Appendice sul trattamento dei dati
La presente Appendice costituisce parte integrante del Contratto ed è stipulata da:
Ciascuno essendo un " Partito " e comunemente " Parti ".
Preambolo
DOVE l'Importatore di dati fornisce servizi software professionali, computer e servizi correlati;
Ove ai sensi del Contratto, l'Importatore di dati abbia acconsentito a fornire all'Esportatore di dati i servizi specificati nel Contratto (i " Servizi ");
Ove, fornendo i Servizi, l'Importatore di dati riceve o benefici dell'accesso alle informazioni dell'Esportatore di dati o alle informazioni di altre persone che hanno una relazione (potenziale) con l'Esportatore di dati, tali informazioni possono essere qualificate come dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (" GDPR ") e altre leggi applicabili in materia di protezione dei dati.
DOVE la presente Appendice contiene i termini e le condizioni applicabili alla raccolta, al trattamento e all'uso di tali dati personali da parte dell'Importatore di dati nella sua qualità di agente autorizzato al trattamento dei dati dell'Esportatore di dati, per garantire che le Parti rispettino la legge applicabile sulla protezione dei dati .
PERTANTO, e per consentire alle Parti di continuare la loro relazione legalmente, le Parti hanno concluso la presente Appendice come segue:
Parte 1
1. Struttura del documento e definizioni
1.1 Struttura
Questa appendice comprende diverse parti come segue:
Parte 1: | contiene disposizioni generali, ad esempio riguardanti le definizioni utilizzate in questa Appendice, il rispetto delle leggi locali, i tempi e la risoluzione |
Parte 2: | contiene il corpo del documento Standard Contractual Clauses non modificato |
Appendice 1.1 della Parte 2: | contiene i dettagli delle operazioni di trattamento fornite dall'Importatore di dati all'Esportatore di dati in qualità di agente autorizzato al trattamento dei dati (inclusi il trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati) ai sensi del presente Appendice |
Appendice 2 della Parte 2: | contiene una descrizione delle misure di sicurezza tecniche e organizzative dell'Importatore di dati, che sono applicate in relazione a tutte le attività di trattamento descritte nell'Appendice 1.1 della Parte 2 |
Parte 3: | contiene le firme delle Parti vincolate dalla presente Appendice e identifica ciascun Importatore di Dati |
1.2 Terminologia e definizioni
Ai fini della presente Appendice si applicano la terminologia e le definizioni utilizzate dal GDPR (nel corpo del documento Standard Contractual Clause nella Parte 2, dove i termini definiti non sono in maiuscolo).
"Stato membro" | indica un paese appartenente all'Unione Europea o allo Spazio Economico Europeo |
"Categorie speciali di dati (personali)" | si riferisce a dati personali idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, i dati biometrici, se trattati al fine di identificare in modo univoco una persona, i dati relativi alla salute, i dati relativi al sesso della persona vita o orientamento sessuale |
"Clausole contrattuali standard" | indica le clausole contrattuali tipo per il trasferimento dei dati personali degli incaricati del trattamento stabiliti in paesi terzi, ai sensi della decisione 2010/87/UE della Commissione del 5 febbraio 2010, che è stata modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione il 16 dicembre 2016 |
"Responsabile del trattamento" | indica qualsiasi agente incaricato del trattamento, situato all'interno o all'esterno dell'UE/SEE, che accetta di ricevere dall'Importatore di dati o da qualsiasi altro responsabile del trattamento dell'Importatore di dati, dati personali ai fini esclusivi del trattamento che sarà svolto dall'Esportatore di dati dopo che trasferimento in conformità con le istruzioni dell'Esportatore di dati, i termini della presente Appendice e il Contratto con l'Importatore di dati |
2. Obblighi dell'Esportatore di dati
2.1 L'Esportatore di dati ha l'obbligo di garantire il rispetto di tutti gli obblighi applicabili ai sensi del GDPR e di qualsiasi altra legge sulla protezione dei dati applicabile che si applica all'Esportatore di dati e di dimostrare tale conformità come richiesto dall'articolo 5, paragrafo 2, del GDPR. L'Esportatore di dati garantisce che l'Importatore di dati ha ottenuto il consenso preventivo degli interessati ai sensi dell'articolo 6 (a) del GDPR e ha adempiuto all'obbligo di informare gli interessati ai sensi degli articoli 13 e 14 del GDPR.
2.2 L'Esportatore di dati deve fornire all'Importatore di dati i rispettivi file delle attività di trattamento ai sensi dell'articolo 30, paragrafo 1, del GDPR relativi ai Servizi di cui alla presente Appendice, nella misura necessaria affinché l'Importatore di dati adempia all'obbligo di cui Articolo 30, paragrafo 2, del GDPR.
2.3 L'Esportatore di dati deve nominare un responsabile della protezione dei dati o un rappresentante nella misura richiesta dalla legge sulla protezione dei dati applicabile. L'Esportatore di dati è obbligato a fornire i dati di contatto dell'agente per la protezione dei dati o del rappresentante, se presente, all'Importatore di dati.
2.4. L'Esportatore di dati conferma prima del completamento del trattamento, accettando la presente Appendice, che le misure di sicurezza tecniche e organizzative dell'Importatore di dati, come indicato nell'Appendice 2 alla Parte 2, sono appropriate e sufficienti per proteggere i diritti dell'interessato e conferma che l'importatore di dati fornisce garanzie sufficienti a tale riguardo.
3. Conformità alle leggi locali
Al fine di soddisfare i requisiti di attuazione degli incaricati del trattamento di cui all'articolo 28 del GDPR, si applicano le seguenti modifiche:
3.1 Istruzioni
3.2 Obblighi dell'importatore di dati
3.3 Diritti degli interessati
3.4 Sottotrattamento
3.5 Scadenza
La scadenza della presente Appendice è identica alla data di scadenza del corrispondente Contratto. Salvo quanto diversamente previsto nella presente Appendice, i diritti ei doveri relativi alla risoluzione saranno gli stessi contenuti nel Contratto.
4. Limitazione di responsabilità
4.1 Ciascuna parte adempie ai propri obblighi ai sensi della presente Appendice e della normativa applicabile sulla protezione dei dati.
4.2 Qualsiasi responsabilità relativa a una violazione degli obblighi previsti dalla presente Appendice o dalla legislazione applicabile in materia di protezione dei dati sarà soggetta e regolata dalle disposizioni di responsabilità stabilite o applicabili al Contratto, salvo quanto diversamente previsto nella presente Appendice. Se la responsabilità è disciplinata dalle disposizioni di responsabilità stabilite o applicabili al Contratto, per il calcolo dei limiti di responsabilità o per la determinazione dell'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante dalla presente Appendice sarà considerata derivante dal Contratto.
5. Disposizioni generali
5.1 In caso di incongruenze o discrepanze tra le Parti 1 e 2 della presente Appendice, prevarrà la Parte 2. Nello specifico, anche in tal caso, resta valida la Parte 1 che va semplicemente oltre la Parte 2 (ossia i termini delle clausole Standard) senza contraddirla.
5.2 In caso di discrepanza tra le disposizioni della presente Appendice e quelle di altri contratti vincolanti le parti, la presente Appendice prevarrà per quanto riguarda gli obblighi di protezione dei dati delle parti. In caso di dubbio sul fatto che le clausole di altri contratti riguardino gli obblighi di protezione dei dati delle parti, prevale la presente Appendice.
5.3 Se una qualsiasi disposizione della presente Appendice non è valida o non applicabile, il resto della presente Appendice rimarrà in pieno vigore ed effetto. La disposizione nulla o inapplicabile sarà (i) modificata per garantirne la validità e l'applicabilità, preservando per quanto possibile l'intenzione delle parti, o - se ciò non è possibile - (ii) interpretata come se la parte invalida o inapplicabile avesse avuto mai stato parte del contratto. Quanto sopra si applica anche in caso di omissione nella presente Appendice.
5.5 Nella misura necessaria, le Parti possono richiedere modifiche alla Parte 1, Clausola 3 (Conformità alla normativa locale) o ad altre parti dell'Appendice al fine di conformarsi a interpretazioni, direttive o ordini emessi dalle autorità competenti dell'Unione o dal Stati membri, disposizioni nazionali di applicazione o qualsiasi altro sviluppo giuridico relativo al GDPR o altre condizioni di delega a qualsiasi entità coinvolta nel trattamento dei dati e in particolare per quanto riguarda l'uso delle clausole contrattuali standard nel GDPR. I termini delle Standard Contractual Clauses non possono essere modificati o sostituiti se non espressamente approvati dalla Commissione Europea (es. con nuove adeguate clausole e standard di protezione dei dati).
5.6 Qualsiasi riferimento in questa Appendice alle "Clausole" si intende riferito a tutte le disposizioni della presente Appendice, salvo diversa indicazione.
5.7 La scelta della legge nella Parte 2, Clausola 9 si applica all'intero Contratto.
6. Dati personali trasmessi e trattati dai soggetti per finalità personali (trasferimento dal titolare al titolare del trattamento)
6.1 Le Parti sanno perfettamente che alcuni dati personali saranno trasferiti dall'Esportatore di dati all'Importatore di dati e viceversa, e che tali dati sono trattati da ciascuna Parte per le proprie finalità. Per quanto riguarda tali dati personali, non pregiudica le altre disposizioni della presente Appendice (ad eccezione di questa clausola 6).
6.2 L'Esportatore di dati può trasferire all'Importatore di dati i dati personali relativi al personale dell'Importatore di dati, comprese le informazioni su incidenti di sicurezza, o qualsiasi altro documento o file creato o stabilito dall'Esportatore di dati in relazione ai Servizi forniti dal personale di l'importatore di dati. L'Importatore di dati può trattare tali dati personali per le proprie finalità, in particolare nei suoi rapporti professionali con il personale dell'Importatore di dati, per il controllo della qualità e la formazione, o per scopi commerciali.
6.3. L'Importatore di dati può trasferire i dati personali all'Esportatore di dati, inclusi il nome e i dettagli di contatto del personale dell'Importatore di dati. L'Esportatore di dati può trattare tali dati personali per i propri scopi.
6.4 Entrambe le parti devono rispettare tutte le leggi sulla protezione dei dati applicabili, incluso il GDPR, nella raccolta, elaborazione e utilizzo di tali dati personali ricevuti dall'altra parte ai sensi della clausola 1 della Parte 1. In particolare, entrambe le Parti adottano adeguate misure di sicurezza, fornendo un livello di protezione simile alle misure di sicurezza di cui all'appendice 2 della parte 2. Qualsiasi accesso a tali dati personali è limitato alla necessità di conoscerli.
6.5 Entrambe le Parti devono cancellare tali dati personali il prima possibile dopo il raggiungimento degli obiettivi.
Parte 2
DECISIONE DELLA COMMISSIONE
il 5 febbraio 2010
sulle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi della Direttiva 95/46/CE del Parlamento Europeo e del Consiglio
Clausola 1
Definizioni
Ai sensi delle clausole:
a) "dati personali", "categorie particolari di dati", "trattamento/trattamento", "responsabile del trattamento", "responsabile del trattamento", "interessato" e "autorità di controllo" hanno lo stesso significato della 95/46/CE Direttiva del Parlamento Europeo e del Consiglio del 24 ottobre 1995 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (1);
b) l'"Esportatore di dati" è il titolare del trattamento dei dati personali;
c) l'"Importatore di dati" è il responsabile del trattamento che accetta di ricevere dall'Esportatore di dati i dati personali destinati ad essere trattati per conto dell'Esportatore di dati dopo il trasferimento secondo le sue istruzioni e nei termini di queste clausole e che non è soggetto al meccanismo di un paese terzo che garantisce una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46/CE; (d) "Responsabile del trattamento" indica il responsabile del trattamento incaricato dall'Importatore di dati o da qualsiasi altro responsabile del trattamento dell'Importatore di dati che accetta di ricevere dall'Importatore di dati o da qualsiasi altro responsabile del trattamento dei dati personali dell'Importatore di dati esclusivamente per attività di trattamento a essere effettuato per conto dell'Esportatore di dati dopo il trasferimento secondo le istruzioni dell'Esportatore di dati,alle condizioni previste nelle presenti Clausole e nei termini del subappalto scritto del contratto di trattamento dei dati;
e) "normativa applicabile in materia di protezione dei dati": la normativa che tutela i diritti e le libertà fondamentali delle persone fisiche, compreso il diritto alla riservatezza in relazione al trattamento dei dati personali, e si applica a un responsabile del trattamento nello Stato membro in cui è stabilito l'Esportatore di dati;
f) "misure tecniche e organizzative relative alla sicurezza" significa misure volte a proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su reti, e da ogni altra forma illecita di trattamento.
Clausola 2
Dettagli del trasferimento
I dettagli del trasferimento, ivi comprese, se del caso, categorie particolari di dati personali, sono specificati nell'Appendice 1, che costituisce parte integrante delle presenti clausole.
Clausola 3
Clausola di terzo beneficiario
1. L'interessato può far valere nei confronti dell'Esportatore di dati la presente Clausola, le Clausole da 4 (b) a (i), le Clausole 5 da (a) a (e) e da (g) a (j), le Clausole 6 (1) e (2) ), Clausola 7, Clausola 8(2) e Clausole da 9 a 12 come terzo beneficiario
2. L'interessato può far valere la presente Clausola, le Clausole da (a) a (e) e (g), le Clausole 6, le Clausole 7, le Clausole 8 (2) e le Clausole da 9 a 12 nei confronti dell'Importatore di dati qualora l'Esportatore di dati abbia fisicamente è scomparso o ha cessato di esistere per legge, a meno che tutti i suoi obblighi di legge non siano stati trasferiti, per contratto o per atto di legge, all'ente successore, al quale quindi si ripercuotono i diritti e gli obblighi dell'Esportatore di dati, e nei confronti del quale i dati il soggetto può quindi far valere le predette clausole.
L'interessato può far valere la presente Clausola, Clausole da (a) a (e) e (g), Clausole 6, Clausole 7, Clausole 8 (2) e Clausole da 9 a 12 nei confronti del Responsabile del trattamento, ma solo nei casi in cui i Dati L'Esportatore e l'Importatore di dati sono fisicamente scomparsi, hanno cessato di esistere legalmente o sono diventati insolventi, a meno che tutti gli obblighi legali dell'Esportatore di dati non siano stati trasferiti, per contratto o per effetto di legge, al successore legale, al quale i diritti e sono quindi maturati gli obblighi dell'Esportatore dei dati, e nei confronti del quale l'interessato può quindi far valere tali clausole. Tale responsabilità del Responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi delle presenti clausole.
4. Le parti non si oppongono al fatto che l'interessato sia rappresentato da un'associazione o altro organismo se lo desidera e se il diritto nazionale lo consente.
Clausola 4
Obblighi dell'Esportatore di dati
L'Esportatore di Dati accetta e garantisce quanto segue:
a) il trattamento, compreso l'effettivo trasferimento di dati personali, è stato e continuerà ad essere effettuato in conformità alle pertinenti disposizioni della normativa applicabile in materia di protezione dei dati (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui ha sede l'Esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;
b) hanno incaricato, e istruiranno per la durata dei servizi di trattamento dei dati personali, l'Importatore di dati a trattare i dati personali trasferiti per conto esclusivo dell'Esportatore di dati e in conformità con la normativa applicabile in materia di protezione dei dati e le presenti clausole;
c) l'Importatore di dati fornirà garanzie sufficienti in merito alle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 al presente contratto;
d) previa valutazione dei requisiti della normativa applicabile in materia di protezione dei dati, le misure di sicurezza sono adeguate per proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare laddove il trattamento comporti la trasmissione di dati in rete, e contro ogni altra forma illecita di trattamento e garantire un livello di sicurezza adeguato ai rischi rappresentati dal trattamento e dalla natura dei dati da proteggere, tenuto conto del livello tecnologico e dei costi di attuazione;
e) assicureranno il rispetto delle misure di sicurezza;
f) se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima del trasferimento, o non appena possibile dopo il trasferimento che i suoi dati potrebbero essere trasferiti in un paese terzo che non offre un livello di protezione adeguato ai sensi della Direttiva 95/46/CE;
g) inoltreranno all'Autorità di controllo per la protezione dei dati qualsiasi comunicazione ricevuta dall'Importatore di dati o da qualsiasi Responsabile del trattamento ai sensi delle Clausole 5(b) e 8(3) se decide di proseguire il trasferimento o revocarne la sospensione;
h) mette a disposizione degli interessati, ove ne facciano richiesta, copia delle presenti Clausole, ad eccezione dell'Appendice 2, e una descrizione sommaria delle misure di sicurezza, e copia di ogni ulteriore contratto di subappalto, concluso ai sensi delle presenti Clausole, salvo che il Le clausole o l'accordo contengono informazioni commerciali, nel qual caso può ritirare tali informazioni;
i) in caso di subappalto del trattamento dei dati, l'attività di trattamento è svolta ai sensi dell'articolo 11 da un responsabile del trattamento che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato dell'importatore di dati ai sensi delle presenti clausole ; e
j) assicurerà il rispetto della Clausola 4 da (a) a (i).
Clausola 5
Obblighi dell'importatore di dati
L'Importatore di Dati accetta e garantisce quanto segue:
a) tratteranno i dati personali solo per conto dell'Esportatore di dati e secondo le istruzioni dell'Esportatore di dati e le presenti clausole; se non può ottemperare per qualsiasi motivo, si impegna a informare l'Esportatore di dati della propria impossibilità il prima possibile, nel qual caso l'Esportatore di dati può sospendere il trasferimento dei dati e/o risolvere il contratto;
b) non hanno motivo di ritenere che la legge loro applicabile gli impedisca di adempiere alle istruzioni impartite dall'Esportatore di dati e agli obblighi a lui incombenti in forza del contratto, e se tale legge è soggetta a una modifica che potrebbe avere un danno materiale effetti sulle garanzie e sugli obblighi previsti dalle Clausole, dovrà comunicare la modifica all'Esportatore di dati senza indugio dopo esserne venuto a conoscenza, nel qual caso l'Esportatore di dati potrà sospendere il trasferimento dei dati e/o risolvere il contratto; (c) hanno implementato le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima del trattamento dei dati personali trasferiti;
d) informeranno senza indugio l'Esportatore di dati:
i) qualsiasi richiesta vincolante di comunicazione di dati personali da parte di un'autorità di contrasto, ove non diversamente specificato, quale un divieto penale volto a preservare la segretezza di un'indagine di polizia;
ii) qualsiasi accesso accidentale o non autorizzato; e
iii) ogni richiesta pervenuta direttamente dagli interessati senza darvi risposta, salvo che questi non sia stato autorizzato a farlo; amministratori
e) tratteranno tempestivamente e correttamente tutte le richieste dell'Esportatore di dati in merito al trattamento dei dati personali oggetto di conferimento e agiranno sotto il parere dell'autorità di controllo sul trattamento dei dati conferiti;
f) su richiesta dell'Esportatore di dati, sottoporranno i propri impianti di trattamento dei dati a una verifica delle attività di trattamento di cui alle presenti clausole che sarà svolta dall'Esportatore di dati o da un organismo di controllo composto da membri indipendenti in possesso delle necessarie qualifiche professionali, soggetto all'obbligo del segreto e scelto dall'Esportatore dei dati, se del caso con il consenso dell'autorità di controllo;
g) metteranno a disposizione dell'interessato, ove ne faccia richiesta, copia delle presenti Clausole, ovvero di qualsiasi subappalto in essere del contratto di trattamento dei dati, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso potrà rimuovere tali informativa, fatta eccezione per l'Appendice 2, che sarà sostituita da una descrizione sintetica delle misure di sicurezza, laddove l'interessato non possa ottenerne copia dall'Esportatore dei dati;
h) in caso di ulteriore subappalto riservato al trattamento dei dati, si assicura di informare preventivamente l'Esportatore di dati e di ottenere il consenso scritto dell'Esportatore di dati;
i) i servizi di elaborazione forniti dal Responsabile del trattamento devono essere conformi alla Clausola 11;
j) invierà tempestivamente all'Esportatore dei dati copia dell'eventuale subappalto del contratto di trattamento dei dati da esso stipulato ai sensi delle presenti Clausole.
Clausola 6
Responsabilità
1. Le parti convengono che l'interessato che abbia subito un danno a causa della violazione degli obblighi di cui all'articolo 3 o all'articolo 11 da parte di una delle parti o di un responsabile del trattamento può ottenere il risarcimento dall'Esportatore dei dati per il danno subito.
2. Se all'interessato è impedito di proporre un'azione risarcitoria di cui al comma 1 nei confronti dell'Esportatore di dati per inadempimento da parte dell'Importatore di dati o di un suo responsabile del trattamento di uno qualsiasi degli obblighi di cui alla Clausola 3 o alla Clausola 11 perché i Dati L'esportatore è fisicamente scomparso, ha cessato di esistere per legge o è diventato insolvente, l'importatore di dati accetta che l'interessato possa presentare un reclamo contro di esso come se fosse l'esportatore di dati a meno che tutti gli obblighi legali dell'esportatore di dati non siano stati trasferiti, per contratto o per effetto di legge, al suo soggetto successore, nei confronti del quale l'interessato può quindi far valere i propri diritti. L'importatore di dati non può fare affidamento su una violazione dei propri obblighi da parte di un responsabile del trattamento per evitare la propria responsabilità.
3. Se all'interessato è impedito di proporre l'azione di cui ai commi 1 e 2 nei confronti dell'Esportatore o dell'Importatore di dati per violazione da parte del Responsabile del trattamento degli obblighi di cui all'articolo 3 o all'articolo 11 perché l'Esportatore e l'Importatore di dati sono fisicamente scomparsi, hanno cessato di esistere legalmente o sono divenuti insolventi, il Responsabile del trattamento accetta che l'interessato possa proporre reclamo nei suoi confronti in merito alle proprie attività di trattamento ai sensi delle presenti clausole come se fosse l'Esportatore o Importatore di dati a meno che tutti gli obblighi legali dell'Esportatore o Importatore di dati sono stati trasferiti, per contratto o per effetto di legge, al successore legale, nei confronti del quale l'interessato potrà poi far valere i propri diritti.La responsabilità del Responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi di queste clausole.
Clausola 7
Mediazione e giurisdizione
1. L'Importatore di dati conviene che qualora, ai sensi delle clausole, l'interessato fa valere nei suoi confronti il diritto del terzo beneficiario e/o chiede il risarcimento del danno subito, accetta la decisione dell'interessato:
a) sottoporre la controversia alla mediazione da parte di un soggetto indipendente o, se del caso, dell'autorità di controllo;
b) adire i giudici dello Stato membro in cui ha sede l'Esportatore di dati.
2. Le parti convengono che la scelta operata dall'interessato non pregiudica il diritto procedurale o sostanziale dell'interessato di ottenere un risarcimento ai sensi di altre disposizioni di diritto nazionale o internazionale.
Clausola 8
Collaborazione con le autorità di vigilanza
1. L'Esportatore di dati si impegna a depositare copia del presente contratto presso l'autorità di controllo se quest'ultima lo richiede o se tale deposito è previsto dalla normativa applicabile in materia di protezione dei dati.
2. Le parti convengono che l'autorità di controllo possa effettuare controlli presso l'Importatore di dati e qualsiasi Responsabile del trattamento nella stessa misura e alle stesse condizioni dei controlli effettuati presso l'Esportatore di dati in conformità con la normativa applicabile in materia di protezione dei dati.
3. L'importatore di dati informa quanto prima l'esportatore di dati dell'esistenza di una normativa relativa all'importatore di dati o a qualsiasi responsabile del trattamento che impedisce la verifica presso l'importatore di dati o qualsiasi responsabile del trattamento ai sensi del paragrafo 2. In tal caso, il L'Esportatore di dati può adottare le misure previste nella Clausola 5 (b).
Clausola 9
Legge applicabile
Le clausole si applicano e sono regolate dalla legge dello Stato membro in cui ha sede l'Esportatore di dati.
Clausola 10
Modifica del contratto
Le parti si impegnano a non modificare le presenti clausole. Le parti restano libere di inserire altre clausole commerciali che ritengano necessarie, purché non in contraddizione con le presenti clausole.
Clausola 11
Subappalto successivo
1. L'Importatore di dati non subappalta nessuna delle sue attività di trattamento svolte per conto dell'Esportatore di dati ai sensi delle presenti clausole senza il previo consenso scritto dell'Esportatore di dati. L'Importatore di dati potrà subappaltare i propri obblighi ai sensi delle presenti Clausole, con il consenso dell'Esportatore di dati, attraverso un accordo scritto con il Responsabile del trattamento che impone al Responsabile del trattamento gli stessi obblighi di quelli imposti all'Importatore di dati ai sensi delle presenti Clausole. Se il Responsabile del trattamento non è in grado di adempiere ai propri obblighi in materia di protezione dei dati ai sensi di tale accordo scritto, l'Importatore di dati rimane pienamente responsabile nei confronti dell'Esportatore di dati per l'adempimento di tali obblighi.
2. Il preventivo accordo scritto tra l'Importatore e il Responsabile del trattamento comprende anche una clausola di terzo beneficiario di cui all'articolo 3 per i casi in cui all'interessato è impedito di proporre l'azione risarcitoria di cui all'articolo 6 (1 ), nei confronti dell'Esportatore di dati o Importatore di dati perché l'Esportatore di dati o l'Importatore di dati è fisicamente scomparso, ha cessato di esistere per legge o è divenuto insolvente e tutti gli obblighi legali dell'Esportatore di dati o dell'Importatore di dati non sono stati trasferiti, né per contratto né per operazione di legge, ad altro ente successore. La responsabilità del Responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi delle presenti clausole.
3. Le disposizioni relative agli aspetti in materia di protezione dei dati del subappalto del trattamento dei dati del contratto di cui al comma 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'Esportatore dei dati.
4. L'Esportatore di dati conserva un elenco dei subappaltatori degli accordi sul trattamento dei dati conclusi ai sensi delle presenti Clausole e notificato dall'Importatore di dati ai sensi della Clausola 5 (j), che deve essere aggiornato almeno una volta all'anno. Tale elenco è messo a disposizione dell'autorità di controllo della protezione dei dati dell'Esportatore di dati.
Clausola 12
Obbligo dopo la cessazione dei servizi di trattamento dei dati personali
1. Le parti concordano che, al completamento dei servizi di elaborazione dati, l'Importatore di dati e il Responsabile del trattamento, a discrezione dell'Esportatore di dati, restituiranno tutti i dati personali trasferiti e copie degli stessi all'Esportatore di dati, o distruggeranno tutti tali dati e forniranno prova la distruzione all'Esportatore di dati, salvo che la normativa imposta all'Importatore di dati gli impedisca di restituire o distruggere in tutto o in parte i dati personali trasferiti. In tal caso, l'Importatore di dati garantisce che assicurerà la riservatezza dei dati personali trasferiti e che non tratterà più attivamente i dati.
2. L'importatore di dati e il responsabile del trattamento assicurano che, se richiesto dall'esportatore e/o dall'autorità di controllo, sottoporranno i propri mezzi di trattamento dei dati alla verifica delle misure di cui al comma 1.
Appendice 1.1 alla Parte 2
Dettagli del trasferimento
Esportatore di dati
L'Esportatore di Dati è il Cliente definito nell'Accordo Contrattuale.
Importatore di dati
L'importatore di dati è POSTCODEZIP ed è incaricato di elaborare i dati, fornendo servizi all'esportatore di dati.
Soggetti del trattamento
I dati personali conferiti riguardano le seguenti categorie di interessati:
un?? abbonati telefonici elencati nell'elenco universale
â˜' Altri, tra cui:
Categorie di dati
I dati personali conferiti riguardano le seguenti categorie di dati:
Categorie di dati personali degli interessati dell'Esportatore di dati in particolare,
un?? Nome e cognome
â˜' Indirizzo postale
un?? Dati di contatto (e-mail, telefono, indirizzo IP, ecc.)
un?? Dettagli delle attività di marketing riguardanti l'abbonato telefonico
â˜' Altri, compreso il tipo di alloggio, il reddito e l'età media della città resi anonimi
Categorie speciali di dati (se applicabile)
I dati personali conferiti riguardano le seguenti categorie particolari di dati:
â˜' Non è previsto il conferimento di categorie particolari di dati
un?? Razza o origine etnica
un?? Credenze religiose o filosofiche
un?? Adesione sindacale
un?? Visioni politiche
un?? Informazioni genetiche
un?? Informazioni biometriche
un?? Informazioni sull'orientamento sessuale o sulla vita sessuale
un?? Dati sanitari
Attività di elaborazione
I dati personali conferiti saranno oggetto delle seguenti attività di trattamento di base:
Il trattamento svolto per conto dell'Esportatore di dati si basa sui seguenti soggetti, in particolare:
â˜' Presa in carico dei prodotti o servizi offerti dall'Esportatore di Dati
â˜' L'offerta di un prodotto o servizio che la persona chiamata può richiedere
â˜' Ordini presi dalle persone chiamate e ulteriore elaborazione di questi ordini
â˜' Questionari e analisi di studio
â˜' Telemarketing
un?? Altri, tra cui:
L'Importatore di dati tratta i dati personali degli interessati per conto dell'Esportatore di dati, al fine di fornire i seguenti servizi, e in particolare:
â˜' Vendite e marketing
â˜' Altri, compreso l'aggiornamento delle banche dati dei municipi e dei partiti politici
POSTCODEZIP principalmente combina, centralizza e fornisce servizi all'esportatore di dati. I servizi forniti dal fornitore di servizi designato possono essere strutturati (tra gli altri a seconda dei casi) attorno ai seguenti servizi accessori: (i) fornitura di applicazioni, strumenti, sistemi e infrastrutture informatiche in relazione ai centri di elaborazione dati utilizzati, al fine di fornire e supportare i servizi, compreso il trattamento dei dati personali degli interessati come sopra descritto, tramite tali applicazioni, strumenti e sistemi, (ii) la fornitura di supporto informatico, manutenzione e altri servizi relativi a tali applicazioni, strumenti, sistemi e infrastruttura IT, compreso il potenziale accesso ai dati personali archiviati in tali applicazioni, strumenti e sistemi, e (iii) la fornitura di servizi di protezione dei dati, monitoraggio della protezione e servizi di risposta agli incidenti,compreso il potenziale accesso ai dati personali durante la fornitura di tali servizi di protezione. POSTCODEZIP può avvalersi di responsabili del trattamento dei dati indicati di seguito per fornire i servizi, inclusi i servizi accessori.
POSTCODEZIP si avvale di fornitori di servizi esterni e di terze parti, che non sono filiali di POSTCODEZIP, per supportare la fornitura di servizi all'Esportatore di dati. L'Esportatore di dati approva tali fornitori di servizi di terze parti esterni come subentità assegnate al trattamento dei dati.
Se una sub-entità coinvolta nel trattamento dei dati si trova al di fuori dell'UE/SEE, in un paese ritenuto non dotato di un livello adeguato di protezione dei dati ai sensi di una decisione della Commissione Europea, l'importatore di dati adotterà misure per ottenere un livello adeguato di protezione dei dati ai sensi del GDPR e della sezione 3.4 (iv) della Parte 1.
Appendice 2, Parte 2
Misure di protezione tecniche e organizzative
L'Importatore di dati adotta le seguenti misure di protezione tecnica e organizzativa confermate dall'Esportatore di dati, al fine di garantire un livello di sicurezza adeguato per i diritti e le libertà delle persone, a seconda dei rischi. Nel valutare il livello di protezione in questione, l'Esportatore di dati ha considerato, in particolare, i rischi connessi al trattamento, inclusi la distruzione accidentale o illecita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o altrimenti trattati. Per chiarimento: queste misure di protezione tecnica e organizzativa non si applicano alle applicazioni, agli strumenti, ai sistemi e/o all'infrastruttura informatica forniti dall'Esportatore di dati.
1 Misure di protezione tecniche e organizzative generali |
1.1 Informazioni generali e strategie di protezione dei dati |
È necessario adottare le seguenti misure per seguire le strategie generali di protezione dei dati e delle informazioni: |
|
|
|
|
|
1.2 Organizzazione della protezione delle informazioni |
Le seguenti misure dovrebbero essere adottate per coordinare le attività di protezione dei dati e delle informazioni: |
|
|
|
1.3 Controllo accessi alle aree di lavorazione |
Le seguenti misure devono essere adottate per impedire che persone non autorizzate abbiano accesso ai sistemi informatici (in particolare software e hardware) durante il trattamento, la conservazione o la trasmissione di dati personali: |
|
|
|
|
1.4 Controllo degli accessi ai sistemi informatici |
Al fine di prevenire accessi non autorizzati ai sistemi di elaborazione dei dati devono essere adottate le seguenti misure: |
|
|
|
|
|
|
1.5 Controllo dell'accesso a particolari aree di utilizzo dei sistemi di elaborazione dati |
Devono essere adottate le seguenti misure per garantire che le persone autorizzate aventi diritto all'uso del sistema informatico possano accedere ai dati solo nell'ambito delle rispettive responsabilità e autorizzazioni di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione: |
|
|
|
|
|
|
|
1.6 Controllo delle trasmissioni |
Le seguenti misure devono essere adottate al fine di impedire la lettura, la copia, la modifica o la cancellazione dei dati personali da parte di terzi non autorizzati durante la trasmissione o il trasporto di dispositivi di memorizzazione dei dati (a seconda del trattamento dei dati personali effettuato): |
|
|
|
1.7 Controllo dell'immissione dei dati |
Devono essere adottate le seguenti misure per garantire che sia possibile verificare e determinare se i dati personali sono stati inseriti o cancellati dai sistemi informatici e da chi: |
|
|
1.8 Controllo del lavoro |
In caso di trattamento delegato di dati personali, devono essere adottate le seguenti misure per garantire che tali dati siano trattati secondo le istruzioni del Garante: |
|
|
|
|
1.9 Separazione dal trattamento per altre finalità |
Le seguenti misure devono essere adottate per garantire che i dati raccolti per altre finalità possano essere trattati separatamente: |
|
|
1.10 Pseudonimizzazione |
Devono essere adottate le seguenti misure in merito alla pseudonimizzazione dei dati personali: |
|
|
1.11 Crittografia |
È necessario eseguire i seguenti passaggi per crittografare i dati personali nelle applicazioni e nelle trasmissioni che supportano la crittografia:
|
|
|
1.12 Completezza dei sistemi e dei servizi informatici |
Al fine di garantire la completezza dei sistemi e dei servizi di elaborazione dei dati devono essere adottate le seguenti misure: |
|
|
|
1.13 Disponibilità di sistemi e servizi di elaborazione dati e possibilità di ripristinare l'accesso e l'utilizzo dei dati personali in caso di incidente materiale o tecnico |
Devono essere adottate le seguenti misure per garantire la disponibilità dei sistemi di elaborazione dei dati, nonché per poter ripristinare rapidamente la disponibilità e l'accesso ai dati personali, in caso di incidente materiale o tecnico (in particolare assicurando che i dati personali sono protetti contro la distruzione o la perdita accidentale): |
|
|
|
|
|
|
|
1.14 Resilienza dei sistemi e dei servizi di elaborazione dati |
Le seguenti misure devono essere adottate per garantire la resilienza dei sistemi e dei servizi di elaborazione dati: |
|
|
|
1.15 Procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati |
Procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per proteggere il trattamento dei dati. |
|
|
|
Parte 3
Firme delle parti ed elenco degli Importatori di dati
Con la compilazione del modulo d'ordine online e con la convalida spuntando la casella di accettazione delle condizioni generali di utilizzo, si instaura il contratto che regola il rapporto tra il Cliente e POSTCODEZIP.
L'invio del pagamento a POSTCODEZIP riterrà il contratto concordato e instaurato.
Prendi nota: questo testo è stato tradotto dal francese. La versione originale francese, valida e legalmente restrittiva, è disponibile qui .