Regolamento Generale dell’Unione europea sulla Protezione dei Dati e Addendum sul Trasferimento dei Dati

Choose your language

La presente versione tradotta viene fornita esclusivamente per comodità e in caso di differenze di significato o di interpretazione tra la versione tradotta e la versione inglese, fa fede quella inglese.

Regolamento Generale dell’Unione europea sulla Protezione dei Dati e Addendum sul Trasferimento dei Dati

Il presente Addendum sul Trattamento dei Dati (“Addendum”) costituisce parte dei e modifica i Termini e le Condizioni relativi ai Consulenti di Guidepoint tra Guidepoint Global, LLC e il Consulente (qui di seguito “Accordo” o “l’Accordo”). Il presente Addendum si applica da e tra Guidepoint Global, LLC, con sedeprincipale a Third Avenue 730, New York, NY 10017 (“Responsabile del Trattamento” e/o “Importatore dei Dati”), da una parte, e il Consulente (“Titolare” e/o “Esportatore dei Dati”) dall’altra, quest’ultimo costituente parte dell’Addendum essendo stato informato dei relativi contenuti e avendo scelto di non sollevare periodicamente obiezioni. Il presente Addendum è stipulato ed eseguito a partire dalla data dell’Accordo o, se successiva (la “Data Effettiva”), dal 25 maggio, 2018. Il Titolare e il Responsabile del Trattamento sono a volte definiti singolarmente come una “Parte” e congiuntamente come le “Parti”.

 

Per le finalità del presente Addendum e salvo quando diversamente indicato, i termini in maiuscolo presenti in questo documento hanno lo stesso significato delle definizioni usate nel Regolamento Generale dell’Unione europea sulla Protezione dei Dati (“GDPR”) o nelle Clausole Contrattuali Standard per il Trasferimento dei Dati Personali ai Responsabili del Trattamento dei Dati aventi sede nei Paesi Terzi, che sono contenuti in appendice alla “decisione della Commissione europea 2010/87/CE del 5 febbraio 2010 sulle clausole contrattuali standard per il trasferimento dei Dati Personali ai responsabili del trattamento aventi sede nei paesi terzi (“Clausole Contrattuali Standard” o “Clausole” allegate al presente documento nell’Allegato 1).

 

Il presente Addendum si applica ai Dati Personali raccolti o forniti dagli Interessati nell’Unione europea. Il presente Addendum si applica altresì, in parte rilevante, ai Dati Personali trattati nell’UE.

 

CONSIDERANDO

 

CHE, a seguito della prestazione di servizi da parte del Responsabile del Trattamento previstidall’Accordo, il Responsabile del Trattamento può ricevere in custodia o memorizzare, elaborare, o ottenere accesso a determinati file di dati che possono contenere Dati Personali come definito dal GDPR e come ulteriormente descritto nell’Appendice 1 al presente documento; e

CHE, le Parti vogliono garantire la presenza di garanzie adeguate relativamente alla tutela della privacy degli Interessati ai sensi del GDPR e pertanto vogliono modificare l’Accordo ai sensi dei termini e delle condizioni in esso stabiliti; e

CHE,le leggi europee sulla protezione dei dati richiedono agli esportatori dei dati nei paesi UE/SEE di fornire una protezione adeguata per i trasferimenti di Dati Personali ai paesi non UE/SEE, e tale protezione può essere fornita richiedendo agli importatori dei dati di inserirli nelle Clausole Contrattuali Standard per il Trasferimento di Dati Personali ai Paesi Terzi ai sensi della Decisione della Commissione 2004/915/CE del 27 dicembre 2004 (e successive modifiche o sostituzioni periodiche).

TUTTO CIÒ PREMESSO, per e in considerazione delle promesse e degli accordi reciproci contenuti nel presente documento, e a fronte di ogni altro valido corrispettivo del cui avvenuto ricevimento e della cui adeguatezza le Parti si danno qui reciprocamente atto, le Parti concordano quanto segue:

 

MODIFICHE ALL’ACCORDO

1. MODIFICHE ALL’ACCORDO
1.1 Modifica. Le Parti convengono che l’Accordo va modificato aggiungendo all’Accordo il presente Addendum.

 

1.2 Efficacia dell’Addendum. Tutte le disposizioni dell’Accordo in materia di Servizi non espressamente modificate restano in vigore e continuano ad avere efficacia. In caso di divergenze irrisolvibili tra le disposizioni del presente Addendum e le disposizioni dell’Accordo in materia di Servizi, prevalgono le disposizioni del presente Addendum. Qualora una disposizione del presente Addendum sia o diventasse inefficace, l’efficacia delle altre disposizioni del presente Addendum resta impregiudicata, e ogni suo termine e disposizione è efficace e si applica nella misura massima consentita dalla legge.

 

1.3 Ulteriori modifiche. Le disposizioni dell’Accordo, comprese le disposizioni della presente clausola, non possono essere modificate o integrate, e deroghe o esenzioni dalle disposizioni del presente Accordo non possono essere concesse, senza previo consenso scritto da parte del rappresentante autorizzato di ciascuna delle Parti. Nessuna deroga dell’una o dell’altra Parte relativamente a unamancata conformità, falsa dichiarazione, o violazione di garanzie o accordi oggetto del presente documento, intenzionale o meno, va estesa a una precedente o successiva mancata conformità, falsa dichiarazione, o violazione di garanzie o accordi oggetto del presente documento né pregiudica in alcun modo i diritti conferiti in virtù del precedente o successivo verificarsi di tale circostanza.  

 

2. TRATTAMENTO DEI DATI

 

2.1 Istruzioni per il Titolare.  Il Responsabile del Trattamento tratta i Dati Personali del Titolare solo per conto e nell’interesse del Titolare e ai sensi delle istruzioni documentate del Titolare. Le Parti concordano espressamente e stipulano che l’Accordo, compresi gli accordi applicabili sul livello di servizio o documenti equivalenti, costituisce le istruzioni scritte del Titolare per il Responsabile del Trattamento. Ogni ulteriore istruzione sul trattamento va concordata per iscritto dalle Parti. Il Responsabile del Trattamento deve informare immediatamente il Titolare qualora, dal punto di vista del Responsabile, un’istruzione violi la Legge Applicabile.  
2.2 Autorità di Trasferimento al Responsabile del Trattamento. Il Titolare dichiara e garantisce che il Titolare ha l’autorità e il diritto, compreso il consenso ove richiesto, di trasferire legalmente al Responsabile del Trattamento tutti i Dati Personali e ogni altro dato o informazione relativiall’accesso o all’uso dei Servizi da parte del Titolare.
2.3 Conformità alla Legge Applicabile. Il Titolare dichiara e garantisce di agire in conformità con (a) le leggi, le norme, i regolamenti, le direttive e i requisiti governativi internazionali, federali, statali, provinciali e locali applicabili attualmente in vigore e come acquistano efficacia legati in qualunque modo alla privacy, alla riservatezza, e/o alla sicurezza dei Dati Personali, compreso il, ma non limitatamente al, GDPR; (ii) gli standard applicabili del settore riguardanti la privacy, la protezione dei dati, la riservatezza o la sicurezza delle informazioni compreso, senza limitazioni, lo standard PCI DSS (Payment Card Industry Data Security Standard); e (iii) le disposizioni applicabili dei requisiti scritti del Responsabile del Trattamento attualmente in vigore e come acquistano efficacia legati in qualche modo alla privacy, alla riservatezza, e/o alla sicurezza dei Dati Personali o a politiche, dichiarazioni o informative sulla privacy applicabili che sono fornite per iscritto al Titolare da parte del Responsabile del Trattamento (congiuntamente, “Legge Applicabile”).
3. SUB-RESPONSABILI

 

3.1 Impegno dei Sub-responsabili. Il Titolare prende atto e concorda espressamente che (a) un Responsabile del Trattamento può mantenere un soggetto che sia controllato da, controlli o eserciti comune controllo con il Responsabile del Trattamento (“Affiliati”) con riguardo alla prestazione dei Servizi; e (b) il Responsabile del Trattamento e gli Affiliati del Responsabile del Trattamento possono rispettivamente impegnare responsabili terzi con riguardo alla prestazione dei Servizi (congiuntamente, “Sub-responsabili”).
3.2 Obblighi dei Sub-responsabili. A ogni Sub-responsabile sarà consentito il trattamento di Dati personali solo nella misura necessaria a fornire i Servizi per i quali il Responsabile del Trattamento li ha conservati, e a tali Sub-responsabili è fatto divieto di trattare Dati Personali per qualsiasi altra finalità. Tali Sub-responsabili forniranno i servizi previsti da un accordo scritto contenente gli stessi obblighi sulla protezione dei dati stabiliti dal presente documento. Il Responsabile del Trattamento risponde nei confronti del Titolare per atti e omissioni dei suoi Sub-responsabili nella stessa misura in cui risponde il Titolare qualora fornisca direttamente i servizi di un Sub-responsabile in conformità ai termini del presente Addendum, salvo se diversamente stabilito dall’Accordo.  
3.3 Elenchi dei Sub-responsabili. Su richiesta del Titolare, il Responsabile del Trattamento mette a disposizione del Titolare un elenco aggiornato dei Sub-responsabili per i rispettivi Servizi con le identità di tali Sub-responsabili (“Elenco dei Sub-responsabili”).
4. RISERVATEZZA
4.1 Riservatezza. Il Responsabile del Trattamento tratterà i Dati Personali del Titolare come riservati.Il Responsabile del Trattamento garantirà che il personale impegnato nel trattamento dei Dati Personali del Titolare sia informato in merito alla natura riservata dei Dati Personali, abbia ricevuto una formazione adeguata alle sue responsabilità, e sia soggetto agli obblighi di riservatezza e che tali obblighi persistano dopo la cessazione dell’impegno di tale soggetto con il Responsabile del Trattamento.
5. SICUREZZA

 

5.1 Misure di Sicurezza. Il Responsabile del Trattamento è tenuto ad attuare le misure tecniche e organizzative adatte a proteggere la sicurezza, la riservatezza, l’integrità e la disponibilità dei Dati Personali del Titolare, come stabilito in maggiore dettaglio nell’Appendice 2.
5.2 Notifica di Violazione dei Dati. Il Responsabile del Trattamento è tenuto a informare tempestivamente il Titolare di qualsiasi violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione illegale, la divulgazione non autorizzata dei, o l’accesso ai, Dati Personali del Titolare (“Violazione dei Dati”) dopo essere stato informato di tale Violazione dei Dati. La/e eventuale/i notifica/he di Violazione dei Dati sarà/saranno inviata/e al contatto designato dal Titolare con i mezzi concordati tra le Parti. L’unica responsabilità del Titolare è garantire il mantenimento di informazioni di contatto accurate ai fini di tale/i notifica/he.
6. ASSISTENZA AL TITOLARE DEI DATI

 

6.1 Diritti degli Interessati. Ove possibile, e tenuto conto della natura del trattamento, il Responsabile del Trattamento fornirà assistenza ragionevole dal punto di vista commerciale al Titolare dei Dati per l’adempimento dell’obbligo del Titolare di rispondere alle richieste diesercitare i diritti degli interessati come stabilito nel GDPR, agli Articoli 12-23.
6.2 Valutazioni dell’Impatto della Sicurezza e della Protezione dei Dati. Il Responsabile del Trattamento fornirà assistenza ragionevole dal punto di vista commerciale al Titolare per l’adempimento degli obblighi del Titolare ai sensi del GDPR, Articolo 32 (sicurezza del trattamento) e Articolo 36 (previa consultazione), a seconda di come appropriato e fattibile in base alla natura del trattamento e alle informazioni a disposizione del Responsabile del Trattamento.
6.3 Controlli e Verifiche. Fatte salve le limitazioni associate alla sicurezza dei sistemi o all’integrità dei file di dati relativi alle attività del Responsabile del Trattamento, il Responsabile del Trattamento è tenuto a mettere a disposizione del Titolare le informazioni necessarie a dimostrare la conformità agli obblighi stabiliti dal GDPR, Articolo 28. Il Responsabile del Trattamento deve consentire lo svolgimento dei e contribuire ai controlli, comprese le verifiche, condotte dal Titolare o da un altro ente controllore incaricato dal Titolare. Il Titolare è tenuto a rimborsare il Responsabile del Trattamento del tempo speso per tale controllo in loco alle tariffe allora vigenti per i servizi professionali del Responsabile del Trattamento, che devono essere messe a disposizione del Titolare su richiesta. Prima dell’inizio di tale controllo in loco, il Responsabile e il Titolare devono concordare l’ambito, le tempistiche e la durata del controllo oltre alla quota di rimborso della quale il Titolare è tenuto a farsi carico. Le Parti devono agire in buona fede per programmare il controllo in un momento che sia vantaggioso per entrambe, in modo da evitare irragionevoli interruzioni delle attività commerciali del Responsabile del Trattamento. Tutte le quote di rimborso devono essere ragionevoli, tenendo conto delle risorse spese dal Responsabile del Trattamento. Salvo diversi accordi scritti tra le Parti, il Titolare deve farsi carico dei costi associati all’esecuzione dei controlli del Responsabile del Trattamento condotti ai sensi di tale disposizione. Il Titolare è tenuto a informare tempestivamente il Responsabile del Trattamento in merito alle non conformità rilevate nel corso di un controllo che siano pertinenti ai Servizi o al presente Accordo.
7. TRASFERIMENTI DEI DATI

 

7.1 Trasferimento negli Stati Uniti. Il Titolare dà espressamente atto che alcuni o tutti i Servizi possono essere forniti dagli e/o collocati all’interno degli Stati Uniti, giurisdizione considerata dall’Unione europea priva di adeguate tutele legali in materia di Dati Personali. Il Titolare acconsente espressamente al trasferimento dei Dati Personali del Titolare negli Stati Uniti affinché il Responsabile del Trattamento fornisca i Servizi e adempia ai suoi obblighi come previsto dall’Accordo. Tali trasferimenti saranno effettuati ai sensi del presente Accordo, compreso dell’Allegato 1 (Clausole Contrattuali Standard).
8. CANCELLAZIONE DEI DATI PERSONALI

 

8.1 Cancellazione o Restituzione dei Dati Personali del Titolare. Salvo disposizioni contrarie stabilite per legge o salvo ove consentito dalle migliori pratiche applicabili nel settore per l’adeguata mitigazione del rischio legale o per richiamare l’intento del Titolare nelle istruzioni scritte, il Responsabile del Trattamento cancellerà o restituirà i Dati Personali del Titolare entro un periodo di tempo ragionevole: (i) al termine della prestazione dei servizi legati al trattamento, o (ii) su legittima richiesta scritta da parte del Titolare.
8.2 Certificazione. Le Parti concordano che la certificazione della cancellazione dei Dati Personali che è descritta nella Clausola 12(1) dell’Allegato 1 (Clausola Contrattuale Standard) va fornita dal Responsabile del Trattamento al Titolare su richiesta del Titolare e nei limiti consentiti dalla legge.
9. RISARCIMENTO

 

9.1 Risarcimento.  Il Titolare dichiara di risarcire e tenere indenni il Responsabile del Trattamento e isuoi Affiliati nonché i rispettivi funzionari, dipendenti, direttori, agenti, successori e cessionari attuali, futuri e precedenti (congiuntamente, “Beneficiari del Responsabile del Trattamento”) da, e su scelta del Responsabile del Trattamento di difendere contro, alcune e tutte le Perdite (come di seguito) in cui possono incorrere i Beneficiari del Responsabile del Trattamento, nella misura in cui tali Perdite scaturiscano da, o possano essere in qualche modo attribuibili a: (i) una violazione al presente Addendum; e (ii) la negligenza, la negligenza grave, la cattiva fede, omissioni o atti fraudolenti, o comportamenti colposi o dolosi del titolare o del suo personale con riferimento agli obblighi stabiliti dal presente Addendum. Per le finalità del presente Addendum, per “Perdite” si intendono tutte le sentenze, le transazioni, le decisioni, i danni, le perdite, le incriminazioni, le responsabilità, le sanzioni, le richieste di interessi (comprese le tasse e tutti gli interessi e le sanzioni connesse in cui si incorre direttamente in relazione a ciò), e tutti i costi, le spese e altri oneri ragionevoli connessi (compresi tutti gli onorari ragionevoli dei legali e i costi ragionevoli interni ed esterni delle indagini, le vertenze, le udienze, i procedimenti, la produzione e il ritrovamento di documenti e dati, la transazione, la sentenza, la decisione, l’interesse e le sanzioni).  
10. DISPOSIZIONI VARIE

 

10.1 Duplicati.  Il presente Addendum può essere sottoscritto in duplicati, ciascuno dei quali è considerato un documento originale e tutti insieme costituiscono un unico stesso documento.

 

10.2 Durata e Cessazione.  Tutti gli avvisi di cessazione devono avvenire in forma scritta ed essereconformi alle procedure di cancellazione stabilite nell’Accordo. Salvo diversi accordi scritti tra le Parti, il presente Addendum ha efficacia fino alla scadenza dell’Accordo.  

 

10.3 Persistenza delle Condizioni.  I diritti e i doveri dell’una o dell’altra Parte che per loro natura persisterebbero oltre la cessazione o la scadenza del presente Addendum, compresi, ma in via non limitativa, gli obblighi di riservatezza, persistono alla cessazione o alla scadenza del presente Addendum. 

 

10.4 Accordo integrale.  Il presente Addendum (che è incorporato all’Accordo e ne costituisce parte integrante) costituisce l’accordo integrale tra le Parti e sostituisce tutti gli eventuali negoziati verbali e scritti, gli accordi e le intese precedenti e contemporanei sulla materia specifica del presente Addendum, e il presente Addendum non può essere modificato tranne sulla base di un accordo scritto, firmato da un rappresentante autorizzato di ciascuna Parte.  
10.5 Separazione delle azioni legali.  Qualora una disposizione del presente Addendum dovesse essere invalida, illegale o inapplicabile in una qualunque giurisdizione, tale disposizione, per tale giurisdizione, è inefficace nella misura di tale invalidità, illegalità o inapplicabilità senza pregiudicare la validità, la legalità e l’applicabilità delle disposizioni rimanenti; e l’invalidità di una particolare disposizione in una particolare giurisdizione non rende invalida tale disposizione in qualunque altra giurisdizione.

Allegato 1

Clausole Contrattuali Standard (responsabili del trattamento)

Per le finalità del GDPR e dell’Articolo 26(2) della Direttiva 95/46/CE per il trasferimento dei dati personali ai responsabili del trattamento aventi sede nei paesi terzi che non garantiscono un livello adeguato di protezione dei dati, l’Importatore dei Dati e l’Esportatore dei Dati, così come identificati nell’Accordo, essendo ciascuna una “parte”; in solido “le parti”,

HANNO CONCORDATO le seguenti Clausole Contrattuali (le Clausole) al fine di offrire adeguate garanzie per quanto riguarda la protezione della privacy e dei diritti e delle libertà fondamentali degli individui per il trasferimento da parte dell’esportatore dei dati all’importatore dei dati dei dati personali specificati nell’Appendice 1.

Clausola 1

Definizioni

Per le finalità delle Clausole:

(a)dati personali, ‘categorie speciali di dati, ‘trattare/trattamento‘, ‘titolare‘, ‘responsabile del trattamento‘, ‘interessatoe autorità di controllo’ hanno lo stesso significato che hanno nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 Ottobre 1995 sulla protezione degli individui per quanto riguarda il trattamento dei dati personali e la libera circolazione di tali dati;

(b)l’esportatore dei dati è il titolare che trasferisce i dati personali;

(c)‘l’importatore dei dati è il responsabile del trattamento che dichiara di ricevere dall’esportatore idati personali destinati al trattamento per suo conto successivamente al trasferimento in conformità alle sue istruzioni e alle condizioni delle Clausole e che non è soggetto al sistema di un paese terzo che garantisce una protezione adeguata e che rientra nei termini dell’Articolo 25(1) della Direttiva 95/46/CE;

(d)‘il sub-responsabile è un responsabile del trattamento incaricato dall’importatore dei dati o da qualunque altro sub-responsabile dell’importatore dei dati che dichiara di ricevere dall’importatore o da qualsiasi altro sub-responsabile dell’importatore i dati personali destinati esclusivamente all’esecuzione delle attività di trattamento per conto dell’esportatore successivamente al trasferimento in conformità alle sue istruzioni, alle condizioni delle Clausole e del contratto scritto di subappalto;

(e)la legge applicabile sulla protezione dei dati è la legislazione a tutela dei diritti e delle libertà fondamentali degli individui e, in particolare, il loro diritto alla privacy per quanto riguarda il trattamento dei dati personali, applicabile a un titolare dei dati nello Stato membro nel quale ha sede l’esportatore dei dati;

(f)misure di sicurezza tecniche e organizzative sono quelle misure atte a proteggere i dati personali contro la distruzione accidentale o illecita o l’alterazione o la perdita accidentale, la divulgazione o l’accesso non autorizzati, in particolare ove il trattamento comporti la trasmissione dei dati attraverso una rete, e contro tutte le altre forme illecite di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove del caso, sono specificati nell’Appendice 1 che costituisce parte integrante delle Clausole.

Clausola 3

Clausola del terzo beneficiario

1.L’interessato può far valere nei confronti dell’esportatore dei dati la presente Clausola, la Clausola 4 da (b) a (i), la Clausola 5 da (a) a (e), e da (g) a (j), la Clausola 6 (1) e (2), la Clausola 7, la Clausola 8(2), e le Clausole da 9 a 12 in qualità di terzo beneficiario.

2.L’interessato può far valere nei confronti dell’importatore dei dati la presenta Clausola, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8(2), e le Clausole da 9 a12, nei casi in cui l’esportatore sia scomparso di fatto o abbia cessato di esistere giuridicamente a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, e in conseguenza di ciò esso possa assumersi i diritti e gli obblighi dell’esportatore, nel cui caso l’interessato può farli valere nei confronti di tale successore.

3.L’interessato può far valere nei confronti del sub-responsabile del trattamento la presente Clausola, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8(2), e le Clausole da 9 a 12, nel casi in cui sia l’esportatore sia l’importatore siano scomparsi di fatto o abbiano cessato di esistere giuridicamente o siano diventati insolventi, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, e in conseguenza di ciò esso possa assumersi i diritti e gli obblighi dell’esportatore, nel cui caso l’interessato può farli valere nei confronti di tale successore. Tale responsabilità verso terzi del sub-responsabile è limitata alle sue attività di trattamento previste dalle presenti Clausole.

4.Le parti non sollevano obiezioni in merito al fatto che l’interessato sia rappresentato da un’associazione o da altro ente se ciò corrisponde all’esplicita volontà dell’interessato e se consentito dalla legislazione nazionale.

Clausola 4

Obblighi dell’esportatore dei dati

L’esportatore dei dati dichiara e garantisce:

(a)che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà a essere eseguito in conformità alle pertinenti disposizioni della legge applicabile sulla protezione dei dati (e, ove del caso, sia stato comunicato alle autorità pertinenti dello Stato membro nel quale ha sede l’esportatore dei dati) e non viola le disposizioni pertinenti di quello Stato;

(b)di avere informato e che per tutta la durata dei servizi di trattamento dei dati personali informerà l’importatore di trattare i dati personali trasferiti soltanto per conto dell’esportatore e in conformità alla legge applicabile sulla protezione dei dati e alle Clausole;

(c)che l’importatore dei dati fornirà garanzie sufficienti nel rispetto delle misure di sicurezza tecniche e organizzative specificate nell’Appendice 2 al presente contratto;

(d)che successivamente alla valutazione dei requisiti della legge applicabile sulla protezione dei dati, le misure di sicurezza sono adeguate a proteggere i dati personali contro la distruzione accidentale o illecita o l’alterazione o la perdita accidentale, la divulgazione o l’accesso non autorizzati, in particolare ove il trattamento comporti la trasmissione dei dati attraverso una rete, e contro tutte le altre forme illecite di trattamento, e che tali misure garantiscano un livello di sicurezza adeguato ai rischi che presenta il trattamento e alla natura dei dati da proteggere tenuto conto dello stato dell’arte e del costo della loro attuazione;  

(e)di garantire la conformità alle misure di sicurezza;

(f)che, qualora il trasferimento coinvolga categorie speciali di dati, l’interessato è stato informato o sarà informato precedentemente, o successivamente quanto prima, in merito alla possibilità che i suoi dati siano trasferiti a un paese terzo che ne non fornisce protezione adeguata nei termini della Direttiva  95/46/CE;

(g)di inoltrare eventuali notifiche ricevute dall’importatore o da un sub-responsabile ai sensi della Clausola 5(b) e della Clausola 8(3) all’autorità di controllo della protezione dei dati qualora l’esportatore decida di continuare il trasferimento o di revocare la sospensione;

(h)di mettere a disposizione degli interessati su richiesta una copia delle Clausole, ad eccezione dell’Appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia del contratto dei servizi di trattamento svolti da un sub-responsabile che va redatta in conformità alle Clausole, a meno che le Clausole o il contratto contengano informazioni commerciali, nel quale caso esso può rimuovere tali informazioni commerciali;

(i)che, in caso di servizi svolti da un sub-responsabile, l’attività di trattamento è eseguita in conformità alla Clausola 11 da parte di un sub-responsabile che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell’interessato in qualità di importatore dei dati ai sensi delle Clausole; e  

(j)di garantire il rispetto della Clausola 4 da (a) a (i).

Clausola 5

Obblighi dell’importatore dei dati

L’importatore dei dati dichiara e garantisce:

(a)di trattare i dati personali soltanto per conto dell’esportatore dei dati e in conformità alle sue istruzioni e alle Clausole; qualora non potesse fornire tale conformità per qualsivoglia ragione, dichiara di informare tempestivamente l’esportatore della sua incapacità di rispettare laconformità, nel qual caso l’esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di rescindere il contratto;  

(b)di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni ricevute dall’esportatore dei dati e i suoi obblighi previsti dal contratto e che in caso di modifica di tale normativa che possa arrecare sostanziale pregiudizio alle garanzie e agli obblighi disposti dalle Clausole, informerà tempestivamente della modifica l’esportatore dei dati non appena ne abbia conoscenza, nel qual caso l’esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di rescindere il contratto.

(c)di avere attuato le misure di sicurezza tecniche e organizzative specificate nell’Appendice 2 precedentemente al trattamento dei dati personali trasferiti;

(d)di notificare tempestivamente l’esportatore dei dati in merito a:

(i)una richiesta legalmente vincolante di divulgazione di dati personali da parte di un’autorità di polizia salvo divieti, come il divieto previsto dal diritto penale di mantenere la riservatezza di un’indagine di polizia,  

(ii)un accesso accidentale o non autorizzato, e

(iii)una richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, salvo autorizzazione a farlo;

(e)di rispondere prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti al trasferimento e di conformarsi al parere dell’autorità di controllo in merito al trattamento dei dati trasferiti;

(f)su richiesta dell’esportatore dei dati di sottoporre i propri impianti di trattamento al controllo delle attività di trattamento per cui si applicano le Clausole che vanno eseguite dall’esportatore o da un ente investigativo composto da membri indipendenti e in possesso delle qualifiche professionali richieste, vincolato dall’obbligo di riservatezza, selezionato dall’esportatore, ove del caso, in accordo con l’autorità di controllo;

(g)di mettere a disposizione dell’interessato su richiesta una copia delle Clausole, o un eventuale contratto esistente di servizi di trattamento svolti da un sub-responsabile, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell’Appendice 2 che va sostituito con una descrizione sintetica delle misure di sicurezza nei casi in cui l’interessato non sia in grado di ottenere una copia dall’esportatore;

(h)di avere, in caso di servizi di trattamento svolti da un sub-responsabile, precedentemente informato l’esportatore e di averne ottenuto previo consenso scritto;

(i)che i servizi di trattamento saranno svolti da parte del sub-responsabile in conformità alla Clausola 11;

(j)di inviare tempestivamente all’esportatore una copia del contratto dei servizi di trattamento svolti da un sub-responsabile che stipula ai sensi delle Clausole.

Clausola 6

Responsabilità

1.Le parti concordano che qualunque interessato che abbia subito un pregiudizio in conseguenza di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da una parte o da un sub-responsabile del trattamento ha il diritto di ricevere il risarcimento da parte dell’esportatore dei dati per il danno subito.

2.Qualora l’interessato non sia in grado di avanzare una richiesta di risarcimento in conformità al comma 1 nei confronti dell’esportatore, derivante da una violazione da parte dell’importatore o del suo sub-responsabile del trattamento dei loro obblighi di cui alla Clausola 3 o alla Clausola 11, in quanto l’esportatore è scomparso di fatto o ha cessato di esistere giuridicamente o è diventato insolvente, l’importatore dichiara che l’interessato p avanzare una richiesta nei confronti dell’importatore come se questi fosse l’esportatore, a meno che un successore non abbia assunto tutti gli obblighi legali dell’esportatore, per contratto o per legge, nel qual caso l’interessato può far valere i suoi diritti nei confronti di tale successore.

L’importatore non può far valere la violazione degli obblighi ad opera del sub-responsabile al fine di escludere la propria responsabilità.

3.Qualora un interessato non sia in grado di avanzare una richiesta nei confronti dell’esportatore o dell’importatore dei dati di cui ai commi 1 e 2, derivante da una violazione da parte del sub-responsabile del trattamento dei loro obblighi di cui alla Clausola 3 o alla Clausola 11 in quanto sia l’esportatore che l’importatore dei dati sono scomparsi di fatto o hanno cessato di esistere giuridicamente o sono diventati insolventi, il sub-responsabile del trattamento dichiara che l’interessato p avanzare una richiesta nei confronti del sub-responsabile del trattamento in merito alle sue attività di trattamento previste dalle presenti Clausole come se fosse questi l’esportatore o l’importatore dei dati, a meno che un successore non abbia assunto tutti gli obblighi legali dell’esportatore o dell’importatore dei dati, per contratto o per legge, nel quale caso l’interessato può far valere i suoi diritti nei confronti di tale successore. La responsabilità del sub-responsabile del trattamento è limitata alle sue attività di trattamento previste dallepresenti Clausole.

Clausola 7

Mediazione e giurisdizione

1.L’importatore dei dati dichiara che qualora l’interessato sollevi nei suoi confronti i diritti del terzo beneficiario e/o chiede il risarcimento dei danni ai sensi delle presenti Clausole, l’importatore accetterà la decisione dell’interessato:  

(a)di sottoporre la controversia alla mediazione, da parte di un soggetto indipendente o, ove del caso, da parte di un’autorità di controllo;

(b)di sottoporre la controversia alle corti di giustizia dello Stato membro nel quale ha sede l’esportatore dei dati.

2.Le parti dichiarano che la scelta dell’interessato non pregiudicherà i suoi diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.

Clausola 8

Cooperazione con le autorità di controllo

1.L’esportatore dei dati dichiara di depositare una copia del presente contratto con l’autorità di controllo in caso di richiesta della stessa oppure se tale deposito è richiesto ai sensi della legge applicabile sulla protezione dei dati.

2.Le parti dichiarano che l’autorità di controllo ha il diritto di eseguire un controllo dell’importatore dei dati, e di ogni sub-responsabile del trattamento, che rientri nello stesso ambito e sia soggetto alle stesse condizioni che si applicherebbero a un controllo dell’esportatore ai sensi della legge applicabile sulla protezione dei dati.

3.L’importatore è tenuto a informare tempestivamente l’esportatore in merito all’esistenza della normativa applicabile a esso riferita oppure ogni sub-responsabile che impedisce l’esecuzione di un controllo dell’importatore, o di un sub-responsabile, ai sensi del comma 2. In tale caso l’esportatore ha il diritto di prendere le misure previste dalla Clausola 5(b).

Clausola 9

Legge applicabile

Le presenti Clausole sono soggette alla legislazione dello Stato Membro nel quale ha sede l’esportatore dei dati.

Clausola 10

Modifica del contratto

Le parti si impegnano a non alterare o modificare le presenti Clausole. Ciò non impedisce alle parti di aggiungere clausole relative a questioni legate alle attività ove richiesto, purché non siano in contrasto con la presente Clausola.

Clausola 11

Subappalto

1.L’importatore dei dati non può subappaltare nessuna attività di trattamento svolta per conto dell’esportatore ai sensi delle presenti Clausole senza il previo consenso scritto dell’esportatore. Qualora l’importatore subappalti i suoi obblighi ai sensi delle presenti Clausole, con il consenso dell’esportatore, può farlo solo tramite un accordo scritto con il sub-responsabile che imponga gli stessi obblighi al sub-responsabile di quelli imposti all’importatore ai sensi delle presenti Clausole. Qualora il sub-responsabile non adempia ai suoi obblighi di protezione dei dati sulla base di tale accordo scritto, l’importatore resta pienamente responsabile nei confronti dell’esportatore per l’adempimento degli obblighi del sub-responsabile ai sensi di tale accordo.

2.Il previo consenso scritto tra l’importatore e il sub-responsabile deve anche comprendere una clausola del terzo beneficiario come previsto dalla Clausola 3 per i casi nei quali l’interessato non sia in grado di richiedere il risarcimento di cui al comma 1 della Clausola 6 nei confronti dell’esportatore o dellimportatore in quanto sono scomparsi di fatto o hanno cessato di esistere giuridicamente o sono diventati insolventi e nessun successore ha assunto tutti gli obblighi legali dell’esportatore o dell’importatore dei dati per contratto o per legge. Tale responsabilità verso terzi del sub-responsabile è limitata alle proprie attività di trattamento previste dalle presenti Clausole.

3.Le disposizioni relative agli aspetti di protezione dei dati per il subappalto del contratto di cui al comma 1 sono soggette alla legislazione dello Stato membro nel quale ha sede l’esportatore.

4.L’esportatore deve tenere un elenco degli accordi di subappalto conclusi ai sensi delle Clausole e essere informato dall’importatore ai sensi della Clausola 5 (j), la quale va aggiornata almeno una volta l’anno. L’elenco deve essere a disposizione dell’autorità di controllo della protezione dei dati dell’esportatore.

Clausola 12

Obbligo successivo alla cessazione dei servizi di trattamento dei dati personali

1.Le parti dichiarano che al momento della cessazione dei servizi di trattamento dei dati, l’importatore e il sub-responsabile sono tenuti, a scelta dell’esportatore, a restituire tutti i dati personali trasferiti e le relative copie all’esportatore o a distruggere tutti i dati personali certificandone l’avvenuta distruzione all’esportatore, a meno che una normativa imposta nei confronti dell’importatore non gli impedisca di restituire tutti o parte dei dati personali trasferiti. In tale caso, l’importatore garantisce la riservatezza dei dati personali trasferiti e non tratterà piùattivamente i dati personali trasferiti.

2.L’importatore e il sub-responsabile garantiscono, su richiesta dell’esportatore e/o dell’autorità di controllo, di sottoporre i propri impianti di trattamento al controllo delle misure di cui al comma 1.

APPENDICE 1 ALLE CLAUSOLE CONTRATTUALI STANDARD

Il presente Appendice costituisce parte delle Clausole e deve essere completato e sottoscritto dalle parti.

 

Gli Stati membri possono completare o specificare, in base alle loro procedure nazionali, le ulteriori informazioni necessarie contenute nel presente Appendice.

 

Esportatore dei dati

L’esportatore dei dati è (si prega di specificare brevemente le vostre attività pertinenti il trasferimento):

 

Il Titolare (esportatore dei dati) si è impegnato con l’Importatore dei Dati nell’opportunità di fornire potenzialmente servizi di consulenza o connessi ai clienti dell’Importatore dei Dati, in cambio del pagamento da parte dell’Importatore dei Dati.

 

Importatore dei dati

L’importatore dei dati è (si prega di specificare brevemente le attività pertinenti il trasferimento):

 

Guidepoint è l’Importatore dei Dati. Il Titolare (esportatore dei dati) si è impegnato con l’Importatore dei Dati nell’opportunità di fornire potenzialmente servizi di consulenza o annessi ai clienti dell’Importatore dei Dati, in cambio del pagamento da parte dell’Importatore dei Dati.

 

 

Interessati

I dati personali trasferiti riguardano le seguenti categorie di interessati:

 

Impiegati (compresi i lavoratori autonomi)
Utenti Finali
Consulenti indipendenti
Investitori
Proprietari di azienda
Altri soggetti rilevanti pertinenti all’attività

 

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati:

 

Nomi
Indirizzo email
Indirizzo/Indirizzo postale
Numeri telefonici
Indirizzi IP
Cookie dei browser
ID del Dispositivo
Altre informazioni fornite a discrezione del Titolare o dell’Interessato
Altre informazioni necessarie per svolgere le attività aziendali e fornire servizi e assistenza al Titolare
Informazioni associate legate ai dati personali

 

 

 

Categorie speciali di dati (se del caso)

I dati personali trasferiti riguardano le seguenti categorie speciali di dati:

 

Nessuna.

 

Attività di trattamento

I dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base:

 

I dati forniti pertinenti per gli interessati elencati sono utilizzati per consentire al Responsabile del Trattamento di fornire servizi e assistenza al Titolare in via ordinaria, tra cui nelle comunicazioni con varie finalità legate alle attività aziendali, alla conformità giuridica (compresa la conformità al GDPR e la memorizzazione delle istruzioni scritte) e altri usi pertinenti di cui sopra legati alle attività aziendali nell’ambito dell’Accordo.    

 

APPENDICE 2 ALLE CLAUSOLE CONTRATTUALI STANDARD

Il presente Appendice costituisce parte delle Clausole e deve essere completato e sottoscritto dalle parti.

 

Descrizione delle misure di sicurezza tecniche e organizzative attuate dall’importatore dei dati in conformità alle Clausole 4(d) e 5(c) (o documento/normativa allegati):

Politica o piano di sicurezza scritti
Piano di ripristino in caso di disastro
Piano di risposta agli incidenti
Segmentazione di rete
Firewall
Dispositivi per la prevenzione delle intrusioni
Crittografia in transito
Protezione antivirus
Programma per le password
Accesso basato sui ruoli
Patching e aggiornamento periodico dei sistemi critici a di altri sistemi connessi ai sistemi critici
Formazione degli utenti
Manuale impiegati
Controlli AntiSpam
Pratiche di codifica sicure