Contract
CLAUSOLE CONTRATTUALI TIPO MODULO UNO: Trasferimento da titolare del trattamento a titolare del trattamento | STANDARD CONTRACTUAL CLAUSES MODULE ONE: Transfer Controller to Controller |
SEZIONE I | SECTION I |
Clausola 1 | Clause 1 |
Scopo e ambito di applicazione | Purpose and scope |
(a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) in caso di trasferimento di dati personali verso un paese terzo. | (a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)1 for the transfer of personal data to a third country. |
(b) Le parti: (i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le "entità") che trasferiscono i dati personali, elencate nell'allegato I.A. (di seguito "esportatore"), e (ii) la o le entità di un paese terzo che ricevono i dati personali dall'esportatore, direttamente o indirettamente tramite un'altra entità anch'essa parte delle presenti clausole, elencate nell'allegato I.A. (di seguito "importatore") hanno accettato le presenti clausole contrattuali tipo (di seguito "clausole"). | (b) The Parties: (i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and (ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”) have agreed to these standard contractual clauses (hereinafter: “Clauses”). |
(c) Le presenti clausole si applicano al trasferimento di dati personali specificato all'allegato I.B. | (c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B. |
(d) L'appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole. | (d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses. |
Clausola 2 | Clause 2 |
Effetto e invariabilità delle clausole | Effect and invariability of the Clauses |
(a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 purché non siano modificate, tranne per aggiungere o aggiornare informazioni nell'appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e di aggiungere altre clausole o garanzie | (a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 provided they are not modified, except to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati. (b) Le presenti clausole non pregiudicano gli obblighi cui è soggetto l'esportatore a norma del regolamento (UE) 2016/679. | prejudice the fundamental rights or freedoms of data subjects. (b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679. |
Clausola 3 Terzi beneficiari (a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore, con le seguenti eccezioni: (i) clausola 1, clausola 2, clausola 3, clausola 6, clausola 7; (ii) clausola 8.5, lettera e), e clausola 8.9, lettera b); (iii) clausola 12, lettere a) e d); (iv) clausola 13; (v) clausola 15.1, lettere c), d) ed e); (vi) clausola 16, lettera e); (vii) clausola 18, lettere a) e b). (b) La lettera a) lascia impregiudicati i diritti degli interessati a norma del regolamento (UE) 2016/679. | Clause 3 Third-party beneficiaries (a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions: (i) Clause 1, Xxxxxx 2, Xxxxxx 3, Xxxxxx 6, Clause 7; (ii) Clause 8.5(e) and Clause 8.9 (b); (iii) Clause 12(a) and (d); (iv) Clause 13; (v) Clause 15.1(c), (d) and (e); (vi) Clause 16(e); (vii) Clause 18(a) and (b). (b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679. |
Clausola 4 Interpretazione (a) Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento. (b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679. (c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679. | Clause 4 Interpretation (a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation. (b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679. (c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679. |
Clausola 5 Gerarchia In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole. | Clause 5 Hierarchy In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
Clausola 6 Descrizione dei trasferimenti I dettagli dei trasferimenti, in particolare le categorie di dati personali trasferiti e le finalità per le quali i dati sono trasferiti, sono specificati nell'allegato I.B. | Clause 6 Description of the transfer(s) The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B. |
Clausola 7 — Non applicata | Clause 7 – Not used |
SEZIONE II - OBBLIGHI DELLE PARTI | SECTION II – OBLIGATIONS OF THE PARTIES |
Clausola 8 Garanzie in materia di protezione dei dati L'esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l'importatore, grazie all'attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole. | Clause 8 Data protection safeguards The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses. |
8.1 Limitazione delle finalità L'importatore tratta i dati personali soltanto per le finalità specifiche del trasferimento di cui all'allegato I.B. Può trattare i dati personali per un'altra finalità soltanto: (i) se ha ottenuto il consenso preliminare dell'interessato; (ii) se il trattamento è necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria nell'ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o (iii) se il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica. | 8.1 Purpose limitation The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B. It may only process the personal data for another purpose: (i) where it has obtained the data subject’s prior consent; (ii) where necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or (iii) where necessary in order to protect the vital interests of the data subject or of another natural person. |
8.2 Trasparenza (a) Per consentire agli interessati di esercitare effettivamente i propri diritti in conformità della clausola 10, l'importatore li informa, direttamente o tramite l'esportatore, circa: (i) la sua identità e i suoi dati di contatto; (ii) le categorie di dati personali trattati; (iii) il diritto di ottenere una copia delle presenti clausole; (iv) qualora intenda trasferire successivamente i dati personali a terzi, il destinatario o le categorie di destinatari (ove opportuno al fine di fornire informazioni significative), la finalità del trasferimento | 8.2 Transparency (a) In order to enable data subjects to effectively exercise their rights pursuant to Clause 10, the data importer shall inform them, either directly or through the data exporter: (i) of its identity and contact details; (ii) of the categories of personal data processed; (iii) of the right to obtain a copy of these Clauses; (iv) where it intends to onward transfer the personal data to any third party/ies, of the recipient or categories of recipients (as appropriate with a view to providing meaningful information), the purpose of such |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
successivo e il motivo dello stesso in conformità della clausola 8.7. (b) La lettera a) non si applica se l'interessato dispone già delle informazioni, anche quando tali informazioni sono già state fornite dall'esportatore, o se la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per l'importatore. In quest'ultimo caso l'importatore, per quanto possibile, rende pubbliche le informazioni. (c) Su richiesta, le parti mettono gratuitamente a disposizione dell'interessato una copia delle presenti clausole, compresa l'appendice da loro compilata. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall'appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l'interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all'interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte. (d) Le lettere da a) a c) lasciano impregiudicati gli obblighi incombenti all'esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679. | onward transfer and the ground therefore pursuant to Clause 8.7. (b) Paragraph (a) shall not apply where the data subject already has the information, including when such information has already been provided by the data exporter, or providing the information proves impossible or would involve a disproportionate effort for the data importer. In the latter case, the data importer shall, to the extent possible, make the information publicly available. (c) On request, the Parties shall make a copy of these Clauses, including the Appendix as completed by them, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including personal data, the Parties may redact part of the text of the Appendix prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. (d) Paragraphs (a) to (c) are without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679. |
8.3 Esattezza e minimizzazione dei dati (a) Ciascuna parte provvede affinché i dati personali siano esatti e, se necessario, aggiornati. L'importatore adotta tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. (b) Se una parte viene a conoscenza del fatto che i dati personali che ha trasferito o ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l'altra parte. (c) L'importatore provvede affinché i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. | 8.3 Accuracy and data minimisation (a) Each Party shall ensure that the personal data is accurate and, where necessary, kept up to date. The data importer shall take every reasonable step to ensure that personal data that is inaccurate, having regard to the purpose(s) of processing, is erased or rectified without delay. (b) If one of the Parties becomes aware that the personal data it has transferred or received is inaccurate, or has become outdated, it shall inform the other Party without undue delay. (c) The data importer shall ensure that the personal data is adequate, relevant and limited to what is necessary in relation to the purpose(s) of processing. |
8.4 Limitazione della conservazione L'importatore conserva i dati personali per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Mette in atto misure tecniche o organizzative adeguate per garantire il rispetto di tale obbligo, compresa la cancellazione o | 8.4 Storage limitation The data importer shall retain the personal data for no longer than necessary for the purpose(s) for which it is processed. It shall put in place appropriate technical or organisational measures to ensure compliance with this obligation, including |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
l'anonimizzazione dei dati e di tutti i backup alla fine del periodo di conservazione. | erasure or anonymisation of the data and all back- ups at the end of the retention period. |
8.5 Sicurezza del trattamento (a) L'importatore e, durante la trasmissione, anche l'esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nel valutare l'adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo. (b) Le parti concordano le misure tecniche e organizzative di cui all'allegato II. L'importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza. (c) L'importatore garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. (d) In caso di una violazione dei dati personali trattati dall'importatore a norma delle presenti clausole, l'importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi. (e) In caso di una violazione dei dati personali che possa presentare un rischio per i diritti e le libertà delle persone fisiche, l'importatore informa l'esportatore e l'autorità di controllo competente in conformità della clausola 13 senza ingiustificato ritardo. Tale notifica contiene i) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione), ii) le sue probabili conseguenze, iii) le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e iv) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni. Nella misura in cui non gli sia possibile fornire le informazioni | 8.5 Security of processing (a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the personal data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access (hereinafter “personal data breach”). In assessing the appropriate level of security, they shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subject. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. (b) The Parties have agreed on the technical and organisational measures set out in Xxxxx XX. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security. (c) The data importer shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. (d) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the personal data breach, including measures to mitigate its possible adverse effects. (e) In case of a personal data breach that is likely to result in a risk to the rights and freedoms of natural persons, the data importer shall without undue delay notify both the data exporter and the competent supervisory authority pursuant to Clause 13. Such notification shall contain i) a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), ii) its likely consequences, iii) the measures taken or proposed to address the breach, and iv) the details of a contact point from whom more information can be obtained. To the extent it is not possible for the data importer to |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
contestualmente, l'importatore può fornirle in fasi successive senza ulteriore ingiustificato ritardo. (f) In caso di una violazione dei dati personali che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l'importatore informa senza ingiustificato ritardo gli interessati della violazione dei dati personali e della sua natura, se necessario in cooperazione con l'esportatore, unitamente alle informazioni di cui alla lettera e), punti da ii) a iv), a meno che l'importatore abbia attuato misure volte a ridurre in modo significativo il rischio per i diritti o le libertà delle persone fisiche o che la notifica implichi uno sforzo sproporzionato. In quest'ultimo caso, l'importatore effettua una comunicazione pubblica o adotta misure analoghe per informare il pubblico della violazione dei dati personali. (g) L'importatore documenta tutte le circostanze pertinenti relative alla violazione dei dati personali, comprese le sue conseguenze e i provvedimenti adottati per porvi rimedio, e ne tiene un registro. | provide all the information at the same time, it may do so in phases without undue further delay. (f) In case of a personal data breach that is likely to result in a high risk to the rights and freedoms of natural persons, the data importer shall also notify without undue delay the data subjects concerned of the personal data breach and its nature, if necessary in cooperation with the data exporter, together with the information referred to in paragraph (e), points ii) to iv), unless the data importer has implemented measures to significantly reduce the risk to the rights or freedoms of natural persons, or notification would involve disproportionate efforts. In the latter case, the data importer shall instead issue a public communication or take a similar measure to inform the public of the personal data breach. (g) The data importer shall document all relevant facts relating to the personal data breach, including its effects and any remedial action taken, and keep a record thereof. |
8.6 Dati sensibili Qualora il trasferimento riguardi dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo "dati sensibili"), l'importatore applica limitazioni specifiche e/o garanzie supplementari adeguate alla natura specifica dei dati e ai rischi connessi. Ciò può includere limitazioni del personale autorizzato ad accedere ai dati personali, misure di sicurezza supplementari (quali la pseudonimizzazione) e/o limitazioni aggiuntive all'ulteriore divulgazione. | 8.6 Sensitive Data Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions or offences (hereinafter “sensitive data”), the data importer shall apply specific restrictions and/or additional safeguards adapted to the specific nature of the data and the risks involved. This may include restricting the personnel permitted to access the personal data, additional security measures (such as pseudonymisation) and/or additional restrictions with respect to further disclosure. |
8.7 Trasferimenti successivi L'importatore non comunica i dati personali a terzi situati al di fuori dell'Unione europea (nel suo stesso paese o in un altro paese terzo - di seguito: "trasferimento successivo"), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato. Altrimenti, il trasferimento successivo da parte dell'importatore può aver luogo solo se: (i) è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell'articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo; | 8.7 Onward transfers The data importer shall not disclose the personal data to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) unless the third party is or agrees to be bound by these Clauses, under the appropriate Module. Otherwise, an onward transfer by the data importer may only take place if: (i) it is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation ( EU) 2016/679 that covers the onward transfer; |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
(ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell'articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione; (iii) il terzo stipula uno strumento vincolante con l'importatore che garantisce lo stesso livello di protezione dei dati previsto dalle presenti clausole e l'importatore fornisce una copia di tali garanzie all'esportatore; (iv) il trasferimento è necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria nell'ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; (v) il trasferimento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, o (vi) qualora non ricorra nessuna delle altre condizioni, l'importatore ha ottenuto il consenso esplicito dell'interessato al trasferimento successivo in una situazione specifica, dopo averlo informato delle sue finalità, dell'identità del destinatario e dei possibili rischi di siffatto trasferimento per l'interessato dovuti alla mancanza di garanzie adeguate in materia di protezione dei dati. In tal caso, l'importatore informa l'esportatore e, su richiesta di quest'ultimo, gli trasmette copia delle informazioni fornite all'interessato. Qualunque trasferimento successivo è soggetto al rispetto da parte dell'importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità. | (ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 of Regulation (EU) 2016/679 with respect to the processing in question; (iii) the third party enters into a binding instrument with the data importer ensuring the same level of data protection as under these Clauses, and the data importer provides a copy of these safeguards to the data exporter; (iv) it is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; (v) it is necessary in order to protect the vital interests of the data subject or of another natural person; or (vi) where none of the other conditions apply, the data importer has obtained the explicit consent of the data subject for an onward transfer in a specific situation, after having informed him/her of its purpose(s), the identity of the recipient and the possible risks of such transfer to him/her due to the lack of appropriate data protection safeguards. In this case, the data importer shall inform the data exporter and, at the request of the latter, shall transmit to it a copy of the information provided to the data subject. Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation. |
8.8 Trattamento sotto l'autorità dell'importatore L'importatore provvede affinché chiunque agisca sotto la sua autorità, compreso un responsabile del trattamento, tratti i dati soltanto su sua istruzione. | 8.8 Processing under the authority of the data importer The data importer shall ensure that any person acting under its authority, including a processor, processes the data only on its instructions. |
8.9 Documentazione e rispetto (a) Ciascuna parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono a norma delle presenti clausole. In particolare, l'importatore conserva documentazione adeguata delle attività di trattamento effettuate sotto la sua responsabilità. (b) Su richiesta, l'importatore mette tale documentazione a disposizione dell'autorità di controllo competente. | 8.9 Documentation and compliance (a) Each Party shall be able to demonstrate compliance with its obligations under these Clauses. In particular, the data importer shall keep appropriate documentation of the processing activities carried out under its responsibility. (b) The data importer shall make such documentation available to the competent supervisory authority on request. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
Clausola 9 [Non applicabile] | Clause 9 [Not applicable] |
Clausola 10 | Clause 10 |
Diritti dell'interessato | Data subject rights |
(a) L'importatore, se del caso con l'assistenza dell'esportatore, tratta qualunque richiesta di informazioni e richiesta ricevute da un interessato in relazione al trattamento dei suoi dati personali e all'esercizio dei suoi diritti in virtù delle presenti clausole senza ingiustificato ritardo, al più tardi entro un mese dal ricevimento della richiesta di informazioni o richiesta. L'importatore adotta misure adeguate per agevolare tali richieste di informazioni, richieste e l'esercizio dei diritti dell'interessato. Tutte le informazioni fornite all'interessato sono in forma intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. | (a) The data importer, where relevant with the assistance of the data exporter, shall deal with any enquiries and requests it receives from a data subject relating to the processing of his/her personal data and the exercise of his/her rights under these Clauses without undue delay and at the latest within one month of the receipt of the enquiry or request. The data importer shall take appropriate measures to facilitate such enquiries, requests and the exercise of data subject rights. Any information provided to the data subject shall be in an intelligible and easily accessible form, using clear and plain language. |
(b) In particolare, su richiesta dell'interessato, e gratuitamente, l'importatore: | (b) In particular, upon request by the data subject the data importer shall, free of charge: |
(i) conferma all'interessato se i dati personali che lo riguardano sono o meno oggetto di trattamento e, in caso affermativo, fornisce una copia di tali dati e le informazioni di cui all'allegato I; se i dati personali sono stati o saranno oggetto di un trasferimento successivo, fornisce informazioni circa i destinatari o le categorie di destinatari (se del caso al fine di fornire informazioni significative) a cui i dati personali sono stati o saranno trasferiti, la finalità di tali trasferimenti successivi e il loro motivo in conformità della clausola 8.7; e fornisce informazioni sul diritto di proporre reclamo a un'autorità di controllo conformemente alla clausola 12, lettera c), punto i); | (i) provide confirmation to the data subject as to whether personal data concerning him/her is being processed and, where this is the case, a copy of the data relating to him/her and the information in Annex I; if personal data has been or will be onward transferred, provide information on recipients or categories of recipients (as appropriate with a view to providing meaningful information) to which the personal data has been or will be onward transferred, the purpose of such onward transfers and their ground pursuant to Clause 8.7; and provide information on the right to lodge a complaint with a supervisory authority in accordance with Clause 12(c)(i); |
(ii) rettifica i dati inesatti o incompleti dell'interessato; | (ii) rectify inaccurate or incomplete data concerning the data subject; |
(iii) cancella i dati personali dell'interessato se tali dati sono o sono stati trattati in violazione di una delle presenti clausole, garantendo i diritti del terzo beneficiario, o se l'interessato revoca il consenso su cui si basa il trattamento. | (iii) erase personal data concerning the data subject if such data is being or has been processed in violation of any of these Clauses ensuring third-party beneficiary rights, or if the data subject withdraws the consent on which the processing is based. |
(c) Qualora l'importatore tratti i dati personali per finalità di marketing diretto, cessa il trattamento per tali finalità se l'interessato vi si oppone. | (c) Where the data importer processes the personal data for direct marketing purposes, it shall cease processing for such purposes if the data subject objects to it. |
(d) L'importatore non prende alcuna decisione basata unicamente sul trattamento | (d) The data importer shall not make a decision based solely on the automated processing of |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
automatizzato dei dati personali trasferiti (di seguito "decisione automatizzata"), che produca effetti giuridici che riguardano l'interessato o che incida in modo analogo significativamente sulla sua persona, salvo con il consenso esplicito dell'interessato o se autorizzato in tal senso dalla legislazione del paese di destinazione, a condizione che tale legislazione preveda misure adeguate a tutela dei diritti e dei legittimi interessi dell'interessato. In tal caso l'importatore, se necessario in cooperazione con l'esportatore: | the personal data transferred (hereinafter “automated decision”), which would produce legal effects concerning the data subject or similarly significantly affect him / her, unless with the explicit consent of the data subject or if authorised to do so under the laws of the country of destination, provided that such laws lays down suitable measures to safeguard the data subject’s rights and legitimate interests. In this case, the data importer shall, where necessary in cooperation with the data exporter: |
(i) informa l'interessato della prevista decisione automatizzata, delle conseguenze previste e della logica utilizzata; e | (i) inform the data subject about the envisaged automated decision, the envisaged consequences and the logic involved; and |
(ii) attua garanzie adeguate, consentendo almeno all'interessato di contestare la decisione, esprimere la propria opinione e ottenere il riesame da parte di un essere umano. | (ii) implement suitable safeguards, at least by enabling the data subject to contest the decision, express his/her point of view and obtain review by a human being. |
(e) Qualora le richieste dell'interessato siano eccessive, in particolare per il carattere ripetitivo, l'importatore può addebitare un contributo spese ragionevole tenuto conto dei costi amministrativi dell'accoglimento della richiesta o rifiutarsi di soddisfare la richiesta. | (e) Where requests from a data subject are excessive, in particular because of their repetitive character, the data importer may either charge a reasonable fee taking into account the administrative costs of granting the request or refuse to act on the request. |
(f) L'importatore può rifiutare la richiesta dell'interessato se tale rifiuto è consentito dalla legislazione del paese di destinazione ed è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all'articolo 23, paragrafo 1, del regolamento (UE) 2016/679. | (f) The data importer may refuse a data subject’s request if such refusal is allowed under the laws of the country of destination and is necessary and proportionate in a democratic society to protect one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679. |
(g) Se l'importatore intende rifiutare la richiesta dell'interessato, informa quest'ultimo dei motivi del rifiuto e della possibilità di proporre reclamo all'autorità di controllo competente e/o di proporre ricorso giurisdizionale. | (g) If the data importer intends to refuse a data subject’s request, it shall inform the data subject of the reasons for the refusal and the possibility of lodging a complaint with the competent supervisory authority and/or seeking judicial redress. |
Clausola 11 Ricorso (a) L'importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato. (b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere | Clause 11 Redress (a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject. (b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle. (c) Qualora l'interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l'importatore accetta la decisione dell'interessato di: (i) proporre reclamo all'autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all'autorità di controllo competente in conformità della clausola 13; (ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18. (d) Le parti accettano che l'interessato possa essere rappresentato da un organismo, un'organizzazione o un'associazione senza scopo di lucro alle condizioni di cui all'articolo 80, paragrafo 1, del regolamento (UE) 2016/679. (e) L'importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell'UE o degli Stati membri. (f) L'importatore dichiara che la scelta compiuta dall'interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile. | to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them. (c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to: (i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13; (ii) refer the dispute to the competent courts within the meaning of Clause 18. (d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679. (e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law. (f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws. |
Clausola 12 Responsabilità (a) Xxxxxxxx parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole. (b) Xxxxxxxx parte è responsabile nei confronti dell'interessato per i danni materiali o immateriali che essa gli ha causato violando i diritti del terzo beneficiario previsti dalle presenti clausole, e l'interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell'esportatore a norma del regolamento (UE) 2016/679. (c) Qualora più di una parte sia responsabile per un danno causato all'interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l'interessato ha il diritto di agire in giudizio contro una qualunque di loro. (d) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera c), | Clause 12 Liability (a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses. (b) Each Party shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages that the Party causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter under Regulation (EU) 2016/679. (c) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties. (d) The Parties agree that if one Party is held liable under paragraph (c), it shall be entitled to claim |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
essa ha il diritto di reclamare dalle altre parti la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno. (e) L'importatore non può invocare il comportamento di un responsabile del trattamento o un sub-responsabile del trattamento per sottrarsi alla propria responsabilità. | back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage. (e) The data importer may not invoke the conduct of a processor or sub-processor to avoid its own liability. |
Clausola 13 Controllo (a) [Qualora l'esportatore sia stabilito in uno Stato membro dell'UE:] L'autorità di controllo responsabile di garantire che l'esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all'allegato I.C, agisce in qualità di autorità di controllo competente. (b) L'importatore accetta di sottoporsi alla giurisdizione dell'autorità di controllo competente e di cooperare con la stessa nell'ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l'importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall'autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all'autorità di controllo conferma scritta che sono state adottate le misure necessarie. | Clause 13 Supervision (a) [Where the data exporter is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority. (b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken. |
SEZIONE III — LEGISLAZIONE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE | SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES |
Clausola 14 Legislazione e prassi locali che incidono sul rispetto delle clausole (a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscono all'importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all'articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole. | Clause 14 Local laws and practices affecting compliance with the Clauses (a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
(b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto dei seguenti elementi: (i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti; (ii) la legislazione e le prassi del paese terzo di destinazione — comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati — pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili; (iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione. (c) L'importatore garantisce che, nell'effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all'esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l'esportatore per garantire il rispetto delle presenti clausole. (d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell'autorità di controllo competente su richiesta. (e) L'importatore accetta di informare prontamente l'esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un'applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a). (f) A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l'importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l'esportatore individua prontamente le | (b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements: (i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred; (ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards; (iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination. (c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses. (d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request. (e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a). (f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
misure adeguate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l'importatore devono adottare per far fronte alla situazione L'esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione dell'autorità di controllo competente. In tal caso l'esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l'esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere d) ed e). | technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply. |
Clausola 15 Obblighi dell'importatore in caso di accesso da parte di autorità pubbliche 15.1 Notifica (a) L'importatore accetta di informare prontamente l'esportatore e, ove possibile, l'interessato (se necessario con l'aiuto dell'esportatore) se: (i) riceve una richiesta giuridicamente vincolante di un'autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull'autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o (ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all'importatore. (b) Se la legislazione del paese di destinazione vieta all'importatore di informare l'esportatore e/o l'interessato, l'importatore accetta di fare tutto il possibile per ottenere un'esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell'esportatore, l'importatore accetta di documentare di aver fatto tutto il possibile. | Clause 15 Obligations of the data importer in case of access by public authorities 15.1 Notification (a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary, with the help of the data exporter) if it: (i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or (ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer. (b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
(c) Laddove consentito dalla legislazione del paese di destinazione, l'importatore accetta di fornire periodicamente all'esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.). (d) L'importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell'autorità di controllo competente su richiesta. (e) Le lettere da a) a c) lasciano impregiudicato l'obbligo dell'importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l'esportatore qualora non sia in grado di rispettare le presenti clausole. | (c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.). (d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request. (e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses. |
15.2 Riesame della legittimità e minimizzazione dei dati (a) L'importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all'autorità pubblica richiedente, e di contestarla qualora, dopo un'attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L'importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l'importatore chiede l'adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l'autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell'importatore a norma della clausola 14, lettera e). (b) L'importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell'esportatore. Su richiesta, la mette a disposizione anche dell'autorità di controllo competente. (c) Quando risponde a una richiesta di comunicazione l'importatore accetta di fornire la quantità minima di informazioni consentite, sulla | 15.2 Review of legality and data minimisation (a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e). (b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request. (c) The data importer agrees to provide the minimum amount of information permissible when |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
base di un'interpretazione ragionevole della richiesta. | responding to a request for disclosure, based on a reasonable interpretation of the request. |
SEZIONE IV - DISPOSIZIONI FINALI | SECTION IV – FINAL PROVISIONS |
Clausola 16 | Clause 16 |
Inosservanza delle clausole e risoluzione | Non-compliance with the Clauses and termination |
(a) L'importatore informa prontamente l'esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole. | (a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason. |
(b) Qualora l'importatore violi le presenti clausole o non sia in grado di rispettarle, l'esportatore sospende il trasferimento dei dati personali all'importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f). | (b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f). |
(c) L'esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora: | (c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where: |
(i) l'esportatore abbia sospeso il trasferimento dei dati personali all'importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione; | (i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension; |
(ii) l'importatore violi in modo sostanziale o persistente le presenti clausole; o | (ii) the data importer is in substantial or persistent breach of these Clauses; or |
(iii) l'importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un'autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole. In tali casi, informa l'autorità di controllo competente di tale inosservanza. Qualora le parti del contratto siano più di due, l'esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. | (iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses. In these cases, it shall inform the competent supervisory authority of such non- compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. |
(d) I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell'esportatore, restituiti immediatamente all'esportatore o cancellati integralmente. Lo stesso vale per qualunque copia dei dati. L'importatore certifica all'esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l'importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile | (d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
all'importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l'importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale. (e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora: i) la Commissione europea adotti una decisione in conformità dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679. | to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law. (e) Either Party may revoke its agreement to be bound by these Clauses where: (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679. |
Clausola 17 Legge applicabile Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell'UE, purché essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella dell’Italia. | Clause 17 Governing law These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of Italy. |
Clausola 18 Scelta del foro e giurisdizione (a) Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell'UE. (b) Le parti convengono che tali organi giurisdizionali sono quelli dell’Italia. (c) L'interessato può agire in giudizio contro l'esportatore e/o l'importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale. (d) Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali. | Clause 18 Choice of forum and jurisdiction (a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State. (b) The Parties agree that those shall be the courts of Italy. (c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence. (d) The Parties agree to submit themselves to the jurisdiction of such courts. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
APPENDICE | APPENDIX |
NOTA ESPLICATIVA: Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o a ciascuna categoria di trasferimenti e, a tale riguardo, determinare i ruoli rispettivi delle parti quali esportatori e/o importatori. Non occorre per forza compilare e firmare appendici distinte per ciascun trasferimento/categoria di trasferimenti e/o rapporto contrattuale laddove tale trasparenza possa essere garantita con un'unica appendice. Tuttavia, ove necessario per assicurare una sufficiente chiarezza, dovrebbero essere utilizzate appendici distinte. | EXPLANATORY NOTE: It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used. |
ALLEGATO I | ANNEX I |
A. ELENCO DELLE PARTI | A. LIST OF PARTIES |
Esportatore/i: [Identità e dati di contatto del o degli esportatori e, se del caso, del suo/loro responsabile della protezione dei dati e/o rappresentante nell'Unione europea] 1. Nome: Azienda Ospedaliera Ordine Mauriziano di Torino Indirizzo: Xxx Xxxxxxxxx 0-00000 Xxxxxx Nome, qualifica e dati di contatto del referente: 2. Nome: Università degli Studi di Torino, Dipartimento di Oncologia Indirizzo: Xxx Xxxxx 0 – Xxxxxx (XX) Nome, qualifica e dati di contatto del referente: Xxxx. Xxxxxxxx Xxxxxxxxx, Direttore del Dipartimento, email xxxxxxxxx.xxxx@xxxxx.xx DPO: Xxxx. Xxxxxx Xxx email xxx@xxxxx.xx Attività pertinenti ai dati trasferiti a norma delle presenti clausole: Trattamento dei dati personali in relazione allo svolgimento dello studio clinico sponsorizzato da Alkermes, Inc., l'esportatore dei dati, allo scopo, a titolo esemplificativo ma non esaustivo, di: - determinare il coinvolgimento degli interessati nello studio clinico, a titolo esemplificativo e non esaustivo, a criteri di inclusione/esclusione; - valutare la partecipazione degli interessati allo studio clinico; - svolgere eventuali attività post-studio; - rispettare la legge applicabile e i requisiti normativi | Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union] 1. Name: Azienda Ospedaliera Ordine Mauriziano di Torino Address: Xxx Xxxxxxxxx 0-00000 Xxxxxx Contact person’s name, position and contact details: 2. Name: Università degli Studi di Torino, Dipartimento di Oncologia Address: Xxx Xxxxx 0 – Xxxxxx (XX) Contact person’s name, position and contact details: Xxxx. Xxxxxxxx Xxxxxxxxx, Director or the Department of Oncology, xxxxxxxxx.xxxx@xxxxx.xx DPO: Xxxx. Xxxxxx Xxx email xxx@xxxxx.xx Activities relevant to the data transferred under these Clauses: Processing of Personal Data in connection with the conduct of the clinical study sponsored by Alkermes, Inc., the Data Exporter, including but not limited to, processing for the purpose of: - determining the involvement of the data subjects in the clinical study including but not limited to inclusion/exclusion criteria; - assessing the data subjects’ participation in the clinical study; - carrying out any post-study activities; - complying with applicable law and regulatory requirements |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
- fornire assistenza, elaborare pagamenti e/o supervisionare l'esecuzione del contratto per la conduzione della sperimentazione o dei contratti relativi allo studio; - effettuare la valutazione delle prestazioni professionali. | - providing assistance, processing payments and/or supervising the performance of the clinical study agreement or study related agreements; - carrying out professional performance evaluation. |
Il trattamento comprende, in particolare: (i) il trattamento dei dati personali dei membri del gruppo di studio, compresi gli sperimentatori principali, gli sperimentatori secondari e il personale di ricerca; (ii) la raccolta e il trattamento di dati personali pseudonimizzati da soggetti arruolati nelle sperimentazioni allo scopo di acquisire l'esperienza dell'interessato, monitorare l'interessato e per le analisi; (iii) elaborazione dei risultati dello studio; e (iv) il trasferimento di dati personali all'importatore di dati in forma pseudonimizzata, nonché la segnalazione di eventi avversi all'importatore di dati e alle autorità competenti. | The processing includes, in particular: (i) processing of personal data of study team members, including principal investigators, sub- investigators and research staff; (ii) the collection and processing of pseudonymized personal data from clinical trial subjects for the purposes of capturing the data subject’s experience, monitoring of the data subject and for analysis ; (iii) processing of the study findings; and (iv) transferring personal data to the data importer in pseudonymized form as well as reporting adverse events to the data importer and the competent authorities. |
Gli esportatori dei dati e l'importatore di dati riconoscono e accettano che durante lo svolgimento dello studio clinico, l'importatore di dati riceve solo dati pseudonimizzati relativi ai soggetti partecipanti alla sperimentazione clinica. L'Esportatore di dati può, in casi limitati ove strettamente necessario per la salute e la sicurezza del partecipante alla sperimentazione, condividere informazioni identificabili relative alla sicurezza del soggetto durante lo svolgimento dello studio clinico. | The Data Exporter and Data Importer acknowledge and agree that during the conduct of the clinical study, the Data Importer receives only pseudonymized data related to the participating clinical trial subjects. The Data Exporter may, in limited cases where required strictly for the health and safety of the clinical trial participant, share identifiable information related to subject safety during conduct of the clinical study. |
Per Esportatore 1 Azienda Ospedaliera Ordine Mauriziano di Torino | For Data Exporter 1 Azienda Ospedaliera Ordine Mauriziano di Torino |
Firma e data: | Signature and date: |
Ruolo (controller/Processor): controller | Role (controller/processor): controller |
Per Esportatore 2 Università degli Studi di Torino, Dipartimento di Oncologia | For Data Exporter 2 Università degli Studi di Torino, Dipartimento di Oncologia |
Firma e data: | Signature and date: |
Ruolo (controller/Processor): controller | Role (controller/processor): controller |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
Importatore/i: [Identità e dati di contatto del o degli importatori, compreso qualsiasi referente con responsabilità in materia di protezione dei dati] | Data importer(s): [Identity and contact details of the data importer(s), including any contact person with responsibility for data protection] 1. Name: Alkermes, Inc. Address: 000 Xxxxxx Xxxxxx, Xxxxxxx, XX 00000, XXX Contact person’s name, position and contact details: xxxxxxxxxxxxxx@xxxxxxxx.xxx For Data Importer: Medpace Clinical Research LLC (on behalf of Alkermes Inc.) Signature and date: Role (controller/processor): Controller |
1. Nome: Alkermes, Inc. | |
Indirizzo: 000 Xxxxxx Xxxxxx, Xxxxxxx, XX 00000, XXX | |
Nome, qualifica e dati di contatto del referente: xxxxxxxxxxxxxx@xxxxxxxx.xxx | |
Per l’Importatore: Medpace Clinical Research LLC (per conto di Alkermes Inc.) | |
Firma e data: | |
Ruolo (controller/Processor): Controller | |
B. DESCRIZIONE DEL TRASFERIMENTO | B. DESCRIPTION OF TRANSFER |
Categorie di interessati i cui dati personali sono trasferiti | Categories of data subjects whose personal data is transferred |
• Membri del team di Studio, inclusi gli sperimentatori principali, I sub-sperimentatori e lo staff di ricerca coinvolti nella Sperimentazione. | • Study team members, including principal investigators, sub-investigators and research staff involved in the clinical trial |
• Soggetti della Sperimentazione, nella misura in cui i dati pseudonimizzati potrebbero essere considerati dati personali | • Clincial trial subjects (to the extent pseudonymized data could be deemed personal data). |
Categorie di dati personali trasferiti • Membri del team di studio: recapiti, dettagli del CV, ruolo svolto nello Studio, dettagli per consentire il pagamento dei servizi forniti e relativa rendicontazione alle autorità fiscali nazionali • Soggetti della Sperimentazione: nessun dato identificabile viene trasferito dall'esportatore di dati all'importatore di dati. I dati pseudonimizzati vengono forniti all'Importatore di dati come richiesto dal protocollo per lo Studio. Dati sensibili trasferiti (se del caso) e limitazioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, ad esempio una rigorosa limitazione delle finalità, limitazioni all'accesso (tra cui accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai | Categories of personal data transferred • Study team members: Name, business contact details, CV details, role performed in the Study, details to enable payment for services provided and related reporting to national tax authorities • Clinical Trial Subjects: no identifiable data is transferred by the data exporter to the data importer. Pseudonymized data is provided to the Data Importer as required by protocol for Study. Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
dati, limitazioni ai trasferimenti successivi o misure di sicurezza supplementari. Dati pseudonimizzati. Le informazioni mediche dei soggetti della Sperimentazione sono precedentemente codificate dall'Esportatore di dati in modo tale che tali informazioni mediche non possano essere attribuite a uno specifico soggetto partecipante senza l'uso del codice, con tale codice conservato separatamente solo dall'Esportatore di dati e soggetto a tecniche e misure organizzative applicate dall'Esportatore di dati per garantire la non attribuzione a un paziente identificato o identificabile. | for onward transfers or additional security measures. Pseudonymized data. Clincial study subjects’ medical information is previously codified by the Data Exporter in such a way that this medical information cannot be attributed to a specific participating subject without the use of the code,with such code kept separately by the Data Exporter only and subject to technical and organisational measures applied by the Data Exporter to ensure non-attribution to an identified or identifiable patient. |
La frequenza del trasferimento (ad esempio se i dati sono trasferiti come evento singolo o su base continua) | The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis). |
I dati personali vengono caricati dall'esportatore di dati nel database EDC specifico dello studio, controllato da Alkermes, Inc. I dati personali vengono trasferiti per la durata dello studio ALKS 4230-007 ARTISTRY-7 e dopo il completamento dello studio per qualsiasi posto -Attività di studio. | Personal Data is uploaded by the Data Exporter to the Study-specific EDC database which is controlled by Alkermes, Inc. Personal data is transferred for the duration of the study ALKS 4230-007 ARTISTRY-7 and after the completion of the Study for any post-Study activities. |
Natura del trattamento | Nature of the processing |
Raccolta, registrazione, monitoraggio, | Collecting, recording, monitoring, organizing, |
organizzazione, conservazione, utilizzo, | storing, use, disclosure, combining, retrieval, |
divulgazione, combinazione, estrazione, | consultation, alteration, transmission, archiving |
consultazione, alterazione, trasmissione, | and/or deletion |
archiviazione e/o cancellazione | |
Finalità del trasferimento dei dati e dell'ulteriore trattamento | Purpose(s) of the data transfer and further processing |
Il trasferimento viene effettuato per le seguenti finalità dello studio clinico, tra cui: | The transfer is made for the following purposes of the clinical study including to: |
- determinazione del coinvolgimento degli interessati nello studio clinico, a titolo esemplificativo e non esaustivo, in base a criteri di inclusione/esclusione; | - determining the involvement of the data subjects in the clinical study including but not limited to inclusion/exclusion criteria; |
- valutare la partecipazione degli interessati allo studio clinico; | - assessing the data subjects’ participation in the clinical study; |
- svolgere eventuali attività post-studio; | - carrying out any post-study activities; |
- rispetto della legge applicabile e dei requisiti normative | - complying with applicable law and regulatory requirements |
- fornire assistenza, elaborare pagamenti e/o supervisionare l'esecuzione del contratto di studio clinico o dei contratti relativi allo studio; | - providing assistance, processing payments and/or supervising the performance of the clinical study agreement or study related agreements; |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
- effettuare la valutazione delle prestazioni professionali. | - carrying out professional performance evaluation. |
Periodo di conservazione dei dati personali oppure, se non è possibile, criteri utilizzati per determinare tale periodo I dati personali saranno conservati per il periodo specificato indicato nel modulo di consenso informato e per qualsiasi ulteriore periodo richiesto dalle leggi applicabili. | The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period The personal data will be retained for the specified period set out in the informed consent form and any additional period required under applicable laws. |
Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento N/A | For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing N/A |
C. AUTORITÀ DI CONTROLLO COMPETENTE | C. COMPETENT SUPERVISORY AUTHORITY |
Identificare la o le autorità di controllo competenti conformemente alla clausola 13: Garante per la protezione dei dati personali Xxxxxx Xxxxxxx 00, 00000 – Xxxx | Identify the competent supervisory authority/ies in accordance with Clause 13: Italian Data Protection Authority Xxxxxx Xxxxxxx 00, 00000 – Xxxx |
ALLEGATO II Misure Tecniche, Organizzative e di Sicurezza | ANNEX II Technical, Organizational and Security Measures |
1. Organizzazione della sicurezza delle informazioni; Politiche e standard di sicurezza delle informazioni. L'importatore di dati deve mantenere un'organizzazione aziendale per la sicurezza delle informazioni responsabile della gestione del proprio programma di sicurezza delle informazioni. L'organizzazione per la sicurezza delle informazioni è responsabile di: | 1. Organization of Information Security; Information Security Policies and Standards. The data importer shall maintain a corporate Information Security organization that is responsible for managing its information security program. The Information Security organization shall be responsible for: |
a. Esecuzione di valutazioni periodiche dei rischi per la sicurezza in loco di (i) strutture, sistemi e applicazioni di elaborazione delle informazioni dell'importatore di dati. | a. Performing periodic onsite security risk assessments of (i) the data importer’s information processing facilities, systems, and applications. |
b. Fornire consulenza al team di gestione esecutiva dell'importatore di dati e al suo consiglio di amministrazione in merito al programma di sicurezza delle informazioni dell'importatore di dati, ai rischi potenziali e ai piani di mitigazione. | b. Advising the data importer’s executive management team and its Board of Directors about the data importer’s information security program, potential risks, and mitigation plans. |
c. Promulgare e mantenere politiche, procedure e standard di sicurezza delle informazioni ragionevoli e appropriati progettati per garantire adeguatamente la riservatezza, l'integrità e la disponibilità dei dati personali trattati dall'importatore di dati. Tali politiche, procedure e standard includeranno, a titolo esemplificativo, quelli progettati per proteggere i dati personali | c. Promulgating and maintaining reasonable and appropriate information security policies, procedures and standards that are designed to adequately provide for the confidentiality, integrity and availability of personal data processed by the data importer. Such policies, procedures and standards shall include, without limitation, those that are designed to protect personal data |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
elaborati da postazioni remote, comprese le strutture o le sedi di telelavoro dei dipendenti. | processed from remote locations, including employee teleworking facilities or locations. |
d. Rivedere e aggiornare periodicamente le politiche, le procedure e gli standard di sicurezza delle informazioni dell'importatore di dati per affrontare minacce nuove ed emergenti e modifiche ai requisiti legali e agli standard di settore. | d. Periodically reviewing and updating the data importer’s information security policies, procedures and standards to address new and emerging threats and changes to legal requirements and industry standards. |
e. Fornire direzione e supporto alla gestione per la sicurezza delle informazioni in conformità con i requisiti aziendali e le leggi e i regolamenti pertinenti. | e. Providing management direction and support for information security in accordance with business requirements and relevant laws and regulations. |
2. Sicurezza del personale. a. L'importatore di dati deve informare i propri dipendenti e collaboratori in merito alle loro mansioni o mansioni e adottare misure per valutare l'idoneità del personale per i ruoli per i quali è considerato per garantire che tali dipendenti e/o collaboratori forniscano un livello di sicurezza e privacy adeguato alle loro l'accesso ai dati e l'ambito dei servizi che sono impegnati a fornire. | 2. Personnel Security. a. The data importer shall inform its employees and contractors about their job or task responsibilities and take steps to assess the suitability of personnel for the roles for which they are considered to ensure such employees and/or contractors provide a level of security and privacy appropriate to their access of data and the scope of the services they are engaged to provide. |
b. L'importatore di dati deve garantire che tutti gli appaltatori siano vincolati da adeguate disposizioni contrattuali che proteggano le informazioni dell'importatore di dati. | b. The data importer shall ensure any contractors shall be bound by appropriate contractual provisions protecting the data importer’s information. |
c. L'importatore di dati deve adottare misure per istruire e informare i propri dipendenti, appaltatori e altri utenti di terze parti della propria rete, sistemi e applicazioni su (i) minacce e preoccupazioni per la sicurezza delle informazioni; (ii) i requisiti del | c. The data importer shall take steps to educate and inform its employees, contractors, and other third -party users of its network, systems and applications about (i) information security threats and concerns; (ii) the requirements of the |
d. programma di sicurezza delle informazioni; e (iii) le loro responsabilità e obblighi in relazione al trattamento dei dati personali. | d. information security program; and (iii) their responsibilities and obligations with respect to the processing of personal data. |
e. L'importatore di dati doterà i propri dipendenti di sistemi e applicazioni con strumenti e attrezzature adeguati che supportino l'attuazione dei requisiti del programma di sicurezza organizzativa nel corso del loro normale lavoro. | e. The data importer shall equip its employees with systems and applications with appropriate tools and equipment that support the implementation of the organizational security program requirements in the course of their normal work. |
f. L'importatore di dati deve mantenere le procedure per interrompere l'accesso ai dati personali quando i dipendenti o gli appaltatori lasciano l'organizzazione o cambiano ruolo in un ruolo in cui l'accesso a tali dati non è più necessario. | f. The data importer shall maintain procedures to terminate access to personal data when employees or contractors exit the organization or change roles to a role where access to such data is no longer needed. |
3. Gestione patrimoniale. | 3. Asset management. |
L'importatore di dati deve mantenere controlli | The data importer shall maintain reasonable and |
ragionevoli e appropriati progettati per proteggere le risorse organizzative che elaborano dati | appropriate controls that are designed to protect |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
personali. Inoltre, l'importatore di dati deve mantenere un sistema di classificazione dei dati standard del settore progettato per garantire che i dati personali siano sempre adeguatamente protetti. | organizational assets that process personal data. In addition, the data importer shall maintain an industry-standard data classification system that is designed to ensure that personal data, is appropriately protected at all times. |
4. Sicurezza fisica e ambientale. L'importatore di dati adotta misure ragionevoli e appropriate volte a impedire l'accesso fisico non autorizzato e il danneggiamento e l'interferenza con i suoi locali, nonché la perdita, il danneggiamento, il furto o la compromissione di beni e l'interruzione delle sue attività relative al trattamento dei dati personali. Tutti i luoghi in cui i sistemi informatici ospitano i Dati personali devono disporre di sistemi di sicurezza approvati per controllare e limitare l'accesso a tali dati. | 4. Physical and environmental security. The data importer shall take reasonable and appropriate steps designed to prevent unauthorized physical access and damage to and interference with its premises, and the loss, damage, theft or compromise of assets and interruption to its activities related to the processing of personal data. All locations at which information systems house Personal Data must have approved security systems in place to control and restrict access to such data. |
5. Gestione delle comunicazioni e delle operazioni. L'esportatore di dati fornisce all'importatore di dati dati anonimizzati o pseudoanonimizzati e campioni biologici umani. Tutti i dati ricevuti dall'importatore di dati saranno trattati in conformità con le misure tecniche, organizzative e di sicurezza stabilite nel presente documento. I campioni biologici devono essere inviati direttamente dall'esportatore di dati ai fornitori dell'importatore di dati per l'elaborazione. L'importatore di dati deve garantire che le misure tecniche, organizzative e di sicurezza implementate da tali fornitori non siano inferiori a quelle stabilite nel presente documento, salvo diverso accordo con l'esportatore di dati. a. L'importatore di dati deve implementare processi progettati per garantire il funzionamento corretto e sicuro delle strutture di elaborazione delle informazioni, anche mediante l'uso di tecnologie firewall e di crittografia adeguate; e, per quanto possibile, la registrazione e il monitoraggio di tutte le trasmissioni di dati. b. L'importatore di dati deve implementare e mantenere livelli adeguati di sicurezza delle informazioni e fornitura di servizi progettati per facilitare il rispetto degli accordi con i clienti. | 5. Communications and operations management. The data exporter shall provide the data importer with anonymized or pseudo- anonymized data and human biological samples. All data received by the data importer shall be processed in accordance with the technical, organizational and security measures set out herein. Biological samples shall be sent directly from the data exporter to the data importer’s vendors for processing. The data importer shall ensure that the technical, organizational and security measures implemented by such vendors shall be no less than as set out in this document, unless otherwise agreed with the data exporter. a. The data importer shall implement processes designed to provide for the correct and secure operation of information processing facilities, including by use of appropriate firewall and encryption technologies; and, as far as possible, the logging and monitoring of all data transmissions. b. The data importer shall implement and maintain appropriate levels of information security and service delivery designed to facilitate compliance with its customer agreements. |
6. Pianificazione e accettazione del sistema. L'importatore di dati deve mantenere processi e procedure progettati per ridurre al minimo il rischio di guasti dei sistemi e mantenere adeguate strutture di backup come controllo per supportare l'integrità e la disponibilità delle informazioni e delle strutture di elaborazione delle informazioni. | 6. System Planning and Acceptance. The data importer shall maintain processes and procedures designed to minimize the risk of systems failures and maintain appropriate backup facilities as a control to support the integrity and availability of information and information processing facilities. |
7. Gestione della sicurezza della rete. a. L'importatore di dati utilizza controlli ragionevoli e appropriati per proteggere sia i dati personali nelle sue reti, sia l'infrastruttura di rete di supporto. | 7. Network security management. a. The data importer employs reasonable and appropriate controls to protect both the |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
b. L'importatore di dati deve mantenere le protezioni (compreso il software antivirus) contro il codice dannoso e mobile. | personal data in its networks, and the supporting network infrastructure. b. The data importer shall maintain protections (including anti-virus software) against malicious and mobile code. |
8. Gestione dei supporti. L'importatore di dati deve mantenere processi e procedure adeguati progettati per prevenire divulgazioni non autorizzate, modifiche, rimozioni o distruzione di beni e interruzioni delle attività commerciali. Quando i supporti devono essere smaltiti o riutilizzati, sono state implementate procedure per impedire qualsiasi successivo recupero delle informazioni memorizzate su di essi prima che vengano ritirati dall'inventario | 8. Media handling. The data importer shall maintain appropriate processes and procedures designed to prevent unauthorized disclosures, modifications, removals or destruction of assets, and interruptions to business activities. When media are to be disposed of or reused, procedures have been implemented to prevent any subsequent retrieval of the information stored on them before they are withdrawn from the inventory |
9. Scambio di informazioni. L'importatore di dati deve implementare processi per proteggere la sicurezza dei dati personali scambiati all'interno del suo gruppo aziendale e con terzi. | 9. Exchange of information. The data importer shall implement processes to protect the security of personal data exchanged within its corporate group and with third parties. |
10. Controlli di accesso. a. L'importatore di dati manterrà adeguate procedure di controllo degli accessi per impedire l'accesso non autorizzato, il furto o la perdita di dati personali dai sistemi informativi, comprese reti, applicazioni e sistemi operativi. Esempi di tecnologie di controllo dell'accesso includono, ma non sono limitati a (i) l'emissione di credenziali di accesso univoche di tutti i sistemi (ii) time-out automatico dei terminali utente se lasciati inattivi (iii) sospensione automatica delle credenziali di accesso quando vengono inserite diverse password errate entrato; e (iv) autenticazione a più fattori per VPN e altre connessioni remote. b. L'importatore di dati implementerà i controlli di accesso per reti, sistemi e applicazioni sulla base di "privilegi minimi". c. L'importatore di dati implementa procedure per limitare la possibilità di concedere, modificare o revocare l'accesso degli utenti a un sistema informativo a un insieme limitato di utenti con privilegi autorizzati. | 10. Access Controls. a. The data importer shall maintain appropriate access control procedures to prevent unauthorized access to, or theft or loss of Personal Data from information systems, including networks, applications, and operating systems. Examples of access control technologies include, but are not limited to (i) the issuance of unique logon credentials of all systems (ii) automatic time-out of user terminals if left idle (iii) automatic suspension of access credentials when several erroneous passwords are entered; and (iv) multifactor authentication for VPN and other remote connections. b. The data importer shall implement access controls for networks, systems, and applications basis on a “least privileges” basis. c. The data importer implements procedures to limit the ability to grant, modify or revoke user access to an information system to a limited set of authorized privileged users. |
11. Acquisizione, sviluppo e manutenzione di sistemi informativi. L'importatore di dati incorporerà la privacy e la sicurezza delle informazioni come parte integrante dello sviluppo e della manutenzione dell'acquisizione dei sistemi informativi e svilupperà politiche, processi e procedure adeguati per prevenire l'errato trattamento dei dati personali e la perdita, la modifica non autorizzata o l'uso improprio di tali dati in applicazioni. | 11. Information systems acquisition, development and maintenance. The data importer shall incorporate privacy and information security as an integral part of information systems acquisition development and maintenance, and shall develop appropriate policies, processes and procedures to prevent the erroneous processing of personal data and the loss, unauthorized modification or misuse of such data in applications. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I
12. Controlli crittografici. L'importatore di dati adotta misure adeguate per impedire che i dati personali vengano letti, copiati, modificati o cancellati da soggetti non autorizzati durante la trasmissione degli stessi o durante il trasporto del supporto dati. Nello specifico, ove possibile, l'importatore di dati protegge la riservatezza, l'autenticità o l'integrità dei dati personali inattivi e in transito mediante l'uso di mezzi crittografici. | 12. Cryptographic Controls. The data importer shall implement suitable measures to prevent personal data from being read, copied, altered or deleted by unauthorized parties during the transmission thereof or during the transport of the data media. Specifically, where it is feasible to do so, the data importer shall protect the confidentiality, authenticity or integrity of personal data at rest and in transit by use of cryptographic means. |
13. Gestione della vulnerabilità tecnica. L'importatore di dati adotta e mantiene processi e procedure di gestione delle vulnerabilità (inclusa la gestione delle patch) per ridurre i rischi derivanti dallo sfruttamento delle vulnerabilità tecniche pubblicate. | 13. Technical Vulnerability Management. The data importer shall adopt and maintain vulnerability management (including patch management) processes and procedures to reduce risks resulting from exploitation of published technical vulnerabilities. |
14. Gestione degli incidenti relativi ai dati. L'importatore di dati deve mantenere un approccio coerente ed efficace alla gestione degli incidenti di sicurezza e deve intraprendere azioni correttive tempestive per affrontare tali incidenti | 14. Data Incident Management. The data importer shall maintain a consistent and effective approach to the management of security incidents and shall take timely corrective action to address such incidents |
15. Gestione della continuità operativa. L'importatore di dati adotta misure adeguate volte a contrastare le interruzioni delle attività aziendali e proteggere i processi aziendali critici dagli effetti di gravi guasti dei sistemi informativi o disastri e per garantire la loro tempestiva ripresa. | 15. Business Continuity Management. The data importer shall take appropriate measures designed to counteract interruptions to business activities and protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption. |
16. Considerazioni sull'audit dei sistemi informativi. L'importatore di dati effettua o fa effettuare audit periodici dei sistemi e dei processi coinvolti nel trattamento dei dati personali. | 16. Information Systems Audit Considerations. The data importer shall conduct or have conducted periodic audits of systems and processes involved in the processing of personal data. |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 03/03/2023.0000197.I