Web Marketing Aziendale

Addendum sul trattamento dei dati

Il presente Addendum sull’elaborazione dei dati (questo ” DPA “) è incorporato nei Termini di servizio disponibili all’indirizzo https://www.socialtrust.it/condizioni-uso/ (” Accordo “) tra il cliente sottoscritto (” Cliente “) e Web Marketing Aziendale , un’impresa di Brescia (la ” Società “).

I termini in maiuscolo ma non definiti utilizzati nel presente DPA avranno i significati assegnati a tali termini nel Contratto.

Nel corso della fornitura del Servizio al Cliente ai sensi del Contratto, la Società può trattare i Dati personali per conto del Cliente. La Società si impegna a rispettare le seguenti disposizioni in relazione al Trattamento dei Dati Personali del Cliente (come tale termine è definito nel presente documento).

1. DEFINIZIONI

” Affiliata ” indica qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è sotto il controllo comune con l’entità in questione. “Controllo”, ai fini della presente definizione, indica la proprietà o il controllo, diretto o indiretto, di più del 50% degli interessi con diritto di voto dell’entità oggetto.

” Titolare ” indica l’entità che determina le finalità e i mezzi del Trattamento dei Dati Personali.

” Dati del Cliente ” indica qualsiasi dato, informazione o materiale originato dal Cliente che il Cliente invia, raccoglie o fornisce nel corso dell’utilizzo dei Servizi, inclusi i Dati personali del Cliente.

” Dati personali del cliente ” indica i dati personali forniti dal o per il cliente, o su indicazione del cliente, alla Società in relazione all’utilizzo dei servizi da parte del cliente e ai quali si applicano le leggi sulla protezione dei dati.

” Leggi sulla protezione dei dati ” indica tutte le leggi e i regolamenti, comprese le leggi e i regolamenti dell’Unione Europea, dello Spazio economico europeo e dei loro stati membri, applicabili al trattamento dei dati personali del cliente da parte della Società ai sensi del Contratto.

” Interessato ” indica una persona fisica identificata o identificabile di cui la Società tratta i Dati personali in relazione ai Servizi.

” Data di entrata in vigore del DPA ” indica, a seconda dei casi, (a) 25 maggio 2018, se le parti hanno concordato il presente DPA prima o in tale data; o (b) la data in cui le parti hanno concordato il presente DPA, se tale data è successiva al 25 maggio 2018.

” GDPR ” indica il Regolamento generale sulla protezione dei dati dell’UE 2016/679.

” Dati personali ” indica qualsiasi informazione che si riferisce a una persona fisica identificata o identificabile e alla quale si applicano le leggi sulla protezione dei dati.

” Violazione dei dati personali ” indica una violazione della sicurezza della Società che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali del cliente in possesso, custodia o controllo della Società. Le “violazioni dei dati personali” non includeranno i tentativi non riusciti o le attività che non compromettono la sicurezza dei dati personali del cliente, inclusi tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi di negazione del servizio e altri attacchi di rete su firewall o sistemi di rete.

” Processo/Elaborazione ” avrà lo stesso significato di “elaborazione” come definito nel GDPR.

” Responsabile del trattamento ” indica l’entità che tratta i dati personali per conto del titolare del trattamento.

” Misure di sicurezza e privacy ” misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato a tale rischio, incluse, a seconda dei casi, le misure di cui all’articolo 32, paragrafo 1, del GDPR, che la Società generalmente mette a disposizione dei propri clienti come di volta in volta aggiornato, o altrimenti reso ragionevolmente disponibile dalla Società.

” Clausole contrattuali tipo ” indica l’accordo stipulato da e tra il Cliente e la Società e allegato al presente Addendum come Allegato 2 ai sensi della Decisione della Commissione Europea del 5 febbraio 2010 sulle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi Direttiva 95/46/CE del Parlamento Europeo e del Consiglio.

” Sub-responsabile ” indica qualsiasi entità che la Società si impegna a elaborare i Dati personali del Cliente per conto della Società.

2. TRATTAMENTO DEI DATI PERSONALI DEL CLIENTE

• • 2.1 Ruoli delle Parti ; Scopo . Le parti riconoscono e concordano che per quanto riguarda il trattamento dei dati personali del cliente, il cliente è il titolare del trattamento, la società è un responsabile del trattamento e che la società può assumere sub-incaricati in base ai requisiti stabiliti nel presente documento. L’oggetto ei dettagli del trattamento sono descritti nell’Allegato 1 .

• • 2.2 Trattamento dei dati personali da parte della Società. La Società elaborerà i dati personali del cliente solo per conto e in conformità con le istruzioni del cliente. Il Cliente incarica la Società di elaborare i dati personali del cliente per i seguenti scopi: (i) Elaborazione in conformità con il Contratto; (ii) Trattamento avviato dagli Utenti durante l’utilizzo dei Servizi; e (iii) Elaborazione per conformarsi ad altre ragionevoli istruzioni fornite dal Cliente (ad es. tramite e-mail) laddove tali istruzioni siano coerenti con i termini del Contratto e del presente DPA. Il presente DPA e l’Accordo sono le istruzioni complete e finali del Cliente alla Società per il trattamento dei dati personali del Cliente. Eventuali istruzioni aggiuntive o alternative devono essere concordate separatamente per iscritto e firmate dai rappresentanti autorizzati di entrambe le parti.

• • 2.3 Trattamento dei dati personali da parte del cliente . Il Cliente, nell’utilizzo dei Servizi, elaborerà i Dati personali del Cliente in conformità con i requisiti delle Leggi sulla protezione dei dati. Le istruzioni del Cliente per il trattamento dei dati personali da parte della Società devono essere conformi a tutte le leggi sulla protezione dei dati. Il Cliente sarà l’unico responsabile dell’accuratezza, della qualità e della legalità dei Dati Personali del Cliente e dei mezzi con cui il Cliente ha acquisito i Dati Personali.

• • 2.4 Sicurezza del trattamento . La Società proteggerà i Dati Personali del Cliente implementando le Misure di Sicurezza e Privacy. La Società non ridurrà materialmente la sicurezza complessiva dei Servizi durante la durata del Contratto.

• • 2.5 Assistenza per la sicurezza dell’azienda . La Società (tenendo conto della natura del trattamento dei Dati personali del Cliente e delle informazioni a sua disposizione) fornirà al Cliente l’assistenza ragionevole necessaria affinché il Cliente adempia ai propri obblighi in relazione ai Dati personali del Cliente ai sensi delle Leggi sulla protezione dei dati, compresi gli articoli da 32 a 34 (compreso) del GDPR, mediante (a) l’attuazione delle misure di sicurezza di cui alla Sezione 2.4 (Sicurezza del trattamento); e (b) rispettare i termini della Sezione 2.8 (Notifica di violazione dei dati personali).

• • 2.6 Responsabilità del Cliente in materia di sicurezza . Il Cliente accetta che, fatti salvi gli obblighi della Società ai sensi della Sezione 4 (Personale aziendale) e della Sezione 2.8 (Notifica di violazione dei dati personali), il Cliente è l’unico responsabile per l’utilizzo dei Servizi, incluso (a) l’uso appropriato dei Servizi per garantire un livello di sicurezza adeguato al rischio rispetto ai Dati Personali del Cliente; (b) proteggere le credenziali, i sistemi e i dispositivi di autenticazione dell’account utilizzati dal Cliente per accedere ai Servizi; e (c) eseguire il backup dei dati personali del cliente. Il Cliente accetta che, fatti salvi gli obblighi della Società ai sensi della Sezione 4 (Personale aziendale) e della Sezione 2.8 (Notifica di violazione dei dati personali), la Società non ha alcun obbligo di proteggere i Dati personali del Cliente che il Cliente sceglie di archiviare o trasferire al di fuori della Società e dei suoi Sistemi dei sub-responsabili (ad esempio, archiviazione offline o locale).

• • 2.7 Notifica di violazione dei dati personali . La Società informerà il Cliente senza indebito ritardo dopo essere venuta a conoscenza di una violazione dei dati personali. Nella misura in cui tale violazione dei dati personali è causata da una violazione dei requisiti di questo DPA da parte della Società, la Società compirà sforzi ragionevoli per identificare e rimediare alla causa di tale violazione dei dati personali. Il Cliente è l’unico responsabile del rispetto delle leggi sulla notifica degli incidenti applicabili al Cliente e dell’adempimento di eventuali obblighi di notifica di terze parti relativi a qualsiasi violazione dei dati personali. La notifica o la risposta della Società a una violazione dei dati personali ai sensi della presente Sezione 2.8 non sarà interpretata come un riconoscimento da parte della Società di qualsiasi colpa o responsabilità in relazione alla violazione dei dati personali. Nella misura in cui si applicano le Clausole contrattuali standard, il Cliente accetta che le disposizioni della presente Sezione 2.8 soddisfino i requisiti della Clausola 5(d)(2).

• • 2.8 Valutazioni di impatto e consultazioni. La Società (tenendo conto della natura del trattamento e delle informazioni a sua disposizione) assisterà ragionevolmente il Cliente nell’adempiere ai propri obblighi ai sensi delle leggi sulla protezione dei dati in relazione alle valutazioni d’impatto sulla protezione dei dati e alla consultazione preventiva, inclusi, se del caso, gli obblighi del Cliente ai sensi degli articoli 35 e 36 del GDPR, (a) mettendo a disposizione per la revisione copia delle certificazioni e verifiche di terzi previste nella Documentazione sulla sicurezza, sulla privacy e sull’architettura o altra documentazione che descrive gli aspetti rilevanti del programma di sicurezza delle informazioni della Società e le misure di sicurezza applicate in relazione a ciò; (b) fornire le informazioni contenute nell’Accordo, compreso il presente DPA,

• • 2.9 Diritti dell’interessato. Durante la durata del Contratto, se la Società riceve una richiesta da un Interessato in relazione ai Dati personali del Cliente, la Società consiglierà all’Interessato di inviare la propria richiesta al Cliente e il Cliente sarà responsabile di rispondere a tale richiesta. Su richiesta del Cliente, la Società fornirà un’assistenza commercialmente ragionevole al Cliente in relazione alla gestione della richiesta dell’Interessato per l’esercizio dei diritti dell’Interessato di cui al Capo III del GDPR, tenendo conto della natura del Trattamento del Cliente da parte della Società Dati personali e solo nella misura in cui il Cliente non è in grado di soddisfare tali richieste tramite i Servizi. Il Cliente sarà responsabile di eventuali costi derivanti dalla fornitura di tale assistenza da parte della Società.

• • 2.10 Cancellazione dei dati personali del cliente . La Società eliminerà tutti i Dati Personali del Cliente e le relative copie su richiesta del Cliente o alla risoluzione o scadenza del Contratto, salvo diversamente richiesto dalle leggi sulla protezione dei dati applicabili, a condizione , tuttavia , che la Società elimini i dati di backup e il registro operativo o di sistema dati nel normale svolgimento dell’attività. Nel caso in cui la legge applicabile non consenta alla Società di eliminare i Dati personali, la Società garantisce che assicurerà la riservatezza dei Dati personali e che non utilizzerà o divulgherà alcun dato personale dopo la risoluzione del Contratto, salvo quanto richiesto da legge.

• 2.11 Strutture per l’archiviazione e l’elaborazione dei dati . La Società può, in base alla Sezione 2.13 (Obblighi di trasferimento dei dati della Società), archiviare ed elaborare i Dati personali del cliente ovunque la Società oi suoi sub-responsabili abbiano strutture.

• • 2.12 Trasferimenti di dati. Per quanto riguarda i Dati personali del cliente trasferiti dallo Spazio economico europeo (” SEE “) al di fuori del SEE in concomitanza con l’utilizzo dei Servizi da parte del Cliente, direttamente o tramite trasferimento successivo, la Società fornirà almeno lo stesso livello di protezione per tali Dati Personali del Cliente come richiesto dalle Clausole Contrattuali Standard.

• • 2.13 Audit. La Società consentirà al Cliente e ai suoi rispettivi revisori o agenti autorizzati di condurre audit o ispezioni durante la durata del Contratto, che includeranno la fornitura di un accesso ragionevole ai locali, alle risorse e al personale utilizzati dalla Società in relazione alla fornitura dei Servizi e fornire tutti ragionevole assistenza al fine di assistere il Cliente nell’esercizio dei propri diritti di revisione ai sensi della presente sezione. Gli scopi di un audit ai sensi di questa sezione includono la verifica che la Società stia elaborando i dati personali in conformità con i suoi obblighi ai sensi del DPA e delle leggi applicabili sulla protezione dei dati. Nonostante quanto sopra, tale verifica consisterà esclusivamente in: (i) la fornitura da parte della Società di informazioni scritte (incluse, senza limitazioni, questionari e informazioni sulle politiche di sicurezza) che possono includere informazioni relative ai subappaltatori; e (ii) interviste con il personale IT della Società. Tale audit può essere effettuato dal Cliente o da un organismo di controllo composto da membri indipendenti e in possesso delle necessarie qualifiche professionali vincolate da un obbligo di riservatezza. A scanso di equivoci, non sarà consentito l’accesso a nessuna parte del sistema informatico della Società, dei siti o dei centri di hosting dei dati o dell’infrastruttura.

• • 2.14 Elaborazione dei record . Il Cliente riconosce che la Società è tenuta ai sensi del GDPR a: (a) raccogliere e conservare registrazioni di determinate informazioni, inclusi il nome e i dettagli di contatto di ciascun responsabile e/o responsabile del trattamento per conto del quale la Società agisce e, ove applicabile, di il rappresentante locale e il responsabile della protezione dei dati di tale responsabile o responsabile del trattamento; e (b) mettere tali informazioni a disposizione delle autorità di vigilanza. Di conseguenza, se il GDPR si applica al trattamento dei Dati Personali del Cliente, il Cliente, ove richiesto, fornirà tali informazioni alla Società e assicurerà che tutte le informazioni fornite siano mantenute accurate e aggiornate.

3. PERSONALE AZIENDALE

• • 3.1 Riservatezza . La Società deve garantire che il proprio personale impegnato nel Trattamento dei Dati Personali del Cliente sia informato della natura riservata dei Dati Personali del Cliente, abbia ricevuto una formazione adeguata sulle proprie responsabilità e abbia sottoscritto accordi scritti di riservatezza o sia soggetto a un adeguato obbligo legale di riservatezza. La Società garantisce che tali obblighi di riservatezza sopravvivano alla cessazione dell’incarico del personale.

• • 3.2 Limitazione di accesso . La Società garantirà che l’accesso del proprio personale ai Dati Personali del Cliente sia limitato al personale che richiede tale accesso per l’adempimento ai sensi del Contratto.

4. SUB-RESPONSABILI

• • 4.1 Autorizzazione generale . Il Cliente autorizza la Società a subappaltare l’elaborazione dei Dati personali del Cliente ai sensi del presente DPA ai Sub-responsabili, a condizione che la Società: (a) fornisca al Cliente i dettagli sui Sub-responsabili che utilizza come può essere ragionevolmente richiesto dal Cliente da tempo al tempo; (b) riversa i suoi obblighi ai sensi del presente DPA a tale Sub-responsabile, in modo tale che i requisiti di elaborazione dei dati di tale Sub-responsabile in relazione ai Dati personali del cliente non siano meno onerosi dei requisiti di elaborazione dei dati della Società come stabilito in questo DPA; e (c) sarà pienamente responsabile nei confronti del Cliente per l’adempimento degli obblighi del Sub-responsabile ai sensi del presente DPA se tale Sub-responsabile non adempie ai propri obblighi in materia di protezione dei dati. Le informazioni sui Subincaricati, comprese le loro funzioni e posizioni, sono disponibili di seguito: Paypal & Stripe: elaborazione dei pagamenti e fatturazione Google Big Query: aggrega e registra notifiche, coinvolgimento e conteggio dei clic per tutti gli utenti Heroku e Amazon Web Services: utilizzati per ospitare le nostre applicazioni web che includono i nostri database. Interfono: assistenza clienti, live chat, e-mail di supporto in entrata

• • 4.2 Nuovi sub-responsabili. La Società informerà il Cliente di qualsiasi modifica prevista riguardante l’aggiunta o la sostituzione di Sub-responsabili. Se il Cliente ha una base ragionevole per opporsi all’utilizzo da parte della Società di un nuovo Sub-incaricato, il Cliente dovrà informare tempestivamente la Società per iscritto entro dieci (10) giorni dopo che la Società ha informato il Cliente di tale modifica. Se tale obiezione non è irragionevole, la Società farà ogni ragionevole sforzo per mettere a disposizione del Cliente una modifica ai Servizi interessati o raccomandare una modifica commercialmente ragionevole alla configurazione del Cliente o all’utilizzo dei Servizi interessati per evitare l’elaborazione dei Dati personali del Cliente da parte di tale nuovo Sub -processore. Se la Società non è in grado di rendere disponibile tale modifica entro un ragionevole periodo di tempo, che non deve superare i sessanta (60) giorni, Il Cliente può terminare la parte applicabile dei Servizi che non può essere fornita dalla Società senza l’uso del nuovo Sub-responsabile contestato, fornendo comunicazione scritta alla Società. Il Cliente riceverà un rimborso di eventuali commissioni prepagate per il periodo successivo alla data di cessazione effettiva in relazione a tali Servizi terminati.

• • 4.3 Contratti di sub-responsabile. Le parti concordano che se copie degli accordi del Sub-responsabile devono essere inviate dalla Società al Cliente ai sensi del presente DPA o delle leggi sulla protezione dei dati applicabili, tali copie potrebbero avere tutte le informazioni commerciali e le clausole non correlate a questo DPA rimosse in anticipo dalla Società; e che tali copie saranno fornite dalla Società solo su ragionevole richiesta del Cliente.

• • 4.4 Consenso del Cliente al Sub-trattamento; Accesso ai Contratti di Sub-trattamento . Nella misura in cui si applicano le clausole contrattuali standard:

• • • 4.4.1 Il Cliente acconsente al trasferimento da parte della Società dei Dati Personali ai Sub-responsabili come descritto nelle Sezioni 4.1 e 4.2 di cui sopra, e accetta che il consenso del Cliente soddisfi i requisiti delle Clausole 5(h) e 11.1; e

• • • 4.4.2 Su richiesta scritta del Cliente, la Società consentirà al Cliente di esaminare le disposizioni sulla protezione dei dati degli accordi tra la Società ei suoi subappaltatori che accedono ai Dati personali del Cliente; a condizione che tali accordi rimarranno Informazioni riservate della Società. Il Cliente accetta che la presente Sezione 4.4.2 soddisfa i requisiti della Clausola 5(j) delle Clausole Contrattuali Standard.

5. DISPOSIZIONI GENERALI

• 5.1 Termini in conflitto . Questo DPA si applica solo tra il Cliente e la Società e non conferisce alcun diritto a terzi. In caso di conflitto o incoerenza tra questo DPA e i restanti termini dell’Accordo, prevarrà questo DPA. Questo DPA non sostituisce alcun diritto aggiuntivo relativo al trattamento dei dati del Cliente da parte della Società come stabilito nell’Accordo.

• • 5.2 Durata e risoluzione . Il presente DPA entrerà in vigore (a) il 25 maggio 2018, se le parti hanno concordato il presente DPA prima o in tale data; o (b) la data in cui le parti hanno concordato il presente DPA, se tale data è successiva al 25 maggio 2018. Il presente DPA cesserà simultaneamente e automaticamente alla risoluzione dell’Accordo. La Società può rescindere questo DPA in qualsiasi momento previa notifica al Cliente se la Società offre mezzi alternativi al Cliente conformi a tutte le leggi applicabili sulla protezione dei dati. Il Cliente può rescindere questo DPA a discrezione del Cliente al ricevimento da parte della Società della comunicazione scritta di risoluzione del Cliente.

• • 5.3 Responsabilità . La totale responsabilità combinata di una delle parti e delle sue Affiliate nei confronti dell’altra parte e delle sue Affiliate, sia per contratto, illecito civile o qualsiasi altra teoria di responsabilità, ai sensi o in connessione con l’Accordo, questo DPA, combinata sarà limitata alle limitazioni di responsabilità o altri limiti di responsabilità concordati dalle parti nell’Accordo.

• • 5.4 Legge applicabile . Nella misura richiesta dalle leggi sulla protezione dei dati applicabili, il presente DPA sarà disciplinato dalle leggi della giurisdizione applicabile. In tutti gli altri casi, questo DPA sarà disciplinato dalle leggi della giurisdizione indicata nel Contratto.

Allegato 1

Oggetto e dettagli del trattamento dei dati

Argomento	La fornitura dei Servizi da parte della Società al Cliente.
Durata del Trattamento	Fino alla cancellazione di tutti i Dati Personali del Cliente da parte della Società in conformità con il DPA.
Natura e finalità del trattamento	La Società tratterà i Dati Personali del Cliente allo scopo di fornire i Servizi al Cliente in conformità con il DPA e l’Accordo.
Categorie di dati	Dati relativi a individui forniti o raccolti dalla Società in relazione ai Servizi, dal (o su indicazione del) Cliente.
Soggetti dei dati	Gli interessati includono le persone su cui la Società tratta i dati in relazione ai Servizi.

Allegato 2

CLAUSOLE CONTRATTUALI STANDARD (PROCESSORI)

Il presente Allegato 2 è parte 2 di 2 e per essere valido deve essere accompagnato e firmato con la parte 1 di 2 intitolata “Addendum sul trattamento dei dati”.

Ai fini dell’articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati

Nome dell’organizzazione esportatrice di dati: [INSERIRE NOME CLIENTE]

(l’ esportatore di dati )

e

Nome dell’organizzazione di importazione dei dati: Web Marketing Aziendale

(l’ importatore di dati )

HANNO CONVENUTO le seguenti clausole contrattuali (le clausole) al fine di fornire adeguate garanzie rispetto alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone fisiche per il trasferimento da parte dell’esportatore di dati all’importatore di dati di cui all’Allegato 1 .

Clausola 1

Definizioni

Ai fini delle clausole:

a) “dati personali”, “categorie particolari di dati”, “trattamento”, “titolare”, “responsabile del trattamento”, “interessato” e “autorità di controllo” hanno lo stesso significato di cui alla direttiva 95/46/ CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché sulla libera circolazione di tali dati;

b) “esportatore di dati”: il titolare del trattamento che trasferisce i dati personali;

(c) “l’importatore di dati”: il responsabile del trattamento che accetta di ricevere dall’esportatore di dati i dati personali destinati al trattamento per suo conto dopo il trasferimento secondo le sue istruzioni e i termini delle clausole e che non è soggetto alle disposizioni di un paese terzo sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva 95/46/CE;

d) “sub-responsabile”: qualsiasi responsabile incaricato dall’importatore di dati o da qualsiasi altro sub-responsabile dell’importatore di dati che accetti di ricevere dall’importatore di dati o da qualsiasi altro sub-responsabile dell’importatore di dati esclusivamente dati personali destinati ad attività di trattamento da svolgere per conto dell’esportatore dei dati dopo il trasferimento secondo le sue istruzioni, i termini delle Clausole e i termini del subappalto scritto;

e) “normativa applicabile in materia di protezione dei dati”: la normativa che tutela i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il loro diritto alla vita privata con riguardo al trattamento dei dati personali applicabile a un titolare del trattamento nello Stato membro in cui il viene stabilito l’esportatore di dati;

f) “misure di sicurezza tecniche e organizzative”: le misure volte a proteggere i dati personali contro la distruzione accidentale o illecita o la perdita accidentale, l’alterazione, la divulgazione o l’accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su una rete, e contro ogni altra forma illecita di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del conferimento ed in particolare le categorie particolari di dati personali ove applicabili sono specificati nell’Allegato 1 che costituisce parte integrante delle Clausole.

clausola 3

Clausola del terzo beneficiario

1. L’interessato può far valere nei confronti dell’esportatore di dati la presente clausola, clausola da 4(b) a (i), clausola 5(a) a (e), e (g) a (j), clausola 6(1) e ( 2), Clausola 7, Clausola 8(2) e Clausole da 9 a 12 come beneficiario terzo.

2. L’interessato può far valere nei confronti dell’importatore di dati la presente Clausola, Clausola 5(a) a (e) e (g), Clausola 6, Clausola 7, Clausola 8(2) e Clausole da 9 a 12, nei casi in cui il l’esportatore di dati è di fatto scomparso o ha cessato di esistere legalmente a meno che un’entità successore non abbia assunto tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge, a seguito della quale assume i diritti e gli obblighi dell’esportatore di dati , nel qual caso l’interessato può farli valere nei confronti di tale soggetto.

3. L’interessato può far valere nei confronti del sub-responsabile la presente Clausola, Clausola 5(a) a (e) e (g), Clausola 6, Clausola 7, Clausola 8(2) e Clausole da 9 a 12, nei casi in cui sia l’esportatore di dati che l’importatore di dati sono scomparsi di fatto o hanno cessato di esistere di diritto o sono diventati insolventi, a meno che un’entità successore non abbia assunto tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge a seguito dei quali sui diritti e gli obblighi dell’esportatore di dati, nel qual caso l’interessato può farli valere nei confronti di tale soggetto. Tale responsabilità di terzi del sub-responsabile sarà limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.

4. Le parti non si oppongono al fatto che l’interessato sia rappresentato da un’associazione o da altro organismo se l’interessato lo desidera espressamente e se consentito dalla legge nazionale.

Clausola 4

Obblighi dell’esportatore di dati

L’esportatore di dati accetta e garantisce:

(a) che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere effettuato in conformità con le pertinenti disposizioni della normativa applicabile in materia di protezione dei dati (e, se del caso, è stato notificato alle autorità competenti dello Stato membro in cui è stabilito l’esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;

(b) che ha incaricato e per tutta la durata dei servizi di trattamento dei dati personali istruirà l’importatore di dati a trattare i dati personali trasferiti solo per conto dell’esportatore di dati e in conformità con la legge applicabile sulla protezione dei dati e le clausole;

(c) che l’importatore di dati fornirà garanzie sufficienti in relazione alle misure di sicurezza tecniche e organizzative specificate nell’appendice 2 del presente contratto;

(d) che, dopo aver valutato i requisiti della normativa applicabile in materia di protezione dei dati, le misure di sicurezza siano idonee a proteggere i dati personali contro la distruzione accidentale o illecita o la perdita accidentale, l’alterazione, la divulgazione o l’accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati in rete, e contro ogni altro trattamento illecito, e che tali misure assicurino un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere tenuto conto dello stato dell’arte e delle costo della loro attuazione;

(e) che assicurerà il rispetto delle misure di sicurezza;

(f) che, se il trasferimento riguarda categorie particolari di dati, l’interessato è stato informato o sarà informato prima o non appena possibile dopo il trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo che non garantisca un’adeguata protezione all’interno il significato della direttiva 95/46/CE;

(g) inoltrare qualsiasi notifica ricevuta dall’importatore di dati o da qualsiasi sub-responsabile ai sensi della Clausola 5(b) e della Clausola 8(3) all’autorità di controllo della protezione dei dati se l’esportatore di dati decide di continuare il trasferimento o di revocare la sospensione ;

(h) mettere a disposizione degli interessati, su richiesta, copia delle Clausole, ad eccezione dell’Allegato 2, e una descrizione sintetica delle misure di sicurezza, nonché copia dell’eventuale contratto per servizi di sub-trattamento che debba essere effettuato in conformità alle Clausole, a meno che le Clausole o il contratto contengano informazioni commerciali, nel qual caso possono rimuovere tali informazioni commerciali;

(i) che, in caso di sub-trattamento, l’attività di trattamento è svolta in conformità alla clausola 11 da un sub-responsabile che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell’interessato come l’importatore di dati ai sensi le Clausole; e

(j) che assicurerà la conformità alla clausola 4 da (a) a (i).

Clausola 5

Obblighi dell’importatore di dati

L’importatore di dati accetta e garantisce:

(a) trattare i dati personali solo per conto dell’esportatore di dati e nel rispetto delle sue istruzioni e delle clausole; qualora per qualsiasi ragione non sia in grado di provvedere a tale adempimento, si impegna a informare tempestivamente l’esportatore dei dati della propria incapacità di ottemperare, nel qual caso l’esportatore dei dati ha facoltà di sospendere il trasferimento dei dati e/o di risolvere il contratto;

(b) che non ha motivo di ritenere che la legislazione ad esso applicabile le impedisca di adempiere alle istruzioni ricevute dall’esportatore di dati e ai suoi obblighi derivanti dal contratto e che, in caso di modifica di tale legislazione che potrebbe avere un impatto sostanziale pregiudizio alle garanzie e agli obblighi previsti dalle Clausole, ne darà tempestiva comunicazione all’esportatore dei dati non appena ne sarà a conoscenza, nel qual caso l’esportatore avrà facoltà di sospendere il trasferimento dei dati e/o risolvere il contratto ;

(c) di aver attuato le misure di sicurezza tecniche e organizzative specificate nell’appendice 2 prima del trattamento dei dati personali trasferiti;

(d) di informare tempestivamente l’esportatore di dati in merito a:

(i) qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte di un’autorità incaricata dell’applicazione della legge, salvo altrimenti vietato, come un divieto sancito dal diritto penale di preservare la riservatezza di un’indagine delle forze dell’ordine;

(ii) qualsiasi accesso accidentale o non autorizzato; e

(iii) qualsiasi richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, salvo diversa autorizzazione;

(e) evadere tempestivamente e correttamente tutte le richieste dell’esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e attenersi al parere dell’autorità di controllo in merito al trattamento dei dati trasferiti;

(f) su richiesta dell’esportatore di dati di sottoporre le proprie strutture di elaborazione dei dati alla verifica delle attività di trattamento contemplate dalle clausole che devono essere svolte dall’esportatore di dati o da un organismo di controllo composto da membri indipendenti e in possesso dei requisiti richiesti qualifiche professionali vincolate da un obbligo di riservatezza, selezionate dall’esportatore dei dati, ove applicabile, d’intesa con l’autorità di controllo;

(g) mettere a disposizione dell’interessato su richiesta una copia delle Clausole, o di qualsiasi contratto esistente per il sub-trattamento, a meno che le Clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione di appendice 2 che è sostituita da una descrizione sommaria delle misure di sicurezza nei casi in cui l’interessato non sia in grado di ottenerne copia dall’esportatore;

(h) che, in caso di sub-trattamento, ha preventivamente informato l’esportatore dei dati e ottenuto il suo preventivo consenso scritto;

(i) che i servizi di elaborazione da parte del sub-responsabile saranno svolti in conformità alla Clausola 11;

(j) inviare tempestivamente all’esportatore di dati una copia di qualsiasi contratto di sub-responsabile concluso ai sensi delle Clausole.

Clausola 6

Responsabilità

1. Le parti convengono che l’interessato, che abbia subito un danno a causa di una violazione degli obblighi di cui all’articolo 3 o all’articolo 11 da parte di qualsiasi parte o sub-responsabile, ha diritto a ricevere dall’esportatore di dati un risarcimento per il danno subito.

2. Se una persona interessata non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 nei confronti dell’esportatore di dati, a causa di una violazione da parte dell’importatore di dati o del suo sub-responsabile di uno qualsiasi dei loro obblighi di cui alla clausola 3 o nella clausola 11, poiché l’esportatore di dati è di fatto scomparso o ha cessato di esistere in diritto o è diventato insolvente, l’importatore di dati accetta che l’interessato possa presentare un reclamo contro l’importatore di dati come se fosse l’esportatore di dati, a meno che qualsiasi entità successiva ha assunto tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge, nel qual caso l’interessato può far valere i propri diritti nei confronti di tale entità.

L’importatore di dati non può invocare una violazione da parte di un sub-responsabile dei propri obblighi al fine di evitare le proprie responsabilità.

3. Se un interessato non è in grado di proporre un reclamo contro l’esportatore di dati o l’importatore di dati di cui ai paragrafi 1 e 2, derivante dalla violazione da parte del sub-responsabile di uno qualsiasi dei suoi obblighi di cui alla clausola 3 o nella clausola 11 poiché sia ​​l’esportatore di dati che l’importatore di dati sono scomparsi di fatto o hanno cessato di esistere di diritto o sono divenuti insolventi, il sub-responsabile accetta che l’interessato possa avanzare un reclamo nei confronti del sub-responsabile dei dati per quanto riguarda i propri operazioni di trattamento ai sensi delle Clausole come se fosse l’esportatore di dati o l’importatore di dati, a meno che un’entità successore non abbia assunto tutti gli obblighi legali dell’esportatore o dell’importatore di dati per contratto o per effetto di legge, nel qual caso l’interessato può far valere suoi diritti nei confronti di tale ente.La responsabilità del sub-responsabile sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

clausola 7

Mediazione e giurisdizione

1. L’importatore di dati accetta che se l’interessato invoca nei suoi confronti diritti di terzi beneficiari e/o chiede il risarcimento dei danni ai sensi delle Clausole, l’importatore di dati accetterà la decisione dell’interessato:

(a) deferire la controversia alla mediazione, da parte di una persona indipendente o, se del caso, dall’autorità di controllo;

b) deferire la controversia ai giudici dello Stato membro in cui è stabilito l’esportatore di dati.

2. Le parti convengono che la scelta operata dall’interessato non pregiudicherà i suoi diritti sostanziali o procedurali di esperire rimedi ai sensi di altre disposizioni di diritto nazionale o internazionale.

Clausola 8

Cooperazione con le autorità di vigilanza

1. L’esportatore di dati si impegna a depositare una copia del presente contratto presso l’autorità di controllo se lo richiede o se tale deposito è richiesto dalla legge sulla protezione dei dati applicabile.

2. Le parti convengono che l’autorità di controllo ha il diritto di condurre un audit dell’importatore di dati e di qualsiasi sub-responsabile, che ha lo stesso scopo ed è soggetto alle stesse condizioni che si applicherebbero a un audit dell’esportatore di dati ai sensi della legge sulla protezione dei dati applicabile.

3. L’importatore di dati informa tempestivamente l’esportatore di dati dell’esistenza di una normativa ad esso applicabile o di qualsiasi sub-responsabile che impedisca lo svolgimento di un audit dell’importatore di dati, o di qualsiasi sub-responsabile, ai sensi del paragrafo 2. In tal caso l’esportatore di dati ha il diritto di adottare le misure previste dalla clausola 5, lettera b).

clausola 9

Legge governativa

Le clausole sono disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore di dati.

clausola 10

Variazione del contratto

Le parti si impegnano a non variare o modificare le Clausole. Ciò non impedisce alle parti di aggiungere clausole su questioni relative agli affari ove richiesto, purché non contraddicano la clausola.

Clausola 11

Sub-elaborazione

1. L’importatore di dati non può subappaltare nessuna delle sue operazioni di trattamento eseguite per conto dell’esportatore di dati ai sensi delle Clausole senza il previo consenso scritto dell’esportatore di dati. Qualora l’importatore di dati subappalta i propri obblighi ai sensi delle Clausole, con il consenso dell’esportatore di dati, lo farà solo mediante un accordo scritto con il sub-responsabile che imponga al sub-responsabile gli stessi obblighi imposti al sub-responsabile importatore di dati ai sensi delle Clausole. Qualora il sub-responsabile non adempia ai propri obblighi in materia di protezione dei dati ai sensi di tale accordo scritto, l’importatore di dati resta pienamente responsabile nei confronti dell’esportatore di dati per l’adempimento degli obblighi del sub-responsabile ai sensi di tale accordo.

2. Il preventivo contratto scritto tra l’importatore e il sub-responsabile prevede altresì la clausola di terzo beneficiario di cui al comma 3 per i casi in cui l’interessato non sia in grado di proporre la richiesta di risarcimento di cui al comma 1 della clausola 6 nei confronti dell’esportatore di dati o dell’importatore di dati perché sono scomparsi di fatto o hanno cessato di esistere di diritto o sono diventati insolventi e nessun ente successivo ha assunto tutti gli obblighi legali dell’esportatore di dati o dell’importatore di dati per contratto o per operazione di diritto. Tale responsabilità di terzi del sub-responsabile sarà limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.

3. Le disposizioni relative agli aspetti della protezione dei dati per il subtrattamento del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore dei dati, ovvero

4. L’esportatore di dati conserva un elenco degli accordi di sub-trattamento conclusi ai sensi delle Clausole e notificati dall’importatore di dati ai sensi dell’Articolo 5, lettera j), che deve essere aggiornato almeno una volta all’anno. L’elenco è messo a disposizione dell’autorità di controllo della protezione dei dati dell’esportatore di dati.

Clausola 12

Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

1. Le parti convengono che al termine della prestazione dei servizi informatici, l’importatore e il sub-responsabile, a scelta dell’esportatore, restituiscono all’esportatore tutti i dati personali trasferiti e le relative copie o distrugge tutti i dati personali e certifica all’esportatore di averlo fatto, a meno che la legislazione imposta all’importatore di dati non gli impedisca di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l’importatore di dati garantisce che garantirà la riservatezza dei dati personali trasferiti e non tratterà più attivamente i dati personali trasferiti.

2. L’importatore e il sub-responsabile garantiscono che, su richiesta dell’esportatore dei dati e/o dell’autorità di controllo, sottoporrà le proprie strutture informatiche ad una verifica delle misure di cui al comma 1.

Appendice 1

alle clausole contrattuali tipo

La presente Appendice fa parte delle Clausole e deve essere compilata e firmata dalle parti.

Gli Stati membri possono completare o specificare, secondo le rispettive procedure nazionali, qualsiasi ulteriore informazione necessaria da contenere nella presente appendice.

Esportatore di dati

L’esportatore di dati è il Cliente ai sensi del Contratto e ottiene i Servizi in conformità con i termini del Contratto. L’esportatore di dati invia i Dati del cliente per l’utilizzo nella fornitura dei Servizi

Importatore di dati

L’importatore di dati è una persona giuridica che fornisce servizi attraverso i quali l’esportatore di dati può condurre attività di marketing e relative pubblicità su Internet.

Interessati

I dati personali trasferiti riguardano le seguenti categorie di interessati:

☒ Dipendenti dell’esportatore di dati ed eventuali entità affiliate.

☒ Clienti dell’esportatore di dati ed eventuali entità affiliate.

☒ I consumatori

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati:

☒ I dati personali dei dipendenti dell’esportatore di dati e di qualsiasi entità affiliata generati nel normale svolgimento dell’attività, inclusi ma non limitati a: nome e indirizzo e-mail.

☒ I dati personali dei clienti dell’esportatore di dati e delle sue entità affiliate generati nel normale corso dell’attività, inclusi ma non limitati a: nome e indirizzo e-mail.

☒ Dati di navigazione

Categorie speciali di dati (se del caso)

Nessuno, se non nella misura incorporata nelle categorie di dati di cui sopra, che saranno determinati esclusivamente dai dipendenti, clienti e consumatori di cui sopra.

Operazioni di trattamento

I dati personali trasferiti saranno oggetto delle seguenti attività di trattamento di base:

Data Importer fornisce servizi attraverso i quali Data Exporter fornisce servizi attraverso i quali l’esportatore di dati può condurre attività di marketing e pubblicità correlate su Internet.