Contratto per il trattamento dei dati ai sensi dell'art. 28 del Regolamento europeo in materia di protezione dei dati personali (di seguito “GDPR”) da utilizzare come modello per uno o più contratti stipulati dal mandante
Contratto per il trattamento dei dati ai sensi dell'art. 28 del Regolamento europeo in materia di protezione dei dati personali (di seguito “GDPR”) da utilizzare come modello per uno o più contratti stipulati dal mandante
Tra l'azienda 1&1 Internet SE
Xxxxxxxxxxx Xxxxxx 00
00000 Xxxxxxxxx Xxxxxxxx
– In seguito il "Mandatario"/ “Responsabile del trattamento”/ “Responsabile” –
e
L'azienda: A.S.D ARCIERI DEL RENO
Nome: Xxxxx Xxxxxxxxx
Via, numero civico: XXX XXXXXXXXXX XXXXXXXX 0 CAP, luogo: 40133 BOLOGNA BO
Paese: ITALIA
ID cliente: 268982386
– In seguito il "Mandante" – “Titolare del trattamento” / “Titolare” –
Preambolo
Il presente contratto descrive gli obblighi delle parti in materia di protezione dei dati, i quali derivano dai trattamenti descritti in dettaglio nel contratto (in seguito il "Contratto per il trattamento dei dati") . Il contratto concerne tutti i trattamenti di dati che sono in relazione con l’oggetto del contratto e che riguardano il trattamento dei dati personali (in seguito "Dati") da parte dei dipendenti del mandatario da parte degli incaricati del mandatario stesso.
Il presente contratto è valido solo in collegamento ad un contratto in vigore per i seguenti prodotti:
Server
Cloud Server, Server Virtuale Cloud, Managed Cloud Hosting, Server Dedicati, Bare Metal Server, Dynamic Cloud Server, Server Virtuale (Lin/Win), Container Cluster
Siti web e hosting
Hosting, WordPress Hosting, MyWebsite, E-commerce
Office & Online marketing Contabilità online, E-Mail Marketing
Art. 1 Oggetto, durata e natura del trattamento dei dati
(1) L’oggetto, la durata, la natura e la finalità del trattamento sono definiti nel contratto in vigore richiamato nel preambolo. Oggetto del presente accordo non è l'utilizzo o il trattamento originario dei dati personali da parte del mandatario. Comunque, in qualità di provider di hosting e amministratore di sistemi server non è escluso che il mandatario abbia accesso ai dati personali.
La durata del presente accordo dipende dalla durata del contratto in vigore, premesso che dalle disposizioni del presente accordo non derivino altri ulteriori obblighi.
Art. 2 Ambito di applicazione e responsabilità
(1) Il mandatario tratta i dati personali per conto del mandante. Ciò comprende le attività che sono precisate nel contratto e nella descrizione delle prestazioni. . Nell'ambito del contratto, il mandante è ritenuto direttamente responsabile per il rispetto delle disposizioni di legge sulla protezione dati, soprattutto per la legittimità e regolarità del trattamento dei dati (nel senso di "Titolare del trattamento" Art.4 n. 7 GDPR.
(2) Inizialmente le istruzioni vengono definite dal contratto in vigore e possono successivamente essere modificate, integrate o sostituite dal mandante in forma scritta o formato elettronico ("formato testo") nel modo definito dal mandatario tramite istruzioni singole ("istruzioni singole"). Le istruzioni orali devono essere confermate immediatamente per iscritto o in formato testo.
Art. 3 Obblighi del mandatario
(1) Il mandatario è tenuto a trattare i dati delle persone interessate solo nell'ambito del contratto e delle istruzioni del mandante, fatto salvo che ci sia un'eccezione ai sensi dell'art. 28, comma 3, lettera a) del
GDPR. Il mandatario informerà immediatamente il mandante se una istruzione dettata dal mandante viola, secondo il suo parere, la legge. Il mandatario è tenuto a rifiutarsi di eseguire le istruzioni che violano la legge.
(2) Nell'ambito delle sue responsabilità, il mandatario è tenuto a organizzare le sue attività interne in linea con i requisiti specifici per la protezione dei dati. Il mandatario adotta misure tecniche e organizzative per garantire una protezione adeguata dei dati del mandante, in modo che siano in linea con il Regolamento generale sulla protezione dei dati (Art. 32 GDPR). Il mandatario deve adottare misure tecniche e organizzative che siano in grado di garantire l'affidabilità, l'integrità, la disponibilità e la capacità a lungo termine dei sistemi e dei servizi in relazione con il trattamento dei dati.
(3) Il mandatario adotta tutte le misure necessarie per garantire la sicurezza dei dati e ridurre al minimo eventuali conseguenze negative per le persone interessate.
(4) La descrizione delle misure tecniche e organizzative contenuta nell’l'Allegato 1 è parte integrante di questo contratto. Il mandatario dovrà dimostrare l'osservanza delle misure di sicurezza concordate e di aver verificato la loro efficacia mettendo a disposizione un certificato per la protezione dati e la sicurezza delle informazioni. Il mandatario si riserva il diritto di apportare modifiche alle misure di sicurezza in questione, pur garantendo che non venga abbassato il livello di sicurezza stabilito nel contratto. Se necessario, il mandatario si impegna a supportare il mandante, nell'ambito delle sue possibilità, per l’'adempimento delle richieste e la tutela dei diritti delle persone interessate in base a quanto stabilito nel Capo III del GDPR così come per l’osservanza dei succitati obblighi, ai sensi degli articoli 33 e 34 del GDPR. Assiste il mandante nel garantire il rispetto degli obblighi di cui agli articoli 32 a 36 GDPR tenendo conto della natura del trattamento e delle informazioni a disposizione del mandatario. Mette a disposizione del mandante tutte le informazioni necessarie per dimostrare gli obblighi a suo carico in base all’art. 28 GDPR.
(5) Il mandatario garantisce che ai dipendenti incaricati di trattare i dati del mandante e a tutti gli altri addetti del mandatario è vietato ogni tipo di trattamento dei dati che va oltre le istruzioni del mandante. Inoltre, il mandatario garantisce che le persone incaricate per il trattamento dei dati personali sono vincolate dall'obbligo di riservatezza o da un adeguato obbligo legale di segretezza. L'obbligo di riservatezza / segretezza permane anche dopo la conclusione del contratto.
(6) Il mandatario è tenuto a informare immediatamente il mandante in caso di violazioni della protezione dei dati personali del mandante stesso.
(7) Per tutte le questioni riguardanti la protezione dati indicata nel presente documento, la persona di riferimento è:
1&1 Internet SE
Responsabile della protezione dati Xxxxxxxxxxx Xxx. 00
00000 Xxxxxxxxx xxxxxxxxxxxxx@0xxx0.xx
(8) Il mandatario garantisce di adempiere ai suoi obblighi previsti nell'art. 32, comma 1, lettera d) del GDPR e di applicare una procedura che assicuri un regolare controllo dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati.
(9) Il mandatario corregge o cancella i dati oggetto del contratto su richiesta del mandante e se previsto dalle istruzioni . Se non è possibile trovare una soluzione conforme alle regole sulla protezione dei dati o limitare il trattamento dei dati, il mandatario esegue l'eliminazione conforme del supporto informatico e di tutto il materiale relativo sulla base di una istruzione singola da parte del mandante, oppure restituisce al mandante il supporto informatico se ciò non è stato già stabilito nel contratto.
Nello specifico, se non è stato già stabilito nel contratto da parte del mandante per determinati casi, è importante trovare degli accordi specifici per la conservazione, consegna, compensazione e protezione.
(10) I dati, i supporti informatici e tutto il materiale relativo devono essere consegnati o eliminati al termine del contratto su richiesta del mandante.
(11) Nel caso un interessato eserciti una richiesta di risarcimento danni nei confronti del mandante ai sensi dell'art. 82 GDPR, il mandatario si impegna a supportare il mandante nella difesa dalla rivendicazione nell'ambito delle sue possibilità.
(12) Nel caso una persona interessata eserciti una rivendicazione per danni nei confronti del mandatario ai sensi dell'art. 82 GDPR, il mandante si impegna a supportare il mandatario nella difesa dalla rivendicazione nell'ambito delle sue possibilità.
Art. 4 Obblighi del mandante
(1) Il mandante è tenuto a informare immediatamente il mandatario se identifica nei risultati del presente contratto degli errori o delle irregolarità in merito alle disposizioni in materia di protezione dei dati.
(2) Nel caso una persona interessata eserciti una rivendicazione per danni nei confronti del mandatario ai sensi dell'art. 82 GDPR, si applica l'art. 3, par. 12 del presente contratto. .
Art. 5 Richieste da parte di persone interessate
Se una persona interessata richiede la rettifica , la cancellazione dei dati o delle informazioni al mandante, questo comunicherà alla persona interessata di rivolgersi al mandatario, premesso che sia possibile stabilire una relazione tra mandatario e persona interessata. Il mandante è tenuto a inoltrare immediatamente la richiesta della persona interessata al mandatario. Il mandate supporta il mandatario nell'ambito delle sue possibilità e secondo le indicazioni del mandatario, se così concordato. Nell'adempimento dei suoi obblighi, il mandante non è responsabile se alle richieste della persona interessata il mandatario non risponde, non risponde correttamente o non risponde tempestivamente.
Art. 6 Possibilità di verifica
(1) Se in alcuni casi fossero necessarie ispezioni da parte del mandatario e /o di un ispettore incaricato, queste saranno eseguite durante il regolare orario di lavoro senza ostacolare il normale svolgimento delle attività e previo adeguato preavviso. Il mandante dovrà richiedere il rispetto di un preavviso adeguato e la sottoscrizione di una dichiarazione di segretezza riguardo i dati degli altri clienti e le misure tecniche e organizzative configurate. Per il supporto fornito durante l'ispezione il mandante può chiedere un rimborso. Normalmente per un'ispezione il mandante riserva un giorno all'anno.
(2) Se l'autorità garante per la protezione dei dati o altre autorità responsabili per la sorveglianza dovessero eseguire un'ispezione del mandatario, vale quanto indicato nel Paragrafo 1. La sottoscrizione di una dichiarazione di segretezza non è necessaria se queste autorità responsabili per la sorveglianza sono già vincolate dall'obbligo di segreto professionale che prevede sanzioni penali in caso di violazioni.
Art. 7 Subappaltatore (altro responsabile del trattamento)
(1) Il mandante è d'accordo con il coinvolgimento di aziende esterne da parte del mandatario per lo svolgimento delle attività di manutenzione, cura della struttura del centro di calcolo dati, telecomunicazioni e servizi agli utenti.
(2) Un elenco aggiornato di tutti i subappaltatori impiegati e delle loro relative sedi è sempre a disposizione del mandante nel portale clienti. L'elenco viene aggiornato con cadenza trimestrale.
(3) Se il mandatario assegna dei contratti ai subappaltatori, il mandatario estende i suoi obblighi di protezione dei dati ai sensi del presente contratto anche a loro. Il mandatario è pienamente responsabile per le attività svolte dal subappaltatore incaricato.
Art. 8 Obblighi di informazione, clausola di forma scritta, legge applicabile
(1) Se dati del mandante conservati presso il mandatario dovessero essere a rischio per azioni dovute a pignoramento o sequestro, a causa di una procedura fallimentare o di conciliazione, oppure a causa di altre eventualità, il mandatario è tenuto ad informare immediatamente il mandante di tale circostanza. Il mandante informerà immediatamente tutti i responsabili coinvolti che la proprietà dei dati è esclusivamente nelle mani del mandatario in qualità di "responsabile del trattamento" come stabilito dal Regolamento generale sulla protezione dati.
(2) In caso di controversie le regole in materia di protezione dati hanno la precedenza sulle regole del contratto. Qualora delle parti del presente contratto dovessero risultare nulle, questo non inficia la validità delle rimanenti disposizioni del contratto per la protezione dei dati.
(3) Si applica il diritto tedesco con l’esclusione del diritto internazionale privato e delle disposizioni della Convenzione di Vienna sui contratti internazionali di vendita di beni mobili (CISG). Tuttavia, se il mandante è un consumatore, la scelta del diritto tedesco non può privarlo della protezione che viene assicurata al consumatore dalle disposizioni inderogabili della legge del paese dove il consumatore ha la sua residenza abituale (p.e. la legge italiana in caso di residenza abituale in Italia).
(4) Se il Cliente è un imprenditore commerciale, una persona giuridica di diritto pubblico o un patrimonio separato di diritto pubblico e se non ha alcun foro generale nel territorio dello Stato tedesco, foro competente in via esclusiva per le eventuali controversie derivanti dal presente rapporto contrattuale è Karlsruhe. 1&1 ha altresì facoltà di convenire il Cliente davanti al foro generale del medesimo.
(5) Il presente contratto sostituisce tutti contratti precedenti in materia.
Art. 9 Responsabilità e risarcimento danni
Il mandatario e il mandante sono responsabili nei confronti delle persone interessate, come stabilito dall'art. 82 del GDPR.