CONTRATTO SUL TRATTAMENTO DEI DATI PERSONALI PER CLOUD SERVICE
CONTRATTO SUL TRATTAMENTO DEI DATI PERSONALI PER CLOUD SERVICE
1. DEFINIZIONI
1.1. “Titolare” si riferisce alla persona fisica o giuridica, all’autorità pubblica, all’agenzia o ad altro ente che, da solo o con altri, determini le finalità e le modalità di trattamento dei Dati Personali; ai fini del presente DPA, quando il Cliente agisce in qualità di responsabile di un altro titolare, verso SAP sarà considerato un Titolare aggiuntivo e indipendente con i rispettivi diritti e obblighi del titolare ai sensi del presente DPA.
1.2. “Normativa sulla Protezione dei Dati” si riferisce alla normativa applicabile a tutela dei diritti e delle libertà fondamentali delle persone e il loro diritto alla privacy con riguardo al trattamento dei Dati Personali ai sensi del Contratto.
1.3. “Soggetto Interessato” si riferisce a una persona fisica identificata o identificabile quale definita dalla Normativa sulla Protezione dei Dati.
1.4. “SEE” si riferisce allo Spazio Economico Europeo, in particolare agli Stati Membri dell’Unione Europea unitamente all’Islanda, al Liechtenstein e alla Norvegia.
1.5. “GDPR” si riferisce al Regolamento Generale sulla Protezione dei Dati 2016/679.
1.6. “My Trust Center” si riferisce alle informazioni disponibili sul portale di supporto SAP (all’indirizzo xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) o sul sito web dei contratti SAP (all’indirizzo xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) o l’eventuale successivo sito web messo a disposizione da SAP al Cliente.
1.7. “Nuovo Trasferimento con Rilevanza SCC” si riferisce al trasferimento (o un trasferimento successivo) verso un Paese Terzo di Dati Personali che è soggetto al GDPR o alla applicabile Normativa sulla Protezione dei Dati ove l’eventuale adeguatezza richiesta dal GDPR o dalla Normativa sulla Protezione dei Dati applicabile può essere soddisfatta stipulando le Nuove Clausole Contrattuali Tipo.
1.8. “Nuove Clausole Contrattuali Tipo” si riferisce alle Clausole Contrattuali Tipo non modificate, pubblicate dalla Commissione Europea sotto il riferimento 2021/914 o le loro eventuali successive versioni finali che si applicheranno automaticamente. Resta inteso che i Moduli DUE e TRE si applicheranno come stabilito alla Clausola 8.
1.9. “Dati Personali” si riferisce a qualsiasi informazione relativa ad un Soggetto Interessato tutelata dalla Normativa sulla Protezione dei Dati. Per le finalità del DPA, il termine comprende solamente i dati personali che siano:
a) inseriti dal Cliente o dai suoi Utenti Autorizzati o derivati dal loro utilizzo del Cloud Service, o
b) forniti a o a cui SAP o i suoi Subresponsabili abbiano avuto accesso al fine di fornire supporto ai sensi del Contratto. I Dati Personali sono un sotto insieme dei Dati Cliente (come definiti dal Contratto).
1.10. “Violazione dei Dati Personali” si riferisce ad una confermata:
a) accidentale o illegittima distruzione, perdita, alterazione, divulgazione non autorizzata o accesso di terzi non autorizzato a Dati Personali, oppure
b) un simile evento che coinvolga i Dati Personali per il quale il Titolare è obbligato dalla Normativa sulla Protezione dei Dati a notificare l’autorità competente per la protezione dei dati competenti o ai Soggetti Interessati.
1.11. “Responsabile” si riferisce alla persona fisica o giuridica, all’autorità pubblica, all’agenzia o a altro ente che tratta i dati personali per conto del titolare, sia direttamente quale responsabile di un titolare o indirettamente quale sub responsabile di un responsabile che tratta dati personali per conto del titolare.
1.12. “Allegato” si riferisce all’Appendice numerata con riguardo alle Clausole Contrattuali Tipo (2010) e all’Allegato numerato con riguardo alle Nuove Clausole Contrattuali Tipo.
1.13. “Clausole Contrattuali Tipo (2010)” si riferisce alla Clausole Contrattuali Tipo (responsabili) pubblicate dalla Commissione Europea, riferimento 2010/87/EU.
1.14. “Subresponsabile” o “sub-responsabile” si riferisce alle Affiliate di SAP, SAP SE, Affiliate di SAP SE e terzi incaricati da SAP, SAP SE o dalle Affiliate di SAP SE in relazione al Cloud Service che trattano i Dati Personali ai sensi del presente DPA.
1.15. “Misure tecnico organizzative” si riferisce alle misure tecnico organizzative per il relativo Cloud Service pubblicate su My Trust Center (si veda: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx/xxxxx/xxxxx- services.html?search=Technical%20Organizational%20Measures).
1.16. “Paese Terzo” si riferisce a qualunque paese, organizzazione o territorio non riconosciuto dall’Unione Europea ai sensi dell’Articolo GDPR come paese sicuro caratterizzato da un adeguato livello di protezione dei dati.
2. CONTESTO
2.1. Scopi ed Applicazione
2.1.1. Il presente documento (“DPA”) è parte integrante del Contratto e forma parte di un contratto scritto (anche in formato elettronico) tra SAP e il Cliente.
2.1.2. Il presente DPA si applica ai Dati Personali trattati da SAP e dai suoi Sub-responsabili in relazione al suo rilascio del Cloud Service.
2.1.3. Il presente DPA non si applica agli ambienti non produttivi del Cloud Service nel caso in cui tali ambienti sono messi a disposizione da SAP. Il Cliente non dovrà archiviare Dati Personali in tali ambienti.
2.2. Struttura
Gli Allegati 1 e 2 formano parte integrante del presente DPA. Essi stabiliscono l’oggetto, la natura e la finalità del trattamento, la tipologia di Dati Personali, le categorie di soggetti interessati e le Misure Tecnico- Organizzative applicabili.
2.3. Governance
2.3.1. SAP agisce quale Responsabile e il Cliente e le entità ai quali è permesso l’utilizzo del Cloud Service dal Cliente agiscono da Titolari ai sensi del DPA.
2.3.2. Il Cliente è il punto di contatto univoco e dovrà ottenere tutte le autorizzazioni, consensi e permessi necessari per il trattamento dei Dati Personali ai sensi del presente DPA, inclusa, l’approvazione dei Titolari a usare SAP quale Responsabile ove necessario. Le autorizzazioni, consensi o permessi sono forniti dal Cliente anche per conto di eventuali altri Titolari che utilizzano il Cloud Service. Nel caso in cui SAP informi o notifichi il Cliente, tale informazione o notifica si intende ricevuta dai Titolari cui il Cliente abbia concesso l’utilizzo del Cloud Service. Il Cliente dovrà inoltrare tali informazioni e notifiche ai relativi Titolari.
3. SICUREZZA DEL TRATTAMENTO
3.1. Applicabilità delle Misure Tecnico-Organizzative
SAP ha implementato ed applicherà le Misure Tecniche ed Organizzative. Il Cliente ha esaminato tali misure e concorda che le stesse sono idonee per il Cloud Service ordinato nel Modulo d’Ordine tenendo conto dello stato dell’arte, dei costi di implementazione, della natura, ambito, contesto e finalità del trattamento dei Dati Personali.
3.2. Modifiche
3.2.1. SAP applica le Misure Tecnico Organizzative all’intera base clienti SAP ospitati nel medesimo data center o che ricevono il medesimo Cloud Service. SAP potrà modificare le Misure Tecnico Organizzative in un qualsiasi momento senza preavviso purché sia mantenuto un similare o migliore livello di sicurezza. Singole misure possono essere sostituite da nuove misure che sono finalizzate al medesimo scopo senza diminuire il livello di sicurezza posto a protezione dei Dati Personali.
3.2.2. SAP pubblicherà versioni aggiornate delle Misure Tecnico Organizzative su My Trust Center e, ove possibile, il Cliente potrà attivare la ricezione di notifiche a mezzo e-mail relativamente a tali versioni aggiornate.
4. OBBLIGHI IN CAPO A SAP
4.1. Istruzioni dal Cliente
XXX tratterà i Dati Personali solo in conformità alle istruzioni documentate del Cliente. Il Contratto (ivi compreso il presente DPA) costituisce le documentate istruzioni iniziali e ciascun utilizzo del Cloud Service costituisce istruzioni ulteriori. SAP farà quanto ragionevolmente possibile per implementare le eventuali altre istruzioni del Cliente purché siano richieste dalla Normativa sulla Protezione dei Dati, siano tecnicamente fattibili e non richiedano modifiche al Cloud Service. Ove una delle precedenti eccezioni sia applicabile, o SAP non possa altrimenti attenersi a una istruzione o ritenga che un’istruzione comporti una violazione della Normativa sulla Protezione dei Dati, SAP provvederà a darne comunicazione immediata al Cliente (anche tramite email).
4.2. Trattamento imposto dalla legge
SAP potrà altresì trattare i Dati Personali qualora sia richiesto dalla normativa applicabile. In tal caso, SAP informerà il Cliente di tale obbligo di legge prima del trattamento, salvo il caso in cui la legge vieti tale informativa per ragioni di interesse pubblico.
4.3. Personale
Per il trattamento dei Dati Personali, SAP e i suoi Sub-responsabili concederanno l’accesso solo a personale autorizzato che si è obbligato alla riservatezza. SAP e i Sub-responsabili formeranno regolarmente il personale che ha accesso ai Dati Personali sulle applicabili misure di sicurezza e di riservatezza dei dati.
4.4. Cooperazione
4.4.1. Su richiesta del Cliente, SAP collaborerà ragionevolmente con il Cliente e i Titolari nella gestione delle richieste provenienti dai Soggetti Interessati o autorità relative al trattamento dei Dati Personali o eventuali Violazioni dei Dati Personali.
4.4.2. Nel caso in cui riceva una richiesta da un Soggetto Interessato relativa al trattamento dei Dati Personali di cui al presente, SAP informerà immediatamente il Cliente (nel caso in cui il Soggetto Interessato abbia fornito informazioni atte a identificare il Cliente) a mezzo di e-mail e non fornirà direttamente la risposta a tale richiesta ma richiederà invece al Soggetto Interessato di reindirizzare la richiesta al Cliente.
4.4.3. In caso di una disputa con un Soggetto Interessato che concerne il trattamento di Dati personali ai sensi del presente DPA da parte di SAP, le Parti si terranno reciprocamente informate e se del caso coopereranno in maniera ragionevole al fine di addivenire ad una soluzione amichevole della controversia con il Soggetto Interessato.
4.4.4. SAP fornirà la funzionalità per i sistemi produttivi che assistono le abilità del Cliente di correggere, cancellare o rendere anonimi i Dati Personali dal Cloud Service, ovvero limitare il suo trattamento ai sensi della Normativa sulla Protezione dei Dati. Laddove tale funzionalità non sia fornita, SAP provvederà a correggere, cancellare o rendere anonimi i Dati Personali, ovvero a limitare il suo trattamento secondo le istruzioni del Cliente e la Normativa sulla Protezione dei Dati.
4.5. Notifica della Violazione dei Dati Personali
Dopo esserne venuta a conoscenza, senza ingiustificato ritardo, SAP notificherà al Cliente qualsiasi Violazione dei Dati Personali fornendo le ragionevoli informazioni in suo possesso al fine di aiutare il Cliente nell’adempimento dei suoi obblighi di segnalazione di una Violazione dei Dati Personali come richiesto dalla Normativa sulla Protezione dei Dati. SAP potrà fornire tali informazioni a fasi successive man mano che divengano disponibili. Tale comunicazione non potrà essere interpretata o intesa come un’ammissione di colpa o responsabilità da parte di SAP.
4.6. Valutazione di Impatto della Protezione dei Dati
Qualora, ai sensi della Normativa sulla Protezione dei Dati, il Cliente (o i suoi Titolari) sia tenuto a effettuare una valutazione di impatto sulla protezione dei dati oppure una preventiva consultazione con un’autorità, su richiesta del Cliente, SAP fornirà la documentazione che è generalmente disponibile per il Cloud Service (ad
esempio, il presente DPA, il Contratto, Relazioni di Revisione o Certificazioni). L’eventuale ulteriore supporto andrà concordato dalle Parti.
5. ESPORTAZIONE DEI DATI E CANCELLAZIONE
5.1. Esportazione e Recupero da parte del Cliente
Il Cliente può accedere ai propri Dati Personali in ogni momento nel corso del Periodo di Sottoscrizione e ai sensi del Contratto. Il Cliente potrà esportare e acquisire i propri Dati Personali in un formato standard. L'esportazione e l'acquisizione possono essere soggetti alle limitazioni tecniche, nel qual caso SAP e il Cliente faranno quanto ragionevolmente possibile per consentire al Cliente di accedere ai Dati Personali.
Prima della scadenza del Periodo di Sottoscrizione, il Cliente potrà utilizzare gli strumenti di esportazione self- service di SAP (quali disponibili) per esportare definitivamente i Dati Personali dal Cloud Service (il che andrà a costituire una “restituzione” dei Dati Personali). Al termine del Periodo di Sottoscrizione, con il presente, il Cliente istruisce SAP di procedere alla cancellazione dei Dati Personali che rimangono sui server che ospitano il Cloud Service entro un ragionevole periodo di tempo in linea con la Normativa sulla Protezione dei Dati (che non potrà eccedere i 6 mesi) fatto salvo che la normativa applicabile richieda la loro conservazione.
6. CERTIFICAZIONI E AUDIT
Il Cliente o il proprio indipendente revisore terzo ragionevolmente di gradimento di SAP (che non comprenderanno eventuali revisori terzi che siano concorrenti di SAP o non siano in possesso delle idonee qualificazioni o indipendenti) potranno ispezionare l’ambiente di controllo e le pratiche di sicurezza di SAP relative ai Dati Personali trattati da SAP solamente se:
a) SAP non abbia fornito sufficienti elementi a prova della propria osservanza alle Misure Tecnico Organizzative a protezione dei sistemi produttivi del Cloud Service tramite (i) una certificazione di conformità alla norma ISO 27001 o a altri standard (ambito come definito nel certificato), oppure (ii) un attestato ISAE3402 o ISAE3000 o altro attestato SOC1-3 in corso di validità. Su richiesta del Cliente, le relazioni di revisione o le certificazioni ISO sono disponibili tramite i revisori terzi o SAP;
b) si sia verificata una Violazione dei Dati personali;
c) l’autorità di protezione dei dati del Cliente abbia presentato richiesta formale di verifica; oppure
d) la Normativa sulla Protezione dei Dati Personali inderogabile riconosca al Cliente un diritto per la verifica diretta, fatto salvo che il Cliente potrà effettuare la verifica una sola volta ogni dodici mesi a meno che la Normativa di legge sulla Protezione dei Dati richieda verifiche più frequenti.
6.2. Verifiche di altro Titolare
L’eventuale altro Titolare potrà assumere i diritti del Cliente ai sensi della presente Clausole 6.1 solamente se si riferisce direttamente al Titolare e tale verifica sia permessa e coordinata dal Cliente. Il Cliente dovrà utilizzare tutti i mezzi ragionevoli per combinare le verifiche di altri Titolari per evitare verifiche multiple a meno che la verifica non debba essere effettuata dall’altro Titolare ai sensi della Normativa sulla Protezione dei Dati. Nel caso in cui diversi Titolari i cui Dati Personali vengano trattati da SAP ai sensi del Contratto richiedano una verifica, il Cliente dovrà utilizzare tutti i mezzi ragionevoli per combinare le verifiche ed evitare verifiche multiple.
6.3. Ambito della Verifica
Il Cliente dovrà garantire un preavviso minimo di almeno 60 giorni per qualsiasi verifica a meno che la Normativa sulla Protezione dei Dati o un’autorità della protezione dei dati competente richieda un preavviso più breve. La frequenza e l’ambito di qualunque verifica andrà concordata dalle parti che agiranno con ragionevolezza e in buona fede. Le verifiche del Cliente andranno limitate quanto alla durata a un massimo di 3 giorni lavorativi. Oltre a tali limitazioni, le parti utilizzeranno le certificazioni in vigore o altre relazioni di verifica al fine di evitare o minimizzare la ripetizione delle verifiche. Il Cliente dovrà fornire a SAP i risultati di tutte le verifiche.
6.4. Costo delle Verifiche
Il Cliente dovrà sostenere i costi di qualsiasi verifica a meno che la verifica evidenzi un grave inadempimento di SAP del presente DPA, in tal caso SAP sosterrà i costi della verifica. Qualora all’esito di una verifica risulti che SAP si sia resa inadempiente delle obbligazioni poste a suo carico ai sensi del DPA, SAP dovrà porre immediatamente rimedio all’inadempimento a proprie spese.
7. SUB RESPONSABILI
7.1. Usi consentiti
A SAP viene concessa un’autorizzazione generale di subaffidare il trattamento dei Dati Personali a Sub- responsabili alle seguenti condizioni:
a) SAP o SAP SE per suo conto incarichino i Sub-responsabili con un contratto scritto (anche in formato elettronico) che sia conforme con le disposizioni del presente DPA in relazione con il trattamento dei Dati Personali da parte del Sub-responsabile. SAP sarà responsabile per eventuali violazioni del Sub- responsabile conformemente ai termini del presente Contratto;
b) SAP valuti le procedure di sicurezza, privacy e riservatezza di un Sub-responsabile prima della sua nomina per stabilire se sia in grado di garantire il livello di protezione dei Dati Personali imposto dal presente DPA; e
c) La lista di Sub-responsabili di SAP in essere alla data di efficacia del Contratto sia pubblicata da SAP su My Trust Center oppure sia messa a disposizione del Cliente da SAP a richiesta, ivi compreso il nominativo, l’indirizzo e la qualifica di ciascun Sub-responsabile utilizzato da SAP per fornire il Cloud Service.
L’uso di Sub-Responsabili da parte di SAP è a sua discrezione a condizione che:
a) SAP informi il Cliente in anticipo (a mezzo email o con una comunicazione post su My Trust Center) di eventuali aggiunte o sostituzioni all’elenco dei Sub-responsabili ivi compreso il nominativo, l’indirizzo e il ruolo del nuovo Sub-responsabile; e
b) Il Cliente possa opporsi a tali modifiche nei termini di cui alla Clausola 7.3.
7.3. Opposizione ai Nuovi Sub-responsabili
7.3.1. Qualora abbia un motivo legittimo ai sensi della Normativa sulla Protezione dei Dati di opporsi al trattamento dei Dati Personali da parte dei nuovi Sub-responsabili, il Cliente potrà recedere dal Contratto (limitatamente al Cloud Service per cui si intenda impiegare il nuovo Sub-responsabile) dandone comunicazione scritta a SAP. Il recesso sarà efficace nel giorno stabilito dal Cliente che non potrà essere successivo a 30 giorni dalla data della comunicazione inviata da SAP al Cliente in merito al nuovo Sub-responsabile. Nel caso in cui non receda entro tale termine di 30 giorni, si riterrà che il Cliente abbia accettato il nuovo Sub-responsabile.
7.3.2. Entro il termine di 30 giorni dalla data della comunicazione di SAP con cui informa il Cliente del nuovo Sub- responsabile, il Cliente potrà richiedere che le parti discutano in buona fede per risolvere la questione. Tali discussioni non potranno prorogare il termine per il recesso e non inficiano il diritto di SAP di utilizzare il nuovo Sub-responsabile successivamente al termine di 30 giorni.
7.3.3. L’eventuale recesso ai sensi della presente Clausola 7.3 si intende senza colpa di entrambe le parti e sarà soggetto alle previsioni del Contratto.
7.4. Sostituzione di Emergenza
8. TRATTAMENTO INTERNAZIONALE
8.1. Condizioni per il Trattamento Internazionale
SAP potrà trattare i Dati Personali, anche con l’utilizzo di Sub-responsabili, conformemente al presente DPA al di fuori del paese in cui abbia sede il Cliente nei limiti consentiti dalla Normativa sulla Protezione dei Dati.
8.2. Applicabilità delle Clausole Contrattuali Tipo (2010)
a) SAP e il Cliente adotteranno le Clausole Contrattuali Tipo (2010);
c) altri Titolari il cui utilizzo dei Cloud Service sia stato autorizzato dal Cliente ai sensi del Contratto potranno altresì adottare le Clausole Contrattuali Tipo (2010) con SAP o i relativi Subresponsabili nella stessa maniera del Cliente ai sensi delle precedenti Clausola 8.2.1 a) e b). In tal caso, il Cliente adotterà le Clausole Contrattuali Tipo (2010) per conto degli altri Titolari.
8.2.2. Le Clausole Contrattuali Tipo (2010) sono disciplinate dalla legge del paese dove il Titolare abbia sede.
8.3. Applicabilità delle Nuove Clausole Contrattuali Tipo
8.3.1. Quanto segue si applica dal 27 settembre 2021 ed esclusivamente ai Nuovi Trasferimenti con Rilevanza SCC:
8.3.1.1. Nel caso in cui SAP non abbia sede in un Paese Terzo e agisca da esportatore dei dati, SAP (o SAP SE per suo conto) ha stipulato le Nuove Clausole Contrattuali Tipo con ciascun Subresponsabile quale importatore dei dati. Il Modulo TRE (Responsabile a Responsabile) delle Nuove Clausole Contrattuali Tipo si applicherà a tali Nuovi Trasferimenti con Rilevanza SSC.
8.3.1.2. Nel caso in cui SAP abbia sede in un Paese Terzo:
con il presente SAP e il Cliente stipulano le Nuove Clausole Contrattuali Tipo con il Cliente quale esportatore dei dati e SAP quale importatore dei dati che si applicheranno come segue:
a) il Modulo DUE (Titolare a Responsabile) si applicherà nel caso in cui il Cliente sia un Titolare; e
b) il Modulo TRE (Responsabile a Responsabile) si applicherà nel caso in cui il Cliente sia un Responsabile. Nel caso in cui il Cliente agisca da Responsabile ai sensi del Modulo TRE (Responsabile a Responsabile) delle Nuove Clausole Contrattuali Tipo, SAP riconosce che il Cliente agisce in qualità di Responsabile secondo le istruzioni del proprio(propri) Titolare(i).
8.3.2. Altri Titolari o Responsabili il cui utilizzo dei Cloud Service sia stato autorizzato dal Cliente ai sensi del Contratto possono altresì accedere alle Nuove Clausole Contrattuali Tipo con SAP nella stessa maniera del Cliente ai sensi della precedente Clausola 8.3.1.2. In tal caso, il Cliente accederà alle Nuove Clausole Contrattuali Tipo per conto degli altri Titolari o Responsabili.
8.3.3. Con riguardo ad un Nuovo Trasferimento con Rilevanza SSC, su richiesta rivolta al Cliente da un Soggetto Interessato, il Cliente potrà mettere a disposizione dei Soggetti Interessati una copia del Modulo DUE o TRE delle Nuove Clausole Contrattuali Tipo stipulate dal Cliente e da SAP (compresi i relativi Allegati).
8.3.4. La legge applicabile delle Nuove Clausole Contrattuali Tipo sarà la normativa della Repubblica Federale di Germania.
8.4. Rapporto delle Clausole Contrattuali Tipo con il Contratto
In nessun caso il presente Xxxxxxxxx avrà prevalenza sulle Clausole Contrattuali Tipo (2010) o sulle Nuove Clausole Contrattuali Tipo in caso di conflitto. Notabene, nel caso in cui il presente DPA specifichi ulteriori regole sui diritti di verifica e sui Subresponsabili, tali disposizioni troveranno applicazione anche con riguardo con le Clausole Contrattuali Tipo (2010) e le Nuove Clausole Contrattuali Tipo.
8.5. Diritti dei Terzi Beneficiari ai sensi delle Nuove Clausole Contrattuali Tipo
8.5.1. Nel caso in cui il Cliente sia localizzato in un Paese Terzo ed agisca da importatore dei dati ai sensi del Modulo DUE o Modulo TRE delle Nuove Clausole Contrattuali Tipo e SAP agisca in qualità di sub-responsabile del Cliente ai sensi del Modulo applicabile, il rispettivo esportatore dei dati disporrà del seguente diritto del terzo beneficiario:
8.5.2. Nel caso in cui il Cliente sia di fatto scomparso, cessato di esistere giuridicamente o sia divenuto insolvente (in ogni caso senza un avente causa che si sia fatto carico delle obbligazioni giuridiche poste a carico del Cliente a norma di contratto o di legge), il rispettivo esportatore dei dati disporrà del diritto di risolvere il Cloud Service interessato solamente nella misura in cui i Dati Personali dell’esportatore vengono trattati. In tal caso, il rispettivo esportatore dei dati impartisce altresì istruzioni a SAP di procedere con la cancellazione o la restituzione dei Dati Personali.
9. DOCUMENTAZIONE; REGISTRI DI TRATTAMENTO
9.1. Ciascuna parte è tenuta ad osservare gli obblighi di documentazione posti a suo carico, in particolare con riferimento al mantenimento dei registri del trattamento quando sono richiesti dalla Normativa sul Trattamento dei Dati. Ciascuna delle parti fornirà la ragionevole assistenza all’altra con riguardo agli obblighi di documentazione, ivi compreso il rilascio delle informazioni che l’altra parte necessiti con la ragionevole modalità richiesta dall'altra parte (ad esempio utilizzando un sistema elettronico) al fine di mettere l’altra parte nella condizione di rispettare tutti gli obblighi relativi al mantenimento dei registri del trattamento.
Allegato 1 Descrizione del Trattamento
Il presente Allegato 1 descrive il Trattamento dei Dati Personali per le finalità connesse alle Clausole Contrattuali Tipo (2010), alle Nuove Clausole Contrattuali Tipo e alla Normativa sulla Protezione dei Dati applicabile.
1. A. UN ELENCO DI PARTI
1.1. Ai sensi delle Clausole Contrattuali Tipo (2010)
1.1.1. Esportatore
L'Esportatore ai sensi delle Clausole Contrattuali Tipo (2010) è il Cliente che ha sottoscritto il Cloud Service che permette agli Utenti Autorizzati di acquisire, modificare, usare, eliminare o altrimenti trattare i Dati Personali. Nel caso in cui il Cliente permetta ad altri Titolari di utilizzare il Cloud Service, tali altri Titolari si considerano Esportatori.
1.1.2. Importatore
SAP e i suoi Subresponsabili che forniscono e supportano il Cloud Service agiscono da importatori dei dati ai sensi delle Clausole Contrattuali Tipo (2010).
1.2. Ai sensi delle Nuove Clausole Contrattuali Tipo
1.2.1. Modulo DUE: Trasferimento da Titolare a Responsabile
Nel caso in cui SAP abbia sede in un Paese Terzo, il Cliente sia Titolare e SAP il Responsabile, il Cliente si intenderà l’esportatore e SAP l’importatore.
1.2.2. Modulo TRE: Trasferimento da Responsabile a Responsabile
Nel caso in cui SAP abbia sede in un Paese Terzo, il Cliente sia Responsabile e SAP sia Responsabile, il Cliente si intenderà l’esportatore e SAP l’importatore.
2. B. DESCRIZIONE DEL TRASFERIMENTO
2.1. Soggetti interessati
Salvo altrimenti disposto dall'esportatore, i Dati Personali trasferiti si riferiscono alle seguenti categorie di Soggetti Interessati: dipendenti, terzisti, business partner o altri soggetti i cui Dati Personali siano archiviati nel Cloud Service, tramessi al, messi a disposizione del, a cui acceda il o altrimenti trattati dall’importatore.
2.2. Categorie di Dati
I Dati Personali trasferiti riguardano le seguenti categorie di dati:
Il Cliente determina le categorie di dati di ciascun Cloud Service sottoscritto. Il Cliente può configurare i campi dei dati durante l’implementazione del Cloud Service o come altrimenti previsto nel Cloud Service stesso. I Dati Personali trasferiti riguardano in genere le seguenti categorie di dati: nome, numeri di telefono, indirizzi di posta elettronica, indirizzo postale, dati relativi all'accesso o all'utilizzo del sistema o di autorizzazione, ragione sociale, dati contrattuali, dati di fatturazione e un qualsiasi dato specifico dell'applicazione acquisito nel Cloud Service dagli Utenti Autorizzati, e possono comprendere i dati riguardanti l'appoggio bancario, la carta di credito o la carta di debito.
2.3. Categorie Speciali di Dati (se concordate)
2.3.1. I Dati Personali oggetto di trasferimento potranno comprendere categorie speciali di dati personali stabilite nel Contratto (“Dati Sensibili”). SAP ha adottato le Misure Tecnico Organizzative di cui all’Allegato 2 al fine di assicurare un adeguato livello di sicurezza al fine di proteggere anche i Dati Sensibili.
2.3.2. Il trasferimento dei Dati Sensibili potrà fare attivare l’applicazione delle seguenti limitazioni o sicurezze supplementari se necessarie per prendere in considerazione la natura dei dati ed il rischio di differenti probabilità e gravità per i diritti e le libertà delle eventuali persone fisiche:
a) formazione del personale;
b) codifica dei dati in transito o custoditi;
c) registrazione degli accessi al sistema e degli accessi ai dati in generale.
2.3.3. Oltre a ciò, i Cloud Service prevedono misure per la gestione dei Dati Sensibili come descritto nella Documentazione.
2.4. Finalità del trasferimento dei dati ed ulteriore trattamento; Natura del trattamento
2.4.1. I Dati Personali trasferiti sono sottoposti alle seguenti attività di trattamento di base:
a) uso dei Dati Personali per configurare, fare funzionare, monitorare e erogare il Cloud Service (compreso il supporto operativo e tecnico);
b) miglioramento incrementale delle caratteristiche e funzionalità del servizio fornite come parte integrante del Cloud Service ivi compresa l’automatizzazione, l’elaborazione delle transazioni e il machine learning;
c) Fornitura di Professional Services integrati;
d) comunicazione agli Utenti Autorizzati;
e) archiviazione dei Dati Personali in Data Center dedicati (con architettura multi-tenant);
f) Rilascio, sviluppo ed upload di riparazioni e upgrade del Cloud Service;
g) backup e ripristino dei Dati Personali custoditi nel Cloud Service;
h) trattamento computerizzato dei Dati Personali, compresa la trasmissione, il reperimento e l'accesso ai dati;
i) accesso di rete per consentire il trasferimento dei Dati Personali;
j) monitoraggio, ricerca guasti e amministrazione della struttura e database Cloud Service sottostanti;
k) monitoraggio di sicurezza, supporto in rete per la rilevazione di accessi non autorizzati, test di penetrazione; e
l) l’esecuzione delle istruzioni del Cliente ai sensi del Contratto.
2.4.2. La finalità del trasferimento è di fornire e di supportare il Cloud Service. SAP ed i suoi Subresponsabili possono supportare i data center del Cloud Service da remoto. SAP ed i suoi Sub-responsabili forniscono supporto quando un Cliente invia un ticket di supporto come ulteriormente stabilito nel Contratto.
2.5. Descrizione supplementare con riguardo alle Nuove Clausole Contrattuali Tipo:
2.5.1. Moduli applicabili delle Nuove Clausole Contrattuali Tipo
a) Modulo DUE: Trasferimento da Titolare a Responsabile
b) Modulo TRE: Trasferimento da Responsabile a Responsabile
2.5.2. Per i trasferimenti ai (sub-) responsabili, specificare ancora l’oggetto, la natura e la durata del trattamento
Con riguardo alle Nuove Clausole Contrattuali Tipo, i trasferimenti ai Subresponsabili avranno lo stesso fondamento di cui al DPA.
2.5.3. La frequenza del trasferimento (vale a dire se i dati vengano trasferiti una tantum o in via continuativa). I trasferimenti saranno effettuati in via continuativa.
2.5.4. Il periodo per il quale i dati personali verranno custoditi, o, nel caso in cui ciò non sia possibile, i criteri impiegati per determinare tale periodo.
I Dati Personali saranno custoditi per il termine del Contratto e saranno soggetti alle disposizioni della Clausola
5.2 del DPA:
3. C. AUTORITÀ DI VIGILANZA COMPETENTE
3.1. Con riguardo alle Nuove Clausole Contrattuali Tipo
3.1.1. Modulo DUE: Trasferimento da Titolare a Responsabile
3.1.2. Modulo TRE: Trasferimento da Responsabile a Responsabile
3.2. Nel caso in cui il Cliente sia l’esportatore, l’autorità di vigilanza sarà l’autorità di vigilanza competente per il Cliente ai sensi della Clausola 13 delle Nuove Clausole Contrattuali Tipo.
Allegato 2 Misure Tecnico-Organizzative
Il presente Allegato 2 descrive le misure tecnico organizzative applicabili per le finalità connesse alle Clausole Contrattuali Tipo (2010), alle Nuove Clausole Contrattuali Tipo e alla Normativa sulla Protezione dei Dati applicabile.
SAP applicherà e manterrà le Misure Tecnico Organizzative.
Nella misura in cui la fornitura del Cloud Service comprenda Nuovi Trasferimenti con Rilevanza SSC, le Misure Tecnico Organizzative di cui all’Allegato 2 descrivono le misure e le cautele adottate per prendere integralmente in considerazione la natura dei dati personali e i rischi connessi. Nel caso in cui la normativa locale abbia un impatto sull’osservanza delle clausole, questo potrà determinare l’applicazione di cautele supplementari nel corso della trasmissione e trattamento dei dati personali nel paese di destinazione (se applicabile: codifica dei dati in transito, codifica dei dati custoditi, trasformazione in forma anonima, utilizzo di pseudonimi).