ACCORDO TRATTAMENTO DATI SITEGROUND
Questo Accordo del Trattamento dei Dati ( "DPA") intercorre tra SiteGround Italia Srl ("SiteGround", "noi") e il Cliente ("Cliente", "tu"), insieme denominati "Le Parti". Questo accordo ("DPA") fa parte dei Termini di servizio, della Politica sulla Privacy e di altre politiche pertinenti disponibili qui.
Il Cliente che accetta questi termini entra in questo DPA per proprio conto nella misura richiesta dalle leggi applicabili sulla Regolamentazione della Protezione dei dati e nella misura in cui SiteGround elabora i Dati del cliente secondo le regolamentazione del titolare del trattamento (come definito nella Sezione 1).
Durante la fornitura dei Servizi al Cliente, SiteGround può Gestire i Dati dei Clienti per conto del Cliente. In via Generale, SiteGround opererà con responsabile del trattamento mentre il Cliente verrà considerato il Titolare del trattamento dei dati. Le Parti si impegnano a rispettare le seguenti disposizioni con rispetto nei confronti di ogni Dato del Clienti, ciascuno dei quali agisce in modo ragionevole e in buona fede.
Definizioni.
Salvo diversa definizione in questo DPA, tutti i termini in maiuscolo hanno i significati delineati qui di seguito:
"Accordo" indica i Termini di Servizio e altre politiche pertinenti annunciati sul nostro sito web, insieme al tuo Ordine per l'acquisto di Servizi e alla conferma d'ordine inviata da SiteGround.
"Ordine" indica l'ordine del Cliente per l'acquisto dei rispettivi servizi.
"Sito" indica il sito web SiteGround e tutti i servizi offerti tramite il nostro sito Web.
"Servizi" indica qualsiasi servizio di hosting che offriamo e che il Cliente ha acquistato che potrebbe comportare l'elaborazione di Dati Personali da parte di SiteGround.
"Partner" indica qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è soggetta a controllo comune con l'entità soggetto SiteGround. "Controllo", ai fini di questa definizione, significa proprietà o controllo diretti o indiretti di oltre il 50% degli interessi di voto dell'entità in oggetto.
"Prodotti Aggiuntivi" indica qualsiasi prodotto, software, programma, componente aggiuntivo, plug-in, script, strumenti o qualsiasi altro software o contenuto di terze parti che non fa parte dei Servizi ma che può essere accessibile tramite l'Area Utente SiteGround o il Pannello di Controllo, installato dal Cliente o in altro modo per l'utilizzo dei Servizi.
"GDPR" indica il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati dei clienti e sulla libera circolazione di tali dati, e che abroga la direttiva 95/46 / CE (Regolamento Generale sulla Protezione dei Dati).
"Titolare del trattamento" indica la persona fisica o giuridica che, da solo o in collaborazione con altri, determina le finalità e i mezzi del trattamento dei dati del cliente;
"Dati del cliente" indica qualsiasi "Dato personale" che viene fornito a SiteGround da, o per conto del Cliente attraverso l'uso dei Servizi e che è memorizzato nell'account del Cliente (a scanso di equivoci, parte dei Dati personali dell'ordine del Cliente per l'acquisto del rispettivo servizio non verranno considerati come dati del cliente). I Dati del cliente possono includere, ma non sono limitati da, i dati dei clienti nel significato stabilito nel GDPR.
"Dati personali" ha il significato indicato nell'articolo 4 del GDPR.
"Norme e Leggi sulla Protezione dei Dati" indica tutte le norme e le leggi, comprese le leggi e le normative dell'Unione Europea, dell’Area Economica Europea e dei loro stati membri, Svizzera e Regno Unito, applicabili al Trattamento dei Dati dei Clienti ai sensi del presente DPA.
"Soggetto dei Dati" indica la persona identificata o identificabile a cui si riferiscono i Dati del Cliente.
"Data di validità" significa, se applicabile:
25 maggio 2018, se il Cliente ha eseguito l'Ordine/i e accettato gli Accordi o le Parti hanno altrimenti accettato questo DPA in relazione all'Accordo applicabile prima o in tale data; o
la data in cui il Cliente ha cliccato per accettare il Contratto o le Parti concordano con questo DPA in relazione al Contratto applicabile, se tale data è posteriore al 25 maggio 2018.
"Elaborazione" ha il significato indicato nell'articolo 4 del GDPR.
"Responsabile del trattamento" indica l'entità che elabora i Dati del Cliente per conto del Titolare del trattamento
"SiteGround" indica l'entità SiteGround che è parte di questo DPA, come specificato nella sezione, una società costituita SiteGround Spain S.L. registrato ed esistente secondo le leggi del Regno di Spagna (numero di registrazione CIF: B87194171), con indirizzo: Calle de Prim 19, 28004 Madrid, Spagna.
"Gruppo di Società SiteGround" significa SiteGround e le sue parti correlate impegnate nell'elaborazione dei dati del cliente:
SG Hosting Inc. registrata ed esistente secondo le leggi del Delaware, USA, con indirizzo: 901 N. Pitt St, Suite 325, Alexandria 22314 VA, USA,
SiteGround Spain S.L. registrato ed esistente secondo le leggi del Regno di Spagna (numero di registrazione CIF: B87194171), con indirizzo: Calle de Prim 19, 28004 Madrid, Spagna,
SiteGround Italia Srl. registrata ed esistente secondo le leggi italiane, partita IVA e codice fiscale n. 09659420963, iscritta nel Registro delle Imprese di Milano, Italia, con indirizzo: Via Agnello 8, Milano 20121, Italia,
SiteGround Hosting Ltd. registrato in Inghilterra e Galles (numero di registrazione 09348602), con indirizzo: 3 ° piano, 11-12 St James 'Square, Londra, SW1Y 4LB,
SiteGround Hosting EOOD, registrato in Bulgaria con UIC 204181297 e indirizzo: 6 Olimpiyska Str., fl. 7, Sofia, Bulgaria.
"Clausole contrattuali standard" o "SCC" indica le clausole standard sulla protezione dei dati per il trasferimento dei Dati del Cliente, come descritto nell'articolo 46, pag. 2, lettera c) del GDPR, Appendice 1 al presente DPA.
"Sub-Responsabile del trattamento" indica qualsiasi Responsabile del trattamento impegnato da SiteGround o un membro del Gruppo SiteGround.
"Autorità di Supervisione": un'autorità pubblica indipendente, che è stabilita nel territorio dello Stato membro dell'UE ai sensi del GDPR.
"Durata" indica il periodo dalla Data di Efficacia fino alla fine della fornitura dei Servizi da parte di SiteGround ai sensi del Contratto applicabile, incluso, se applicabile, qualsiasi periodo durante il quale i Servizi potrebbero essere stati sospesi e qualsiasi periodo post-termine (ovvero 60 giorni di calendario ) durante il quale SiteGround può continuare a fornire servizi a fini transitori.
"Perdite di Protezione dei Dati" indica tutte le passività, tra cui:
costi (comprese le spese legali);
reclami, richieste, azioni, spese, procedure, spese, perdite e danni (sia materiali che non materiali, inclusi i problemi emotivi);
nella misura consentita dalla legge applicabile:
sanzioni amministrative, penalità, responsabilità o altri rimedi imposti da un'Autorità di Supervisione della Protezione dei Dati o da qualsiasi altra autorità di regolamentazione pertinente;
risarcimento ad un Soggetto dei Dati ordinato da un'Autorità di Supervisione della Protezione dei Dati;
i costi ragionevoli del rispetto delle indagini da parte di un'Autorità di Supervisione della Protezione dei Dati o di qualsiasi altra autorità di regolamentazione pertinente; e
i costi per il caricamento dei Dati del Cliente e la sostituzione dei materiali e delle apparecchiature del Cliente, nella misura in cui gli stessi sono persi o danneggiati e qualsiasi perdita o danneggiamento dei Dati del Cliente incluso il costo di rettifica o ripristino dei Dati del Cliente;
"Indirizzo Email di Notifica" indica l'indirizzo email specificato dal Cliente nella sezione I miei dettagli nell'Area Utente per ricevere determinate notifiche da SiteGround.
Elaborazione dei dati
2.1. Scopo
Questo DPA si applica laddove e solo nella misura in cui SiteGround elabora i Dati personali per conto del Cliente nel corso della fornitura dei Servizi e tali Dati Personali sono soggetti alle leggi sulla protezione dei dati dell'Unione Europea, allo Spazio Economico Europeo e / o ai loro membri stati, Svizzera e / o Regno Unito (qui definiti "Dati del Cliente").
Se il Cliente che accetta questo DPA è già un Cliente, questo DPA costituisce parte dell'Accordo, della Politica sulla Privacy e di altre politiche e documenti pertinenti annunciati sul nostro sito Web. In tal caso, l'entità SiteGround sarà considerata parte di questo DPA.
Questo DPA è efficace solo per l'account cliente per il quale è stato concordato. Se il Cliente possiede più account, un DPA verrà contrattato separatamente per ogni singolo account.
Questo DPA sarà valido e legalmente vincolante solo per l'entità fisica / legale indicata nell'account dell'Area Utente e solo per i Servizi acquistati direttamente da SiteGround all'interno del rispettivo account.
Se l'entità Cliente che accetta questo DPA non è parte di un Ordine o dell'Accordo, questo DPA non è valido e non è legalmente vincolante. Tale entità dovrebbe richiedere che l'entità Cliente che è parte del Contratto esegua questo DPA.
Questo DPA, incluse le sue appendici, ad eccezione delle clausole della Politica sulla Privacy, sarà efficace e sostituirà tutti i termini precedentemente applicabili alla privacy, all'elaborazione dei dati e / o alla sicurezza dei dati.
2.2. Conformita alle Leggi.
Se le leggi sulla protezione dei dati dell'Unione Europea si applicano a questo DPA, ciascuna parte osserverà gli obblighi ad essa applicabili ai sensi della Legislazione Europea sulla Protezione dei Dati in relazione al trattamento di tali dati del Cliente.
2.3. Soggetto e Dettagli del Trattamento dei Dati
2.3.1 Soggetto
SiteGround elaborerà i Dati del Cliente come necessario per la fornitura dei Servizi, il relativo supporto tecnico e altre richieste in conformità con il Contratto e come ulteriormente indicato dal Cliente nell'utilizzo dei Servizi.
2.3.2. Durata dell'elaborazione
Fatta salva la Sezione 11, la durata del trattamento dei dati sarà la Durata indicata nell'Ordine e nel Contratto applicabile.
2.3.3. Natura e scopo del trattamento
SiteGround elaborerà i Dati del Cliente allo scopo di fornire i Servizi e il relativo supporto tecnico al Cliente in conformità al Contratto, a questo DPA e ad altre politiche pertinenti.
2.3.4. Categorie di Soggetto dei Dati
Il Cliente può inviare Dati del Cliente nel corso del suo utilizzo dei Servizi, la cui estensione è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, i Dati Personali relativi alle seguenti categorie di soggetti dei dati :
Prospetti, clienti, partner commerciali e fornitori del Cliente (che sono persone fisiche e persone giuridiche);
Dipendenti o persone di contatto dei Clienti, clienti, partner commerciali e fornitori;
Dipendenti, agenti, consulenti, liberi professionisti del Cliente (che sono persone fisiche);
Utenti del Cliente autorizzati dal Cliente a utilizzare i Servizi;
Soggetti che trasmettono dati tramite i Servizi, comprese le persone che collaborano e comunicano con il Cliente o gli utenti finali del Cliente;
Soggetti i cui dati vengono forniti a SiteGround tramite i Servizi da o per conto del Cliente o dagli utenti finali del Cliente.
2.3.5. Categorie dei Dati Personali
Il Cliente può inviare Dati del Cliente nel corso del suo utilizzo dei Servizi, la cui estensione è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, i Dati personali relativi alle seguenti categorie di Dati personali :
Nome
Indirizzo
Indirizzo email
Qualsiasi dato personale relativo ad individui
2.4. Ruoli delle Parti
Le parti riconoscono e accettano che:
SiteGround è un Responsabile del trattamento dei Dati del Cliente ai sensi della Legislazione Europea sulla Protezione dei Dati;
Il Cliente è un Titolare del trattamento o un responsabile del trattamento, se applicabile, dei Dati del cliente ai sensi della Legislazione Europea sulla Protezione dei Dati; e ha ottenuto tutti i consensi e i diritti necessari ai sensi delle Leggi sulla Protezione dei Dati per SiteGround per elaborare i Dati del Cliente e fornire i servizi in conformità al presente accordo e al presente DPA;
SiteGround (Responsabile del trattamento) opererà solo ed esclusivamente in base a richieste scritte fatte pervenire dal Cliente (Titolare del trattamento). SiteGround potrà agire diversamente solo ed esclusivamente quando previsto dalla Legislazione Italiana e/o Europea.
2.5. Istruzioni per l'Elaborazione dei Dati.
SiteGround elaborerà i Dati del cliente in conformità a questo DPA, che rappresenta le istruzioni complete e definitive del cliente a SiteGround in relazione al trattamento dei Dati del Cliente. L'elaborazione al di fuori dello scopo di questo DPA (se presente) richiede un accordo scritto preliminare tra SiteGround e il Cliente su ulteriori istruzioni per l'elaborazione. Entrando in questo DPA, il Cliente incarica SiteGround di elaborare i Dati del Cliente solo in conformità con la legge applicabile:
fornire i Servizi e il relativo supporto tecnico e di altro tipo;
come avviato dal Cliente e dagli utenti finali nel loro utilizzo dei Servizi;
come specificato nel Contratto, Termini di Servizio, Informativa sulla privacy e altre politiche pertinenti che regolano la fornitura dei Servizi e il relativo supporto tecnico e di altro tipo.
2.6. Accesso o Uso
SiteGround non può accedere o utilizzare i Dati del Cliente, salvo che sia necessario per fornire i Servizi e il relativo supporto tecnico al Cliente in conformità con il DPA, l'Accordo e altre politiche pertinenti.
2.6.1. Elaborazione del Cliente.
Il Cliente, nel suo utilizzo dei Servizi, elaborerà i propri Dati in conformità a i requisiti delle leggi e dei regolamenti sulla Protezione dei Dati ad essi applicabili. Il Cliente è l'unico responsabile per l'accuratezza, la qualità e la legalità dei propri Dati e dei mezzi con cui il Cliente ha acquisito questi Dati.
2.6.2. Il trattamento dei dati dei clienti da parte di SiteGround.
SiteGround elaborerà i Dati del cliente solo per conto di e in conformità con le istruzioni documentate del Cliente per i seguenti scopi:
Fornire i Servizi ed il relativo supporto tecnico in accordo con questo DPA e con gli Ordini a cui si applica;
Processare i dati forniti dagli Utenti in accordo con i nostri termini di Servizio;
Processare i dati al fine di mantenere e migliorare i servizi.
2.6.3. Conformità alle istruzioni di SiteGround.
A partire dalla data effettiva SiteGround deve rispettare le istruzioni sopra descritte nella sezione Istruzioni del cliente, anche per quanto riguarda i trasferimenti di dati, a meno che la legge della UE o dello Stato membro dell'UE, cui SiteGround è soggetta, richieda altri trattamenti dei dati dei clienti da parte di SiteGround, nel qual caso SiteGround informerà il Cliente (a meno che la legge proibisca a SiteGround di farlo per importanti motivi di interesse pubblico) tramite il Sito o l'indirizzo email di notifica.
I Dati del cliente possono essere consultati ed elaborati da SiteGround, Utenti autorizzati e Sotto-processori per adempiere agli obblighi previsti dal presente DPA e dal rispettivo Accordo o per fornire determinati servizi per conto di SiteGround. Tale trattamento sarà conforme alle misure indicate nelle Misure di sicurezza delle Sezioni 3, Sezione 7 e Allegato 2.
2.7. Diritti degli interessati.
2.7.1. Accesso, rettifica, elaborazione limitata, portabilità.
Durante il Termine applicabile, SiteGround, in modo coerente con la funzionalità dei Servizi, consente al Cliente di accedere, rettificare e limitare l'elaborazione dei Dati del Cliente, anche mediante l'eliminazione di tutti o alcuni dei Dati del Cliente sotto il loro account o la cancellazione del intero account come descritto nella Sezione 2.6. (Restituzione e cancellazione dei dati del cliente) e tramite l'esportazione dei dati del cliente.
2.7.2. Richieste di soggetti dei dati.
2.7.2.1. Responsabilità del cliente per le richieste.
Se durante il Termine applicabile, SiteGround riceve una richiesta da un Soggetto dei Dati per esercitare il diritto di accesso del Soggetto dei dati, il diritto alla rettifica, la restrizione dell'elaborazione, la cancellazione ("diritto all'oblio"), la portabilità dei dati, l’opposizione al Trattamento o il suo diritto di non essere soggetto a un processo decisionale individuale automatizzato ("Richiesta di soggetto dei dati"), SiteGround informerà l'interessato di inviare la sua richiesta al Cliente, e il Cliente sarà responsabile di rispondere a tali richieste incluso, ove necessario, utilizzando la funzionalità dei Servizi. SiteGround, nella misura consentita dalla legge, adotta misure commercialmente ragionevoli per notificare al Cliente tali richieste.
2.7.2.2. Assistenza richiesta da soggetto dei dati a SiteGround.
Tenendo conto della natura del Trattamento, il Cliente accetta che SiteGround fornisca un'assistenza tecnica e organizzativa adeguata, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Cliente di rispondere alle richieste dei Soggetti dei Dati, incluso l'eventuale obbligo del Cliente di rispondere alle richieste per esercitare i diritti dell'interessato di cui al capo III del GDPR, da:
(a) fornire risorse di documentazione sotto forma di tutorial e articoli della knowledge base, funzionalità e/o controlli nel Pannello di controllo che il Cliente può scegliere di utilizzare per configurare correttamente i Servizi e utilizzare i Servizi in modo sicuro.
(b) fornire caratteristiche, funzionalità e/o controlli nel Pannello di controllo che il Cliente può scegliere di utilizzare per recuperare, correggere o cancellare i Dati del Cliente dai Servizi.
(c) rispettare gli impegni stabiliti nel presente DPA.
(d) Nella misura in cui il Cliente, nel suo utilizzo dei Servizi, non abbia la capacità di rispondere a una Richiesta di Soggetto dei Dati, SiteGround dovrà, a richiesta del Cliente, fornire sforzi commercialmente ragionevoli per aiutare il Cliente a rispondere a tale Richiesta di Soggetto dei dati, nella misura in cui SiteGround sia legalmente autorizzata a farlo e la risposta a tale richiesta di dati è data ai sensi delle leggi e dei regolamenti sulla protezione dei dati. Nella misura consentita dalla legge, il Cliente sarà responsabile per qualsiasi costo derivante dall'erogazione di tale assistenza da parte di SiteGround.
Il Cliente coprirà i ragionevoli costi sostenuti da SiteGround per fornire assistenza nella sezione 2.7.2.2
2.8. Restituzione e cancellazione dei dati del cliente.
SiteGround consentirà al Cliente di cancellare i Dati del Cliente durante la durata applicabile in un modo coerente con la funzionalità dei Servizi e le caratteristiche secondo il rispettivo Ordine. Se il Cliente utilizza i Servizi per recuperare o eliminare i Dati del Cliente e i Dati del Cliente non possono essere recuperati, ciò costituirà un'istruzione a SiteGround per cancellare i Dati del Cliente archiviati sui sistemi di backup in conformità alla legge applicabile e entro un periodo massimo di 60 giorni di calendario.
La disattivazione dei Servizi o la scadenza del Termine applicabile costituiranno un'istruzione a SiteGround per l'eliminazione dei Dati del Cliente e dei Dati del Cliente archiviati sui sistemi di backup entro un periodo massimo di 60 giorni di calendario.
Nulla di quanto contenuto in questa Sezione 2.8 varia o modifica l'obbligo di SiteGround di conservare alcuni o tutti i Dati del Cliente necessari per conformarsi alla legge o ad un ordine valido e vincolante delle forze dell’ordine (come una citazione o un'ingiunzione del tribunale).
2.9. Divulgazione dei dati.
SiteGround non divulgherà i Dati del Cliente a nessun governo, forze dell'ordine o altra autorità, salvo se necessario per ottemperare alla legge o a un ordine valido e vincolante di un ente incaricato dell'applicazione della legge (come una citazione o un'ingiunzione del tribunale).
2.10. Personale SiteGround.
SiteGround limita il suo personale dall'elaborazione dei Dati del cliente senza autorizzazione da parte di SiteGround. L'accesso ai Dati del cliente è limitato al personale che svolge un ruolo e responsabilità in conformità con il Contratto.
SiteGround impone obblighi contrattuali adeguati al proprio personale, compresi gli obblighi relativi alla riservatezza, alla protezione dei dati e alla sicurezza dei dati. SiteGround garantisce che questi obblighi di riservatezza sopravvivano alla cessazione dell'incarico personale.
2.11. Responsabile della protezione dei dati.
I membri del Gruppo SiteGround mettono a disposizione un Responsabile della Protezione dei Dati per i fini previsti da questo DPA e dalla Policy sulla Privacy che può essere contattato all’indirizzo privacy@siteground.com.
Sub-incaricati
3.1. Consenso all’utilizzo di sub-incaricati/Appointment of Sub-processors
Il cliente prende atto e accetta che:
I Partner di SiteGround potrebbero essere ritenuti Sub-incaricati; e
SiteGround ed i partner di SiteGround potrebbero impiegare sub-incaricati per poter fornire i propri rispettivi Servizi. SiteGround ha realizzato un accordo scritto con ciascun Sub-incaricato contenente gli obblighi per la protezione dei dati, non meno restrittiva rispetto a quanto contenuto in questo DPA per quanto riguarda la protezione dei Dati del Cliente in base al contesto applicabile alla natura del Servizio fornito dal sub-incaricato. Se il Cliente rientra nelle Clausole del Contratto Standard (Allegato 1) come descritto nella Sezione 5 (Trasferimento dei Dati al di fuori della EEA), le autorizzazioni di cui sopra costituiscono un consenso scritto del Cliente al sub-contratto di SiteGround per la gestione dei Dati del Cliente se questo consenso è richiesto in base alle Clausole del Contratto Standard.
3.2. Informazioni sui sub-incaricati/ Informazioni su nuovi sub-incaricati.
3.2.1. SiteGround ti informerà di tutti i sub-incaricati, cosi come di tutte le aziende del Gruppo SiteGround che sono utilizzate per fornire i Servizi relativi al tuo Accordo e che hanno sede nell’Unione Europea e Stati Uniti, fornitori di Data Center con sede nel territorio dell’Unione Europea, Stati Uniti e Singapore. I sub-incaricati processeranno i dati forniti in base alle istruzioni di SiteGround e in aoccordo con la Policy della Privacy e questo DPA. Non autorizziamo i sub-incaricati a trattenere, condividere, memorizzare o utilizzare le tue informazioni identificabili personalmente per alcun fine secondario.
3.2.2. Quando un nuovo sub-incaricato di terze parti è utilizzato per utilizzare qualsiasi Dato del Cliente, con il fine di fornire il Servizio richiesto durante i Termini applicabili di questo DPA, SiteGround informerà il Cliente di questa nuova collaborazione, indicando la categoria e la località del nuovo sub-incaricato e le attività che dovrà svolgere, almeno 10 giorni di calendario prima di autorizzare il nuovo Sub-incaricato di terze parti, inviando una email all’Indirizzo Email per le Notifiche oppure tramite l’Area Cliente.
3.3. Requisiti per l’Utilizzo di Sub-incaricati
Quando viene ingaggiato un Sub-incaritato, SiteGround si impegna a:
(a) assicurare mediante contratto scritto che:
(i) il Sub-incaricato accede ed utilizza i Dati del Cliente soltanto per i fini richiesti per eseguire le operazioni richieste dall’incarico, e solo in ottemperanza all’Accordo (incluso questo Accordo sul Trattamento dei Dati) ed ogni Clausola del Contratto Standard relativo o alla Soluzione di Trasferimento Alternativa adottata da SiteGround come descritto nella sezione 5 (Trasferimento dei Dati al di fuori della EEA) e
(ii) se il GDPR è applicabile al trattamento dei Dati del Cliente, gli obblighi di protezione dei dati specificati nell’Articolo 28(3) del GDPR, come descritto in questo Accordo per il Trattamento dei Dati, sono imposti al sub-incaricato, e
(b) rimanere unica responsabile per tutti gli obblighi imposti, e tutti gli atti o le omissioni del Sub-incaricato.
3.4. Diritto di Obiezione per nuovi Sub-incaricati.
3.4.1. Il cliente può obiettare a qualsiasi nuovo Sub-incaricato di terze parti, terminando l’Accordo in essere, tramite notifica scritta immediata a SiteGround, a condizione che il Cliente fornisca questa notifica entro 10 giorni di calendario dalla data in cui viene informato dell’ingaggio del sub-incaricato. Il diritto a terminare il contratto è l’unico ed esclusivo rimedio del Cliente se obietta ad un Sub-incaricato di terze parti.
3.4.2. SiteGround si impegna a rimborsare il Cliente di qualsiasi costo pagato in anticipo facendo coprendo la parte mancante al termine dell’Ordine(i) in base all’effettiva data di termine per quanto concerne i Servizi terminati, senza imporre alcuna penale per questa Cancellazione da parte del Cliente.
Valutazione dell’Impatto, Consultazioni. Spazio di Archiviazione
4.1. Valutazione dell’Impatto e Consultazioni
Su richiesta del Cliente, SiteGround si impegna a fornire al Cliente una ragionevaole collaborazione e assistenza per poter soddisfare tutti gli obblighi del Cliente relativi al GDPR, per poter fornire una valutazione dell’impatto della protezione dei dati relativa all’utilizzo dei Servizi da parte del Cliente, in modo che il Cliente non debba accedere alle informazioni rilevanti, e al fine che queste informazioni siano disponibili per SiteGround. SiteGround si impegna a fornire una ragionevole assistenza al Cliente in collaborazione, o previa consultazione con l’Autorità Garante per poter prestare i propri obblighi in base a questo DPA, per i fini previsti dal GDPR.
Trasferimento al di fuori dell’EEA.
5.1. Data Center e spazio di archiviazione
SiteGround memorizza e processa i Dati del Cliente in Data Center localizzati all’interno e all’esterno dell’Unione Europea. Per maggiori informazioni sulle località dei nostri Data Center è possibile consultare : https://www.siteground.com/datacenters. SiteGround si riserva il diritto di aggiornare la lista periodicamente.
Il Cliente può specificare la location del Data Center dove archiviare i propri dati. Il Cliente accetta che SiteGround potrebbe cambiare la località del Data Center e spostare i Dati del Cliente presso un altro Data Center. SiteGround si impegna ad informare il Cliente con almeno 10 giorni di calendario di anticipo, prima di spostare i Dati del Cliente inviando un’email all’Indirizzo Email per le Notifiche, oppure tramite l’Area Cliente. Se la modifica del Data Center implica anche la memorizzazione dei Dati del Cliente in una differente giurisdizione, il Cliente può obiettare alla modifica, terminando l’Accordo immediatamente e mediante notifica scritta a SiteGround, a condizione che il Cliente ne fornisca comunicazione entro 10 giorni di calendario dopo essere stato informato del cambio del Data Center.
Il Cliente può spostare l’account ed i Dati del Cliente ad un Data Center in altra località in qualsiasi momento, a condizione che le funzionalità del Servizio lo consentano e solo previo pagamento di un costo aggiuntivo. Una volta che il Cliente ha fatto la propria scelta e specificato un Data Center di propria scelta localizzato all’interno dell’Unione Europea, SiteGround non memorizzerà i Dati del Clienti al di fuori dei confini dell’Unione Europea, ad esclusione dei casi necessari per poter ottemperare alla legge o per un valido e vincolante di un’autorità giudiziaria (come ad esempio un mandato o un’ingiunzione).
5.2. Località di trattamento
Nel caso in cui il Cliente abbia specificato un Data Center al di fuori dell’Area Economica Europea e nel caso in cui SiteGround fornisca il Servizio e il relativo supporto di natura tecnica o di altra natura, il Cliente accetta che SiteGround potrebbe, come previsto dalla sezione 5, accedere e processare i dati in EEA, Stati Uniti e altri Paesi dove SiteGround e/o i suoi Partners e Sub-incaricati possiedono Data Centers, sedi o eseguano operazioni di trattamento dei dati. Se la memorizzazione e/o trattamento dei Dati del Cliente comprende il trattamento dei Dati del Cliente al di fuori della EEA, ed è applicabile la Legislazione di Protezione dei Dati Europea, il Cliente accetta che SiteGround richieda al Cliente di rientrare nel Clausole del contratto Standard per quanto riguarda questi trasferimenti secondo quanto stabilito dalla sezione 5.2 e Allegato 1 ed accetta altresì il loro contenuto.
5.3. Meccanismo di Trasferimento
Per quanto riguarda il trattamento o trasferimento (diretto o via trasferimento successivo) da parte di SiteGround dei Dati del Cliente trattati in questo DPA dall’Unione Europea, dall’Area Economica Europea e/o dai loro stati membri e Svizzera in o verso paesi che non assicurano un livello adeguato di protezione dei dati entro i sensi delle Leggi per la Protezione dei Dati applicabili nei territori precedenti, le parti concordano che:
Le Clausole Contrattuali Standard (Allegato 1) verranno applicate ai Dati dei Clienti che vengono trasferiti.
SiteGround sarà ritenuta in grado di fornire appropriate misure di sicurezza per proteggere i Dati del Cliente rendendo disponibili le Clausole Contrattuali Standard (Allegato 1) come meccanismo di trasferimento.
Il Cliente autorizza con la presente qualsiasi trasferimento o accesso ai Dati del Cliente dalle menzionate destinazioni fuori dall’Area Economica Europea soggette a qualsiasi delle misura sopra indicate;
Trattamento degli Archivi
Il cliente The Customer riconosce che a SiteGround è richiesto, sottostando alla GDPR, di:
(a) collezionare e mantenere archivi dei determinate informazioni, inclusi il nome e dettagli di contatto di ogni processor e/o controllore in vece del quale SiteGround sta agendo e, dove applicabile, dei rappresentanti locali e ufficiali della protezione dei dati di tali processor/controllori; e
(b) rendere tali informazioni disponibili alle autorità di supervisione. Di conseguenza, se la GDPR si applica al trattamento dei dati del Clienti, il Cliente potrà, quando richiesto, fornire tali informazioni a SiteGround attraverso il Sito o altri mezzi forniti da SiteGround, e potrà usare il Sito o tali altri mezzi per assicurarsi che tutte le informazioni fornite siano mantenute accurate e aggiornate.
Responsabilità di Sicurezza di SiteGround.
7.1. SiteGround implementerà e manterrà misure tecniche e organizzative per proteggere i Dati del Cliente da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso, accidentale o illegale come descritto nell’Appendice 2 (“Misure di Sicurezza). Come descritto in Appendice 2, le Misure di Sicurezza includono misure atte a fornire la trasmissione criptata dei dati del cliente al di fuori dell’ambiente del Servizio; per aiutare a garantire confidenzialità, integrità, disponibilità e resilienza costanti dei sistemi e servizi di SiteGround; per assistere nel puntuale ripristino dell’accesso ai Dati del Cliente da una copia di backup disponibile, fornita dai Servizi di Backup di SiteGround o da una copia privata del Cliente a seguito di un incidente; e per i regolari test di efficacia. SiteGround potrà aggiornare o modificare le Misure di Sicurezza di volta in volta, purché questi aggiornamenti e modifiche non risultino nella degradazione della sicurezza generale dei Servizi. SiteGround assisterà ragionevolmente il cliente nel rispetto degli obblighi stabiliti dal GDPR in relazione alla sicurezza del trattamento, notificazione in caso di violazione di dati e sulla valutazione dell’impatto sulla protezione dei dati personali.
7.2. Responsabilità e Stime di Sicurezza del Cliente.
Il Cliente concorda che, senza pregiudizi nei confronti dei doveri di SiteGround sotto la sezione 7. (Responsabilità di Sicurezza di Siteground) ed altre Sezioni rilevanti di questo DPA:
Il Cliente è responsabile unicamente per il proprio uso dei suoi Servizi, inclusi:
fare uso appropriato dei Servizi per assicurare un livello di sicurezza adatto al rischio nei confronti dei Dati del Cliente;
proteggere le credenziali di autenticazione dell’account, sistemi e dispositivi che il cliente usa per accedere al Servizio;
assicurarsi che tutti i programmi, script, addon, plugin e altri software installati sull’account siano sicuri e che il loro utilizzo non rappresenti un rischio per la sicurezza rispetto ai Dati del Cliente e l’account stesso;
proteggere tutti i programmi, script, addon, plugin e altro software installato, la cloro configurazione e la loro regolare manutenzione;
ogni contenuto dell’account;
ogni azione ed attività sull’account; e
fare backup dei proprio Dati del Cliente; e
SiteGround non ha obblighi nel proteggere i Dati del Cliente che il Cliente decide di immagazzinare o trasferire al di fuori dei sistemi di SiteGround e dei suoi sub-processors (per esempio, offline o su storage on-premise), o di proteggere i Dati del Cliente implementando o mantenendo Controlli di Sicurezza Addizionali fatta eccezione nella misura che il Cliente ha deciso di usare.
Il Cliente è solo responsabile per la revisione e valutazione riguardo al modo in cui i Servizi, Misure di Sicurezza, impegni di SiteGround sotto questa Sezione e seguente rispecchino le necessità del cliente, inclusa ogni obbligazione per il Cliente sottostante la Legislazione Europea per la Protezione dei Dati e/o la Legislazione Non Europea per la Protezione dei Dati, come applicabile.
Il Cliente riconosce ed accorda che (prendendo in considerazione i costi dell’implementazione e la natura, scopo, contesto e finalità del trattamento dei Dati del Cliente e del rischio per gli individui) le Misure di Sicurezza implementate e mantenute da SiteGround come descritto nella Sezione 7.1 forniscono un livello di sicurezza appropriato al rischio nel rispetto dei Dati del Cliente.
E’ responsabilità del Cliente fare backup dei Dati del Clienti ed ogni dato e consenso immagazzinato nell’account per preverire ogni possibile perdita di dati.
I Servizi di Backup di SiteGround sono fornito così come sono e sono soggetti a tutte le limitazioni di responsabilità decise nell’Accordo applicabile.
Anche se il Cliente acquista Servizi di Backup, accorda che manterrà il suo privato set di Backup indepentente da quelli che vengono mantenuti da SiteGround e che la sola obbligazione di SiteGround è di ripristinare lo spazio dell’account alla sua condizione operativa. Nell’evento di un incidente, di problemi hardware o software o ogni corruzioni o smarrimento di dati accidentale, SiteGround può fornire assistenza ma è solo responsabilità del Cliente ripristinare i Dati.
Nell’evento di una perdita o corruzione parziale o integrale di dati e nel caso in qui il Cliente non sia soddisfatto dell’esito del ripristino dei Servizi di Backup di SiteGround o la copia di SiteGround non sia recente o adatta al ripristino, sarà responsabilità del Cliente ripristinare i Dati del Cliente, i propri file e ogni dato all’interno dell’account dal Backup privato.
Revisione e Audit di conformità.
Se la Legislazione Europea di Protezione dei Dati si applica al trattamento dei Dati del Cliente::
Il Cliente ha il diritto di verificare la conformità di SiteGround con i doveri della Legislazione sotto questo DPA, conducendo una revisione della documentazion o un Audit, includendo ispezioni, condotte dal Cliente o da un auditor indipendente scelto dal Cliente, facendo specifica richiesta a SiteGround in un form scritto all’indirizzo menzionato nei rispettivi Termini di Servizio.
SiteGround dovrà fornire ulteriori risposte a tutte le ragionevoli richieste da parte del Cliente e potrebbe far pagare una tassa per ogni revisione o audit che siano innecessari o eccessivamente gravosi. SiteGround fornirà dettagli di ogni tassa applicabile in anticipo rispetto ad ogni Audit di questo tipo e il Cliente sarà responsabile per ogni tassa applicata da un auditor e ogni tassa associata con l’esecuzione dell’audit. I rapporti di ogni audit saranno resi disponibili a SiteGround senza restrizioni per l’utilizzo da parte di SiteGround.
SiteGround potrà obiettare e declinare gli audit, scrivendo al Cliente o all’auditor scelto dal Cliente se il Cliente o l’auditor sono, nella ragionevole opiniente di SiteGround, non qualificati o indipendenti a sufficienza, concorrente di SiteGround, o manifestamente non adatto.
Se SiteGround rifiuta di seguire qualsiasi istruzione richiesta da Cliente o auditor riguardo a audit o ispezioni richieste e motivate correttamente, il Cliente è intitolato a terminare questo DPA e i Termini di Servizio.
SiteGround dovrà fornire risposte ed ricevere eventuali controlli, consegnare al Cliente qualsiasi informazione per assicurare che entrambi rispettino le direttive contenute nell’art.28 GDPR e comunicare al Cliente quando una Sua richiesta risulti essere in contrasto con il GDPR o altra legge sulla protezione dei dati personali nell’Unione Europea o negli Stati membri.
Nulla in questa sezione 8 (Revisioni e Audit di conformità) varia o modifica alcun diritto o dovere del Cliente o SiteGround sottostanti qualsiasi Clausola del Modello di Contratto inserita come descritto nella Sezione 5 (Trasferimento di Dati Fuori dall’A Nothing in this Section 9 (Review and Audits of Compliance) varies or modifies any rights or obligations of Customer or SiteGround under any Model Contract Clauses entered into as described in Sections 5 (Transfers of Data Out of EEA).
Notifica di Falla nella Sicurezza.
9.1. SiteGround mantiene policy e procedure di gestione di incidenti di sicurezza e notificherà i Clienti senza alcun ritardo dopo aver appreso di distruzione, perdita, alterazione, divulgazione non autorizzata, accidentale o illegale, o accesso ai Dati del Cliente, inclusi i Dati del Cliente trasmessi, immagazzinati o Trattati in ogni modo da SiteGround o dai sui Sub-processor dei quali SiteGround sia messa a conoscenza (un “Incidente di Dati del Cliente”). SiteGround dovrà fare gli sforzi ragionevoli per identificare la causa di tale Incidente e fare quanto SiteGround ritenga necessario e ragionevole per rimediare alla causa di tale Incidente di Dati del Clienti nella misura in cui il rimedio sia all’interno del controllo ragionevole di SiteGround. I doveri qui menzionati non si applicano a incidenti causati dal Cliente, dall’uso dei Servizi del Cliente, le azioni del Cliente o attività o Utenti del Cliente.
9.2. Le Notifiche inviate seguendo questa Sezione, dovranno descrivere, nella misura del possibile, dettagli dell’Incidente sui Dati, includendo anche i passi seguiti per mitigare potenziali rischi e passi suggeriti da SiteGround al Cliente per approcciare l’Incidente sui Dati.
9.3. Notifica/e di ogni Incidente sui Dati, deve essere inviata all’Indirizzo Email di Notifica, o a discrezione di SiteGround, tramite comunicazione diretta (ad esempio, una telefonata). Il Cliente sarà solo responsabile di assicurarsi che l’Indirizzo Email di Notifica e informazioni di contatto siano aggiornati e validi.
9.4. SiteGround non dovrà valutare i contenuti dei Dati del Cliente per identificare informazioni soggette a qualsiasi requisito legale speciale. Il Cliente sarà solo responsabile di essere conforme alle leggi di notifica incidenti applicabile al Cliente e soddisfare ogni dovere di notifica di terze parti relativo ad ogni Incidente sui Dati.
9.5. La notifica di o risposta a un Incidente sui Dati da parte di SiteGround sotto la sezione 10 non dovrebbero essere interpretati come ammissione da parte di SiteGround di colpe o responsabilità nei confronti dell’Incidente sui Dati.
Responsabilità e indennità.
10.1. Il Cliente dovrebbe indennizzare e mantenere indennizzata SiteGround rispetto a tutte le falle di protezione dei dati e perdite sofferte o causate da, sorte da o in connessione con:
(a) ogni non-conformità del Cliente con leggi e regolamentazioni sulla protezione dei dati;
(b) ogni falla derivante dal Cliente o dai suoi doveri di protezione dati sotto a questo Accordo;
10.2. SiteGround sarà responsabile delle falle e perdite sulla protezione dei dati causate dall’Elaborazione dei Dati del Cliente solo nella misura direttamente risultante dalla mancata adempienza di SiteGround ai propri doveri come Processor dei Dati sotto le leggi e regolamentazioni sulla Protezione dei Dati.
Conclusione
Questo DPA avrà effetto dalla Data Effettiva fino alla fine della fornitura dei Servizi da parte di SiteGround sotto l’Accordo applicabile, incluso, se applicabile, ogni periodo durante il quale i Servizi siano stati sospesi ed ogni periodo post-terminazione (nella fattispecie 60 giorni di Calendario) durante il quale SiteGround potrebbe continuare a fornire Servizi per scopi di Transizione (“Term”). Il DPA scadrà automaticamente alla cancellazione di tutti i Dati del Cliente da SiteGround. Alla scadenza del contratto Siteground rimuoverà o riconsegnerà tutti le informazioni personali al Cliente qualora ciò venisse richiesto. In nessun modo quando affermato da questo DPA solleva SiteGround dalle sue dirette responsabilità secondo il GDPR
Effetto Legale.
Nel caso di conflitti o inconsistenza tra i termini di questo DPA ed il contenuto dell’Accordo applicabile relativo al Trattamento dei Dati Personali, fanno fede i termini di questo DPA. L’Accordo rimane comunque in vigore, seppur soggetto ad eventuali integrazioni, se presenti, di questo DPA. Per maggior chiarezza, se il Cliente rientra in più di un Accordo, questo DPA rettifica ciascuno degli Accordi separatamente.
Allegato 1 - Clausole di Contratto Standard
CLAUSOLE CONTRATTUALI TIPO («INCARICATI DEL TRATTAMENTO»)
Ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati
Nome dell’organizzazione esportatrice: l’entità identificata come “Cliente”
(«l’esportatore»)
e
SiteGround Italia Srl
(«l’importatore»)
denominato ciascuno «parte» e congiuntamente «parti»,
HANNO CONVENUTO le seguenti clausole contrattuali («le clausole») al fine di prestare garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone per il trasferimento dall’esportatore all’importatore dei dati personali indicati nell’appendice 1.
Clausola 1
Definizioni
Ai fini delle presenti clausole:
a) | I termini «dati personali», «categorie particolari di dati», «trattamento», «responsabile del trattamento», «incaricato del trattamento», «interessato/persona interessata» e «autorità di controllo» hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1); |
b) | con «esportatore» s’intende il responsabile del trattamento che trasferisce i dati personali; |
c) | con «importatore» s’intende l’incaricato del trattamento stabilito in un paese terzo che s’impegni a ricevere dall’esportatore dati personali al fine di trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché a norma delle presenti clausole, e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva 95/46/CE; |
d) | con «subincaricato» s’intende l’incaricato del trattamento designato dall’importatore o da altro suo subincaricato, che s’impegni a ricevere dall’importatore o da altro suo subincaricato dati personali al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole e del subcontratto scritto; |
e) | con «normativa sulla protezione dei dati» si intende la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato membro in cui è stabilito l’esportatore; |
f) | con «misure tecniche e organizzative di sicurezza» s’intendono le misure destinate a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. |
Clausola 2
Particolari del trasferimento
I particolari del trasferimento, segnatamente le categorie particolari di dati personali, sono indicati nell’appendice 1 che costituisce parte integrante delle presenti clausole.
Clausola 3
Clausola del terzo beneficiario
1. | L’interessato può far valere, nei confronti dell’esportatore, la presente clausola, la clausola 4, lettere da b) a i), la clausola 5, lettere da a) ad e) e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo beneficiario. |
2. | L’interessato può far valere, nei confronti dell’importatore, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora l’esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore. |
3. | L’interessato può far valere, nei confronti del subincaricato, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole. |
4. | Le parti non si oppongono a che l’interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà dell’interessato e sia ammessa dalla legislazione nazionale. |
Clausola 4
Obblighi dell’esportatore
L’esportatore dichiara e garantisce quanto segue:
a) | che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti disposizioni della normativa sulla protezione dei dati (e viene comunicato, se del caso, alle competenti autorità dello Stato membro in cui è stabilito l’esportatore) nel pieno rispetto delle leggi vigenti in quello Stato; |
b) | che ha prescritto all’importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole; |
c) | che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice 2; |
d) | che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali, e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto conto della più recente tecnologia e dei costi di attuazione; |
e) | che provvederà all’osservanza delle misure di sicurezza; |
f) | che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva 95/46/CE; |
g) | di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dal subincaricato ai sensi della clausola 5, lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione; |
h) | che fornirà, su richiesta degli interessati, copia delle presenti clausole, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza, nonché copia dei subcontratti aventi ad oggetto il trattamento da effettuarsi in conformità delle presenti clausole, omettendo le informazioni commerciali eventualmente contenute nelle clausole o nel contratto; |
i) | che, in caso di subcontratto, il subincaricato svolge l’attività di trattamento in conformità della clausola 11 garantendo un livello di protezione dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti clausole; |
j) | che provvederà all’osservanza della clausola 4, lettere da a) ad i). |
Clausola 5
Obblighi dell’importatore (2)
L’importatore dichiara e garantisce quanto segue:
a) | di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto; |
b) | di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto; |
c) | di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti; |
d) | che comunicherà prontamente all’esportatore:
|
e) | che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti; |
f) | che sottoporrà i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo; |
g) | che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle clausole o nel contratto; |
h) | che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il consenso scritto; |
i) | che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11; |
j) | che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole. |
Clausola 6
Responsabilità
1. | Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto. |
2. | Qualora l’interessato non sia in grado di proporre l’azione di risarcimento di cui al paragrafo 1 nei confronti dell’esportatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera dell’importatore o del subincaricato, in quanto l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’importatore riconosce all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. L’importatore non può far valere la violazione degli obblighi ad opera del subincaricato al fine di escludere la propria responsabilità. |
3. | Qualora l’interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell’esportatore o dell’importatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera del subincaricato, in quanto sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, il subincaricato riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti clausole così come se egli fosse l’esportatore o l’importatore, a meno che tutti gli obblighi dell’esportatore o dell’importatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole. |
Clausola 7
Mediazione e giurisdizione
1. | L’importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione dello stesso interessato:
|
2. | Le parti dichiarano che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale. |
Clausola 8
Collaborazione con le autorità di controllo
1. | L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o qualora il deposito sia prescritto dalla normativa sulla protezione dei dati. |
2. | Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e i subincaricati nella stessa misura e secondo le stesse modalità previste per l’esportatore dalla normativa sulla protezione dei dati. |
3. | L’importatore informa prontamente l’esportatore dell’esistenza di disposizioni normative applicabili all’importatore o ai subincaricati, che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l’esportatore ha facoltà di prendere le misure di cui alla clausola 5, lettera b). |
Clausola 9
Legge applicabile
Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore.
Clausola 10
Modifica del contratto
Le parti si impegnano a non alterare o non modificare le presenti clausole. Ciò non osta a che le parti inseriscano altre clausole commerciale ritenute necessarie, purché non siano in contrasto con le clausole.
Clausola 11
Subcontratto
1. | L’importatore non può subcontrattare i trattamenti effettuati per conto dell’esportatore ai sensi delle presenti clausole senza il previo consenso scritto dell’esportatore stesso. L’importatore che, con il consenso dell’esportatore, affidi in subcontratto l’esecuzione degli obblighi ai sensi delle presenti clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest’ultimo gli obblighi cui è egli stesso tenuto in virtù delle clausole (3). L’importatore rimane pienamente responsabile nei confronti dell’esportatore per l’inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall’accordo scritto. |
2. | Nell’accordo scritto tra l’importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla clausola 3, a favore dell’interessato che non sia in grado di proporre l’azione di risarcimento di cui alla clausola 6, paragrafo 1, nei confronti dell’esportatore o dell’importatore in quanto l’esportatore e l’importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l’insieme dei loro obblighi. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole. |
3. | Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore, ossia … |
4. | L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti clausole e comunicati dall’importatore a norma della clausola 5, lettera j), e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore. |
Clausola 12
Obblighi al termine dell’attività di trattamento dei dati personali
1. | Le parti convengono che al termine dell’attività di trattamento l’importatore e il subincaricato provvedono, a scelta dell’esportatore, a restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all’esportatore l’avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In questo caso, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati. |
2.
L’importatore e il subincaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica dell’esecuzione dei provvedimenti di cui al paragrafo 1.
Allegato 1 alle Clausole di Contratto Standard
Esportatore dei dati
L’esportatore dei dati è l’entità identificata come “Cliente” nell’Accordo di Trattamento dei Dati.
Importatore dei dati
L’importatore dei dati è SiteGround
Soggetti dei dati
I dati personali riguardano le categorie dei soggetti interessati come definito nella sezione 2.3.4 dell’Accordo i Trattamento dei Dati.
Categorie di Dati
I dati personali riguardano le categorie di dati definiti nella sezione 2.3.5 dell’Accordo sul Trattamento dei Dati.
Operazioni di trattamento
Le operazioni di trattamento sono definite nella Sezione 2 dell’Accordo di Trattament dei Dati.
Allegato 2 alle Clausole Standard di Contratto
Questo allegato è parte delle Clausole. Acquistando Servizi presso SiteGround e accettando l’Accordo di Trattamento dei Dati, le parti accetteranno anche questo secondo allegato.
Descrizione delle misure di sicurezze tecniche ed organizzative implementate dall’importatore di dati in accordo con le Clausole 4(d) e 5(c) (o documenti/regole allegate):
Le misure di sicurezza tecniche ed organizzative implementate dall’importatore di dati sono come descritte nell’Accordo di Trattamento dei Dati Personali ed Allegato 2 Misure di Sicurezza.
Allegato 2: Misure di Sicurezza
SiteGround implementa e mantiene appropriate Misure di Sicurezza tecniche e organizzative per il Trattamento dei Dati Personali, comprese le misure stabilite nel presente Allegato 2 all’Accordo sull’Elaborazione dei Dati. Queste misure hanno lo scopo di proteggere i Dati Personali da perdite accidentali o non autorizzate, distruzione, alterazione, divulgazione o accesso e da tutte le altre forme illecite di Trattamento. Ulteriori misure e informazioni su tali misure, incluse misure e pratiche di sicurezza specifiche per i Servizi specifici ordinati dal Cliente, possono essere specificate nell'Accordo.
SiteGround potrebbe aggiornare o modificare queste Misure di Sicurezza di tanto in tanto a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Servizi.
Le misure di sicurezza tecniche e organizzative implementate da SiteGround sono conformi alle Clausole 4 (c) e 5 (c) delle Clausole Contrattuali Standard.
Personale e Riservatezza
SiteGround adotterà misure ragionevoli per garantire che nessuna persona venga nominata da SiteGround per elaborare i Dati Personali ad eccezione dei casi in cui la persona risulti:
competente e qualificata per eseguire gli specifici compiti a lei assegnati da SiteGround;
autorizzata da SiteGround e
incaricata da SiteGround dei requisiti rilevanti per l'adempimento degli obblighi di SiteGround ai sensi delle presenti Clausole, in particolare dello scopo limitato del trattamento dei dati.
Il personale di SiteGround è tenuto a comportarsi in modo coerente con le linee guida aziendali in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. SiteGround svolge controlli in background ragionevolmente appropriati nella misura consentita dalla legge e in conformità con le leggi locali vigenti in materia di lavoro e regolamentazioni in materia di legge. Il personale è tenuto ad eseguire un accordo di riservatezza e deve confermare la ricezione e l'osservanza delle politiche di riservatezza e privacy di SiteGround. Viene loro fornita formazione e il personale che tratta i Dati del Cliente deve completare requisiti aggiuntivi appropriati al ruolo.
Sicurezza Fisica
SiteGround utilizza data center distribuiti geograficamente e archivia tutti i dati di produzione in data center fisicamente sicuri. I data center di produzione del Subincaricato di SiteGround impiegano misure per garantire l'accesso ai sistemi di elaborazione dati. Hanno un sistema di accesso che controlla l'accesso al data center. Questo sistema consente solo al personale autorizzato di accedere alle aree protette. Le strutture sono progettate per resistere a condizioni meteorologiche avverse e ad altre condizioni naturali ragionevolmente prevedibili, sono protette da guardie 24 ore su 24, monitoraggio CCTV, screening degli accessi e accesso scortato, e sono anche supportate da generatori di riserva sul posto, in caso di interruzione di corrente.
I sistemi di alimentazione elettrica del data center sono progettati per essere ridondanti e manutenibili senza impatto sulle continue operazioni 24/7. Nella maggior parte dei casi, viene fornita una fonte di alimentazione primaria e una alternativa per i componenti dell'infrastruttura critica nel data center. L'alimentazione di riserva è fornita da vari meccanismi, quali batterie di continuità (UPS) o generatori diesel che sono in grado di fornire alimentazione elettrica di emergenza o protezione affidabile dell'alimentazione durante interruzioni, blackout, sovratensioni, sottotensioni e condizioni di frequenza fuori tolleranza.
I sistemi di infrastruttura sono stati progettati per eliminare singoli punti di guasto e minimizzare l'impatto dei rischi ambientali previsti. Le attrezzature e gli impianti di produzione del Subincaricato di SiteGround hanno procedure di manutenzione preventiva documentate che esplicano il processo e la frequenza delle prestazioni in conformità con le specifiche del produttore o interne. La manutenzione preventiva e correttiva delle apparecchiature del data center è pianificata attraverso un processo di modifica standard secondo procedure documentate.
Controllo di Accesso al Sistema
I server SiteGround utilizzano un'implementazione basata su Linux personalizzata per i Servizi. SiteGround utilizza un processo di revisione per aumentare la sicurezza dei sistemi operativi utilizzati per fornire i Servizi e migliorare i prodotti di sicurezza negli ambienti di produzione.
SiteGround ha e mantiene una politica di sicurezza per il personale. L'infrastruttura SiteGround, lo staff di sviluppo e supporto sono responsabili del monitoraggio continuo della sicurezza dell'infrastruttura di SiteGround, della revisione dei Servizi e della risposta agli incidenti di sicurezza.
I processi e le politiche di accesso interno di SiteGround sono progettati per impedire a persone e / o sistemi non autorizzati di accedere ai sistemi utilizzati per elaborare i dati dei clienti, compresi i dati personali. SiteGround si propone di progettare i suoi sistemi per: (i) consentire solo alle persone autorizzate di accedere ai dati ai quali sono autorizzate ad accedere; e (ii) garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante l'elaborazione, l'uso e dopo la registrazione. SiteGround utilizza un sistema di gestione degli accessi per controllare l'accesso del personale ai server di produzione e fornisce solo l'accesso al personale autorizzato. Possono essere utilizzati, tra gli altri, i seguenti controlli a seconda dei Servizi specifici ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche, accesso logico ai data center limitato e protetto dal firewall / VLAN e registrazione dell'accesso su più livelli. La concessione o la modifica dei diritti di accesso si basa su: le responsabilità lavorative del personale autorizzato; requisiti di mansioni necessarie per svolgere compiti autorizzati; e un bisogno di conoscere le basi. Anche la concessione o la modifica dei diritti di accesso devono essere conformi alle politiche di accesso ai dati interne di SiteGround.
Controllo di Accesso ai Servizi
Clienti e Utenti Finali devono autenticarsi tramite un sistema di autenticazione per utilizzare i Servizi. Ogni applicazione controlla le credenziali per consentire la visualizzazione dei dati a un Utente Finale autorizzato.
Possono essere utilizzati, tra gli altri, i seguenti controlli a seconda dei Servizi specifici ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche e registrazione dell'accesso su più livelli. A seconda del particolare Servizio ordinato possono essere applicati anche i seguenti controlli: identificatori univoci attribuiti all'individuo responsabile, meccanismi di revoca dell’accesso per tentativi consecutivi falliti di accesso e periodi di blocco, meccanismi di scadenza e reset della password, requisiti di complessità della password.
Controllo di Accesso ai Dati
SiteGround memorizza i dati in un ambiente multi-tenant, il che significa che le installazioni di più clienti sono archiviate sullo stesso hardware fisico. SiteGround utilizza l'isolamento logico per separare i dati di ciascun Cliente e separa logicamente i dati di ciascun Cliente da quelli di altri. Questo determina la misura e impedisce rigorosamente ai clienti di accedere ai dati di altri.
Il cliente ha il controllo su specifiche opzioni per la condivisione dell'accesso ai dati agli Utenti Finali per scopi specifici in conformità con la funzionalità dei Servizi. Il Cliente può scegliere di utilizzare questi controlli. SiteGround rende disponibili alcune funzionalità di registrazione.
L'accesso diretto ai dati dei clienti è limitato e nel caso in cui ciò sia richiesto, i diritti di accesso sono stabiliti e applicati solo a personale adeguatamente autorizzato oltre alle regole di controllo degli accessi stabilite nelle Sezioni precedenti.
Controllo della Trasmissione
I data center sono in genere collegati tramite collegamenti privati ad alta velocità per garantire un trasferimento sicuro e rapido dei dati tra i data center. Questo è progettato per impedire la lettura, la copia, la modifica o la rimozione dei dati senza autorizzazione durante il trasferimento o il trasporto elettronico o durante la registrazione su un supporto di memorizzazione dati o lo scambio all'interno del data center.
Per i dati in transito, SiteGround utilizza protocolli di trasporto standard del settore quali SSL e TLS tra i dispositivi del cliente e i Servizi e i data center di SiteGround e all'interno dei data center stessi. Salvo quanto diversamente specificato per i Servizi (incluso l'Ordine, l’Accordo rilevante e la Documentazione per l’Utente dei Servizi), le trasmissioni di dati al di fuori dell'ambiente del Servizio sono criptate. Alcune funzionalità dei Servizi possono consentire al Cliente di scegliere comunicazioni non crittografate nell'utilizzo del Servizio. Il Cliente è l'unico responsabile dei risultati della sua decisione di utilizzare tali comunicazioni o trasmissioni non crittografate.
Controllo Input
La fonte dei Dati Personali è sotto il controllo del Cliente e l'integrazione dei Dati Personali nel sistema è gestita tramite trasferimento file protetto, tramite servizi web o inserita nell'applicazione dal Cliente. Come indicato in precedenza nella Sezione Controllo della Trasmissione, alcune funzionalità dei Servizi consentono ai clienti di utilizzare protocolli di trasferimento file non crittografati. In tali casi, il Cliente è l'unico responsabile della sua decisione di utilizzare tali protocolli di trasferimento non crittografati.
I Servizi non introdurranno alcun virus ai Dati del Cliente; tuttavia, i Servizi non eseguono la scansione dei virus che potrebbero essere inclusi negli allegati o altri Dati Personali caricati nei Servizi dal Cliente. Qualsiasi allegato caricato non verrà eseguito nei Servizi e pertanto non danneggerà o comprometterà il Servizio.
Controllo Rete
SiteGround blocca il traffico non autorizzato verso e all'interno dei data center utilizzando una varietà di tecnologie come firewall, NAT, reti LAN partizionate e separazione fisica dei server di backend dalle interfacce pubbliche.
SiteGround impiega più livelli di dispositivi di rete e rilevamento delle intrusioni per proteggere la sua superficie di attacco esterna. SiteGround considera i potenziali vettori di attacco e incorpora tecnologie appositamente sviluppate per scopi specifici nei sistemi esposti all’esterno.
SiteGround e il personale autorizzato monitoreranno i Servizi per intrusioni non autorizzate utilizzando meccanismi di rilevamento delle intrusioni tramite rete. Il rilevamento delle intrusioni ha lo scopo di fornire informazioni sulle attività di attacco in corso e fornire informazioni adeguate per rispondere agli incidenti. Il rilevamento delle intrusioni di SIteGround implica il controllo rigoroso della superficie di attacco delle comunicazioni di rete attraverso misure preventive come i firewall, impiegando controlli di rilevamento intelligenti nei punti di ingresso dati e impiegando tecnologie che risolvono automaticamente determinate situazioni pericolose.
Risposta agli Incidenti
SiteGround mantiene le politiche e le procedure di gestione degli incidenti di sicurezza e monitora una varietà di canali di comunicazione per gli incidenti di sicurezza. Il personale di SiteGround reagirà prontamente a incidenti noti e informerà tempestivamente il Cliente nel caso in cui SiteGround venga a conoscenza di una divulgazione non autorizzata effettiva o ragionevolmente sospetta di Dati Personali.
Registri di Sistema
SiteGround garantisce che i sistemi di elaborazione utilizzati per salvare i Dati dei Clienti registrino le informazioni nella posizione appropriata dei registri di sistema.
Le voci del registro vengono mantenute nel caso in cui si sospetti un accesso inappropriato e sia necessaria un'analisi. La registrazione è mantenuta in modo sicuro per evitare manomissioni.
Affidabilità e Backup
Per i Servizi, SiteGround garantisce che vengano eseguiti backup regolarmente. I backup sono protetti utilizzando una combinazione di controlli tecnici e fisici.
SiteGround garantisce che i sistemi in cui sono archiviati i Dati del Cliente dispongono di una funzione di disaster recovery e sono gestiti in base al piano di disaster recovery. Nel caso in cui le strutture di produzione fossero rese non disponibili, SiteGround metterà in atto piani di ripristino per ripristinare le operazioni in modo tempestivo. SiteGround ha progettato e pianifica e collauda regolarmente i piani di disaster recovery.
Distruzione dei Dati
Quando i clienti cancellano i dati o rinunciano al Servizio, SiteGround garantisce che i dati vengano cancellati secondo i termini dell’Accordo applicabile. Per determinati dischi, SiteGround segue rigorosi standard rigorosi che richiedono la sovrascrittura delle risorse di conservazione prima del riutilizzo, oltre allo smaltimento fisico dell'hardware dismesso. I data center di produzione del Sub-incaricato di SiteGround impiegano procedure rigorose per il riutilizzo, la ridistribuzione, la distruzione dei dati e la disattivazione di dischi e hardware.
Sicurezza del Subincaricato
Prima di acquisire dei Subincaricati, SiteGround svolge un audit delle pratiche di sicurezza e privacy dei Subincaricati per garantire che i Subincaricati forniscano un livello di sicurezza e privacy appropriato al loro accesso ai dati e allo scopo dei servizi che sono impegnati a fornire. Il Subincaricato è tenuto a stipulare adeguate condizioni di contratto di sicurezza, riservatezza e privacy.
Modifiche e Miglioramenti del Sistema
SiteGround può migliorare e implementare le modifiche nei Servizi durante la durata dell'Accordo. Controlli, procedure, politiche e funzionalità di sicurezza possono cambiare o essere aggiunti. SiteGround fornirà controlli di sicurezza che forniscono un livello di protezione della sicurezza che non è materialmente inferiore a quello fornito alla Data di Validità.
Allegato 3: Lista di Sub-incaricati
Disponibile su richiesta.