa misure volte a proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su reti, e da ogni altra forma illecita di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento, ivi comprese, se del caso, categorie particolari di dati personali, sono specificati nell'Appendice 1, che costituisce parte integrante delle presenti clausole.

Clausola 3

Clausola di terzo beneficiario

1. L'interessato può far valere nei confronti dell'Esportatore di dati la presente Clausola, le Clausole da 4 (b) a (i), le Clausole 5 da (a) a (e) e da (g) a (j), le Clausole 6 (1) e (2) ), Clausola 7, Clausola 8(2) e Clausole da 9 a 12 come terzo beneficiario

2. L'interessato può far valere la presente Clausola, le Clausole da (a) a (e) e (g), le Clausole 6, le Clausole 7, le Clausole 8 (2) e le Clausole da 9 a 12 nei confronti dell'Importatore di dati qualora l'Esportatore di dati abbia fisicamente è scomparso o ha cessato di esistere per legge, a meno che tutti i suoi obblighi di legge non siano stati trasferiti, per contratto o per atto di legge, all'ente successore, al quale quindi si ripercuotono i diritti e gli obblighi dell'Esportatore di dati, e nei confronti del quale i dati il soggetto può quindi far valere le predette clausole.

L'interessato può far valere la presente Clausola, Clausole da (a) a (e) e (g), Clausole 6, Clausole 7, Clausole 8 (2) e Clausole da 9 a 12 nei confronti del Responsabile del trattamento, ma solo nei casi in cui i Dati L'Esportatore e l'Importatore di dati sono fisicamente scomparsi, hanno cessato di esistere legalmente o sono diventati insolventi, a meno che tutti gli obblighi legali dell'Esportatore di dati non siano stati trasferiti, per contratto o per effetto di legge, al successore legale, al quale i diritti e sono quindi maturati gli obblighi dell'Esportatore dei dati, e nei confronti del quale l'interessato può quindi far valere tali clausole. Tale responsabilità del Responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi delle presenti clausole.

4. Le parti non si oppongono al fatto che l'interessato sia rappresentato da un'associazione o altro organismo se lo desidera e se il diritto nazionale lo consente.

Clausola 4

Obblighi dell'Esportatore di dati

L'Esportatore di Dati accetta e garantisce quanto segue:

a) il trattamento, compreso l'effettivo trasferimento di dati personali, è stato e continuerà ad essere effettuato in conformità alle pertinenti disposizioni della normativa applicabile in materia di protezione dei dati (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui ha sede l'Esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;

b) hanno incaricato, e istruiranno per la durata dei servizi di trattamento dei dati personali, l'Importatore di dati a trattare i dati personali trasferiti per conto esclusivo dell'Esportatore di dati e in conformità con la normativa applicabile in materia di protezione dei dati e le presenti clausole;

c) l'Importatore di dati fornirà garanzie sufficienti in merito alle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 al presente contratto;

d) previa valutazione dei requisiti della normativa applicabile in materia di protezione dei dati, le misure di sicurezza sono adeguate per proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare laddove il trattamento comporti la trasmissione di dati in rete, e contro ogni altra forma illecita di trattamento e garantire un livello di sicurezza adeguato ai rischi rappresentati dal trattamento e dalla natura dei dati da proteggere, tenuto conto del livello tecnologico e dei costi di attuazione;

e) assicureranno il rispetto delle misure di sicurezza;

f) se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima del trasferimento, o non appena possibile dopo il trasferimento che i suoi dati potrebbero essere trasferiti in un paese terzo che non offre un livello di protezione adeguato ai sensi della Direttiva 95/46/CE;

g) inoltreranno all'Autorità di controllo per la protezione dei dati qualsiasi comunicazione ricevuta dall'Importatore di dati o da qualsiasi Responsabile del trattamento ai sensi delle Clausole 5(b) e 8(3) se decide di proseguire il trasferimento o revocarne la sospensione;

h) mette a disposizione degli interessati, ove ne facciano richiesta, copia delle presenti Clausole, ad eccezione dell'Appendice 2, e una descrizione sommaria delle misure di sicurezza, e copia di ogni ulteriore contratto di subappalto, concluso ai sensi delle presenti Clausole, salvo che il Le clausole o l'accordo contengono informazioni commerciali, nel qual caso può ritirare tali informazioni;

i) in caso di subappalto del trattamento dei dati, l'attività di trattamento è svolta ai sensi dell'articolo 11 da un responsabile del trattamento che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato dell'importatore di dati ai sensi delle presenti clausole ; e

j) assicurerà il rispetto della Clausola 4 da (a) a (i).

Clausola 5

Obblighi dell'importatore di dati

L'Importatore di Dati accetta e garantisce quanto segue:

a) tratteranno i dati personali solo per conto dell'Esportatore di dati e secondo le istruzioni dell'Esportatore di dati e le presenti clausole; se non può ottemperare per qualsiasi motivo, si impegna a informare l'Esportatore di dati della propria impossibilità il prima possibile, nel qual caso l'Esportatore di dati può sospendere il trasferimento dei dati e/o risolvere il contratto;

b) non hanno motivo di ritenere che la legge loro applicabile gli impedisca di adempiere alle istruzioni impartite dall'Esportatore di dati e agli obblighi a lui incombenti in forza del contratto, e se tale legge è soggetta a una modifica che potrebbe avere un danno materiale effetti sulle garanzie e sugli obblighi previsti dalle Clausole, dovrà comunicare la modifica all'Esportatore di dati senza indugio dopo esserne venuto a conoscenza, nel qual caso l'Esportatore di dati potrà sospendere il trasferimento dei dati e/o risolvere il contratto; (c) hanno implementato le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima del trattamento dei dati personali trasferiti;

d) informeranno senza indugio l'Esportatore di dati:

i) qualsiasi richiesta vincolante di comunicazione di dati personali da parte di un'autorità di contrasto, ove non diversamente specificato, quale un divieto penale volto a preservare la segretezza di un'indagine di polizia;

ii) qualsiasi accesso accidentale o non autorizzato; e

iii) ogni richiesta pervenuta direttamente dagli interessati senza darvi risposta, salvo che questi non sia stato autorizzato a farlo; amministratori

e) tratteranno tempestivamente e correttamente tutte le richieste dell'Esportatore di dati in merito al trattamento dei dati personali oggetto di conferimento e agiranno sotto il parere dell'autorità di controllo sul trattamento dei dati conferiti;

f) su richiesta dell'Esportatore di dati, sottoporranno i propri impianti di trattamento dei dati a una verifica delle attività di trattamento di cui alle presenti clausole che sarà svolta dall'Esportatore di dati o da un organismo di controllo composto da membri indipendenti in possesso delle necessarie qualifiche professionali, soggetto all'obbligo del segreto e scelto dall'Esportatore dei dati, se del caso con il consenso dell'autorità di controllo;

g) metteranno a disposizione dell'interessato, ove ne faccia richiesta, copia delle presenti Clausole, ovvero di qualsiasi subappalto in essere del contratto di trattamento dei dati, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso potrà rimuovere tali informativa, fatta eccezione per l'Appendice 2, che sarà sostituita da una descrizione sintetica delle misure di sicurezza, laddove l'interessato non possa ottenerne copia dall'Esportatore dei dati;

h) in caso di ulteriore subappalto riservato al trattamento dei dati, si assicura di informare preventivamente l'Esportatore di dati e di ottenere il consenso scritto dell'Esportatore di dati;

i) i servizi di elaborazione forniti dal Responsabile del trattamento devono essere conformi alla Clausola 11;

j) invierà tempestivamente all'Esportatore dei dati copia dell'eventuale subappalto del contratto di trattamento dei dati da esso stipulato ai sensi delle presenti Clausole.

Clausola 6

Responsabilità

1. Le parti convengono che l'interessato che abbia subito un danno a causa della violazione degli obblighi di cui all'articolo 3 o all'articolo 11 da parte di una delle parti o di un responsabile del trattamento può ottenere il risarcimento dall'Esportatore dei dati per il danno subito.

2. Se all'interessato è impedito di proporre un'azione risarcitoria di cui al comma 1 nei confronti dell'Esportatore di dati per inadempimento da parte dell'Importatore di dati o di un suo responsabile del trattamento di uno qualsiasi degli obblighi di cui alla Clausola 3 o alla Clausola 11 perché i Dati L'esportatore è fisicamente scomparso, ha cessato di esistere per legge o è diventato insolvente, l'importatore di dati accetta che l'interessato possa presentare un reclamo contro di esso come se fosse l'esportatore di dati a meno che tutti gli obblighi legali dell'esportatore di dati non siano stati trasferiti, per contratto o per effetto di legge, al suo soggetto successore, nei confronti del quale l'interessato può quindi far valere i propri diritti. L'importatore di dati non può fare affidamento su una violazione dei propri obblighi da parte di un responsabile del trattamento per evitare la propria responsabilità.

3. Se all'interessato è impedito di proporre l'azione di cui ai commi 1 e 2 nei confronti dell'Esportatore o dell'Importatore di dati per violazione da parte del Responsabile del trattamento degli obblighi di cui all'articolo 3 o all'articolo 11 perché l'Esportatore e l'Importatore di dati sono fisicamente scomparsi, hanno cessato di esistere legalmente o sono divenuti insolventi, il Responsabile del trattamento accetta che l'interessato possa proporre reclamo nei suoi confronti in merito alle proprie attività di trattamento ai sensi delle presenti clausole come se fosse l'Esportatore o Importatore di dati a meno che tutti gli obblighi legali dell'Esportatore o Importatore di dati sono stati trasferiti, per contratto o per effetto di legge, al successore legale, nei confronti del quale l'interessato potrà poi far valere i propri diritti.La responsabilità del Responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi di queste clausole.

Clausola 7

Mediazione e giurisdizione

1. L'Importatore di dati conviene che qualora, ai sensi delle clausole, l'interessato fa valere nei suoi confronti il diritto del terzo beneficiario e/o chiede il risarcimento del danno subito, accetta la decisione dell'interessato:

a) sottoporre la controversia alla mediazione da parte di un soggetto indipendente o, se del caso, dell'autorità di controllo;

b) adire i giudici dello Stato membro in cui ha sede l'Esportatore di dati.

2. Le parti convengono che la scelta operata dall'interessato non pregiudica il diritto procedurale o sostanziale dell'interessato di ottenere un risarcimento ai sensi di altre disposizioni di diritto nazionale o internazionale.

Clausola 8

Collaborazione con le autorità di vigilanza

1. L'Esportatore di dati si impegna a depositare copia del presente contratto presso l'autorità di controllo se quest'ultima lo richiede o se tale deposito è previsto dalla normativa applicabile in materia di protezione dei dati.

2. Le parti convengono che l'autorità di controllo possa effettuare controlli presso l'Importatore di dati e qualsiasi Responsabile del trattamento nella stessa misura e alle stesse condizioni dei controlli effettuati presso l'Esportatore di dati in conformità con la normativa applicabile in materia di protezione dei dati.

3. L'importatore di dati informa quanto prima l'esportatore di dati dell'esistenza di una normativa relativa all'importatore di dati o a qualsiasi responsabile del trattamento che impedisce la verifica presso l'importatore di dati o qualsiasi responsabile del trattamento ai sensi del paragrafo 2. In tal caso, il L'Esportatore di dati può adottare le misure previste nella Clausola 5 (b).

Clausola 9

Legge applicabile

Le clausole si applicano e sono regolate dalla legge dello Stato membro in cui ha sede l'Esportatore di dati.

Clausola 10

Modifica del contratto

Le parti si impegnano a non modificare le presenti clausole. Le parti restano libere di inserire altre clausole commerciali che ritengano necessarie, purché non in contraddizione con le presenti clausole.

Clausola 11

Subappalto successivo

1. L'Importatore di dati non subappalta nessuna delle sue attività di trattamento svolte per conto dell'Esportatore di dati ai sensi delle presenti clausole senza il previo consenso scritto dell'Esportatore di dati. L'Importatore di dati potrà subappaltare i propri obblighi ai sensi delle presenti Clausole, con il consenso dell'Esportatore di dati, attraverso un accordo scritto con il Responsabile del trattamento che impone al Responsabile del trattamento gli stessi obblighi di quelli imposti all'Importatore di dati ai sensi delle presenti Clausole. Se il Responsabile del trattamento non è in grado di adempiere ai propri obblighi in materia di protezione dei dati ai sensi di tale accordo scritto, l'Importatore di dati rimane pienamente responsabile nei confronti dell'Esportatore di dati per l'adempimento di tali obblighi.

2. Il preventivo accordo scritto tra l'Importatore e il Responsabile del trattamento comprende anche una clausola di terzo beneficiario di cui all'articolo 3 per i casi in cui all'interessato è impedito di proporre l'azione risarcitoria di cui all'articolo 6 (1 ), nei confronti dell'Esportatore di dati o Importatore di dati perché l'Esportatore di dati o l'Importatore di dati è fisicamente scomparso, ha cessato di esistere per legge o è divenuto insolvente e tutti gli obblighi legali dell'Esportatore di dati o dell'Importatore di dati non sono stati trasferiti, né per contratto né per operazione di legge, ad altro ente successore. La responsabilità del Responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi delle presenti clausole.

3. Le disposizioni relative agli aspetti in materia di protezione dei dati del subappalto del trattamento dei dati del contratto di cui al comma 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'Esportatore dei dati.

4. L'Esportatore di dati conserva un elenco dei subappaltatori degli accordi sul trattamento dei dati conclusi ai sensi delle presenti Clausole e notificato dall'Importatore di dati ai sensi della Clausola 5 (j), che deve essere aggiornato almeno una volta all'anno. Tale elenco è messo a disposizione dell'autorità di controllo della protezione dei dati dell'Esportatore di dati.

Clausola 12

Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

1. Le parti concordano che, al completamento dei servizi di elaborazione dati, l'Importatore di dati e il Responsabile del trattamento, a discrezione dell'Esportatore di dati, restituiranno tutti i dati personali trasferiti e copie degli stessi all'Esportatore di dati, o distruggeranno tutti tali dati e forniranno prova la distruzione all'Esportatore di dati, salvo che la normativa imposta all'Importatore di dati gli impedisca di restituire o distruggere in tutto o in parte i dati personali trasferiti. In tal caso, l'Importatore di dati garantisce che assicurerà la riservatezza dei dati personali trasferiti e che non tratterà più attivamente i dati.

2. L'importatore di dati e il responsabile del trattamento assicurano che, se richiesto dall'esportatore e/o dall'autorità di controllo, sottoporranno i propri mezzi di trattamento dei dati alla verifica delle misure di cui al comma 1.

Appendice 1.1 alla Parte 2

Dettagli del trasferimento

Esportatore di dati

L'Esportatore di Dati è il Cliente definito nell'Accordo Contrattuale.

Importatore di dati

L'importatore di dati è POSTCODEZIP ed è incaricato di elaborare i dati, fornendo servizi all'esportatore di dati.

Soggetti del trattamento

I dati personali conferiti riguardano le seguenti categorie di interessati:

un?? abbonati telefonici elencati nell'elenco universale

â˜' Altri, tra cui:

Categorie di dati

I dati personali conferiti riguardano le seguenti categorie di dati:

Categorie di dati personali degli interessati dell'Esportatore di dati in particolare,

un?? Nome e cognome

â˜' Indirizzo postale

un?? Dati di contatto (e-mail, telefono, indirizzo IP, ecc.)

un?? Dettagli delle attività di marketing riguardanti l'abbonato telefonico

â˜' Altri, compreso il tipo di alloggio, il reddito e l'età media della città resi anonimi

Categorie speciali di dati (se applicabile)

I dati personali conferiti riguardano le seguenti categorie particolari di dati:

â˜' Non è previsto il conferimento di categorie particolari di dati

un?? Razza o origine etnica

un?? Credenze religiose o filosofiche

un?? Adesione sindacale

un?? Visioni politiche

un?? Informazioni genetiche

un?? Informazioni biometriche

un?? Informazioni sull'orientamento sessuale o sulla vita sessuale

un?? Dati sanitari

Attività di elaborazione

I dati personali conferiti saranno oggetto delle seguenti attività di trattamento di base:

- â€¢ Finalità del trattamento

Il trattamento svolto per conto dell'Esportatore di dati si basa sui seguenti soggetti, in particolare:

â˜' Presa in carico dei prodotti o servizi offerti dall'Esportatore di Dati

â˜' L'offerta di un prodotto o servizio che la persona chiamata può richiedere

â˜' Ordini presi dalle persone chiamate e ulteriore elaborazione di questi ordini

â˜' Questionari e analisi di studio

â˜' Telemarketing

un?? Altri, tra cui:

- â€¢ Natura e finalità del trattamento

L'Importatore di dati tratta i dati personali degli interessati per conto dell'Esportatore di dati, al fine di fornire i seguenti servizi, e in particolare:

â˜' Completamento automatico del modulo
â˜' Modulo di convalida degli indirizzi

â˜' Vendite e marketing

â˜' Altri, compreso l'aggiornamento delle banche dati dei municipi e dei partiti politici

- â€¢ Fornitura di servizi e impiego di fornitori di servizi

POSTCODEZIP principalmente combina, centralizza e fornisce servizi all'esportatore di dati. I servizi forniti dal fornitore di servizi designato possono essere strutturati (tra gli altri a seconda dei casi) attorno ai seguenti servizi accessori: (i) fornitura di applicazioni, strumenti, sistemi e infrastrutture informatiche in relazione ai centri di elaborazione dati utilizzati, al fine di fornire e supportare i servizi, compreso il trattamento dei dati personali degli interessati come sopra descritto, tramite tali applicazioni, strumenti e sistemi, (ii) la fornitura di supporto informatico, manutenzione e altri servizi relativi a tali applicazioni, strumenti, sistemi e infrastruttura IT, compreso il potenziale accesso ai dati personali archiviati in tali applicazioni, strumenti e sistemi, e (iii) la fornitura di servizi di protezione dei dati, monitoraggio della protezione e servizi di risposta agli incidenti,compreso il potenziale accesso ai dati personali durante la fornitura di tali servizi di protezione. POSTCODEZIP può avvalersi di responsabili del trattamento dei dati indicati di seguito per fornire i servizi, inclusi i servizi accessori.

- â€¢ Fornitori di servizi esterni di terze parti quali sub-enti preposti al trattamento dei dati

POSTCODEZIP si avvale di fornitori di servizi esterni e di terze parti, che non sono filiali di POSTCODEZIP, per supportare la fornitura di servizi all'Esportatore di dati. L'Esportatore di dati approva tali fornitori di servizi di terze parti esterni come subentità assegnate al trattamento dei dati.

Se una sub-entità coinvolta nel trattamento dei dati si trova al di fuori dell'UE/SEE, in un paese ritenuto non dotato di un livello adeguato di protezione dei dati ai sensi di una decisione della Commissione Europea, l'importatore di dati adotterà misure per ottenere un livello adeguato di protezione dei dati ai sensi del GDPR e della sezione 3.4 (iv) della Parte 1.

Appendice 2, Parte 2

Misure di protezione tecniche e organizzative

L'Importatore di dati adotta le seguenti misure di protezione tecnica e organizzativa confermate dall'Esportatore di dati, al fine di garantire un livello di sicurezza adeguato per i diritti e le libertà delle persone, a seconda dei rischi. Nel valutare il livello di protezione in questione, l'Esportatore di dati ha considerato, in particolare, i rischi connessi al trattamento, inclusi la distruzione accidentale o illecita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o altrimenti trattati. Per chiarimento: queste misure di protezione tecnica e organizzativa non si applicano alle applicazioni, agli strumenti, ai sistemi e/o all'infrastruttura informatica forniti dall'Esportatore di dati.

1 Misure di protezione tecniche e organizzative generali

1.1 Informazioni generali e strategie di protezione dei dati

È necessario adottare le seguenti misure per seguire le strategie generali di protezione dei dati e delle informazioni:

a) adottare misure per valutare quelle adottate in materia di protezione tecnica e organizzativa;

b) erogare formazione per sensibilizzare i dipendenti;

c) avere una descrizione dei sistemi interessati e concedere l'accesso ai dipendenti;

d) istituire un processo formale di documentazione ogniqualvolta i sistemi vengono implementati o modificati;

e) documentare la struttura organizzativa, i processi, le responsabilità e le rispettive valutazioni;

1.2 Organizzazione della protezione delle informazioni

Le seguenti misure dovrebbero essere adottate per coordinare le attività di protezione dei dati e delle informazioni:

a) responsabilità definite per la protezione delle informazioni e dei dati (ad es. attraverso la politica di gestione della protezione dei dati);

b) le competenze necessarie in materia di protezione delle informazioni e dei dati rimasti a disposizione;

c) tutti i dipendenti si impegnano a garantire la riservatezza dei dati personali e sono stati informati delle potenziali conseguenze della violazione di tale impegno.

1.3 Controllo accessi alle aree di lavorazione

Le seguenti misure devono essere adottate per impedire che persone non autorizzate abbiano accesso ai sistemi informatici (in particolare software e hardware) durante il trattamento, la conservazione o la trasmissione di dati personali:

a) stabilire aree sicure;

b) proteggere e limitare l'accesso ai sistemi informatici;

c) stabilire autorizzazioni di accesso per dipendenti e terzi, ivi compresi i relativi documenti;

d) gli eventuali accessi ai centri di elaborazione dati presso i quali sono conservati dati personali devono essere registrati.

1.4 Controllo degli accessi ai sistemi informatici

Al fine di prevenire accessi non autorizzati ai sistemi di elaborazione dei dati devono essere adottate le seguenti misure:

a) politiche e procedure di autenticazione degli utenti;

b) l'utilizzo di password su tutti i sistemi informatici;

c) l'accesso remoto alla rete richiede l'autenticazione a più fattori ed è concesso all'interessato secondo le proprie responsabilità e previa autorizzazione;

d) l'accesso a specifiche funzioni si basa su funzioni lavorative e/o attributi individualmente assegnati all'account di un utente;

e) i diritti di accesso relativi ai dati personali sono rivisti regolarmente;

f) le registrazioni delle modifiche ai diritti di accesso siano tenute aggiornate.

1.5 Controllo dell'accesso a particolari aree di utilizzo dei sistemi di elaborazione dati

Devono essere adottate le seguenti misure per garantire che le persone autorizzate aventi diritto all'uso del sistema informatico possano accedere ai dati solo nell'ambito delle rispettive responsabilità e autorizzazioni di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione:

1.
1. a) politiche, istruzioni e formazione dei dipendenti, in merito agli obblighi di ciascuno di essi in merito alla riservatezza, ai diritti di accesso ai dati personali e all'ambito del trattamento dei dati personali;

b) provvedimenti disciplinari nei confronti delle persone che accedono ai dati personali senza autorizzazione;

c) l'accesso ai dati personali è consentito solo alle persone autorizzate, in caso di necessità;

d) mantenere un elenco di amministratori di sistema e adottare misure appropriate per monitorare gli amministratori di sistema;

e) non copiare o riprodurre dati personali su alcun sistema di archiviazione per consentire a persone non autorizzate di rimuovere le informazioni dell'autore;

f) cancellazione o distruzione controllata e documentata dei dati;

g) conservare in modo sicuro tutti i dati personali che devono essere conservati per motivi legali o regolamentari (es. obbligo di conservazione dei dati), e solo per il tempo previsto dalla legge.

1.6 Controllo delle trasmissioni

Le seguenti misure devono essere adottate al fine di impedire la lettura, la copia, la modifica o la cancellazione dei dati personali da parte di terzi non autorizzati durante la trasmissione o il trasporto di dispositivi di memorizzazione dei dati (a seconda del trattamento dei dati personali effettuato):

1.
1. a) utilizzo di firewall;

b) evitare la memorizzazione dei dati personali su dispositivi mobili di archiviazione per finalità di trasporto, o criptare i dispositivi;
c) utilizzo su laptop e altri dispositivi mobili solo dopo l'attivazione della protezione crittografica;

d) registrazione delle trasmissioni di dati personali.

1.7 Controllo dell'immissione dei dati

Devono essere adottate le seguenti misure per garantire che sia possibile verificare e determinare se i dati personali sono stati inseriti o cancellati dai sistemi informatici e da chi:

1.
1. a) una politica per autorizzare la lettura, la modifica e la cancellazione dei dati memorizzati;

b) misure di protezione contro la lettura, l'alterazione e la cancellazione dei dati memorizzati.

1.8 Controllo del lavoro

In caso di trattamento delegato di dati personali, devono essere adottate le seguenti misure per garantire che tali dati siano trattati secondo le istruzioni del Garante:

1.
1. a) soggetti o soggetti delegati al trattamento dei dati, scelti con cura (fornitori di servizi che trattano dati personali per conto del titolare);

b) istruzioni relative all'ambito di eventuali trattamenti di dati personali ai dipendenti, enti o sub-incaricati al trattamento dei dati;

c) diritti di revisione pattuiti con gli enti o sub-enti preposti al trattamento dei dati;

d) accordi in essere con i soggetti o sub-enti preposti al trattamento dei dati.

1.9 Separazione dal trattamento per altre finalità

Le seguenti misure devono essere adottate per garantire che i dati raccolti per altre finalità possano essere trattati separatamente:

1.
1. a) accesso separato ai dati personali in conformità con i diritti esistenti degli utenti;

b) le interfacce, l'elaborazione batch e il reporting sono per altre finalità e funzioni, in modo che i dati raccolti per altre finalità possano essere trattati separatamente.

1.10 Pseudonimizzazione

Devono essere adottate le seguenti misure in merito alla pseudonimizzazione dei dati personali:

1.
1. a) Se l'Esportatore di dati ordina un trattamento specifico o se questo è ritenuto opportuno dall'Importatore di dati ai sensi delle leggi sulla protezione dei dati vigenti in relazione a determinati trattamenti, il trattamento dei dati personali sarà effettuato in modo tale che il i dati non possono più essere attribuiti a un determinato soggetto senza l'utilizzo di ulteriori informazioni. Queste informazioni aggiuntive saranno conservate separatamente;

b) utilizzo di tecniche di pseudonimizzazione, inclusa la randomizzazione delle liste di allocazione; creazione di valori sotto forma di taglienti.

1.11 Crittografia

È necessario eseguire i seguenti passaggi per crittografare i dati personali nelle applicazioni e nelle trasmissioni che supportano la crittografia:

1. a) utilizzo di tecniche di cifratura;

b) istituzione di una gestione della cifratura a supporto delle tecniche di cifratura autorizzate all'uso;

c) supportare l'uso della crittografia attraverso procedure e protocolli per la generazione, la modifica, la revoca, la distruzione, la distribuzione, la certificazione, la conservazione, l'acquisizione, l'utilizzo e l'archiviazione di chiavi crittografiche per la protezione da modifiche e divulgazioni non autorizzate.

1.12 Completezza dei sistemi e dei servizi informatici

Al fine di garantire la completezza dei sistemi e dei servizi di elaborazione dei dati devono essere adottate le seguenti misure:

1. a) protezione dei sistemi informatici contro la manipolazione o distruzione con mezzi adeguati (es. software antivirus, software di prevenzione della perdita di dati e software contro malware, patch software, firewall e protezione desktop gestito);

b) vietare l'installazione di qualsiasi servizio o software dannoso per i sistemi informatici, i servizi o la manipolazione di dati personali;

c) utilizzo di un sistema di rilevamento e prevenzione delle intrusioni di rete nella struttura della rete stessa.

1.13 Disponibilità di sistemi e servizi di elaborazione dati e possibilità di ripristinare l'accesso e l'utilizzo dei dati personali in caso di incidente materiale o tecnico

Devono essere adottate le seguenti misure per garantire la disponibilità dei sistemi di elaborazione dei dati, nonché per poter ripristinare rapidamente la disponibilità e l'accesso ai dati personali, in caso di incidente materiale o tecnico (in particolare assicurando che i dati personali sono protetti contro la distruzione o la perdita accidentale):

a) disporre di mezzi di controllo per la conservazione delle copie di backup e il ripristino dei dati persi o cancellati;

b) ridondanza infrastrutturale e test di performance;

c) protezione fisica delle risorse informatiche;

d) utilizzo di strumenti per monitorare lo stato e la disponibilità della rete interna;

e) le politiche di segnalazione e risposta agli incidenti che regolano la procedura di gestione degli incidenti e la reiterazione dell'adesione a tali politiche nell'ambito della formazione regolare;

f) backup (talvolta fuori sede) per ripristinare il sistema per consentirgli di svolgere nuovamente le sue funzioni;

g) piani di continuità operativa/disaster recovery

1.14 Resilienza dei sistemi e dei servizi di elaborazione dati

Le seguenti misure devono essere adottate per garantire la resilienza dei sistemi e dei servizi di elaborazione dati:

a) sistemi e configurati in modo armonico, utilizzando parametri di sicurezza approvati;

b) ridondanza della rete;

c) protezione di contenimento dei sistemi critici.

1.15 Procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati

Procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per proteggere il trattamento dei dati.

a) adottare le misure necessarie per valutare i rischi e le strategie di mitigazione;

b) riunioni di analisi dei servizi della funzione IT per affrontare tematiche di attualità;

c) i piani di continuità operativa/disaster recovery sono aggiornati regolarmente.

Parte 3

Firme delle parti ed elenco degli Importatori di dati

Con la compilazione del modulo d'ordine online e con la convalida spuntando la casella di accettazione delle condizioni generali di utilizzo, si instaura il contratto che regola il rapporto tra il Cliente e POSTCODEZIP.

L'invio del pagamento a POSTCODEZIP riterrà il contratto concordato e instaurato.

Prendi nota: questo testo è stato tradotto dal francese. La versione originale francese, valida e legalmente restrittiva, è disponibile qui .