ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI DI SITEGROUND
Questo Accordo del Trattamento dei Dati ("DPA") intercorre tra SiteGround Spain S.L. ("SiteGround", "noi") e il Cliente ("Cliente", "tu"), insieme denominati "Le Parti". Questo accordo ("DPA") fa parte dei Termini di servizio, della Politica sulla Privacy e di altre politiche pertinenti disponibili qui.
Il Cliente che accetta questi termini entra in questo DPA per proprio conto nella misura richiesta dalle leggi applicabili sulla Regolamentazione della Protezione dei dati e nella misura in cui SiteGround elabora i Dati del cliente secondo le regolamentazione del titolare del trattamento (come definito nella Sezione 1).
Durante la fornitura dei Servizi al Cliente, SiteGround può Gestire i Dati dei Clienti per conto del Cliente. In via Generale, SiteGround opererà come responsabile del trattamento mentre il Cliente verrà considerato il Titolare del trattamento dei dati. Le Parti si impegnano a rispettare le seguenti disposizioni con rispetto nei confronti di ogni Dato del Cliente, ciascuno dei quali agisce in modo ragionevole e in buona fede.
1. Definizioni.
Salvo diversa definizione in questo DPA, tutti i termini in maiuscolo hanno i significati delineati qui di seguito:
"Decisione di adeguatezza" indica una decisione formale presa dall'UE che riconosce che un altro paese, territorio, settore o organizzazione internazionale fornisce un livello di protezione dei dati personali equivalente a quello dell'UE.
"Paese o Paesi adeguati" significa Paesi che fanno parte della decisione di adeguatezza emessa dall'UE, il che significa che i dati possono fluire liberamente tra questi paesi.
"Prodotti aggiuntivi" indica qualsiasi prodotto, software, programma, componente aggiuntivo, plug-in, script, strumenti o qualsiasi altro software o contenuto di terze parti che non fa parte dei Servizi ma che può essere accessibile tramite l'Area Utente SiteGround o il Pannello di Controllo, installato dal Cliente o in altro modo per l'utilizzo dei Servizi.
"Accordo" indica i Termini di Servizio e altre politiche pertinenti annunciati sul nostro sito web, insieme al tuo Ordine per l'acquisto di Servizi e alla conferma d'ordine inviata da SiteGround.
"Controllore" significa la persona fisica o la persona giuridica che, da sola o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati del cliente; Nel presente accordo, si intende il Cliente (Tu).
"Dati del Cliente" indica qualsiasi "Dato personale" che viene fornito a SiteGround da, o per conto del Cliente attraverso l'uso dei Servizi e che è memorizzato nell'account del Cliente (a scanso di equivoci, parte dei Dati personali dell'ordine del Cliente per l'acquisto del rispettivo servizio non verranno considerati come dati del cliente). I Dati del cliente possono includere, ma non sono limitati da, i dati dei clienti nel significato stabilito nel GDPR.
"Perdite di Protezione dei Dati" indica tutte le passività, tra cui:
a. reclami, richieste, azioni, compromessi, querele, procedure, spese, perdite e danni (sia materiali che immateriali, inclusi problemi emotivi);
b. nella misura consentita dalla legge applicabile:
1. sanzioni amministrative, penalità, sanzioni, responsabilità o altre rimedi imposti da un'autorità di supervisione della protezione dei dati, da qualsiasi altra autorità di regolamentazione pertinente o dal rispettivo tribunale competente;
2. risarcimento ad un Soggetto dei Dati ordinato da un'Autorità di Supervisione della protezione dei dati o dal rispettivo tribunale competente;
3. i costi ragionevoli in conformità delle indagini di un'Autorità di controllo per la protezione dei dati o di qualsiasi altra pertinente autorità di regolamentazione; e
c. i costi per il caricamento dei Dati del Cliente e la sostituzione dei materiali e delle apparecchiature del Cliente, nella misura in cui gli stessi sono persi o danneggiati e qualsiasi perdita o danneggiamento dei Dati del Cliente incluso il costo di rettifica o ripristino dei Dati del Cliente;
d. qualsiasi altro costo (incluse le spese legali).
"Norme e Leggi sulla Protezione dei Dati" indica tutte le norme e le leggi, comprese le leggi e le normative dell'Unione Europea, dell’Area Economica Europea e dei loro stati membri, Svizzera e Regno Unito, applicabili al Trattamento dei Dati dei Clienti ai sensi del presente DPA.
Termini: "Soggetto dei dati", "Dati personali", "Elaborazione", "Responsabile del trattamento" e "Autorità di Supervisione" (o "Autorità di protezione dei dati") hanno lo stesso significato descritto nel Regolamento sulla protezione dei dati applicabile.
"Data di validità" indica, se applicabile:
a. la data in cui il Cliente ha cliccato per accettare l’Accordo o le Parti concordano con questo DPA in relazione al Contratto applicabile; o
b.10 giorni dalla data in cui SiteGround rende pubblicamente disponibile il presente Contratto e invia un avviso al Cliente.
"GDPR" indica il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati dei clienti e sulla libera circolazione di tali dati, e che abroga la direttiva 95/46 / CE (Regolamento Generale sulla Protezione dei Dati).
"Indirizzo email di notifica" indica l'indirizzo e-mail specificato dal Cliente nella sezione "Dettagli del profilo del proprietario" nell'Area Clienti per ricevere determinate notifiche da SiteGround.
"Accordo internazionale per il trasferimento dei dati" ("IDTA") indica le clausole standard di protezione dei dati per il trasferimento dei Dati del Cliente quando l'interessato si trova nel Regno Unito, incorporate come Allegato 4 al presente Accordo.
"Ordine" indica qualsiasi ordine del Cliente per l'acquisto/utilizzo dei rispettivi servizi.
"Partner" indica qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è soggetta a controllo comune con l'entità soggetto SiteGround. "Controllo", ai fini di questa definizione, significa proprietà o controllo diretti o indiretti di oltre il 50% degli interessi di voto dell'entità in oggetto.
"Servizi" indica qualsiasi servizio da noi offerto che potrebbe comportare il trattamento dei Dati Personali da parte di SiteGround e dei suoi subappaltatori.
"SiteGround" indica l'entità SiteGround che è parte di questo DPA, come specificato nella sezione, una società costituita SiteGround Spain S.L. registrato ed esistente secondo le leggi del Regno di Spagna (numero di registrazione CIF: B87194171), con indirizzo: Calle de Prim 19, 28004 Madrid, Spagna.
"Gruppo di società SiteGround" significa SiteGround e le sue parti correlate impegnate nell'elaborazione dei dati del cliente:
● SG Hosting Inc., registrata ed esistente conformemente le leggi del Delaware, USA, con sede legale: via 700 N. Fairfax St, app. 614, Alexandria 22314 VA, USA;
● SiteGround Spain S.L., registrata ed esistente conformemente le leggi del Regno di Spagna (numero CIF: B87194171), con sede legale: Calle de Prim 19, 28004 Madrid, Spagna;
● SiteGround Hosting Ltd., registrata in Inghilterra e Galles, con sede legale: 7° piano, 50 Broadway, Londra, SW1H 0DB, Regno Unito;
●SiteGround Hosting EOOD, registrata in Bulgaria (UIC: 204181297), con sede legale: 6 via Olimpiyska, p. 7, Sofia, Bulgaria;
●SiteGround Capital Ltd, registrata a Cipro (Numero di registrazione HE 414758), con sede legale: 8 Michail Karaoli Street, ufficio 106, CY-1095, Nicosia, Cipro.
"Clausole contrattuali standard" o "SCC" indica le clausole standard sulla protezione dei dati per il trasferimento dei Dati del Cliente, come descritto nell'articolo 46, pag. 2, lettera c) del GDPR, Appendice 1 al presente DPA.
"Sub-Responsabile del trattamento" indica qualsiasi Responsabile del trattamento impegnato da SiteGround o un membro del Gruppo SiteGround.
"Durata" indica il periodo dalla Data di Efficacia fino alla fine della fornitura dei Servizi da parte di SiteGround ai sensi del Contratto applicabile, incluso, se applicabile, qualsiasi periodo durante il quale i Servizi potrebbero essere stati sospesi e qualsiasi periodo post-termine (ovvero 60 giorni di calendario ) durante il quale SiteGround può continuare a fornire servizi a fini transitori.
2. Elaborazione dei dati.
2.1. Scopo.
Questo DPA si applica laddove e solo nella misura in cui SiteGround elabora i Dati personali per conto del Cliente nel corso della fornitura dei Servizi e tali Dati Personali sono soggetti alle leggi sulla protezione dei dati applicabile.
L'Allegato 1 (Clausole contrattuali standard) sarà applicabile ai Soggetti dei dati che si trovano nell'UE, mentre l'Allegato 4 (Accordo internazionale di trasferimento dati) sarà applicabile ai Soggetti dei dati che si trovano nel Regno Unito.
Se il Cliente che accetta il presente DPA è già un Cliente, il presente DPA costituisce parte dell'Accordo, della Politica sulla Privacy e di altre politiche e documenti pertinenti annunciati sul nostro sito web. Il presente DPA, compresi i suoi allegati, sarà efficace e sostituirà tutti i termini precedentemente applicabili alla privacy, all'elaborazione dei dati e / o alla sicurezza dei dati in cui SiteGround agisce come Responsabile del trattamento.
2.2. Conformità alle leggi.
Ciascuna parte osserverà gli obblighi ad essa applicabili ai sensi della Legislazione Europea sulla Protezione dei Dati in relazione al trattamento di tali dati del Cliente.
2.3. Soggetto e dettagli del trattamento dei dati.
2.3.1. Soggetto.
SiteGround elaborerà i Dati del Cliente come necessario per la fornitura dei Servizi, il relativo supporto tecnico e altre richieste in conformità con il Contratto e come ulteriormente indicato dal Cliente nell'utilizzo dei Servizi.
2.3.2. Durata del dell'elaborazione
Fatta salva la Sezione 11, la durata del trattamento dei dati sarà la Durata indicata nell'Ordine e nel Contratto applicabile.
2.3.3.
Natura e scopo del trattamento.
SiteGround elaborerà i Dati del Cliente allo scopo di fornire i Servizi e il relativo supporto tecnico al Cliente in conformità al Contratto, a questo DPA e ad altre politiche pertinenti.
2.3.4. Categorie di Soggetto dei Dati.
Trattiamo i Dati personali relativi alle seguenti categorie di Soggetti dei dati:
•Soggetti che accedono e/o utilizzano i Servizi;
•Individui i cui dati vengono forniti a SiteGround tramite i Servizi da o per conto del Cliente o dagli utenti finali / visitatori del sito web del Cliente;
•Dipendenti, agenti, liberi professionisti, clienti e altri contraenti del Cliente, e qualsiasi altro soggetto i cui dati personali sono elaborati in relazione alla fornitura dei Servizi;
•individui che trasmettono dati tramite i Servizi, comp comprese le persone che collaborano e comunicano con il Cliente o gli utenti finali/visitatori del sito web del Cliente.
2.3.5. Categorie di Dati Personali.
Possiamo trattare le seguenti categorie di Dati personali nel corso della fornitura dei Servizi:
•Informazioni di identificazione personale (come il nome, ecc.);
•Dati di contatto (come indirizzo, indirizzo e-mail, numero di telefono, ecc.);
• Qualsiasi altro tipo di Dati personali degli Interessati trasmessi in relazione alla fornitura dei Servizi, compresi i Dati personali trattati nei log del Cliente o nei contenuti del Cliente (come l'indirizzo IP ecc.).
2.4. Ruoli delle Parti.
Le Parti riconoscono e accettano che:
1. SiteGround è un Responsabile del trattamento dei dati del Cliente ai sensi della Legislazione Europea sulla Protezione dei Dati;
2. Il Cliente è un Titolare del trattamento o un responsabile del trattamento, se applicabile, dei Dati del cliente ai sensi della Legislazione Europea sulla Protezione dei Dati; e ha ottenuto tutti i consensi e i diritti necessari ai sensi delle Leggi sulla Protezione dei Dati per SiteGround per elaborare i Dati del Cliente e fornire i servizi in conformità al presente accordo e al presente DPA.
2.5. Istruzioni per l'Elaborazione dei dati.
SiteGround elaborerà i Dati del cliente in conformità a questo DPA, che rappresenta le istruzioni complete e definitive del cliente a SiteGround in relazione al trattamento dei Dati del Cliente. L'elaborazione al di fuori dello scopo di questo DPA (se presente) richiede un accordo scritto preliminare tra SiteGround e il Cliente su ulteriori istruzioni per l'elaborazione. Entrando in questo DPA, il Cliente incarica SiteGround di elaborare i Dati del Cliente solo in conformità con la legge applicabile:
fornire i Servizi e il relativo supporto tecnico e di altro tipo;
come avviato dal Cliente e dagli utenti finali nel loro utilizzo dei Servizi;
come specificato nel Contratto, Termini di Servizio, Informativa sulla privacy e altre politiche pertinenti che regolano la fornitura dei Servizi e il relativo supporto tecnico e di altro tipo.
2.6. Accesso o uso.
SiteGround non può accedere o utilizzare i dati del Cliente, tranne quando sia necessario per prestare i Servizi e il relativo supporto tecnico e di altro tipo al Cliente in conformità con l’accordo, il Contratto e altri documenti pertinenti, e al fine di rispettare la legislazione applicabile, anche con un ordine valido e vincolante (ordinanza del tribunale o altri documenti vincolanti) di un organo di polizia e/o qualsiasi altra autorità competente / ente pubblico.
2.6.1. Elaborazione del Cliente.
Il Cliente, nel suo utilizzo dei Servizi, elaborerà i propri Dati in conformità a i requisiti delle leggi e dei regolamenti sulla Protezione dei Dati ad essi applicabili. Il Cliente è l'unico responsabile per l'accuratezza, la qualità e la legalità dei propri Dati e dei mezzi con cui il Cliente ha acquisito questi Dati.
2.6.2. Trattamento dei Dati del Cliente da parte di SiteGround.
SiteGround elaborerà i Dati del cliente solo per conto di e in conformità con le istruzioni documentate del Cliente per i seguenti scopi:
Fornire i Servizi ed il relativo supporto tecnico in accordo con questo DPA e con gli Ordini a cui si applica;
Processare i dati forniti dagli Utenti in accordo con i nostri termini di Servizio;
Processare i dati al fine di mantenere e migliorare i servizi.
2.6.3. Conformità alle istruzioni di SiteGround.
A partire dalla data effettiva SiteGround deve rispettare le istruzioni sopra descritte nella sezione Istruzioni del cliente, anche per quanto riguarda i trasferimenti di dati, a meno che la legge della UE o dello Stato membro dell'UE, cui SiteGround è soggetta, richieda altri trattamenti dei dati dei clienti da parte di SiteGround, nel qual caso SiteGround informerà il Cliente (a meno che la legge proibisca a SiteGround di farlo per importanti motivi di interesse pubblico) tramite il Sito o l'indirizzo email di notifica.
I Dati del cliente possono essere consultati ed elaborati da SiteGround, Utenti autorizzati e Sotto-processori per adempiere agli obblighi previsti dal presente DPA e dal rispettivo Accordo o per fornire determinati servizi per conto di SiteGround. Tale trattamento sarà conforme alle misure indicate nelle Misure di sicurezza delle Sezioni 3, Sezione 7 e Allegato 2.
2.7. Diritti degli interessati.
2.7.1. Accesso, rettifica, elaborazione limitata, portabilità.
Durante il Termine applicabile, SiteGround, in modo coerente con la funzionalità dei Servizi, consente al Cliente di accedere, rettificare e limitare l'elaborazione dei Dati del Cliente, anche mediante l'eliminazione di tutti o alcuni dei Dati del Cliente sotto il loro account o la cancellazione del intero account come descritto nella Sezione 2.8. (Restituzione e cancellazione dei dati del cliente) e tramite l'esportazione dei dati del cliente.
2.7.2. Richieste di soggetti dei dati.
2.7.2.1. Responsabilità del cliente per le richieste.
Se durante il Termine applicabile, SiteGround riceve una richiesta da un Soggetto dei Dati per esercitare il diritto di accesso del Soggetto dei dati, il diritto alla rettifica, la restrizione dell'elaborazione, la cancellazione ("diritto all'oblio"), la portabilità dei dati, l’opposizione al Trattamento o il suo diritto di non essere soggetto a un processo decisionale individuale automatizzato ("Richiesta di soggetto dei dati"), SiteGround informerà l'interessato di inviare la sua richiesta al Cliente, e il Cliente sarà responsabile di rispondere a tali richieste incluso, ove necessario, utilizzando la funzionalità dei Servizi. SiteGround, nella misura consentita dalla legge, adotta misure commercialmente ragionevoli per notificare al Cliente tali richieste.
2.7.2.2. Assistenza richiesta da soggetto dei dati a SiteGround.
Tenendo conto della natura del Trattamento, il Cliente accetta che SiteGround fornisca un'assistenza tecnica e organizzativa adeguata, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Cliente di rispondere alle richieste dei Soggetti dei Dati, incluso l'eventuale obbligo del Cliente di rispondere alle richieste per esercitare i diritti dell'interessato di cui al capo III del GDPR, da:
(a) fornire risorse di documentazione sotto forma di tutorial e articoli della knowledge base, funzionalità e/o controlli nel Pannello di controllo che il Cliente può scegliere di utilizzare per configurare correttamente i Servizi e utilizzare i Servizi in modo sicuro.
(b) fornire caratteristiche, funzionalità e/o controlli nel Pannello di controllo che il Cliente può scegliere di utilizzare per recuperare, correggere o cancellare i Dati del Cliente dai Servizi.
(c) rispettare gli impegni stabiliti nel presente DPA.
(d) Nella misura in cui il Cliente, nel suo utilizzo dei Servizi, non abbia la capacità di rispondere a una Richiesta di Soggetto dei Dati, SiteGround dovrà, a richiesta del Cliente, fornire sforzi commercialmente ragionevoli per aiutare il Cliente a rispondere a tale Richiesta di Soggetto dei dati, nella misura in cui SiteGround sia legalmente autorizzata a farlo e la risposta a tale richiesta di dati è data ai sensi delle leggi e dei regolamenti sulla protezione dei dati. Nella misura consentita dalla legge, il Cliente sarà responsabile per qualsiasi costo derivante dall'erogazione di tale assistenza da parte di SiteGround.
2.8. Restituzione e cancellazione dei dati del cliente.
SiteGround consentirà al Cliente di cancellare i Dati del Cliente durante la durata applicabile in un modo coerente con la funzionalità dei Servizi e le caratteristiche secondo il rispettivo Ordine. Se il Cliente utilizza i Servizi per recuperare o eliminare i Dati del Cliente e i Dati del Cliente non possono essere recuperati, ciò costituirà un'istruzione a SiteGround per cancellare i Dati del Cliente archiviati sui sistemi di backup in conformità alla legge applicabile e entro un periodo massimo di 60 giorni di calendario.
La disattivazione dei Servizi o la scadenza del Termine applicabile costituiranno un'istruzione a SiteGround per l'eliminazione dei Dati del Cliente e dei Dati del Cliente archiviati sui sistemi di backup entro un periodo massimo di 60 giorni di calendario.
Nulla di quanto contenuto in questa Sezione 2.8 varia o modifica l'obbligo di SiteGround di conservare alcuni o tutti i Dati del Cliente necessari per conformarsi alla legge o ad un ordine valido e vincolante delle forze dell’ordine (come una citazione o un'ingiunzione del tribunale).
2.9. Divulgazione dei dati.
SiteGround non divulgherà i Dati del Cliente a nessun governo, forze dell'ordine o altra autorità, salvo se necessario per ottemperare alla legge o a un ordine valido e vincolante di un ente incaricato dell'applicazione della legge (come una citazione o un'ingiunzione del tribunale) di un organo di polizia e/o qualsiasi altra autorità competente / ente pubblico. Al ricevimento di una richiesta da parte delle autorità di un paese terzo, SiteGround agirà in conformità alla clausola 15 delle clausole contrattuali standard. SiteGround può anche divulgare i dati del cliente a terzi nel caso in cui SiteGround venda o acquisti qualsiasi attività o beni, nel qual caso SiteGround può divulgare i dati del cliente al potenziale venditore o acquirente, o nel caso in cui SiteGround venda, acquisti, si fonda, sia acquisito, o partner con altre società o imprese, o venda alcuni o tutti i suoi beni.
2.10. Personale di SiteGround.
SiteGround limita il suo personale dall'elaborazione dei Dati del cliente senza autorizzazione da parte di SiteGround. L'accesso ai Dati del cliente è limitato al personale che svolge un ruolo e responsabilità in conformità con il Contratto.
SiteGround impone obblighi contrattuali adeguati al proprio personale, compresi gli obblighi relativi alla riservatezza, alla protezione dei dati e alla sicurezza dei dati. SiteGround garantisce che questi obblighi di riservatezza sopravvivano alla cessazione dell'incarico personale.
2.11. Responsabile della protezione dei dati.
In conformità con la legislazione vigente sulla protezione dei dati, SiteGround ha nominato un responsabile della protezione dei dati, che può essere contattato all’indirizzo dpo@siteground.es.
3. Subincaricati
3.1. Consenso all’utilizzo di sub-incaricati/ Sub-processors
(a) Il cliente prende atto e accetta che:
(b) I Partner di SiteGround potrebbero essere ritenuti Subincaricati; e
SiteGround ed i partner di SiteGround potrebbero impiegare sub-incaricati per poter fornire i propri rispettivi Servizi. SiteGround ha realizzato un accordo scritto con ciascun Subincaricato contenente gli obblighi per la protezione dei dati, non meno restrittiva rispetto a quanto contenuto in questo DPA per quanto riguarda la protezione dei Dati del Cliente in base al contesto applicabile alla natura del Servizio fornito dal sub-incaricato. Se il Cliente rientra nelle Clausole del Contratto Standard (Allegato 1) come descritto nella Sezione 5 (Trasferimento dei Dati al di fuori della EEA), le autorizzazioni di cui sopra costituiscono un consenso scritto del Cliente al sub-contratto di SiteGround per la gestione dei Dati del Cliente se questo consenso è richiesto in base alle Clausole del Contratto Standard.
3.2. Informazioni sui Subincaricati.
3.2.1. SiteGround ti informerà di tutti i sub-incaricati, così come di tutte le aziende del Gruppo SiteGround che sono utilizzate per fornire i Servizi relativi al tuo Accordo e che hanno sede in e/o al di fuori dell'UE, SEE o Regno Unito. I sub-incaricati processeranno i dati forniti in base alle istruzioni di SiteGround e in accordo con la Policy della Privacy e questo DPA.
3.2.2. Un elenco dei Sub- incaricati di SiteGround può essere divulgato su richiesta, conformemente all'Allegato 3.
3.3. Requisiti per l'utilizzo del Subincaricati.
Quando viene ingaggiato un Subincaricato, SiteGround si impegna a:
(a) assicurare mediante contratto scritto che:
(i) il Subincaricato accede ed utilizza i Dati del Cliente soltanto per i fini richiesti per eseguire le operazioni richieste dall’incarico, e solo in ottemperanza all’Accordo (incluso questo Accordo sul Trattamento dei Dati) ed ogni Clausola del Contratto Standard relativo o alla Soluzione di Trasferimento Alternativa adottata da SiteGround come descritto nella sezione 5 (Trasferimento dei Dati al di fuori della EEA) e
(ii) se il GDPR è applicabile al trattamento dei Dati del Cliente, gli obblighi di protezione dei dati specificati nell’Articolo 28(3) del GDPR, come descritto in questo Accordo per il Trattamento dei Dati, sono imposti al sub-incaricato, e
(b) rimanere unica responsabile per tutti gli obblighi imposti, e tutti gli atti o le omissioni del Subincaricato.
3.4. Diritto di Obiezione per nuovi Subincaricati.
3.4.1. Il cliente può obiettare a qualsiasi nuovo Subincaricato di terze parti, terminando l’Accordo in essere, tramite notifica scritta immediata a SiteGround, a condizione che il Cliente fornisca questa notifica entro 10 giorni di calendario dalla data in cui viene informato dell’ingaggio del sub-incaricato. Il diritto a terminare il contratto è l’unico ed esclusivo rimedio del Cliente se obietta ad un Subincaricato di terze parti.
3.4.2. SiteGround si impegna a rimborsare il Cliente di qualsiasi costo pagato in anticipo facendo coprendo la parte mancante al termine dell’Ordine(i) in base all’effettiva data di termine per quanto concerne i Servizi terminati, senza imporre alcuna penale per questa Cancellazione da parte del Cliente.
4. Valutazioni d'impatto sulla protezione dei dati e consultazioni.
Su richiesta del Cliente, SiteGround si impegna a fornire al Cliente una ragionevole collaborazione e assistenza per poter soddisfare tutti gli obblighi del Cliente relativi al GDPR, per poter fornire una valutazione dell’impatto della protezione dei dati relativa all’utilizzo dei Servizi da parte del Cliente, in modo che il Cliente non debba accedere alle informazioni rilevanti, e al fine che queste informazioni siano disponibili per SiteGround. SiteGround si impegna a fornire una ragionevole assistenza al Cliente in collaborazione, o previa consultazione con l’Autorità Garante per poter prestare i propri obblighi in base a questo DPA, per i fini previsti dal GDPR.
5. Trasferimenti fuori dall'UE, SEE e Regno Unito.
5.1. Centro elaborazione dati.
SiteGround memorizza e processa i Dati del Cliente in Data Center localizzati all’interno e all’esterno dell’Unione Europea. Per maggiori informazioni sulle località dei nostri Data Center è possibile consultare :https://www.siteground.com/datacenters. SiteGround si riserva il diritto di aggiornare la lista periodicamente.
Il Cliente può specificare la location del Data Center dove archiviare i propri dati. Il Cliente accetta che SiteGround potrebbe cambiare la località del Data Center e spostare i Dati del Cliente presso un altro Data Center. SiteGround si impegna ad informare il Cliente con almeno 10 giorni di calendario di anticipo, prima di spostare i Dati del Cliente inviando un’email all’Indirizzo Email per le Notifiche, oppure tramite l’Area Cliente. Se la modifica del Data Center implica anche la memorizzazione dei Dati del Cliente in una differente giurisdizione, il Cliente può obiettare alla modifica, terminando l’Accordo immediatamente e mediante notifica scritta a SiteGround, a condizione che il Cliente ne fornisca comunicazione entro 10 giorni di calendario dopo essere stato informato del cambio del Data Center.
Il Cliente può spostare l’account ed i Dati del Cliente ad un Data Center in altra località in qualsiasi momento, a condizione che le funzionalità del Servizio lo consentano e solo previo pagamento di un costo aggiuntivo. Una volta che il Cliente ha fatto la propria scelta e specificato un Data Center di propria scelta localizzato all’interno dell’Unione Europea, SiteGround non memorizzerà i Dati del Clienti al di fuori dei confini dell’Unione Europea, ad esclusione dei casi necessari per poter ottemperare alla legge o per un valido e vincolante di un’autorità giudiziaria (come ad esempio un mandato o un’ingiunzione).
5.2. Località di trattamento.
Nel caso in cui il Cliente abbia specificato un Data Center al di fuori dell'UE, dello Spazio Economico Europeo o del Regno Unito e il relativo supporto di natura tecnica o di altra natura, il Cliente accetta che SiteGround potrebbe, come previsto dalla sezione 5, accedere e processare i dati in UE, SEE, Regno Unito, Asia, Australia e Stati Uniti e qualsiasi altro paese dove SiteGround e/o i suoi Partners e Subincaricati possiedono Data Center, sedi o eseguano operazioni di trattamento dei dati. Questo tipo di operazioni internazionali di trasferimento dati possono verificarsi al momento della fornitura di uno qualsiasi dei servizi forniti da SiteGround, compreso il servizio Content Delivery Network (CDN).
Le ubicazioni geografiche dei server a cui può avvenire il suddetto trasferimento di dati sono elencate sul nostro sito web e sono oggetto a modifiche a nostra esclusiva discrezione.
Se l'archiviazione e/o l'elaborazione dei Dati del cliente comporta il trattamento dei Dati del cliente al di fuori del SEE e si applica il GDPR dell'UE, allora il presente Accordo e l'Allegato 1, contenente le Clausole contrattuali standard, si applicano automaticamente come tutela contrattuale del trasferimento internazionale dei dati.
Se la memorizzazione e/o il trattamento dei Dati del cliente comprende il trattamento dei Dati del cliente al di fuori del Regno Unito ed è applicabile il Regolamento Generale sulla Protezione dei Dati del Regno Unito, allora il presente Accordo e l'Allegato 4, contenente l'Accordo di trasferimento internazionale dei dati, si applicheranno automaticamente come adempimento contrattuale del trasferimento internazionale dei dati.
5.3. Meccanismo di trasferimento.
Per quanto riguarda il trattamento o trasferimento (diretto o via trasferimento successivo) da parte di SiteGround dei Dati del Cliente trattati in questo DPA dall’Unione Europea, dallo Spazio Economico Europeo, dal Regno Unito in o verso paesi che non assicurano un livello adeguato di protezione dei dati entro i sensi delle Leggi per la Protezione dei Dati applicabili nei territori precedenti, le parti concordano che:
1. Il Cliente autorizza con la presente qualsiasi trasferimento o accesso ai Dati del Cliente da e verso tali destinazioni al di fuori dell'Unione Europea, dello Spazio Economico Europeo e del Regno Unito;
2. Si ritiene che SiteGround fornisca adeguate e proporzionate misure tecniche e organizzative di protezione dei dati e di mitigazione del rischio di cybersecurity, nonché effettui le opportune valutazioni del rischio quando trasferisce i Dati del Cliente al di fuori dell'UE, dello SEE e del Regno Unito;
3. Si SiteGround sarà ritenuta in grado di fornire appropriate misure di sicurezza per proteggere i Dati del Cliente rendendo disponibili le Clausole contrattuali standard (Allegato 1) e dell'Accordo internazionale di trasferimento dati (Allegato 4) come meccanismo di trasferimento.
3.1. Le clausole contrattuali standard (Allegato 1) si applicano ai dati del cliente che vengono trasferiti, quando l'interessato si trova nell'UE o nello SEE;
3.2. L'Accordo internazionale per il trasferimento dei dati (Allegato 4) si applicherà ai dati del cliente che vengono trasferiti quando l'interessato si trova nel Regno Unito.
6. Trattamento degli Archivi
Il cliente riconosce che a SiteGround è richiesto, sottostando alla GDPR, di:
(a) collezionare e mantenere archivi dei determinate informazioni, inclusi il nome e dettagli di contatto di ogni processor e/o controllore in vece del quale SiteGround sta agendo e, dove applicabile, dei rappresentanti locali e ufficiali della protezione dei dati di tali processor/controllori; e
(b) rendere tali informazioni disponibili alle autorità di supervisione. Di conseguenza, se la GDPR si applica al trattamento dei dati del Clienti, il Cliente potrà, quando richiesto, fornire tali informazioni a SiteGround attraverso il Sito o altri mezzi forniti da SiteGround, e potrà usare il Sito o tali altri mezzi per assicurarsi che tutte le informazioni fornite siano mantenute accurate e aggiornate.
7. Responsabilità di sicurezza di SiteGround.
7.1. Misure di sicurezza.
SiteGround implementerà e manterrà misure tecniche e organizzative per proteggere i Dati del Cliente da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso, accidentale o illegale come descritto nell’Appendice 2 (“Misure di Sicurezza). Come descritto in Appendice 2, le Misure di Sicurezza includono misure atte a fornire la trasmissione criptata dei dati del cliente al di fuori dell’ambiente del Servizio; per aiutare a garantire confidenzialità, integrità, disponibilità e resilienza costanti dei sistemi e servizi di SiteGround; per assistere nel puntuale ripristino dell’accesso ai Dati del Cliente da una copia di backup disponibile, fornita dai Servizi di Backup di SiteGround o da una copia privata del Cliente a seguito di un incidente; e per i regolari test di efficacia. SiteGround potrà aggiornare o modificare le Misure di Sicurezza di volta in volta, purché questi aggiornamenti e modifiche non risultino nella degradazione della sicurezza generale dei Servizi.
7.2. Responsabilità e stime di sicurezza del Cliente.
Il Cliente concorda che, senza pregiudizi nei confronti dei doveri di SiteGround sotto la sezione 7. (Responsabilità di Sicurezza di Siteground) ed altre Sezioni rilevanti di questo DPA:
7.2.1. Il Cliente è responsabile unicamente per il proprio uso dei suoi Servizi, inclusi:
i. fare uso appropriato dei Servizi per assicurare un livello di sicurezza adatto al rischio nei confronti dei Dati del Cliente e il contenuto del suo account di hosting;
ii. proteggere le credenziali di autenticazione dell’account, sistemi e dispositivi che il cliente usa per accedere al Servizio;
iii. assicurarsi che tutti i programmi, script, add-on, plugin e gli altri software installati sul suo account siano sicuri, correttamente configurati e regolarmente mantenuti, e che il loro utilizzo non rappresenti un rischio per la sicurezza rispetto ai Dati del Cliente e l’account stesso;
7.2.2. SiteGround non ha obblighi nel proteggere i Dati del Cliente che il Cliente decide di immagazzinare o trasferire al di fuori dei sistemi di SiteGround e dei suoi sub-processors (per esempio, offline o su storage on-premise), o di proteggere i Dati del Cliente implementando o mantenendo Controlli di Sicurezza Addizionali fatta eccezione nella misura che il Cliente ha deciso di usare.
7.2.3. Il Cliente è solo responsabile per la revisione e valutazione riguardo al modo in cui i Servizi, Misure di Sicurezza, impegni di SiteGround sotto questa Sezione e seguente rispecchino le necessità del cliente, inclusa ogni obbligazione per il Cliente sottostante la Legislazione Europea per la Protezione dei Dati e/o la Legislazione Non Europea per la Protezione dei Dati, come applicabile.
7.2.4. Il Cliente riconosce ed accorda che (prendendo in considerazione i costi dell’implementazione e la natura, scopo, contesto e finalità del trattamento dei Dati del Cliente e del rischio per gli individui) le Misure di Sicurezza implementate e mantenute da SiteGround come descritto nella Sezione 7.1 forniscono un livello di sicurezza appropriato al rischio nel rispetto dei Dati del Cliente.
7.2.5 E’ responsabilità del Cliente fare backup dei Dati del Clienti ed ogni dato e consenso immagazzinato nell’account per prevenire ogni possibile perdita di dati. I servizi di backup di SiteGround sono forniti "così come sono" e sono soggetti a tutte le limitazioni di responsabilità decise nell'Accordo applicabile. Nell’evento di una perdita o corruzione parziale o integrale di dati e nel caso in qui il Cliente non sia soddisfatto dell’esito del ripristino dei Servizi di Backup di SiteGround o la copia di SiteGround non sia recente o adatta al ripristino, sarà responsabilità del Cliente ripristinare i Dati del Cliente, i propri file e ogni dato all’interno dell’account dal Backup privato.
8. Revisione e audit di conformità.
Se la Legislazione Europea di Protezione dei Dati si applica al trattamento dei Dati del Cliente:
1. Il Cliente ha il diritto di verificare la conformità di SiteGround con i doveri della Legislazione sotto questo DPA, conducendo una revisione della documentazione o un Audit, includendo ispezioni, condotte dal Cliente o da un auditor indipendente scelto dal Cliente, facendo specifica richiesta a SiteGround in un form scritto all’indirizzo menzionato nei rispettivi Termini di Servizio.
2. SiteGround dovrà fornire ulteriori risposte a tutte le ragionevoli richieste da parte del Cliente e potrebbe far pagare una tassa per ogni revisione o audit che siano non necessari o eccessivamente gravosi. SiteGround fornirà dettagli di ogni tassa applicabile in anticipo rispetto ad ogni Audit di questo tipo e il Cliente sarà responsabile per ogni tassa applicata da un auditor e ogni tassa associata con l’esecuzione dell’audit. I rapporti di ogni audit saranno resi disponibili a SiteGround senza restrizioni per l’utilizzo da parte di SiteGround.
3. SiteGround potrà obiettare e declinare gli audit, scrivendo al Cliente o all’auditor scelto dal Cliente se il Cliente o l’auditor sono, nella ragionevole opinione di SiteGround, non qualificati o indipendenti a sufficienza, concorrente di SiteGround, o manifestamente non adatto.
4. Se SiteGround rifiuta di seguire qualsiasi istruzione richiesta da Cliente o auditor riguardo a audit o ispezioni richieste e motivate correttamente, il Cliente è intitolato a terminare questo DPA e i Termini di Servizio.
5. Nulla in questa sezione 8 (Revisioni e Audit di conformità) varia o modifica alcun diritto o dovere del Cliente o SiteGround ai sensi delle clausole contrattuali standard come descritto nella Sezione 5.
9. Notifica di Falla nella Sicurezza.
9.1. SiteGround mantiene policy e procedure di gestione di incidenti di sicurezza e notificherà i Clienti senza alcun ritardo dopo aver appreso di distruzione, perdita, alterazione, divulgazione non autorizzata, accidentale o illegale, o accesso ai Dati del Cliente, inclusi i Dati del Cliente trasmessi, immagazzinati o Trattati in ogni modo da SiteGround o dai sui Sub-processor dei quali SiteGround sia messa a conoscenza (un “Incidente di Dati del Cliente”). SiteGround dovrà fare gli sforzi ragionevoli per identificare la causa di tale Incidente e fare quanto SiteGround ritenga necessario e ragionevole per rimediare alla causa di tale Incidente di Dati del Clienti nella misura in cui il rimedio sia all’interno del controllo ragionevole di SiteGround. I doveri qui menzionati non si applicano a incidenti causati dal Cliente, dall’uso dei Servizi del Cliente, le azioni del Cliente o attività o Utenti del Cliente.
9.2. Le Notifiche inviate seguendo questa Sezione, dovranno descrivere, nella misura del possibile, dettagli dell’Incidente sui Dati, includendo anche i passi seguiti per mitigare potenziali rischi e passi suggeriti da SiteGround al Cliente per approcciare l’Incidente sui Dati.
9.3. Notifica/e di ogni Incidente sui Dati, deve essere inviata all’Indirizzo Email di Notifica, o a discrezione di SiteGround, tramite comunicazione diretta (ad esempio, una telefonata). Il Cliente sarà solo responsabile di assicurarsi che l’Indirizzo Email di Notifica e informazioni di contatto specificate nella sezione "Dettagli del profilo del proprietario" della sua Area Clienti siano corrette e valide.
9.4. SiteGround non dovrà valutare i contenuti dei Dati del Cliente per identificare informazioni soggette a qualsiasi requisito legale speciale. Il Cliente sarà solo responsabile di essere conforme alle leggi di notifica incidenti applicabile al Cliente e soddisfare ogni dovere di notifica di terze parti relativo ad ogni Incidente sui Dati.
9.5. La notifica di o risposta a un Incidente sui Dati da parte di SiteGround sotto la sezione 9 non dovrebbero essere interpretati come ammissione da parte di SiteGround di colpe o responsabilità nei confronti dell’Incidente sui Dati.
10. Responsabilità e indennità.
10.1 Il Cliente dovrebbe indennizzare e mantenere indennizzata SiteGround rispetto a tutte le falle di protezione dei dati e perdite sofferte o causate da, sorte da o in connessione con:
(a) ogni non-conformità del Cliente con leggi e regolamentazioni sulla protezione dei dati;
(b) ogni falla derivante dal Cliente o dai suoi doveri di protezione dati sotto a questo Accordo;
10.2. SiteGround sarà responsabile delle falle e perdite sulla protezione dei dati causate dall’Elaborazione dei Dati del Cliente solo nella misura direttamente risultante dalla mancata adempienza di SiteGround ai propri doveri come Processor dei Dati sotto le leggi e regolamentazioni sulla Protezione dei Dati. La responsabilità di SiteGround ai sensi dell’Accordo sarà soggetta alle esclusioni e limitazioni di responsabilità stabilite nel Contratto.
11. Cessazione.
Questo DPA avrà effetto dalla Data Effettiva fino alla fine della fornitura dei Servizi da parte di SiteGround sotto l’Accordo applicabile, incluso, se applicabile, ogni periodo durante il quale i Servizi siano stati sospesi ed ogni periodo post-terminazione (nella fattispecie 60 giorni di Calendario) durante il quale SiteGround potrebbe continuare a fornire Servizi per scopi di Transizione ("Termine"). Nulla nella presente Sezione 11 varia o modifica qualsiasi obbligo della SiteGround di conservare alcuni o tutti i Dati del Cliente come necessario per rispettare la legislazione applicabile o una ordine valido e vincolante (ordinanza del tribunale o altri documenti vincolanti) di un'organo di polizia e/o qualsiasi altra autorità competente/organismo statale. Il DPA scadrà automaticamente alla cancellazione di tutti i Dati del Cliente da SiteGround.
12. Effetto legale. Modifiche.
12.1. Nel caso di conflitti o inconsistenza tra i termini di questo DPA ed il contenuto dell’Accordo applicabile relativo al Trattamento dei Dati Personali, fanno fede i termini di questo DPA. L’Accordo rimane comunque in vigore, seppur soggetto ad eventuali integrazioni, se presenti, di questo DPA. Per maggior chiarezza, se il Cliente rientra in più di un Accordo, questo DPA rettifica ciascuno degli Accordi separatamente.
12.2. SiteGround può modificare i termini del presente Accordo in qualsiasi momento. Se apporteremo modifiche sostanziali al presente Accordo, lo comunicheremo qui, via e-mail, o inviando un avviso tramite il nostro sito web o tramite la tua Area Clienti, almeno dieci (10) giorni di calendario prima che le modifiche entrino in vigore. Le modifiche non sostanziali del presente Accordo avranno effetto immediato.
ALLEGATO
CLAUSOLE CONTRATTUALI TIPO
SEZIONE I
Clausola 1
Scopo e ambito di applicazione
(a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) in caso di trasferimento di dati personali verso un paese terzo.
(b) Le parti:
(i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le "entità") che trasferiscono i dati personali, elencate nell'allegato I.A. (di seguito "esportatore"), e
(ii) la o le entità di un paese terzo che ricevono i dati personali dall'esportatore, direttamente o indirettamente tramite un'altra entità anch'essa parte delle presenti clausole, elencate nell'allegato I.A. (di seguito "importatore")
hanno accettato le presenti clausole contrattuali tipo (di seguito "clausole").
(c) Le presenti clausole si applicano al trasferimento di dati personali specificato all'allegato I.B.
(d) L'appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.
Clausola 2
Effetto e invariabilità delle clausole
(a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell'appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
(b) Le presenti clausole non pregiudicano gli obblighi cui è soggetto l'esportatore a norma del regolamento (UE) 2016/679.
Clausola 3
Terzi beneficiari
(a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore, con le seguenti eccezioni:
(i) clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;
(ii) clausola 8 - modulo uno: clausola 8.5, lettera e), e clausola 8.9, lettera b); modulo due: clausola 8.1, lettera b), clausola 8.9, lettere a), c), d) ed e); modulo tre: clausola 8.1, lettere a), c) e d), e clausola 8.9, lettere a), c), d), e), f) e g); modulo quattro: clausola 8.1, lettera b), e clausola 8.3, lettera b);
(iii) clausola 9 - modulo due: clausola 9, lettere a), c), d) ed e); modulo tre: clausola 9, lettere a), c), d) ed e);
(iv) clausola 12 - modulo uno: clausola 12, lettere a) e d); moduli due e tre: clausola 12, lettere a), d) e f);
(v) clausola 13;
(vi) clausola 15.1, lettere c), d) ed e);
(vii) clausola 16, lettera e);
(viii) clausola 18 - moduli uno, due e tre: clausola 18, lettere a) e b); modulo quattro: clausola 18.
(b) La lettera a) lascia impregiudicati i diritti degli interessati a norma del regolamento (UE) 2016/679.
Clausola 4
Interpretazione
(a) Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento.
(b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
(c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679.
Clausola 5
Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 6
Descrizione dei trasferimenti
I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali i dati sono trasferiti, sono specificati nell'allegato I.B.
Clausola 7 — Facoltativa
Clausola di adesione successiva
(a) Un'entità che non sia parte delle presenti clausole può, con l'accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l'appendice e firmando l'allegato I.A.
(b) Una volta compilata l'appendice e firmato l'allegato I.A, l'entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell'allegato I.A.
(c) L'entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all'adesione.
SEZIONE II - OBBLIGHI DELLE PARTI
Clausola 8
Garanzie in materia di protezione dei dati
L'esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l'importatore, grazie all'attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.
8.1 Istruzioni
(a) L'importatore tratta i dati personali soltanto su istruzione documentata dell'esportatore. L'esportatore può impartire tali istruzioni per tutta la durata del contratto.
(b) L'importatore informa immediatamente l'esportatore qualora non sia in grado di seguire tali istruzioni.
8.2 Limitazione delle finalità
L'importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all'allegato I.B, salvo ulteriori istruzioni dell'esportatore.
8.3 Trasparenza
Su richiesta, l'esportatore mette gratuitamente a disposizione dell'interessato una copia delle presenti clausole, compresa l'appendice compilata dalle parti. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, comprese le misure descritte nell'allegato II e i dati personali, l'esportatore può espungere informazioni dall'appendice delle presenti clausole prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l'interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all'interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte. Questa clausola lascia impregiudicati gli obblighi incombenti all'esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.4 Esattezza
Se l'importatore viene a conoscenza del fatto che i dati personali che ha ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l'esportatore. In tal caso, l'importatore coopera con l'esportatore per cancellarli o rettificarli.
8.5 Durata del trattamento e cancellazione o restituzione dei dati
L'importatore tratta i dati personali soltanto per la durata specificata nell'allegato I.B. Al termine della prestazione dei servizi di trattamento l'importatore, a scelta dell'esportatore, cancella tutti i dati personali trattati per conto dell'esportatore e certifica a quest'ultimo di averlo fatto, oppure restituisce all'esportatore tutti i dati personali trattati per suo conto e cancella le copie esistenti. Finché i dati non sono cancellati o restituiti, l'importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all'importatore vieti la restituzione o la cancellazione dei dati personali, l'importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. Ciò lascia impregiudicata la clausola 14, in particolare il requisito per l'importatore, a norma della clausola 14, lettera e), di informare l'esportatore per tutta la durata del contratto se ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).
8.6 Sicurezza del trattamento
(a) L'importatore e, durante la trasmissione, anche l'esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l'attribuzione dei dati personali a un interessato specifico restano, ove possibile, sotto il controllo esclusivo dell'esportatore. Nell'adempiere all'obbligo ai sensi del presente paragrafo, l'importatore mette in atto almeno le misure tecniche e organizzative specificate nell'allegato II. L'importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
(b) L'importatore concede l'accesso ai dati personali ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
(c) In caso di violazione dei dati personali trattati dall'importatore a norma delle presenti clausole, l'importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne gli effetti negativi. L'importatore informa l'esportatore senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), le sue probabili conseguenze e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, se del caso anche per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo;
(d) L'importatore coopera con l'esportatore e lo assiste per consentirgli di adempiere agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare di dare notifica all'autorità di controllo competente e agli interessati in questione, tenuto conto della natura del trattamento e delle informazioni di cui dispone l'importatore.
8.7 Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo "dati sensibili"), l'importatore applica le limitazioni specifiche e/o le garanzie supplementari di cui all'allegato I.B.
8.8 Trasferimenti successivi
L'importatore comunica i dati personali a terzi soltanto su istruzione documentata dell'esportatore. L'importatore non comunica i dati personali a terzi situati al di fuori dell'Unione europea (nel suo stesso paese o in un altro paese terzo - di seguito: "trasferimento successivo"), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato.
(i) il trasferimento successivo è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell'articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
(ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell'articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
(iii) il trasferimento successivo è necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria nell'ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
(iv) il trasferimento successivo è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell'importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.9 Documentazione e rispetto
(a) L'importatore risponde prontamente e adeguatamente alle richieste di informazioni dell'esportatore relative al trattamento a norma delle presenti clausole.
(b) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l'importatore conserva documentazione adeguata delle attività di trattamento effettuate per conto dell'esportatore.
(c) L'importatore mette a disposizione dell'esportatore tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e, su richiesta dell'esportatore, consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un'attività di revisione, l'esportatore può tenere conto delle pertinenti certificazioni in possesso dell'importatore.
(d) L'esportatore può scegliere di condurre l'attività di revisione autonomamente o di incaricare un revisore indipendente. Le attività di revisione possono comprendere ispezioni nei locali o nelle strutture fisiche dell'importatore e, se del caso, sono effettuate con un preavviso ragionevole.
(e) Le parti mettono a disposizione dell'autorità di controllo competente, su richiesta, le informazioni di cui alle lettere b) e c), compresi i risultati di eventuali attività di revisione.
Clausola 9
Ricorso a sub-responsabili del trattamento
L'importatore ha l'autorizzazione generale dell'esportatore per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. L'importatore informa specificamente per iscritto l'esportatore di eventuali modifiche previste di tale elenco riguardanti l'aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno 10 giorni, dando così all'esportatore tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento. L'importatore fornisce all'esportatore le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
(b) Qualora l'importatore ricorra a un sub-responsabile del trattamento per l'esecuzione di specifiche attività di trattamento (per conto dell'esportatore), stipula un contratto scritto che prevede, nella sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l'importatore a norma delle presenti clausole, anche in termini di diritti del terzo beneficiario per gli interessati8. Le parti convengono che, conformandosi alla presente clausola, l'importatore adempie agli obblighi di cui alla clausola 8.8. L'importatore garantisce che il sub-responsabile del trattamento rispetta gli obblighi cui l'importatore è soggetto in conformità delle presenti clausole.
(c) Su richiesta dell'esportatore, l'importatore gli fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, l'importatore può espungere informazioni dal contratto prima di trasmetterne una copia.
(d) L'importatore rimane pienamente responsabile nei confronti dell'esportatore dell'adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con l'importatore. L'importatore notifica all'esportatore qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi derivanti da tale contratto.
(e) L'importatore concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora l'importatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l'esportatore ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest'ultimo di cancellare o restituire i dati personali.
Clausola 10
Diritti dell'interessato
(a) L'importatore notifica prontamente all'esportatore qualunque richiesta ricevuta da un interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dall'esportatore.
(b) L'importatore assiste l'esportatore nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti in virtù del regolamento (UE) 2016/679. A tale riguardo, le parti stabiliscono nell'allegato II le misure tecniche e organizzative adeguate, tenuto conto della natura del trattamento, mediante le quali è fornita l'assistenza, nonché l'ambito di applicazione e la portata dell'assistenza richiesta.
(c) Nell'adempiere agli obblighi di cui alle lettere a) e b), l'importatore si attiene alle istruzioni dell'esportatore.
Clausola 11
Ricorso
(a) L'importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.
(b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.
(c) Qualora l'interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l'importatore accetta la decisione dell'interessato di:
(i) proporre reclamo all'autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all'autorità di controllo competente in conformità della clausola 13;
(ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.
(d) Le parti accettano che l'interessato possa essere rappresentato da un organismo, un'organizzazione o un'associazione senza scopo di lucro alle condizioni di cui all'articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
(e) L'importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell'UE o degli Stati membri.
(f) L'importatore dichiara che la scelta compiuta dall'interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.
Clausola 12
Responsabilità
(a) Ciascuna parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
(b) L'importatore è responsabile nei confronti dell'interessato per i danni materiali o immateriali che egli stesso o il suo sub-responsabile del trattamento ha causato all'interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l'interessato ha il diritto di ottenere il risarcimento.
(c) Nonostante la lettera b), l'esportatore è responsabile nei confronti dell'interessato per i danni materiali o immateriali che egli stesso o l'importatore (o il suo sub-responsabile del trattamento) ha causato all'interessato violando i diritti del terzo beneficiario riconosciuti dalle presenti clausole, e l'interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell'esportatore e, qualora l'esportatore sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso.
(d) Le parti convengono che, se l'esportatore è ritenuto responsabile a norma della lettera c) per i danni causati dall'importatore (o dal suo sub-responsabile del trattamento), egli ha il diritto di reclamare dall'importatore la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno.
(e) Qualora più di una parte sia responsabile per un danno causato all'interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l'interessato ha il diritto di agire in giudizio contro una qualunque di loro.
(f) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera e), essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
(g) L'importatore non può invocare il comportamento di un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
Clausola 13
Controllo
(a) Qualora l'esportatore sia stabilito in uno Stato membro dell'UE:] L'autorità di controllo responsabile di garantire che l'esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all'allegato I.C, agisce in qualità di autorità di controllo competente.
(b) L'importatore accetta di sottoporsi alla giurisdizione dell'autorità di controllo competente e di cooperare con la stessa nell'ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l'importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall'autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all'autorità di controllo conferma scritta che sono state adottate le misure necessarie.
SEZIONE III — LEGISLAZIONE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE
Clausola 14
Legislazione e prassi locali che incidono sul rispetto delle clausole
(a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscono all'importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all'articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.
(b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi:
(i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti;
(ii) la legislazione e le prassi del paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili;
(iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
(c) L'importatore garantisce che, nell'effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all'esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l'esportatore per garantire il rispetto delle presenti clausole.
(d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell'autorità di controllo competente su richiesta.
(e) L'importatore accetta di informare prontamente l'esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un'applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a).
(f) A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l'importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l'esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l'importatore devono adottare per far fronte alla situazione. L'esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione dell'autorità di controllo competente. In tal caso l'esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l'esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e).
Clausola 15
Obblighi dell'importatore in caso di accesso da parte di autorità pubbliche
15.1 Notifica
(a) L'importatore accetta di informare prontamente l'esportatore e, ove possibile, l'interessato (se necessario con l'aiuto dell'esportatore) se:
(i) riceve una richiesta giuridicamente vincolante di un'autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull'autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
(ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all'importatore.
(b) Se la legislazione del paese di destinazione vieta all'importatore di informare l'esportatore e/o l'interessato, l'importatore accetta di fare tutto il possibile per ottenere un'esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell'esportatore, l'importatore accetta di documentare di aver fatto tutto il possibile.
(c) Laddove consentito dalla legislazione del paese di destinazione, l'importatore accetta di fornire periodicamente all'esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.).
(d) L'importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell'autorità di controllo competente su richiesta.
(e) Le lettere da a) a c) lasciano impregiudicato l'obbligo dell'importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l'esportatore qualora non sia in grado di rispettare le presenti clausole.
15.2 Riesame della legittimità e minimizzazione dei dati
(a) L'importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all'autorità pubblica richiedente, e di contestarla qualora, dopo un'attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L'importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l'importatore chiede l'adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l'autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell'importatore a norma della clausola 14, lettera e).
(b) L'importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell'esportatore. Su richiesta, la mette a disposizione anche dell'autorità di controllo competente.
(c) Quando risponde a una richiesta di comunicazione l'importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un'interpretazione ragionevole della richiesta.
SEZIONE IV - DISPOSIZIONI FINALI
Clausola 16
Inosservanza delle clausole e risoluzione
(a) L'importatore informa prontamente l'esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
(b) Qualora l'importatore violi le presenti clausole o non sia in grado di rispettarle, l'esportatore sospende il trasferimento dei dati personali all'importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f).
(c) L'esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora:
(i) l'esportatore abbia sospeso il trasferimento dei dati personali all'importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
(ii) l'importatore violi in modo sostanziale o persistente le presenti clausole; o
(iii) l'importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un'autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole.
In tali casi, informa l'autorità di controllo competente [per il modulo tre: e il titolare del trattamento] di tale inosservanza. Qualora le parti del contratto siano più di due, l'esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti.
(d) I dati personali raccolti dall'esportatore nell'UE che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono cancellati immediatamente e integralmente, compresa qualunque loro copia. L'importatore certifica all'esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l'importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all'importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l'importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.
(e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
Clausola 17
Legge applicabile
Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell'UE, purché essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella del Regno di Spagna.
Clausola 18
Scelta del foro e giurisdizione
(a) Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell'UE.
(b) Le parti convengono che tali organi giurisdizionali sono quelli del Regno di Spagna.
(c) L'interessato può agire in giudizio contro l'esportatore e/o l'importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.
(d) Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali.
ALLEGATO I.А. ELENCO DELLE PARTI
Esportatore/i di dati:
Nome: [Nome del cliente]
Indirizzo: [Indirizzo del cliente]
Nome, qualifica e dati di contatto del referente: [Persona di contatto del cliente]
Attività pertinenti ai dati trasferiti a norma delle presenti clausole: L'importatore di dati presta i servizi all'esportatore di dati in conformità con il Contratto
Firma e data:
........................................................................................................
Ruolo (titolare del trattamento/responsabile del trattamento): …
Importatori/i di dati:
Nome: SiteGround Spain S.L.
Indirizzo: Calle de Prim 19, 28004 Madrid, Nome, qualifica e dati di contatto del referente in Spagna: Caberseg, Consultores y Auditores S.L.L., Responsabile della protezione dei dati, dpo@siteground.es.
Attività pertinenti ai dati trasferiti a norma delle presenti clausole: servizi di hosting e altri
Firma e data:
........................................................................................................
Ruolo (elaboratore di dati/responsabile del trattamento): …
ALLEGATO I.B. DESCRIZIONE DEL TRASFERIMENTO
Categorie di interessati i cui dati personali sono trasferiti
I dati personali riguardano le categorie di interessati come definite nella sezione 2.3.4. dell' Accordo sul Trattamento dei Dati.
Categorie di dati personali trasferiti
I dati personali riguardano le categorie di dati come definiti nella sezione 2.3.4. dell' Accordo sul Trattamento dei Dati.
Dati sensibili trasferiti (se del caso) e limitazioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, ad esempio una rigorosa limitazione delle finalità, limitazioni all'accesso (tra cui accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai dati, limitazioni ai trasferimenti successivi o misure di sicurezza supplementari.
Il Cliente può presentare i Dati nel corso dell’utilizzo dei Servizi, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione, e può includere categorie di dati sensibili. Per garantirne la protezione, abbiamo adottato varie restrizioni e misure di salvaguardie, quali misure di sicurezza, controlli di accesso ai sistemi e ai dati, e altre. Per informazioni più dettagliate, vedere l'Allegato 2.
La frequenza del trasferimento (ad esempio se i dati sono trasferiti come evento singolo o su base continua)
Su base continua
Natura del trattamento
La natura del trattamento è determinata secondo l'art. 2.3.3 della LPD.
Finalità del trasferimento dei dati e dell'ulteriore trattamento
Lo scopo del trasferimento e dell'ulteriore trattamento dei dati è quello di utilizzare al meglio l'infrastruttura dei server di SiteGround, una parte dei quali si trova al di fuori del SEE.
Periodo di conservazione dei dati personali oppure, se non è possibile, criteri utilizzati per determinare tale periodo
La durata del trattamento è determinata secondo l'art. 2.3.2 della LPD.
Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento
L'oggetto, la natura e la durata del trattamento sono determinati rispettivamente secondo l'art. 2.3.1, 2.3.2 e 2.3.3 della LPD.
ALLEGATO I.C. AUTORITÀ DI CONTROLLO COMPETENTE
L'autorità di controllo competente è l'Agenzia Spagnola per la Protezione dei Dati.
Allegato 2: MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI
Misure di sicurezza
SiteGround implementa e mantiene appropriate Misure di Sicurezza tecniche e organizzative per il Trattamento dei Dati Personali, comprese le misure stabilite nel presente Allegato 2 all’Accordo sull’Elaborazione dei Dati. Queste misure hanno lo scopo di proteggere i Dati Personali da perdite accidentali o non autorizzate, distruzione, alterazione, divulgazione o accesso e da tutte le altre forme illecite di Trattamento. Ulteriori misure e informazioni su tali misure, incluse misure e pratiche di sicurezza specifiche per i Servizi specifici ordinati dal Cliente, possono essere specificate nell'Accordo.
SiteGround potrebbe aggiornare o modificare queste Misure di Sicurezza di tanto in tanto a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Servizi.
Le misure di sicurezza tecniche e organizzative implementate da SiteGround sono conformi alle Clausole 4 (c) e 5 (c) delle Clausole Contrattuali Standard.
Personale e riservatezza
SiteGround adotterà misure ragionevoli per garantire che nessuna persona venga nominata da SiteGround per elaborare i Dati Personali ad eccezione dei casi in cui la persona risulti:
1. competente e qualificata per eseguire gli specifici compiti a lei assegnati da SiteGround;
2. autorizzata da SiteGround e
3. incaricata da SiteGround dei requisiti rilevanti per l'adempimento degli obblighi di SiteGround ai sensi delle presenti Clausole, in particolare dello scopo limitato del trattamento dei dati.
Il personale di SiteGround è tenuto a comportarsi in modo coerente con le linee guida aziendali in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. SiteGround svolge controlli in background ragionevolmente appropriati nella misura consentita dalla legge e in conformità con le leggi locali vigenti in materia di lavoro e regolamentazioni in materia di legge. Il personale è tenuto ad eseguire un accordo di riservatezza e deve confermare la ricezione e l'osservanza delle politiche di riservatezza e privacy di SiteGround. Viene loro fornita formazione e il personale che tratta i Dati del Cliente deve completare requisiti aggiuntivi appropriati al ruolo.
Sicurezza fisica
SiteGround utilizza data center distribuiti geograficamente e archivia tutti i dati di produzione in data center fisicamente sicuri. I data center di produzione del Subincaricato di SiteGround impiegano misure per garantire l'accesso ai sistemi di elaborazione dati. Hanno un sistema di accesso che controlla l'accesso al data center. Questo sistema consente solo al personale autorizzato di accedere alle aree protette. Le strutture sono progettate per resistere a condizioni meteorologiche avverse e ad altre condizioni naturali ragionevolmente prevedibili, sono protette da guardie 24 ore su 24, monitoraggio CCTV, screening degli accessi e accesso scortato, e sono anche supportate da generatori di riserva sul posto, in caso di interruzione di corrente.
I sistemi di alimentazione elettrica del data center sono progettati per essere ridondanti e manutenibili senza impatto sulle continue operazioni 24/7. Nella maggior parte dei casi, viene fornita una fonte di alimentazione primaria e una alternativa per i componenti dell'infrastruttura critica nel data center. L'alimentazione di riserva è fornita da vari meccanismi, quali batterie di continuità (UPS) o generatori diesel che sono in grado di fornire alimentazione elettrica di emergenza o protezione affidabile dell'alimentazione durante interruzioni, blackout, sovratensioni, sottotensioni e condizioni di frequenza fuori tolleranza.
I sistemi di infrastruttura sono stati progettati per eliminare singoli punti di guasto e minimizzare l'impatto dei rischi ambientali previsti. Le attrezzature e gli impianti di produzione del Subincaricato di SiteGround hanno procedure di manutenzione preventiva documentate che esplicano il processo e la frequenza delle prestazioni in conformità con le specifiche del produttore o interne. La manutenzione preventiva e correttiva delle apparecchiature del data center è pianificata attraverso un processo di modifica standard secondo procedure documentate.
Controllo dell'accesso al sistema
I server SiteGround utilizzano un'implementazione basata su Linux personalizzata per i Servizi. SiteGround utilizza un processo di revisione per aumentare la sicurezza dei sistemi operativi utilizzati per fornire i Servizi e migliorare i prodotti di sicurezza negli ambienti di produzione.
SiteGround ha e mantiene una politica di sicurezza per il personale. L'infrastruttura SiteGround, lo staff di sviluppo e supporto sono responsabili del monitoraggio continuo della sicurezza dell'infrastruttura di SiteGround, della revisione dei Servizi e della risposta agli incidenti di sicurezza.
I processi e le politiche di accesso interno di SiteGround sono progettati per impedire a persone e / o sistemi non autorizzati di accedere ai sistemi utilizzati per elaborare i dati dei clienti, compresi i dati personali. SiteGround si propone di progettare i suoi sistemi per: (i) consentire solo alle persone autorizzate di accedere ai dati ai quali sono autorizzate ad accedere; e (ii) garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante l'elaborazione, l'uso e dopo la registrazione. SiteGround utilizza un sistema di gestione degli accessi per controllare l'accesso del personale ai server di produzione e fornisce solo l'accesso al personale autorizzato. Possono essere utilizzati, tra gli altri, i seguenti controlli a seconda dei Servizi specifici ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche, accesso logico ai data center limitato e protetto dal firewall / VLAN e registrazione dell'accesso su più livelli. La concessione o la modifica dei diritti di accesso si basa su: le responsabilità lavorative del personale autorizzato; requisiti di mansioni necessarie per svolgere compiti autorizzati; e un bisogno di conoscere le basi. Anche la concessione o la modifica dei diritti di accesso devono essere conformi alle politiche di accesso ai dati interne di SiteGround.
Controllo Accesso ai Servizi
Clienti e Utenti Finali devono autenticarsi tramite un sistema di autenticazione per utilizzare i Servizi. Ogni applicazione controlla le credenziali per consentire la visualizzazione dei dati a un Utente Finale autorizzato.
Possono essere utilizzati, tra gli altri, i seguenti controlli a seconda dei Servizi specifici ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche e registrazione dell'accesso su più livelli. A seconda del particolare Servizio ordinato possono essere applicati anche i seguenti controlli: identificatori univoci attribuiti all'individuo responsabile, meccanismi di revoca dell’accesso per tentativi consecutivi falliti di accesso e periodi di blocco, meccanismi di scadenza e reset della password, requisiti di complessità della password.
Controllo dell'accesso ai dati
SiteGround memorizza i dati in un ambiente multi-tenant, il che significa che le installazioni di più clienti sono archiviate sullo stesso hardware fisico. SiteGround utilizza l'isolamento logico per separare i dati di ciascun Cliente e separa logicamente i dati di ciascun Cliente da quelli di altri. Questo determina la misura e impedisce rigorosamente ai clienti di accedere ai dati di altri.
Il cliente ha il controllo su specifiche opzioni per la condivisione dell'accesso ai dati agli Utenti Finali per scopi specifici in conformità con la funzionalità dei Servizi. Il Cliente può scegliere di utilizzare questi controlli. SiteGround rende disponibili alcune funzionalità di registrazione.
L'accesso diretto ai dati dei clienti è limitato e nel caso in cui ciò sia richiesto, i diritti di accesso sono stabiliti e applicati solo a personale adeguatamente autorizzato oltre alle regole di controllo degli accessi stabilite nelle Sezioni precedenti.
Controllo della trasmissione
I data center sono in genere collegati tramite collegamenti privati ad alta velocità per garantire un trasferimento sicuro e rapido dei dati tra i data center. Questo è progettato per impedire la lettura, la copia, la modifica o la rimozione dei dati senza autorizzazione durante il trasferimento o il trasporto elettronico o durante la registrazione su un supporto di memorizzazione dati o lo scambio all'interno del data center.
Per i dati in transito, SiteGround utilizza protocolli di trasporto standard del settore quali SSL e TLS tra i dispositivi del cliente e i Servizi e i data center di SiteGround e all'interno dei data center stessi. Salvo quanto diversamente specificato per i Servizi (incluso l'Ordine, l’Accordo rilevante e la Documentazione per l’Utente dei Servizi), le trasmissioni di dati al di fuori dell'ambiente del Servizio sono criptate. Alcune funzionalità dei Servizi possono consentire al Cliente di scegliere comunicazioni non crittografate nell'utilizzo del Servizio. Il Cliente è l'unico responsabile dei risultati della sua decisione di utilizzare tali comunicazioni o trasmissioni non crittografate.
Controllo dell'input
La fonte dei Dati Personali è sotto il controllo del Cliente e l'integrazione dei Dati Personali nel sistema è gestita tramite trasferimento file protetto, tramite servizi web o inserita nell'applicazione dal Cliente. Come indicato in precedenza nella Sezione Controllo della Trasmissione, alcune funzionalità dei Servizi consentono ai clienti di utilizzare protocolli di trasferimento file non crittografati. In tali casi, il Cliente è l'unico responsabile della sua decisione di utilizzare tali protocolli di trasferimento non crittografati.
I Servizi non introdurranno alcun virus ai Dati del Cliente; tuttavia, i Servizi non eseguono la scansione dei virus che potrebbero essere inclusi negli allegati o altri Dati Personali caricati nei Servizi dal Cliente. Qualsiasi allegato caricato non verrà eseguito nei Servizi e pertanto non danneggerà o comprometterà il Servizio.
Controllo rete
SiteGround blocca il traffico non autorizzato verso e all'interno dei data center utilizzando una varietà di tecnologie come firewall, NAT, reti LAN partizionate e separazione fisica dei server di backend dalle interfacce pubbliche.
SiteGround impiega più livelli di dispositivi di rete e rilevamento delle intrusioni per proteggere la sua superficie di attacco esterna. SiteGround considera i potenziali vettori di attacco e incorpora tecnologie appositamente sviluppate per scopi specifici nei sistemi esposti all’esterno.
SiteGround e il personale autorizzato monitoreranno i Servizi per intrusioni non autorizzate utilizzando meccanismi di rilevamento delle intrusioni tramite rete. Il rilevamento delle intrusioni ha lo scopo di fornire informazioni sulle attività di attacco in corso e fornire informazioni adeguate per rispondere agli incidenti. Il rilevamento delle intrusioni di SIteGround implica il controllo rigoroso della superficie di attacco delle comunicazioni di rete attraverso misure preventive come i firewall, impiegando controlli di rilevamento intelligenti nei punti di ingresso dati e impiegando tecnologie che risolvono automaticamente determinate situazioni pericolose.
Risposta agli Incidenti
SiteGround mantiene le politiche e le procedure di gestione degli incidenti di sicurezza e monitora una varietà di canali di comunicazione per gli incidenti di sicurezza. Il personale di SiteGround reagirà prontamente a incidenti noti e informerà tempestivamente il Cliente nel caso in cui SiteGround venga a conoscenza di una divulgazione non autorizzata effettiva o ragionevolmente sospetta di Dati Personali.
Registri di Sistema
SiteGround garantisce che i sistemi di elaborazione utilizzati per salvare i Dati dei Clienti registrino le informazioni nella posizione appropriata dei registri di sistema.
Le voci del registro vengono mantenute nel caso in cui si sospetti un accesso inappropriato e sia necessaria un'analisi. La registrazione è mantenuta in modo sicuro per evitare manomissioni.
Affidabilità e Backup
Per i Servizi, SiteGround garantisce che vengano eseguiti backup regolarmente. I backup sono protetti utilizzando una combinazione di controlli tecnici e fisici.
SiteGround garantisce che i sistemi in cui sono archiviati i Dati del Cliente dispongono di una funzione di disaster recovery e sono gestiti in base al piano di disaster recovery. Nel caso in cui le strutture di produzione fossero rese non disponibili, SiteGround metterà in atto piani di ripristino per ripristinare le operazioni in modo tempestivo. SiteGround ha progettato e pianifica e collauda regolarmente i piani di disaster recovery.
Distruzione dei Dati
Quando i clienti cancellano i dati o rinunciano al Servizio, SiteGround garantisce che i dati vengano cancellati secondo i termini dell’Accordo applicabile. Per determinati dischi, SiteGround segue rigorosi standard che richiedono la sovrascrittura delle risorse di conservazione prima del riutilizzo, oltre allo smaltimento fisico dell'hardware dismesso. I data center di produzione del Subincaricato di SiteGround impiegano procedure rigorose per il riutilizzo, la ridistribuzione, la distruzione dei dati e la disattivazione di dischi e hardware.
Sicurezza del Subincaricato
Prima di acquisire dei Subincaricati, SiteGround svolge un audit delle pratiche di sicurezza e privacy dei Subincaricati per garantire che i Subincaricati forniscano un livello di sicurezza e privacy appropriato al loro accesso ai dati e allo scopo dei servizi che sono impegnati a fornire. Il Subincaricato è tenuto a stipulare adeguate condizioni di contratto di sicurezza, riservatezza e privacy.
Modifiche e miglioramenti del Sistema
SiteGround può migliorare e implementare le modifiche nei Servizi durante la durata dell'Accordo. Controlli, procedure, politiche e funzionalità di sicurezza possono cambiare o essere aggiunti. SiteGround fornirà controlli di sicurezza che forniscono un livello di protezione della sicurezza che non è materialmente inferiore a quello fornito alla Data di Validità.
Allegato 3: Elenco dei Subincaricati
Disponibile su richiesta.
Allegato 4: Accordo internazionale per il trasferimento di dati personali
Il presente accordo internazionale per il trasferimento di dati personali è stato emesso dal Commissario per l'Informazione per le parti che effettuano trasferimenti di dati. Il Commissario per l'Informazione ritiene che esso fornisca garanzie adeguate per i trasferimenti di dati, quando viene stipulato come contratto legalmente vincolante.
Parte 1: Tavole
Tabella 1: Parti e firme
Data di inizio | Dal momento in cui l'Esportatore (Controllore) entra in relazione con l'Importatore (Responsabile del trattamento) | |
Le parti | Esportatore (che esegue il trasferimento dei dati) | Importatore (che riceve tali dati) |
Recapiti delle parti | Cliente SiteGround, sede nel Regno Unito | SiteGround Spain S.L. Indirizzo: Calle de Prim 19, 28004 Madrid, Spagna CF: B87194171 |
Contatto principale |
| Caberseg, Consultores y Auditores S.L.L., Responsabile della protezione dei dati, dpo@siteground.es. |
Contatto dell'importatore di dati | Caberseg, Consultores y Auditores S.L.L., Responsabile della protezione dei dati, dpo@siteground.es. | |
Firme attestanti l’accettazione di ogni parte di essere vincolata dal presente Accordo | Firmato per accettazione dell'Accordo di trattamento dei dati. | Firmato per accettazione della sua pubblicazione sul sito web di SiteGround. |
Tabella 2: Dettagli del trasferimento
Legge del Regno Unito che disciplina l'Accordo: | Inghilterra e Galles |
Luogo principale per le pretese giuridiche delle parti | Inghilterra e Galles |
Stato dell'Esportatore | In relazione al trattamento dei dati trasferiti: L'Esportatore è un Controllore, Elaboratore o Sub-elaboratore |
Stato dell'Importatore | in relazione al trattamento dei dati trasferiti: L'Importatore è il responsabile del trattamento dei dati ricevuti dall'esportatore o il Subincaricato |
Se il RGPD del Regno Unito si applica all'Importatore | Il RGPD del Regno Unito si applica al trattamento dei dati trasferiti da parte dell'Importatore quando i soggetti dei dati si trovano nel Regno Unito |
Accordo collegato
| Se l'Importatore è il responsabile del trattamento dei dati ricevuti dall'esportatore o il Subincaricato - l'accordo o gli accordi tra le Parti che disciplinano le istruzioni all'Incaricato o al Sub- incaricato per l’elaborazione dei Dati Trasferiti: Denominazione dell'accordo: Accordo per il trattamento di dati personali Data dell'accordo: La data di entrata in vigore specificata nel DPA Parti dell'accordo: I clienti di SiteGround e SiteGround |
Termine | L'Importatore può elaborare i dati trasferiti per il seguente periodo di tempo: il periodo per il quale è in vigore l'accordo vincolante |
Risoluzione dell’Accordo internazionale per il trasferimento di dati personali prima della scadenza del termine | Le parti non possono risolvere l'Accordo prima della scadenza del termine, a meno che non ci sia una violazione dell' Accordo o le parti si accordino per iscritto. |
Risoluzione dell’Accordo internazionale per il trasferimento di dati in caso di modifica dell' Accordo approvato | Quali parti possono risolvere l’Accordo come stabilito nella Sezione 29.2: Importatore |
L'Importatore può effettuare ulteriori trasferimenti dei Dati Trasferiti? | L'Importatore PUÒ trasferire i Dati Trasferiti a un'altra organizzazione o persona (che sia un'entità giuridica diversa) in conformità al Paragrafo 16.1 (Trasferimento dei Dati Trasferiti). |
Restrizioni specifiche per l'Importatore che può trasferire i Dati Trasferiti | Non ci sono restrizioni specifiche. |
Date di riesame | Le Parti devono riesaminare i Requisiti di Sicurezza almeno una volta all'anno o ogni volta che c'è stata una modifica dei Dati Trasferiti, degli Scopi, delle Informazioni sull'Importatore, del TRA o della valutazione del rischio. |
Tabella 3: Dati Trasferiti
Dati trasferiti
| Le categorie di Dati Trasferiti si aggiornano automaticamente se le informazioni vengono aggiornate nell'Accordo Collegato a cui si fa riferimento. I dati personali riguardano le categorie di dati definite nella Sezione 2.3.5. dell'Accordo collegato. Il Cliente può presentare i Dati del Cliente nel corso del utilizzo dei Servizi, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione, e che può includere categorie di dati sensibili. Per garantirne la protezione, abbiamo adottato varie restrizioni e salvaguardie, quali misure di sicurezza, controlli di accesso ai sistemi e ai dati, etc. Per informazioni più dettagliate, si veda l'Allegato 2. |
Categorie speciali di dati personali relativi alle condanne penali e ai reati | Tutti i tipi di dati sensibili possono essere trasferiti dal Cliente a sua esclusiva discrezione quando utilizza i servizi, e l'Importatore implementerà restrizioni o salvaguardie che tengono pienamente conto della natura dei dati e dei rischi, come ad esempio la rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), mantenendo un registro di accesso ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive. |
Soggetti dei dati rilevanti | I soggetti dei dati personali trasferiti sono: Le categorie di Soggetti dei Dati si aggiorneranno automaticamente se le informazioni vengono aggiornate nell'Accordo Collegato a cui si fa riferimento. I dati personali riguardano le categorie di Soggetti dei dati come definite nella Sezione 2.3.4. dell'Accordo Collegato. |
Finalità | L'Importatore può trattare i Dati personali Trasferiti per le finalità indicate nell'Accordo Collegato. Le finalità si aggiorneranno automaticamente se le informazioni vengono aggiornate nell'Accordo Collegato a cui si fa riferimento. |
Tabella 4: Requisiti di sicurezza
Sicurezza della trasmissione | Come stabilito nell'Allegato 2 dell'Accordo collegato. |
Sicurezza della conservazione | Come stabilito nell'Allegato 2 dell'Accordo collegato |
Sicurezza del trattamento | Come stabilito nell'Allegato 2 dell'Accordo collegato |
Misure di sicurezza organizzative | Come stabilito nell'Allegato 2 dell'Accordo collegato |
Requisiti tecnici minimi di sicurezza | Come stabilito nell'Allegato 2 dell'Accordo collegato |
Aggiornamenti dei requisiti di sicurezza | I requisiti di sicurezza si aggiornano automaticamente se le informazioni vengono aggiornate nell'Accordo Collegato a cui si fa riferimento. |
Parte 2: Clausole di Protezione aggiuntiva
Clausole di Protezione Aggiuntiva: | Come stabilito nell'Accordo Collegato e Allegato 2 |
(i) Misure tecniche aggiuntive di protezione | Come stabilito nell'Accordo Collegato e Allegato 2 |
(ii)Protezione organizzativa aggiuntiva | Come stabilito nell'Accordo Collegato e Allegato 2 |
(iii)Protezioni contrattuali aggiuntive | Come stabilito nell'Accordo Collegato e Allegato 2 |
Parte 3: Clausole commerciali
Clausole commerciali | Come stabilito nell'Accordo Collegato. |
Parte 4: Clausole obbligatorie
Informazioni utili alla comprensione del presente Accordo internazionale per il trasferimento di dati personali
1. Il presente Accordo internazionale per il trasferimento di dati personali e gli Accordi collegati.
1.1 Ciascuna parte accetta di essere vincolata dai termini e dalle condizioni stabilite nell'Accordo internazionale per il trasferimento di dati personali, in cambio del fatto che anche l'altra parte accetti di essere vincolata dall' Accordo.
1.2 Il presente Accordo è composto da:
1.2.1 Prima parte: Tabelle
1.2.2 Seconda parte: Clausole di protezione aggiuntiva;
1.2.3 Terza parte: Clausole commerciali; e
1.2.4 Quarta parte: Clausole obbligatorie.
1.3 L' Accordo inizia alla Data di Inizio e termina come stabilito nelle Sezioni 29 o 30.
1.4 Se l'Importatore è un Responsabile o un Subincaricato istruito dall'Esportatore: l'Esportatore deve garantire che, alla Data di Inizio o prima di essa e durante il Periodo di validità, esista un Accordo Collegato che sia applicabile tra le Parti e che sia conforme all'articolo 28 del Regolamento generale sulla protezione dei dati UK (che continueranno a rispettare ai sensi dell'articolo 28 del Regolamento generale sulla protezione dei dati UK).
1.5 I riferimenti all'Accordo Collegato o alle Clausole Commerciali si riferiscono a tale Accordo Collegato o a tali Clausole Commerciali solo nella misura in cui sono coerenti con le Clausole Obbligatorie.
2. Significato giuridico delle parole
2.1 Se una parola inizia con una lettera maiuscola ha il significato specifico indicato nel Glossario giuridico alla Sezione 36.
2.2 Per facilitare la lettura e la comprensione, il presente Accordo internazionale per il trasferimento di dati personali contiene titoli e note orientative. Queste non fanno parte del contratto vincolante che costituisce l’Accordo internazionale per il trasferimento di dati personali.
3. Avete procurato tutte le informazioni richieste
3.1 Le parti devono assicurare che le informazioni contenute nella prima parte le Tabelle siano corrette e complete alla Data di Inizio e durante il Termine.
3.2 Nella Tabella 2: Dettagli del trasferimento, se la selezione che le Parti sono Controllori, Elaboratori o Subincaricati è errata (sia come dato di fatto che come risultato dell'applicazione delle leggi britanniche sulla protezione dei dati) allora
3.2.1 si applicheranno i termini e le condizioni dell'Accordo internazionale per il trasferimento di dati personali approvato che si applica all'opzione corretta che non è stata selezionata; e
3.2.2 le Parti e qualsiasi Soggetto di dati rilevante hanno il diritto di far valere i termini e le condizioni dell' l’Accordo internazionale per il trasferimento di dati personali approvato che si applicano all’opzione corretta.
3.3 Nella Tabella 2: Dettagli del trasferimento, se la selezione che l’Accordo internazionale per il trasferimento di dati personali del Regno Unito applica è errata (sia come dato di fatto che come risultato dell'applicazione del Regolamento Generale sulla Protezione dei Dati del Regno Unito), allora i termini e le condizioni dell'Accordo si applicheranno comunque nella misura più ampia possibile.
4. Come firmare l'Accordo
4.1 Le parti possono scegliere di firmare (o eseguire):
4.1.1 la stessa copia del presente Accordo
4.1.2 due copie dell’Accordo. In questo caso, ogni copia identica è ancora un originale del presente Accordo, e insieme tutte queste copie formano un unico accordo;
4.1.3 una copia separata e identica dell’Accordo. In tal caso, ogni copia identica è ancora un originale del presente Accordo, e insieme tutte queste copie formano un unico accordo,
a meno che la firma (o l'esecuzione) in questo modo significhi che l' Accordo non sarebbe vincolante per le Parti ai sensi delle leggi locali.
5. Modifica del presente Accordo
5.1 Ciascuna parte non può modificare le clausole obbligatorie come indicato nell'Accordo approvato, tranne:
5.1.1 per garantire la correttezza dei riferimenti incrociati: riferimenti incrociati della prima Parte: Tabella (o qualsiasi Tabella), Seconda parte: Protezioni aggiuntiva e/o terza parte: le clausole Commerciali possono essere cambiati quando le Parti hanno esposto le informazioni in un formato diverso, in modo che il riferimento incrociato sia alla posizione corretta delle stesse informazioni, o quando le clausole sono state eliminate in quanto non applicabili, come indicato di seguito;
5.1.2 per rimuovere quelle Sezioni che sono espressamente dichiarate non applicabili alle selezioni effettuate dalle Parti nella Tabella 2: Dettagli del trasferimento, che le Parti sono Controllori, Elaboratori o Subincaricati e/o che l'Importatore è soggetto, o non soggetto del Regolamento generale sulla protezione dei dati del Regno Unito. L'Esportatore e l'Importatore comprendono e riconoscono che qualsiasi Sezione rimossa può ancora applicarsi e far parte del presente Accordo se è stata rimossa in modo errato, anche perché è stata effettuata una selezione errata nella Tabella 2: Dettagli del trasferimento;
5.1.3 in modo che l'Accordo operi come un accordo tra più parti se ci sono più di due parti. Ciò può includere la nomina di una o più parti principali che possono prendere decisioni per conto di alcune o tutte le altre parti di questo Accordo (compresa la revisione della Tabella 4: Requisiti di sicurezza e della seconda Parte: Clausole di Protezione aggiuntiva, e fare aggiornamenti alla Parte uno: Tabelle (o qualsiasi Tabella), seconda Parte: Clausole di Protezione aggiuntive e/o alla terza Parte: Clausole commerciali); e/o
5.1.4 aggiornare l'Accordo per esporre per iscritto qualsiasi modifica apportata all'Accordo approvato ai sensi del punto 5.4, se le Parti lo desiderano. Le modifiche si applicheranno automaticamente senza aggiornarle come descritto nel punto 5.4;
a condizione che le modifiche non riducano le garanzie appropriate.
5.2 Se le Parti desiderano modificare le informazioni incluse nella Prima Parte: Tabelle, seconda Parte: Clausole di Protezione aggiuntiva o nella terza Parte: Clausole Commerciali dell'Accordo approvato, esse possono farlo concordando la modifica per iscritto, a condizione che la modifica non riduca le garanzie appropriate.
5.3 Se le Parti desiderano modificare le informazioni incluse nella prima Parte: Tabelle, Seconda Parte: Clausole di Protezione aggiuntiva o nella terza Parte: Clausole Commerciali del presente Accordo (o informazione equivalente), esse possono farlo concordando la modifica per iscritto, a condizione che la modifica non riduca le garanzie adeguate.
5.4 Di tanto in tanto, l'Ufficio del Commissario per l'Informazione può pubblicare un Accordo internazionale di trasferimento dei dati approvato, visto che:
5.4.1 apporti modifiche ragionevoli e proporzionate all'Accordo approvato, compresa la correzione di errori nell'Accordo approvato; e/o
5.4.2 rifletta le modifiche alle leggi britanniche sulla protezione dei dati.
L'Accordo approvato rivisto specificherà la data di inizio a partire dalla quale le modifiche all'Accordo approvato sono effettive e se è necessaria un'ulteriore Data di revisione a seguito delle modifiche. Il presente Accordo viene automaticamente modificato come indicato nell' Accordo approvato rivisto a partire dalla data di inizio specificata.
6. Comprensione del presente Accordo
6.1 Il presente Accordo deve essere sempre interpretato in modo coerente con le leggi britanniche sulla protezione dei dati e in modo da adempiere all'obbligo delle Parti di fornire le garanzie adeguate.
6.2 In caso d’incoerenza o conflitto tra le leggi britanniche sulla protezione dei dati e il presente Accordo, si applicano le leggi britanniche sulla protezione dei dati.
6.3 Se il significato dell'Accordo non è chiaro o vi è più di un significato, si applica il significato che più si avvicina al Regolamento Generale sulla Protezione dei Dati del Regno Unito.
6.4 Nulla nell'Accordo (incluse le Clausole Commerciali o l'Accordo Collegato) limita o esclude la responsabilità di una delle Parti nei confronti dei Soggetti di Dati Rilevanti o dell' Ufficio del Commissario per l'Informazione ai sensi del presente Accordo o del Regolamento Generale sulla Protezione dei Dati del Regno Unito.
6.5 Se una qualsiasi dicitura nella prima , seconda o terza parte contraddice le Clausole Obbligatorie e/o cerca di limitare o escludere qualsiasi responsabilità verso i Soggetti dei Dati Rilevanti o verso l' Ufficio del Commissario, allora tale dicitura non sarà applicabile.
6.6 Le parti possono includere disposizioni nell'accordo collegato che forniscono alle parti diritti rafforzati altrimenti coperti dal presente Accordo. Tali diritti rafforzati possono essere soggetti a condizioni commerciali, compreso il pagamento, ai sensi dell'Accordo Collegato, ma ciò non pregiudica i diritti concessi ai sensi del presente Accordo.
6.7 In caso di incongruenza o conflitto tra il presente Accordo e un Accordo Collegato o qualsiasi altro accordo, il presente Accordo prevale sull'Accordo Collegato o su qualsiasi altro accordo, anche se tali accordi sono stati negoziati dalle Parti. Le eccezioni si verificano quando (e nella misura in cui):
6.7.1 i termini incoerenti o contrastanti dell'Accordo Collegato o di altro accordo forniscano una maggiore protezione dei diritti del Soggetto dei dati rilevante, nel qual caso tali termini prevarranno sull'Accordo; e
6.7.2 una Parte agisce in qualità di Responsabile del trattamento e i termini incoerenti o contrastanti dell'Accordo collegato sono obblighi per tale Parte espressamente richiesti dall'Articolo 28 del Regolamento generale sulla protezione dei dati del Regno Unito, nel qual caso tali termini prevarranno sui termini incoerenti o contrastanti dell'Accordo in relazione al trattamento effettuato da tale Parte in qualità di Responsabile del trattamento.
6.8 Le parole "includono", "include", "compreso", "in particolare" sono utilizzate per fare degli esempi e non per stabilire un elenco definitivo.
6.9 Riferimenti a:
6.9.1 parole in forma singolare o plurale o persone, include anche il plurale o il singolare di quelle parole o persone;
6.9.2 legislazione (o disposizioni specifiche della legislazione) indica quella legislazione (o disposizione specifica) che può cambiare nel tempo. Ciò comprende il caso in cui tale legislazione (o disposizione specifica) sia stata consolidata, rimessa in vigore e/o sostituita dopo la firma del presente Accordo; e
6.9.3 qualsiasi obbligo di non fare qualcosa, include l'obbligo di non permettere o far fare quella cosa a qualcun altro.
7. Quali leggi si applicano a questo Accordo
7.1 Questo Accordo è regolato dalle leggi del Regno Unito indicato nella Tabella 2: Dettagli del trasferimento. Se non è stata fatta alcuna selezione, sono applicabili le leggi dell'Inghilterra e del Galles. Questo non si applica alla Sezione 35 che è sempre regolata dalle leggi dell'Inghilterra e del Galles.
Come questo Accordo fornisce garanzie appropriate
8. Le garanzie appropriate
8.1 Lo scopo del presente Accordo è quello di garantire che i Dati Trasferiti godano di garanzie appropriate quando vengono elaborati dall'Importatore durante il Periodo di validità. Questo standard è applicato quando e per tutto il tempo in cui:
8.1.1 entrambe le Parti rispettano l'Accordo, compresi i Requisiti di Sicurezza ed eventuali Clausole di Protezione aggiuntive; e
8.1.2 i Requisiti di Sicurezza e le eventuali Clausole di Protezione Aggiuntiva forniscano un livello di sicurezza adeguato al rischio che si verifichi una Violazione dei Dati Personali e all'impatto di tale violazione sui Soggetti Rilevanti, anche considerando eventuali Dati di Categoria Speciale all'interno dei Dati Trasferiti.
8.2 L'Esportatore deve:
8.2.1 assicurare e dimostrare che il presente Accordo (compresi tutti i Requisiti di Sicurezza e le Clausole di Protezione Aggiuntiva) fornisce salvaguardie appropriate; e
8.2.2 (se l'Importatore lo richiede ragionevolmente) fornirgli una copia di qualsiasi TRA.
8.3 L'Importatore deve:
8.3.1 prima di ricevere qualsiasi Dato Trasferito, fornire all'Importatore tutte le informazioni pertinenti riguardanti le Leggi e le pratiche locali e le protezioni e i rischi che si applicano ai Dati Trasferiti quando sono elaborati dall'Importatore, comprese le informazioni che possono essere ragionevolmente richieste dall'Importatore per effettuare qualsiasi TRA (le "Informazioni dell'Importatore")
8.3.2 collaborare con l'Esportatore per garantire il rispetto degli obblighi dell'Esportatore ai sensi delle leggi britanniche sulla protezione dei dati;
8.3.3 verificare se le Informazioni dell'Importatore sono cambiate e se le Leggi Locali contraddicono i suoi obblighi nel presente Accordo e prendere misure ragionevoli per verificarlo, su base regolare. Queste revisioni devono essere almeno tanto frequenti quanto le Date di Revisione; e
8.3.4 informare l'Esportatore non appena viene a conoscenza del cambiamento di qualsiasi Informazione sull'Importatore e/o di qualsiasi Legge Locale che possa impedire o limitare l'adempimento ai suoi obblighi dell’ultimo nel presente Accordo. Queste informazioni fanno quindi parte delle Informazioni sull'Importatore.
8.4 L'Importatore deve assicurare che alla Data di Inizio e durante il Periodo di validità:
8.4.1 le Informazioni sull'Importatore siano accurate
8.4.2 abbia adottato misure ragionevoli per verificare se vi siano Leggi Locali che contraddicono i suoi obblighi nel presente Accordo o qualsiasi informazione aggiuntiva riguardante le Leggi Locali che possano essere rilevanti per il presente Accordo.
8.5 Ciascuna Parte deve garantire che i Requisiti di Sicurezza e le Clausole di Protezione aggiuntiva forniscano un livello di sicurezza adeguato al rischio che si verifichi una Violazione dei Dati Personali e l'impatto di tale violazione sui Soggetti Rilevanti.
9. Revisioni per assicurare la continuazione delle salvaguardie appropriate
9.1 Ciascuna Parte deve:
9.1.1 riesaminare il presente Accordo (compresi i Requisiti di Sicurezza e le Clausole di Protezione aggiuntiva e le Informazioni sull'Importatore) a intervalli regolari, per assicurare che l'Accordo rimanga accurato e aggiornato e continui a procurare le Garanzie Appropriate. Ciascuna Parte effettuerà tali revisioni con la stessa frequenza delle relative Date di Revisione o prima; e
9.1.2 informare l'altra parte per iscritto non appena si rende conto che una qualsiasi informazione contenuta nel presente Accordo, in qualsiasi TRA o nelle Informazioni sull'Importatore non è più accurata e aggiornata.
9.2 Se, in qualsiasi momento, l'Accordo non fornisce più salvaguardie appropriate, le Parti devono senza indebito ritardo:
9.2.1 sospendere i trasferimenti e il trattamento dei dati trasferiti mentre viene concordata una modifica delle Tabelle. L'Importatore può conservare una copia dei Dati Trasferiti durante questa pausa, nel qual caso l'Importatore deve effettuare qualsiasi Trattamento necessario per mantenere, per quanto possibile, le misure che stava adottando per ottenere le salvaguardie appropriate prima del momento in cui l'Accordo non ha più fornito salvaguardie appropriate, ma nessun altro Trattamento;
9.2.2 concordare una modifica alla prima Parte: Tabelle o alla seconda Parte: Clausole di protezione aggiuntive che manterranno le salvaguardie appropriate (in conformità alla Sezione 5); e
9.2.3 quando una modifica alla prima Parte: Tabelle o alla seconda Parte: Clausole di Protezione aggiuntive mantiene le Salvaguardie appropriate non può essere concordata, l'Esportatore deve porre fine al presente Accordo mediante avviso scritto all'Importatore.
10. L' Ufficio del Commissario per l'Informazione
10.1 Ciascuna Parte accetta di conformarsi a qualsiasi richiesta ragionevole dell' Ufficio del Commissario per l'Informazione in relazione al presente Accordo o al suo trattamento dei Dati Trasferiti.
10.2 L'Esportatore fornirà una copia di qualsiasi TRA, delle Informazioni sull'Importatore e del presente Accordo all' Ufficio del Commissario per l'Informazione, se quest'ultimo lo richiede.
10.3 L'Importatore fornirà una copia delle Informazioni sull'Importatore e del presente Accordo all' Ufficio del Commissario per l'Informazione, se quest'ultimo lo richiede.
L'esportatore
11. Obblighi dell'Esportatore
11.1 L'Esportatore accetta che le leggi britanniche sulla protezione dei dati si applichino al suo trattamento dei Dati Trasferiti, compreso il trasferimento dei dati all'Importatore.
11.2 L'Esportatore deve:
11.2.1 rispettare il Regolamento Generale sulla Protezione dei Dati del Regno Unito nel trasferire i Dati Trasferiti all'Importatore;
11.2.2 rispettare l'Accordo collegato per quanto riguarda il trasferimento dei Dati Trasferiti all'Importatore; e
11.2.3 effettuare idonei controlli sulla capacità dell'Importatore di rispettare il presente Accordo, e prendere le opportune misure anche ai sensi della Sezione 9.2, Sezione 29 o Sezione 30, se in qualsiasi momento ritiene che l'Importatore non sia più in grado di rispettare il presente Accordo o di procurare Salvaguardie Appropriate.
11.3 L'Esportatore deve adempiere a tutti i suoi obblighi nell'Accordo, inclusi quelli relativi ai Requisiti di Sicurezza, e a tutte le Clausole di Protezione aggiuntive e a tutte le Clausole Commerciali.
11.4 L'Esportatore deve cooperare con le ragionevoli richieste dell'Importatore di trasmettere avvisi o altre informazioni ai e dai Soggetti Rilevanti o a qualsiasi Terzo Controllore, qualora non sia ragionevolmente pratico per l'Importatore farlo. L'Esportatore può trasmetterli tramite una terza parte se è ragionevole farlo.
11.5 L'Esportatore deve cooperare con l'Importatore e fornirgli una ragionevole assistenza, in modo che l'Importatore sia in grado di adempiere ai suoi obblighi nei confronti dei Soggetti Rilevanti ai sensi della Legge locale e del presente Accordo.
L'Importatore
12. Obblighi generali dell'importatore
12.1 L'Importatore deve:
12.1.1 Trattare i Dati Trasferiti solo per lo Scopo;
12.1.2 adempiere tutti i suoi obblighi nell'Accordo, compresi i requisiti di sicurezza, qualsiasi clausola di protezione supplementare e qualsiasi clausola commerciale;
12.1.3 adempiere tutti i suoi obblighi nell'Accordo collegato che si riferiscono al Trattamento dei Dati trasferiti;
12.1.4 tenere una registrazione scritta del Trattamento dei Dati Trasferiti, che dimostri la sua conformità al presente Accordo e fornire tale registrazione scritta se richiesto dall'Esportatore;
12.1.5 se l'Accordo Collegato include diritti per l'Esportatore di ottenere informazioni o effettuare una verifica, deve fornire all'Esportatore gli stessi diritti in relazione al presente Accordo; e
12.1.6 se l'Ufficio del Commissario per l'Informazione lo richiede, deve procurare allo stesso le informazioni che sarebbe tenuto a fornire su richiesta all'Esportatore ai sensi della presente Sezione 12.1 (compresa la registrazione scritta del Trattamento, e i risultati delle verifiche e delle ispezioni).
12.2 L'Importatore deve cooperare e fornire un'assistenza ragionevole all'Esportatore e a qualsiasi Terzo Controllore, in modo che l'Esportatore e qualsiasi Terzo Controllore siano in grado di adempiere i loro obblighi ai sensi delle leggi britanniche sulla protezione dei dati e del presente Accordo.
13. Obblighi dell'Importatore se è soggetto al Regolamento Generale sulla Protezione dei Dati del Regno Unito.
13.1 Se il Trattamento dei Dati Trasferiti da parte dell'Importatore è soggetto alle Leggi sulla Protezione dei Dati del Regno Unito, lo stesso accetta che:
13.1.1 il Regolamento Generale sulla Protezione dei Dati del Regno Unito si applica al Trattamento dei Dati Trasferiti e l' Ufficio del Commissario per l'Informazione ha giurisdizione su di esso a tale riguardo; e
13.1.2 ha rispettato e rispetterà le Leggi sulla protezione dei dati del Regno Unito in relazione al Trattamento dei Dati trasferiti.
13.2 Se la Sezione 13.1 è applicabile e l'Importatore rispetta la Sezione 13.1, non è necessario applicare:
- Sezione 14 (Obblighi dell'Importatore di conformarsi ai principi fondamentali di protezione dei dati);
- Sezione 15 (Cosa succede se si verifica una violazione dei dati personali dell'Importatore);
- Sezione 15 (Come i Soggetti Rilevanti possono esercitare i loro diritti); e
- Sezione 21 (Come i Soggetti Rilevanti possono esercitare i loro diritti in materia di dati personali - se l'Importatore è Responsabile dei dati dell'Esportatore o il Subincaricato).
14. Obblighi dell'Importatore di rispettare i principi fondamentali di protezione dei dati
14.1 L'Importatore non è tenuto a conformarsi alla presente Sezione 14 se è l'Importatore è Responsabile dei dati dell'Esportatore o il Subincaricato.
14.2 L'Importatore deve
14.2.1 garantire che i Dati Trasferiti che tratta siano adeguati, pertinenti e limitati a quanto necessario per lo Scopo;
14.2.2 garantire che i Dati Trasferiti che elabora siano accurati e (ove necessario) aggiornati e (ove appropriato in considerazione delle Finalità) correggere o cancellare senza indebito ritardo qualsiasi Dato Trasferito impreciso di cui venga a conoscenza; e
14.2.3 trattare i Dati Trasferiti per un arco di tempo non superiore a quello ragionevolmente necessario per le Finalità.
15. Cosa succede in caso di violazione dei dati personali dell'Importatore
15.1 Se si verifica una Violazione dei Dati Personali dell'Importatore, l'Importatore deve:
15.1.1 adottare misure ragionevoli per porvi rimedio, anche per ridurre al minimo gli effetti dannosi per i Soggetti Rilevanti, impedire che continui e impedire che si ripeta. Se l'Importatore è il Responsabile dei dati dell'Esportatore o il Subincaricato: queste misure devono essere conformi alle istruzioni dell'Esportatore e all'Accordo Collegato e devono essere in cooperazione con l'Esportatore e qualsiasi Terzo Controllore; e
15.1.2 assicurare che i Requisiti di Sicurezza continuino a fornire (o siano modificati in conformità con il presente Accordo in modo da fornire) un livello di sicurezza che sia appropriato al rischio che si verifichi una Violazione dei Dati Personali e all'impatto sui Soggetti Rilevanti di tale Violazione dei Dati Personali.
15.2 Se l'Importatore è il Responsabile dei dati dell'Esportatore o il Subincaricato: se si verifica una Violazione dei Dati Personali dell'Importatore, l'Importatore deve:
15.2.1 senza indebito ritardo notificare all'Esportatore dopo essere venuto a conoscenza della violazione, fornendo le seguenti informazioni:
15.2.1.1 descrizione della natura della violazione dei dati personali dell'importatore;
15.2.1.2 (se e quando possibile) le categorie e il numero approssimativo di Soggetti dei dati e di record di dati trasferiti .
15.2.1.3 probabili conseguenze della violazione dei dati personali dell'Importatore;
15.2.1.4 misure adottate (o proposte) per porre rimedio alla violazione dei dati personali dell'Importatore (anche per ridurre al minimo gli effetti dannosi sui Soggetti dei dati rilevanti, per impedire che continui e per evitare che si ripeta) e per garantire che siano messe in atto le opportune misure di salvaguardia;
15.2.1.5 punto di contatto per ulteriori informazioni; e
15.2.1.6 qualsiasi altra informazione ragionevolmente richiesta dall'Esportatore,
15.2.2 se non è possibile per l'Importatore fornire tutte le informazioni di cui sopra contemporaneamente, può farlo a tappe, senza indebito ritardo; e
15.2.3 assistere l'Esportatore (e qualsiasi Terzo Controllore) in modo che l'Esportatore (o qualsiasi Terzo Controllore) possa informare i Soggetti Rilevanti o l' Ufficio del Commissario per l'Informazione o qualsiasi altro regolatore o autorità pertinente sulla Violazione dei Dati Personali dell'Importatore senza indebito ritardo.
15.3 Se l'Importatore è un Controllore: se la Violazione dei Dati Personali dell'Importatore può comportare un rischio per i diritti o le libertà di qualsiasi Soggetto Rilevante, l'Importatore deve notificare all'Esportatore senza indebito ritardo dopo essere venuto a conoscenza della violazione, fornendo le seguenti informazioni:
15.3.1 descrizione della natura della violazione dei dati personali dell'Importatore;
15.3.2 (se e quando possibile) le categorie e il numero approssimativo di Soggetti dei dati e di record di dati trasferiti;
15.3.3 le probabili conseguenze della violazione dei dati personali dell'Importatore;
15.3.4 misure adottate (o proposte) per porre rimedio alla violazione dei dati personali dell'Importatore (anche per ridurre al minimo gli effetti dannosi sui Soggetti rilevanti, per impedire che continui e per evitare che si ripeta) e per garantire l'attuazione di adeguate misure di protezione;
15.3.5 punto di contatto per ulteriori informazioni; e
15.3.6 qualsiasi altra informazione ragionevolmente richiesta dall'Esportatore.
Se non è possibile per l'Importatore fornire tutte le informazioni di cui sopra contemporaneamente, può farlo a tappe, senza indebito ritardo.
15.4 Se l'Importatore è un Controllore: se è probabile che la Violazione dei Dati Personali dell'Importatore comporti un rischio elevato per i diritti o le libertà di qualsiasi Soggetto Rilevante, l'Importatore deve informare tali Soggetti senza indebito ritardo, salvo che ciò implichi uno sforzo sproporzionato, e purché l'Importatore garantisca che vi sia una comunicazione pubblica o misure simili con cui i Soggetti Rilevanti siano informati in modo altrettanto efficace.
15.5 L'Importatore deve tenere una registrazione scritta di tutti i fatti rilevanti relativi alla violazione dei dati personali dell'Importatore, che fornirà all'Esportatore e all' Ufficio del Commissario per l'Informazione su richiesta.
Questo registro deve includere le misure adottate per risolvere la violazione dei dati personali dell'Importatore (compreso quello di ridurre al minimo gli effetti dannosi per i Soggetti Rilevanti, impedire che continui e impedire che si ripeta) e per garantire che i requisiti di sicurezza continuino a fornire un livello di sicurezza adeguato al rischio che si verifichi una violazione dei dati personali e all'impatto sui Soggetti Rilevanti di tale violazione dei dati personali.
16.Trasferimento dei Dati Trasferiti
16.1 L'Importatore può trasferire i Dati Trasferiti a terzi solo se è autorizzato a farlo nella Tabella 2: Tabella dei dettagli del trasferimento, il trasferimento è per lo Scopo, il trasferimento non viola l'Accordo collegato, e in presenza di uno o più dei seguenti requisiti:
16.1.1 il terzo ha stipulato un contratto scritto con l'Importatore con lo stesso livello di protezione per i Soggetti dei Dati indicato nel presente Accordo (sulla base del ruolo del destinatario come controllore o responsabile del trattamento), e l'Importatore ha condotto una valutazione dei rischi per garantire che le salvaguardie appropriate saranno protette da tale contratto; o
16.1.2 il terzo è stato aggiunto al presente Accordo come Parte; o
16.1.3 se l'Importatore si trova nel Regno Unito, il trasferimento dei Dati Trasferiti sarebbe conforme all'articolo 46 del Regolamento Generale sulla Protezione dei Dati del Regno Unito; o
16.1.4 se l'Importatore si trova nel Regno Unito, il trasferimento dei Dati Trasferiti sarebbe conforme a una delle eccezioni di cui all'articolo 49 del Regolamento Generale sulla Protezione dei Dati del Regno Unito; o
16.1.5 il trasferimento è verso il Regno Unito o un Paese adeguato.
16.2 L'Importatore non è tenuto a conformarsi alla Sezione 16.1 se sta trasferendo Dati Trasferiti e/o permette l'accesso ai Dati Trasferiti in conformità alla Sezione 23 (Richieste di accesso e accesso diretto).
17. Responsabilità dell'Importatore se autorizza altri per eseguire i suoi obblighi:
17.1 L'Importatore può subappaltare i propri obblighi di cui al presente Accordo a un Responsabile o a un Sub-responsabile(a condizione che rispetti la Sezione 16).
17.2 Se l'Importatore è il Responsabile dei dati dell'Esportatore o il Subincaricato: deve anche rispettare l'Accordo Collegato o avere il consenso scritto dell'Esportatore.
17.3 L'Importatore deve garantire che qualsiasi persona o terza parte che agisca sotto la sua autorità, incluso un Responsabile o a un Sub-responsabile, deve elaborare i Dati Trasferiti solo su sue istruzioni.
17.4 L'Importatore rimane pienamente responsabile nei confronti dell'Esportatore, dell'Ufficio del Commissario per l'Informazione e dei Soggetti Rilevanti per i suoi obblighi ai sensi del presente Accordo qualora abbia subappaltato qualsiasi obbligo ai suoi Responsabili o Sub-responsabili, o abbia autorizzato un dipendente o altra persona di eseguirlo (e i riferimenti all'Importatore in questo contesto includeranno i riferimenti ai suoi Elaboratori, Sub-elaboratori o persone autorizzate).
Quali diritti hanno gli individui?
18. Il diritto di avere una copia dell’Accordo
18.1 Se una Parte riceve da un Soggetto rilevante richiesta di copia del presente Accordo:
18.1.1 fornirà l'Accordo all'interessato e ne informerà l'altra parte non appena ciò sia ragionevolmente possibile;
18.1.2 non è tenuto a fornire copie dell'Accordo collegato, ma deve fornire tutte le informazioni degli Accordi collegati a cui si fa riferimento nelle Tabelle;
18.1.3 può modificare le informazioni contenute nelle Tabelle o le informazioni previste dall'Accordo Collegato se ciò è ragionevolmente necessario per proteggere i segreti commerciali o le informazioni riservate, purché fornisca al Soggetto rilevante una sintesi di tali modifiche in modo che il Soggetto rilevante possa comprendere il contenuto delle Tabelle o le informazioni previste dall'Accordo Collegato.
19. Il diritto alle informazioni sull'Importatore e sul trattamento
19.1 L'Importatore non è tenuto a rispettare i presente articolo 19 se è il Responsabile dei dati del Esportatore o il Sub-responsabile.
19.2 L'Importatore deve garantire che a ciascun Soggetto Rilevante siano stati forniti dettagli su:
- l'Importatore (inclusi i dettagli di contatto e il Contatto Soggetto dei Dati dell'Importatore);
- le Finalità; e
- gli eventuali destinatari (o categorie di destinatari) dei Dati Trasferiti;
L'Importatore può dimostrare di aver rispettato la presente Sezione 19.2 se le informazioni sono fornite (o sono già state fornite) ai Soggetti Rilevanti dall'Esportatore o da un'altra parte.
L'Importatore non è tenuto a conformarsi a questa Sezione 19.2 se informare l'interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato, nel qual caso, l'Importatore deve rendere le informazioni disponibili al pubblico.
19.3 L'Importatore deve mantenere aggiornati e disponibili al pubblico i dati di contatto dell'importatore dei dati personali. Ciò include la notifica scritta all'Esportatore di qualsiasi cambiamento.
19.4 L'Importatore deve assicurarsi che tali dettagli di contatto siano sempre di facile accesso per tutti i Soggetti Rilevanti e deve essere in grado di comunicare facilmente con i Soggetti dei Dati in lingua inglese senza indebiti ritardi.
20. Come i Soggetti Rilevanti possono esercitare i loro diritti in materia di dati personali
20.1 L'Importatore non è tenuto a rispettare la presente Sezione 20 se è Responsabile del trattamento dei dati dell’Esportatore o Sub-responsabile.
20.2 Se una persona lo richiede, l'Importatore deve confermare se sta trattando i suoi Dati Personali come parte dei Dati Trasferiti.
20.3 Le seguenti sottosezioni di questa Sezione 20 si riferiscono ai Dati Personali di un Soggetto Rilevante che fanno parte dei Dati Trasferiti che l'Importatore sta trattando.
20.4 Su richiesta del Soggetto Rilevante, l'Importatore deve fornirgli una copia dei suoi Dati Trasferiti:
20.4.1 senza indebito ritardo (e in ogni caso entro un mese)
20.4.2 senza costi maggiori per il Soggetto Rilevante di quelli che potrebbe addebitare se fosse soggetto alle Leggi sulla Protezione dei Dati del Regno Unito;
20.4.3 in lingua inglese chiara e semplice di facile comprensione; e
20.4.4 in una forma facilmente accessibile
insieme a
20.4.5 (se necessario) una spiegazione in inglese chiara e semplice dei Dati Trasferiti in modo che sia comprensibile per il Soggetto rilevante; e
20.4.6 l'informazione che il Soggetto rilevante ha il diritto di presentare una richiesta di risarcimento ai sensi della presente Accordo.
20.5 Se un Soggetto rilevante di dati lo richiede, l'Importatore deve:
20.5.1 rettificare i Dati Trasferiti inesatti o incompleti
20.5.2 cancellare i Dati Trasferiti se vengono trattati in violazione del presente Accordo
20.5.3 cessare di usarli per le finalità di marketing diretto; e
20.5.4 soddisfare qualsiasi altra ragionevole richiesta del Soggetto Rilevante, che l'Importatore sarebbe tenuto a soddisfare se fosse soggetto alle Leggi sulla Protezione dei Dati del Regno Unito.
20.6 L'Importatore non deve utilizzare i Dati Trasferiti per prendere decisioni sul Soggetto Rilevante basate esclusivamente sull'elaborazione automatizzata, compresa la profilazione (il "Processo Decisionale"), che producono effetti giuridici riguardanti il Soggetto Rilevante o li influenzano in modo altrettanto significativo, tranne se è consentito dalle Leggi Locali e:
20.6.1 il Soggetto Rilevante ha dato il proprio esplicito consenso a tale Processo Decisionale; o
20.6.2 la legge locale include garanzie che forniscono una protezione sufficientemente simile per i Soggetti Rilevanti in relazione a tale processo decisionale, rispetto alla protezione che il Soggetto Rilevante avrebbe se tale processo decisionale fosse nel Regno Unito; o
20.6.3 le Clausole di Protezione aggiuntiva prevedono garanzie per il processo decisionale che forniscono una protezione sufficientemente simile per i Soggetti Rilevanti in relazione a tale processo decisionale, rispetto alla protezione che il Soggetto Rilevante avrebbe se tale processo decisionale fosse nel Regno Unito.
21. Come i Soggetti Rilevanti possono esercitare i loro diritti in materia di protezione dei dati - se l'Importatore è il Responsabile del trattamento dei dati dell'Esportatore o il Sub-responsabile.
21.1 Se l'Importatore è il Responsabile del trattamento dei dati dell'Esportatore o il Sub-responsabile: Se l'Importatore riceve una richiesta direttamente da un individuo che si riferisce ai Dati Trasferiti, deve mandare tale richiesta all'Esportatore senza indebito ritardo. L'Importatore deve rispondere a tale persona solo se autorizzato dall'Esportatore o da qualsiasi Terzo Controllore.
22. Le esenzioni previste dalle Leggi sulla Protezione dei Dati del Regno Unito si applicano ai diritti dei Soggetti Rilevanti .
22.1 L'Importatore non è tenuto a rispondere alle richieste o a fornire informazioni o notifiche ai sensi delle Sezioni 18, 19, 20, 21 e 23 se:
22.1.1 non è in grado di verificare ragionevolmente l'identità di una persona che presenta la richiesta; o
22.1.2 le richieste sono manifestamente infondate o eccessive, anche quando le richieste sono ripetitive. In tal caso l'Importatore può rifiutare la richiesta o può addebitare al Soggetto rilevante dei dati una tassa ragionevole; o
22.1.3 un'esenzione pertinente sarebbe disponibile ai sensi delle Leggi sulla Protezione dei Dati del Regno Unito, se l'Importatore fosse soggetto alle Leggi sulla Protezione dei Dati del Regno Unito.
Se l'Importatore rifiuta la richiesta di un individuo o addebita una tassa ai sensi della Sezione 22.1.2, deve indicare per iscritto i motivi del suo rifiuto o dell'addebito e informerà il Soggetto rilevante che ha il diritto di presentare una richiesta di risarcimento ai sensi del presente Accordo in caso di violazione del presente Accordo.
Come concedere a terzi l'accesso ai Dati Trasferiti conformemente alle leggi locali.
23. Richieste di accesso e accesso diretto
23.1 Nella presente Sezione 23 una "Richiesta di Accesso" è una richiesta legalmente vincolante (ad eccezione delle richieste vincolanti solo in base al diritto contrattuale) per accedere a qualsiasi Dato Trasferito e "Accesso Diretto" indica l'accesso diretto a qualsiasi Dato Trasferito da parte delle autorità pubbliche di cui l'Importatore è a conoscenza.
23.2 L'Importatore può divulgare qualsiasi Dato Trasferito richiesto nella misura in cui riceve una Richiesta di Accesso, a meno che nelle circostanze sia ragionevole per lui contestare tale Richiesta di Accesso sulla base del fatto che ci sono motivi significativi per credere che sia illegale.
23.3 Nella misura in cui le leggi locali lo consentono ed è ragionevole farlo, l'Importatore fornirà senza indebito ritardo la seguente informazione relativa a qualsiasi Richiesta di Accesso o Accesso Diretto: l'Esportatore; qualsiasi Terzo Controllore; e se l'Importatore è un Controllore, qualsiasi Soggetto Rilevante.
23.4 Nella misura in cui le leggi locali lo consentono, l'Importatore deve:
23.4.1 fare e conservare una registrazione scritta delle Richieste di Accesso e degli Accessi Diretti, includendo (se noti): le date, l'identità del richiedente/accessore, lo scopo della Richiesta di Accesso o dell'Accesso Diretto, il tipo di dati richiesti o consultati, se sono stati contestati o è stato fatto ricorso, e l'esito; e i Dati Trasferiti che sono stati forniti o consultati; e
23.4.2 fornire una copia di questa registrazione scritta all'Esportatore ad ogni Data di revisione e ogni volta che l'Esportatore o l' Ufficio del Commissario per l'Informazione ne facciano ragionevole richiesta.
24. Dare preavviso
24.1 Se una Parte è tenuta a dare una notifica a qualsiasi altra Parte del presente Accordo, essa sarà contrassegnata all'attenzione del pertinente Contatto Chiave e inviata per e-mail all'indirizzo di posta elettronica del Contatto Chiave.
24.2 Se l'avviso viene inviato in conformità con la Sezione 24.1, sarà considerato notificato nel momento in cui l'e-mail è stata inviata, o se tale momento è al di fuori del normale orario di lavoro della Parte ricevente, il giorno lavorativo successivo della Parte ricevente, e a condizione che non venga ricevuto alcun avviso di mancato recapito o rigetto.
24.3 Le Parti convengono che qualsiasi Parte può aggiornare i propri dati del Contatto Chiave dando un preavviso di 14 giorni (o più) per iscritto all'altra Parte.
25. Clausole generali
25.1 In relazione al trasferimento dei Dati Trasferiti all'Importatore e al trattamento dei Dati Trasferiti da parte dell'Importatore, il presente Accordo e qualsiasi Accordo Collegato:
25.1.1 contengono tutti i termini e le condizioni concordate dalle Parti; e
25.1.2 prevalgono su tutti i precedenti contatti e accordi, sia orali che scritti.
25.2 Se una Parte ha fatto delle dichiarazioni orali o scritte all'altra prima di stipulare il presente Accordo (che non sono scritte nel presente Accordo), l'altra Parte conferma di non aver fatto affidamento su tali dichiarazioni e che non comporterà un rimedio legale se tali dichiarazioni siano false o mendaci, a meno che la dichiarazione sia stata fatta in modo fraudolento.
25.3 Nessuna delle due parti può novare, trasferire o ottenere un effetto giuridico sul presente Accordo (in tutto o in parte) senza il consenso scritto dell'altra parte, che può essere indicato nell'Accordo collegato.
25.4 Ad eccezione di quanto stabilito nella Sezione 17.1, nessuna delle Parti può subappaltare i propri obblighi ai sensi del presente Accordo senza il consenso scritto dell'altra Parte, che può essere indicato nell'Accordo Collegato.
25.5 Il presente Accordo non rende le Parti partners, né nomina una Parte ad agire come delegato dell'altra Parte.
25.6 Se una qualsiasi Sezione (o parte di una Sezione) del presente Accordo è o diventa illegale, non valida o inapplicabile, ciò non pregiudica la legalità, la validità e l'applicabilità di qualsiasi altra Sezione (o il resto di tale Sezione) del presente Accordo.
25.7 Se una parte non fa valere, o ritarda a far valere, i propri diritti o rimedi ai sensi o in relazione al presente Accordo, ciò non costituirà una rinuncia a tali diritti o rimedi. Inoltre, ciò non limiterà la capacità di tale Parte di far valere tali diritti o rimedi in futuro.
25.8 Se una Parte sceglie di rinunciare a far valere un diritto o un rimedio ai sensi o in relazione al presente Accordo, tale rinuncia sarà efficace solo se effettuata per iscritto. Se una parte fornisce una tale rinuncia scritta:
25.8.1 si applica solo nella misura in cui rinuncia esplicitamente a specifici diritti o rimedi;
25.8.2 non impedirà alla parte di esercitare tali diritti o rimedi in futuro (a meno che non abbia esplicitamente rinunciato a farlo); e
25.8.3 non impedirà a quella parte di far valere qualsiasi altro diritto o rimedio in futuro.
Cosa succederà in caso di violazione del presente Accordo?
26. Violazioni del presente Accordo
26.1 Ciascuna Parte deve notificare all'altra Parte per iscritto (e con tutti i dettagli pertinenti) se:
26.1.1 ha violato il presente Accordo; o
26.1.2 dovrebbe ragionevolmente prevedere che potrebbe violare il presente Accordo, e fornire tutte le informazioni al riguardo che l'altra Parte ragionevolmente richieda.
26.2 Nel presente Accordo, per " Impatto dannoso significativo " si intende che esiste più di un rischio minimo che la violazione dell'Accordo causi (direttamente o indirettamente) un danno significativo a qualsiasi Soggetto Rilevante o all'altra Parte.
27. Violazioni del presente Accordo da parte dell'Importatore
27.1 Se l'Importatore ha violato il presente Accordo, e questo ha un impatto dannoso significativo, l'Importatore deve prendere provvedimenti senza indebito ritardo per porre fine all'Impatto dannoso significativo, e se ciò non è possibile per ridurre il più possibile l'Impatto dannoso significativo.
27.2 Fino a quando non ci sarà più un Impatto dannoso significativo sui Soggetti Rilevanti:
27.2.1 l'Esportatore deve sospendere l'invio dei Dati Trasferiti all'Importatore;
27.2.2 se l'Importatore è il Responsabile dei dati dell'Esportatore o Subincaricato: se l'Esportatore lo richiede, l'importatore deve cancellare in modo sicuro tutti i Dati Trasferiti o restituirli in modo sicuro all'Esportatore (o a un terzo nominato dall'Esportatore); e
27.2.3 se l'Importatore ha trasferito i Dati Trasferiti a un terzo destinatario ai sensi della Sezione 16, e la violazione ha un Impatto dannoso significativo sul Soggetto Rilevante quando è trattato da o per conto di tale terzo destinatario, l'Importatore deve:
27.2.3.1 notificare la violazione al terzo destinatario e sospendere l'invio dei Dati Trasferiti; e
27.2.3.2 se il terzo destinatario è Responsabile dei dati dell'Esportatore o Subincaricato: fare in modo che il terzo destinatario cancelli in modo sicuro tutti i Dati Trasferiti elaborati da lui o per suo conto, o li restituisca in modo sicuro all'Importatore (o a un terzo nominato dall'Importatore).
27.3 Se la violazione non può essere corretta senza ingiustificato ritardo, in modo che non vi sia un impatto significativo dannoso in corso sui Soggetti Rilevanti, l'Esportatore deve porre fine al presente Contratto ai sensi della Sezione 30.1.
28. Violazioni del presente Accordo da parte dell'Esportatore
28.1 Se l'Esportatore ha violato il presente Accordo e ciò ha un impatto significativo dannoso, l'Esportatore deve adottare senza indebito ritardo misure per porre fine al impatto significativo dannoso e se ciò non è possibile ridurre il più possibile l’impatto significativo dannoso.
28.2 Fino a quando non ci sarà più il rischio di un impatto significativo dannoso sui Soggetti Rilevanti, l'Esportatore deve sospendere l'invio dei Dati Trasferiti all'Importatore.
28.3 Se la violazione non può essere corretta senza ingiustificato ritardo, e quindi non c'è più alcun impatto significativo dannoso sui Soggetti Rilevanti, l'Importatore deve porre fine al presente Accordo ai sensi della Sezione 30.1.
Porre fine all’Accordo
29. Come porre fine al presente Accordo senza che vi sia una violazione
29.1 L'Accordo si risolve:
29.1.1 alla scadenza del termine indicato nella Tabella 2: Dettagli del trasferimento; o
29.1.2 se nella Tabella 2: Dettagli del trasferimento, le Parti possono porre fine al presente Accordo dandone comunicazione scritta all'altra: alla fine del periodo di preavviso fissato;
29.1.3 in qualsiasi momento in cui le Parti convengano per iscritto di porvi fine; o
29.1.4 al momento indicato nella sezione 29.2.
29.2 Se l' Ufficio del Commissario per l'Informazione emette un Accordo approvato rivisto ai sensi della Sezione 5.4, se una delle Parti selezionate nella Tabella 2 "Risoluzione dell'Accordo quando l'Accordo approvato cambia", avrà come risultato diretto delle modifiche all'Accordo approvato un aumento sostanziale, sproporzionato e dimostrabile di:
29.2.1 costi diretti per adempiere ai propri obblighi ai sensi dell'Accordo; e/o
29.2.2 rischio ai sensi dell'Accordo,
e in entrambi i casi ha prima adottato misure ragionevoli per ridurre tali costi o rischi in modo che non siano sostanziali e sproporzionati, tale Parte può porre fine all'Accordo al termine di un periodo di preavviso ragionevole, fornendo un preavviso scritto per tale periodo all'altra Parte prima della data di inizio dell'Accordo approvato rivisto.
30. Come porre fine al presente Accordo in caso di violazione
30.1 Una Parte può porre fine immediatamente al presente IDTA dandone comunicazione scritta all'altra Parte se:
30.1.1 l'altra Parte ha violato il presente Accordo e ciò ha un impatto significativamente dannoso. Ciò include ripetute violazioni minori che nel loro insieme hanno un impatto significativo dannoso, e
30.1.1.1 la violazione può essere corretta in modo che non vi sia un impatto significativo dannoso, e l'altra Parte non l'ha fatto senza ingiustificato ritardo (che non può essere superiore a 14 giorni dalla richiesta scritta); o
30.1.1.2 la violazione e l’impatto significativo dannoso non possono essere corretti;
30.1.2 l'Importatore non può più conformarsi alla Sezione 8.3, in quanto esistono Leggi Locali che gli impediscono di conformarsi al presente Accordo e ciò ha un impatto significativo dannoso.
31. Cosa devono fare le Parti quando l’Accordo termina?
31.1 Se le parti desiderano porre fine al presente Accordo o se il presente Accordo termina in conformità a qualsiasi disposizione del presente Accordo, ma l'Importatore deve rispettare una Legge Locale che gli impone di continuare a conservare i Dati Trasferiti, allora il presente Accordo rimarrà in vigore per quanto riguarda i Dati Trasferiti conservati per tutto il tempo in cui tali Dati vengono conservati, e l'Importatore deve:
31.1.1 notificare l'Esportatore senza indebito ritardo, includendo i dettagli della Legge Locale pertinente e il periodo di conservazione richiesto;
31.1.2 conservare solo la quantità minima di Dati Trasferiti di cui ha bisogno per conformarsi a tale Legge Locale, e le Parti devono garantire e mantenere misure di salvaguardia appropriate, e modificare le Tabelle e le Clausole di Protezione aggiuntive, insieme a qualsiasi TRA per riflettere ciò; e
31.1.3 interrompere il Trattamento dei Dati Trasferiti non appena consentito da tale Legge Locale e l'Accordo terminerà e si applicherà il resto della presente Sezione 29.
31.2 Quando il presente Accordo termina (indipendentemente dal motivo):
31.2.1 l'Esportatore deve smettere di inviare i Dati Trasferiti all'Importatore; e
31.2.2 se l'Importatore è Responsabile dei dati dell'Esportatore o Subincaricato: l'Importatore deve cancellare tutti i Dati Trasferiti o restituirli in modo sicuro all'Esportatore (o a un terzo nominato dall'Esportatore), secondo le istruzioni dell'Esportatore;
31.2.3 se l'Importatore è un Controller e/o non è Responsabile dei dati dell'Esportatore o il Subincaricato: l'Importatore deve cancellare in modo sicuro tutti i Dati Trasferiti.
31.2.4 le seguenti disposizioni continueranno ad essere in vigore dopo la fine del presente Accordo (indipendentemente dal motivo):
- Sezione 1 (Il presente Accordo e gli accordi collegati);
- Sezione 2 (Significato giuridico delle parole);
- Sezione 6 (Comprensione del presente Accordo);
- Sezione 7 (Quali leggi si applicano a questo Accordo);
- Sezione 10 (Ufficio del Commissario per l'Informazione);
- Sezioni 11.1 e 11.4 (Obblighi dell'esportatore);
- Sezioni 12.1.2, 12.1.3, 12.1.4, 12.1.5 e 12.1.6 (Obblighi generali dell'importatore);
- Sezione 13.1 (Obblighi dell'Importatore se è soggetto alle Leggi sulla Protezione dei Dati del Regno Unito);
- Sezione 17 (Responsabilità dell'Importatore se ha autorizzato altri ad eseguire i suoi obblighi);
- Sezione 24 (Dare preavviso);
- Sezione 25 (Clausole generali);
- Sezione 31 (Cosa devono fare le parti quando l'Accordo termina);
- Sezione 32 (La tua responsabilità);
- Sezione 33 (Come i Soggetti Rilevanti e l'Ufficio del Commissario per l'Informazione possono avanzare pretese giuridiche);
- Sezione 34 (Tribunali in cui è possibile avanzare pretese giuridiche);
- Sezione 35 (Arbitrato); e
- Sezione 36 (Glossario giuridico).
Come avanzare pretese giuridiche ai sensi del presente Accordo
32. La tua responsabilità:
32.1 Le Parti restano pienamente responsabili nei confronti dei Soggetti Rilevanti per l'adempimento degli obblighi previsti dal presente Accordo e (se applicabili) dalle leggi britanniche sulla protezione dei dati.
32.2 Ciascuna Parte (in questa Sezione, "prima Parte ") accetta di essere pienamente responsabile nei confronti dei Soggetti Rilevanti per l'intero danno subito dal Soggetto Rilevante, causato direttamente o indirettamente da:
32.2.1 violazione del presente Accordo della prima Parte; e/o
32.2.2 dove la prima Parte è un Elaboratore, violazione della Parte Uno di qualsiasi disposizione relativa al trattamento dei Dati Trasferiti nell'Accordo Collegato;
32.2.3 dove la prima Parte è Controllore, la violazione del presente Accordo dell'altra Parte se involve il trattamento dei Dati Trasferiti della prima Parte (non importa quanto sia minimo)
in ogni caso, a meno che la prima Parte possa dimostrare di non essere in alcun modo responsabile dell'evento che ha causato il danno.
32.3 Se una delle Parti ha pagato un risarcimento a un Soggetto rilevante in base alla Sezione 32.2, ha il diritto di richiedere all'altra Parte la parte del risarcimento corrispondente alla quota di responsabilità dell'altra Parte per il danno cagionato, in modo che il risarcimento sia equamente diviso tra le Parti.
32.4 Le Parti non escludono o limitano la loro responsabilità ai sensi del presente Accordo o delle leggi britanniche sulla protezione dei dati, sulla base del fatto che hanno autorizzato qualcuno che non è una Parte (incluso un Elaboratore) ad eseguire uno qualsiasi dei loro obblighi, e rimarranno responsabili dell'esecuzione di tali obblighi.
33. Come i Soggetti Rilevanti e l'Ufficio del Commissario per l'Informazione possono avanzare pretese giuridiche.
33.1 I Soggetti Rilevanti hanno il diritto di avanzare pretese giuridiche contro l'Esportatore e/o l'Importatore per la violazione di quanto segue (compreso il caso in cui il loro trattamento dei Dati Trasferiti sia coinvolto in una violazione da una delle Parti):
- Sezione 1 (Il presente Accordo e gli Accordi collegati);
- Sezione 3 (hai fornito tutte le informazioni richieste dalla prima Parte: Tabelle e la seconda Parte: Clausole di protezione aggiuntiva);
- Sezione 8 (Salvaguardie appropriate);
- Sezione 9 (Revisioni per assicurare la continuazione delle salvaguardie appropriate);
- Sezione 11 (Obblighi dell'esportatore);
- Sezione 12 (Obblighi generali dell'importatore);
- Sezione 13 (Obblighi dell'importatore se è soggetto alle leggi britanniche sulla protezione dei dati);
- Sezione 14 (Obblighi dell'importatore di conformarsi alle principali leggi sulla protezione dei dati);
- Sezione 15 (Cosa succede se c'è una violazione dei dati personali dell'Importatore);
- Sezione 16 (Trasferimento dei dati trasferiti);
- Sezione 17 (La responsabilità dell'Importatore se autorizza altri ad eseguire i suoi obblighi);
- Sezione 18 (Il diritto a una copia dell'Accordo);
- Sezione 19 (I dettagli di contatto dell'Importatore per i Soggetti Rilevanti);
- Sezione 20 (Come i Soggetti Rilevanti possono esercitare i loro diritti in materia di dati);
- Sezione 21 (Come gli interessati possono esercitare i loro diritti in materia di dati - se l'importatore è il Responsabile dei dati dell'Esportatore o Subincaricato);
- Sezione 23 (Richieste di accesso e accesso diretto);
- Sezione 26 (Violazioni del presente Аccordo);
- Sezione 27 (Violazioni del presente Аccordo da parte dell'Importatore);
- Sezione 28 (Violazioni del presente Аccordo da parte dell'Esportatore);
- Sezione 30 (Come porre fine al presente Аccordo in caso di violazione);
- Sezione 31 (Cosa devono fare le parti quando termina l'Accordo); e
- qualsiasi altra disposizione dell'Accordo che vada espressamente o implicitamente a beneficio dei Soggetti Rilevanti.
33.2 L'Ufficio del Commissario per l'Informazione ha il diritto di avanzare pretese giuridiche contro l'Esportatore e/o l'Importatore per la violazione delle seguenti Sezioni: Sezione 10 (L' Ufficio del Commissario per l'Informazione), Sezioni 11.1 e 11.2 (Obblighi dell'Esportatore), Sezione 12.1.6 (Obblighi generali dell'Importatore) e Sezione 13 (Obblighi dell'Importatore se è soggetto alle leggi britanniche sulla protezione dei dati).
33.3 Nessun altro (che non sia una Parte) può far valere qualsiasi parte del presente Accordo (anche ai sensi dei Contratti (Rights of Third Parties) Atto 1999).
33.4 Le Parti non hanno bisogno del consenso di alcun Soggetto rilevante o dell' Ufficio del Commissario per l'Informazione per apportare modifiche al presente Accordo, ma qualsiasi modifica deve essere apportata in conformità ai termini.
33.5 Nel avanzare una pretesa ai sensi del presente Accordo, un Soggetto rilevante può essere rappresentato da un ente, organizzazione o associazione senza scopo di lucro alle stesse condizioni di cui all'articolo 80(1) Regolamento generale sulla protezione dei dati del Regno Unito e alle sezioni da 187 a 190 della Legge sulla protezione dei dati 2018.
34. Tribunali in cui possono essere avanzate pretese giuridiche.
34.1 I tribunali del paese del Regno Unito indicati nella Tabella 2: Dettagli del trasferimento hanno giurisdizione non esclusiva di qualsiasi pretesa in relazione al presente Accordo (comprese le pretese extracontrattuali).
34.2 L'Esportatore può intentare un'azione contro l'Importatore in relazione al presente Accordo (comprese le azioni extracontrattuali) in qualsiasi tribunale di qualsiasi paese avente la competenza giurisdizionale per l'azione.
34.3 L'Importatore può intentare un'azione contro l'Esportatore in relazione al presente Accordo (comprese le azioni extracontrattuali) solo presso i tribunali del Regno Unito indicato nella Tabella 2: Dettagli del trasferimento.
34.4 I Soggetti Rilevanti e l' Ufficio del Commissario per l'Informazione possono intentare un'azione contro l'Esportatore e/o l'Importatore in relazione al presente Accordo (comprese le azioni extracontrattuali) in qualsiasi tribunale di qualsiasi paese avente la competenza giurisdizionale per l'azione.
34.5 Ciascuna Parte si impegna a fornire all'altra Parte aggiornamenti in merito a qualsiasi azione o reclamo presentato contro di essa da un Soggetto rilevante o dall' Ufficio del Commissario per l'Informazione in relazione ai Dati trasferiti (comprese le domande in sede arbitrale).
35. Arbitrato
35.1 Invece di avanzare pretese in tribunale ai sensi della Sezione 34, qualsiasi Parte o un Soggetto rilevante può scegliere di sottoporre qualsiasi controversia derivante da o in relazione al presente Accordo (comprese le azioni extracontrattuali) per la risoluzione definitiva mediante le regole di arbitrato della LCIA /London Court of International Arbitration/, e tale Regole si considera incorporato per riferimento nella presente Sezione 35.
35.2 Le Parti accettano di sottoporsi a qualsiasi arbitrato avviato da un'altra Parte o da un Soggetto rilevante in conformità con la presente Sezione 35.
35.3 Ci deve essere un solo arbitro. L'arbitro (1) deve essere un avvocato abilitato all'esercizio della professione forense in uno o più paesi dell'Inghilterra e del Galles, o della Scozia, o dell'Irlanda del Nord e (2) deve avere esperienza nell'agire o fornire consulenza su controversie relative alle leggi britanniche sulla protezione dei dati.
35.4 Londra sarà la sede o il luogo dell'arbitrato. Non ha importanza se le parti hanno selezionato un diverso paese del Regno Unito come "luogo principale delle azioni legali da avanzare" nella Tabella 2: Dettagli del trasferimento.
35.5 Nel procedimento arbitrale deve essere usata la lingua inglese.
35.6 Il presente articolo 35 è disciplinato dal diritto inglese. Ciò si applica indipendentemente dal fatto che le parti abbiano selezionato o meno la legge di un diverso paese del Regno Unito come "legge britannica che disciplina l'Accordo" nella Tabella 2: Dettagli della trasferimento.
36. Glossario giuridico
Parola o frase | Definizione giuridica (ecco come questa parola o frase deve essere interpretata nell'Accordo) |
Richiesta di accesso | Come definito nella Sezione 23, come una richiesta legalmente vincolante (ad eccezione delle richieste vincolanti solo in base al diritto contrattuale) per accedere a qualsiasi dato trasferito. |
Paese adeguato | Un paese terzo, o: - un territorio; - uno o più settori o organizzazioni all'interno di un paese terzo; - un'organizzazione internazionale; che il Segretario di Stato ha specificato tramite regolamenti fornisce un adeguato livello di protezione dei Dati personali in conformità alla Sezione 17A della Legge sulla protezione dei dati 2018. |
Appropriate Safeguards | Lo standard di protezione dei Dati Trasferiti e sui diritti del Soggetto Rilevante, che è richiesto dalle leggi britanniche sulla protezione dei dati quando si effettua un Trasferimento affidandosi a clausole standard di protezione dei dati ai sensi dell'articolo 46(2)(d) del Regolamento generale sulla protezione dei dati del Regno Unito. |
Accordo approvato | La bozza di Accordo approvata A1.0 emessa dall' Ufficio del Commissario per l'Informazione e depositata davanti al Parlamento in conformità all’art. 119A della Legge sulla protezione dei dati 2018 il 2 febbraio 2022, così come rivisto nella sezione 5.4. |
Clausole commerciali | Le clausole commerciali di cui alla terza Parte. |
Controllore | Come definito nel Regolamento generale sulla protezione dei dati del Regno Unito. |
Danno | Tutte le perdite e i danni materiali e non materiali. |
Soggetto dei dati | Come definito nel Regolamento generale sulla protezione dei dati del Regno Unito. |
Processo decisionale | Come definito nella Sezione 20.6 significa decisioni sui Soggetti rilevanti basate esclusivamente sul trattamento automatizzato, compresa la profilazione, utilizzando i Dati trasferiti. |
Accesso Diretto | Come definito nella Sezione 23 significa l'accesso diretto a qualsiasi Dato Trasferito da parte delle autorità pubbliche di cui l'Importatore è a conoscenza. |
Esportatore | L'esportatore identificato nella Tabella 1: Parti e Firma. |
Clausole di Protezione aggiuntiva | Le clausole di cui alla seconda Parte: Clausole di Protezione aggiuntiva |
ICO | Ufficio del Commissario per l'Informazione. |
Importatore | L'importatore identificato nella Tabella 1: Parti e firma. |
Contatto dell'importatore dei dati | Il contatto dell'importatore di dati identificato nella Tabella 1: Parti e firma, che può essere aggiornato in conformità alla Sezione 19. |
Informazioni dell'Importatore | Come definito nella Sezione 8.3.1, tutte le informazioni pertinenti riguardanti le leggi e le pratiche locali e le protezioni e i rischi che si applicano ai Dati Trasferiti quando vengono trattati dall'Importatore, anche per l'Esportatore per effettuare qualsiasi TRA. |
Violazione dei dati personali dell'Importatore | Una "violazione dei dati personali" come definita nel Regolamento generale sulla protezione dei dati del Regno Unito, in relazione ai Dati Trasferiti quando sono trattati dall'Importatore. |
Accordo collegato | L'accordo collegato di cui alla Tabella 2: Dettagli del trasferimento. |
Leggi locali | Leggi che non sono le leggi del Regno Unito e che vincolano l'Importatore. |
Clausole obbligatorie | Quarta Parte: Clausole obbligatorie del presente Accordo. |
Periodo di preavviso | Come indicato nella Tabella 2: Dettagli del trasferimento. |
Parte/Parti | Le parti del presente Accordo come indicato nella Tabella 1: Parti e firma. |
Dati personali | Come definito nel Regolamento generale sulla protezione dei dati del Regno Unito. |
Violazione dei dati personali | Come definito nel Regolamento generale sulla protezione dei dati del Regno Unito. |
Trattamento | Come definito nel Regolamento generale sulla protezione dei dati del Regno Unito. Quando l'Accordo si riferisce al Trattamento da parte dell'Importatore, ciò include il caso in cui un terzo Sub-responsabile dell'Importatore stia elaborando i dati per conto dell'Importatore. |
Elaboratore | Come definito nel Regolamento generale sulla protezione dei dati del Regno Unito. |
Finalità | La "Finalità" indicata nella Tabella 2: Dettagli del trasferimento, compresa qualsiasi finalità che non sia incompatibile con le finalità dichiarate o a cui si fa riferimento. |
Soggetto rilevante dei dati | Soggetto dei dati trasferiti |
Trasferimento limitato | Un trasferimento che è coperto dal Capitolo V del Regolamento generale sulla protezione dei dati del Regno Unito. |
Date di revisione | Le date o il periodo di revisione dei requisiti di sicurezza di cui alla Tabella 2: Dettagli del trasferimento, e qualsiasi data di revisione stabilita in qualsiasi Accordo approvato rivisto. |
Impatto dannoso significativo | Come definito nella sezione 26.2, quando esiste più di un rischio minimo che la violazione causi (direttamente o indirettamente) un danno significativo a qualsiasi Soggetto rilevante o all'altra Parte. |
Categoria speciale di Dati | Come descritto nel Regolamento generale sulla protezione dei dati del Regno Unito, insieme ai dati relativi a condanne o reati penali. |
Data di inizio | Come indicato nella Tabella 1: Parti e firma. |
Sub-responsabile | Un Responsabile nominato da un altro Responsabile per elaborare i dati personali per suo conto. Ciò include i Sub-responsabili di qualsiasi livello, ad esempio un Sub-Sub-responsabile. |
Tabelle | Le tabelle riportate nella prima parte del presente Regolamento generale sulla protezione dei dati. |
Termine | Come indicato nella Tabella 2: Dettagli del trasferimento. |
Terza Parte Controllore | Il Controllore dei dati trasferiti dove l'Esportatore è un Responsabile dei dati o un Sub-responsabile. Se non c'è una Terza parte Controllore, questo può essere ignorato. |
Valutazione del rischio di trasferimento o TRA | Una valutazione del rischio nella misura in cui è richiesta dalle leggi britanniche sulla protezione dei dati per dimostrare che l’Accordo fornisce le salvaguardie appropriate. |
Dati trasferiti | Qualsiasi dato personale che le Parti trasferiscono o intendono trasferire ai sensi del presente Accordo, come descritto nella Tabella 2: Dettagli del trasferimento |
Leggi britanniche sulla protezione dei dati | Tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta nel Regno Unito, compreso il Regolamento generale sulla protezione dei dati del Regno Unito e la Legge sulla protezione dei dati 2018. |
Regolamento generale sulla protezione dei dati del Regno Unito | Come definito nella Sezione 3 della Legge sulla protezione dei dati 2018. |
Senza indebito ritardo | Senza indebito ritardo, come questa fase è interpretata nel Regolamento generale sulla protezione dei dati del Regno Unito. |