PIX4D - ACCORDO SUL TRATTAMENTO DEI DATI
PIX4D - ACCORDO SUL TRATTAMENTO DEI DATI
Ultima modifica: gennaio 2023
Il presente Accordo sul trattamento dei dati e i suoi Allegati (congiuntamente "DPA") è un accordo tra l'Utente e Pix4D (Pix4D e l'Utente, singolarmente una "Parte" e collettivamente le "Parti"), che regola il trattamento dei Dati personali dei clienti da parte di Pix4D per conto dell'Utente in relazione al Contratto di licenza d'uso con l'utente finale ("EULA"). Il presente DPA è incorporato nel Contratto di licenza d'uso con l'utente finale e ne costituisce parte integrante.
Pix4D potrà aggiornare questo DPA di tanto in tanto. La versione disponibile sul nostro Sito web xxx0x.xxx/xxxxx è quella corrente.
Tutti i termini in maiuscolo non definiti all'interno del presente DPA avranno i significati indicati nell'EULA. Per evitare qualsiasi dubbio, tutti i riferimenti all'EULA includeranno il presente DPA (inclusi i relativi Allegati e le SCC UE, secondo le definizioni indicate nel presente documento) e, nella misura applicabile, le Condizioni generali per i clienti Pix4D ("Condizioni generali") ed eventuali condizioni aggiuntive allegate che potrebbero applicarsi in relazione all'Uso di un'Offerta specifica ("Condizioni aggiuntive").
INDICE
Premesso che 2
1. INIZIO E DURATA 2
2. AMBITO DI APPLICAZIONE DELLA LEGGE SULLA PROTEZIONE DEI DATI 2
3. TRATTAMENTO DEI DATI E RUOLO DELLE PARTI 2
4. RICHIESTE DEGLI INTERESSATI 4
5. PERSONALE DI PIX4D 4
6. SUBINCARICATI 4
7. SICUREZZA DEI DATI 5
8. TRASFERIMENTI DI DATI A PAESI NON APPROVATI 5
9. VIOLAZIONI DEI DATI 7
10. RICHIESTE DI ACCESSO AI DATI DEL GOVERNO 7
11. REVISIONE E VERIFICA DELLA CONFORMITÀ 7
12. VALUTAZIONI DELL'IMPATTO E CONSULTAZIONI 7
13. RESTITUZIONE O CANCELLAZIONE DEI DATI 7
14. LIMITAZIONE DI RESPONSABILITÀ 8
15. VARIE 8
16. LEGGE APPLICABILE - RISOLUZIONE DELLE CONTROVERSIE 8
17. Disposizioni aggiuntive per i dati personali della California 9
18. DEFINIZIONI 9
Premesso che
A. Le Parti hanno sottoscritto l'EULA ai sensi delle Condizioni generali e delle Condizioni aggiuntive, a seconda dei casi.
B. Nell'ambito dell'esecuzione dell'EULA, Pix4D e/o le sue eventuali Affiliate possono avere accesso ai Dati personali dei clienti che vengono divulgati o resi altrimenti disponibili dall'Utente (o su indicazione dell'Utente) o dagli Utenti autorizzati tramite le Offerte in licenza ai sensi dell'EULA.
C. Nella misura in cui Pix4D tratterà tali Dati personali dei clienti in qualità di responsabile del trattamento, le Parti desiderano garantire che tale trattamento sia conforme alle Normative sulla protezione dei dati applicabili e concordano determinate condizioni generali applicabili a tale trattamento, come stabilito nel presente DPA.
Tutto ciò premesso, le Parti convengono quanto segue:
1. INIZIO E DURATA
1.1. Inizio. Il presente DPA entrerà in vigore e sostituirà qualsiasi accordo sul trattamento dei dati precedentemente applicabile alla Data di entrata in vigore delle Condizioni (ai sensi della seguente definizione).
1.2. Durata. Indipendentemente dal fatto che l'EULA venga risolto o sia scaduto, il presente DPA (incluse le Clausole P-C applicabili) rimarrà in vigore e scadrà automaticamente in caso di cancellazione di tutti i Dati del cliente da parte di Pix4D come descritto nel presente documento.
2. AMBITO DI APPLICAZIONE DELLA LEGGE SULLA PROTEZIONE DEI DATI
2.1. Applicazione delle Normative sulla protezione dei dati. Le Parti riconoscono che al trattamento dei Dati personali dei clienti eseguito da Pix4D sarà soggetto alla Normativa europea sulla protezione dei dati e, se del caso, alla Normativa extraeuropea sulla protezione dei dati.
2.2. Applicazione delle Disposizioni del presente DPA. Il presente DPA è stato redatto specificamente ai fini della Normativa europea sulla protezione dei dati, ma tiene anche conto, per quanto possibile, dei requisiti della Normativa extraeuropea sulla protezione dei dati, in particolare della legge CCPA della California, come stabilito nell'Articolo 17, nella misura applicabile. Se non specificato diversamente nel presente DPA, le disposizioni del presente DPA dovranno essere applicate indipendentemente dal fatto che il trattamento dei Dati personali dei clienti sia soggetto alla Normativa europea sulla protezione dei dati o alla Normativa extraeuropea sulla protezione dei dati.
3. TRATTAMENTO DEI DATI E RUOLO DELLE PARTI
3.1. Ruolo delle Parti. Nella misura in cui sia applicabile la Normativa europea sulla protezione dei dati, le Parti riconoscono e concordano che, per quanto riguarda il trattamento dei Dati personali dei clienti nel contesto dell'esecuzione dell'EULA relativo (i) agli Utenti autorizzati delle Offerte in licenza con account gestiti dall'Utente (e, in particolare, decidere chi ha accesso a un'Organizzazione e in quale misura) e/o (ii) qualsiasi altra terza parte che compaia nei Contenuti divulgati o altrimenti resi disponibili a Pix4D tramite le Offerte in licenza ai sensi dell'EULA, l'Utente è il titolare del trattamento e Pix4D è il responsabile del trattamento che agisce per Suo conto.
3.2. Ulteriore trattamento da parte di Pix4D. In deroga al precedente Articolo 3.1, l'Utente accetta che Pix4D possa trattare i Dati personali al di là del suo ruolo di responsabile del trattamento, precisamente come titolare del trattamento per le proprie finalità nei seguenti casi:
(a) Per quanto riguarda i Dati personali degli Utenti autorizzati delle Offerte in licenza, inclusi i dati di utilizzo, nella misura necessaria per utilizzare le Offerte in licenza (ad esempio, a scopo di fatturazione) e per eseguire in altro modo l'EULA o esercitare i loro diritti; in particolare, per i dati sull'uso, purché (a) tale uso sia destinato a finalità statistiche, analitiche e di altro tipo non correlate a persone specifiche, e (b) qualsiasi eventuale informazione messa a disposizione di terzi (diversi dai fornitori di servizi di Pix4D in virtù di un obbligo di riservatezza) (i) non contenga dati personali identificabili degli Utenti autorizzati e (ii) non contenga dati personali identificabili dell'Utente; laddove (a) e (b) non siano applicabili, tratteremo i dati d'uso non anonimizzati per l'analisi dell'utilizzo e il miglioramento dei prodotti solo nella misura in cui l'Utente abbia accettato tale trattamento nelle impostazioni della privacy del Suo Account personale.
(b) Per quanto riguarda i Dati personali di terze parti presenti nei Contenuti divulgati o altrimenti resi disponibili a Pix4D tramite l'Offerta in licenza, per le proprie finalità di titolare del trattamento, purché (a) tale utilizzo sia per finalità statistiche, di ricerca e sviluppo, di benchmarking, e altre finalità non correlate a persone specifiche, e (b) eventuali informazioni messe a disposizione di terzi (diversi dai fornitori di servizi di Pix4D in virtù di un obbligo di riservatezza) (i) non contengano dati personali identificabili di terzi e (ii) non contengano dati personali identificabili dell'Utente;
(c) In ogni caso, per qualsiasi altra finalità richiesta o consentita dalle Normative sulla protezione dei dati e da altre leggi applicabili.
3.3. Conformità dell'Utente e istruzioni a Pix4D. L'Utente dichiara e garantisce (i) di aver rispettato e di continuare a rispettare tutte le leggi applicabili, incluse le Normative sulla protezione dei dati, in relazione al trattamento dei Dati personali dei clienti, la Sua delega a Pix4D e qualsiasi istruzione di trattamento impartito a Pix4D, e (ii) di aver fornito e di continuare a fornire tutte le comunicazioni e di aver ottenuto e di continuare a ottenere, tutte le autorizzazioni e i diritti necessari ai sensi delle Normative sulla protezione dei dati per il trattamento dei Dati personali dei clienti da parte di Pix4D per le finalità descritte nell'EULA. L'Utente è l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati personali dei clienti e dei mezzi con cui ha acquisito i Dati personali dei clienti. Fatta salva la generalità di quanto sopra, l'Utente accetta di essere responsabile dell'osservanza di tutte le leggi (incluse le Normative sulla protezione dei dati) applicabili a qualsiasi Contenuto creato, inviato o gestito tramite le Offerte in licenza ai sensi dell'EULA. L'Utente ivi autorizza e istruisce Pix4D a gestire e trattare autonomamente le richieste di cancellazione degli Account utente per Suo conto, nella misura in cui (i) tali richieste vengano inviate dall'Utente direttamente a Pix4D tramite l'indirizzo xxxx_xxxxxxxxxx@xxx0x.xxx o altri mezzi e (ii) l'Utente sia uno dei Suoi Utenti autorizzati. In questo caso, Pix4D potrà comunicare tale richiesta di cancellazione account nella misura in cui lo ritenga necessario. L'EULA (incluso il presente DPA), assieme all'Uso e al modo in cui l'Utente ha configurato i Prodotti concessi in licenza in conformità all'EULA, costituiscono le istruzioni complete dell'Utente fornite a Pix4D in relazione al trattamento dei Dati personali dei clienti, a condizione che durante il Periodo di validità l'Utente possa fornire ulteriori istruzioni coerenti con l'EULA, la natura, l'ambito di funzionalità e l'uso legale dei Prodotti concessi in licenza, per i quali l'Utente dovrà sostenere i costi risultanti, se non previsto diversamente. Pix4D
informerà l'Utente tempestivamente per iscritto qualora venga a conoscenza o ritenga che qualsiasi Sua istruzione di trattamento dei dati violi la Normativa europea sulla protezione dei dati.
3.4. Obblighi di Pix4D. Pix4D deve trattare i Dati personali dei clienti ai sensi dell'EULA in conformità alle Normative sulla protezione dei dati applicabili e alle istruzioni legali documentate dell'Utente, come descritto nell'Articolo 3.2.
3.5. Dettagli del trattamento. L'oggetto del trattamento dei Dati personali dei clienti da parte di Pix4D è l'esecuzione dell'EULA. I tipi di dati personali e le categorie di interessati, la frequenza di trasferimento, la natura del trattamento, la finalità del trasferimento, il periodo di conservazione dei dati e le informazioni relative al subcontratto sono ulteriormente specificati nell'Allegato C (Descrizione del trasferimento) del presente DPA.
4. RICHIESTE DEGLI INTERESSATI
Se, durante il Periodo di validità, Pix4D riceve la richiesta di un interessato di esercitare i propri diritti ai sensi della Normativa europea sulla protezione dei dati, in relazione ai Dati personali dei clienti, Pix4D: (i) comunicherà all'interessato di inviare la sua richiesta all'Utente, (ii) informerà l'Utente in maniera tempestiva e (iii) non risponderà direttamente alla richiesta dell'interessato, salvo nei casi appropriati (ad esempio, per indirizzare l'interessato a contattare l'Utente) o richiesti per legge, senza la previa autorizzazione dell'Utente. Inoltre, Pix4D, tenendo conto della natura del trattamento, fornirà all'Utente un'assistenza supplementare ragionevole per quanto possibile per far sì che possa rispettare i Suoi obblighi di protezione dei dati in relazione ai diritti degli interessati ai sensi della Normativa europea sulla protezione dei dati. Previo accordo scritto tra le Parti, l'Utente accetta di rimborsare Pix4D per le spese e i costi ragionevoli sostenuti per l'assistenza fornita in conformità al presente Articolo 4.
5. PERSONALE DI PIX4D
Pix4D si assicurerà che qualsiasi persona autorizzata a trattare i Dati personali dei clienti (incluso il suo personale, gli agenti e i subappaltatori) sia soggetta a un adeguato obbligo di riservatezza (sia contrattuale che legale) e in particolare abbia accettato di non divulgare i Dati personali dei clienti a terzi né di trattare tali dati per finalità diverse dall'esecuzione dei compiti assegnati da Pix4D in conformità all'EULA; resta inoltre inteso e concordato tra le Parti che Pix4D rimarrà responsabile del comportamento di qualsiasi membro del suo personale e della propria condotta.
6. SUBINCARICATI
6.1. Subincaricati autorizzati. L'Utente accetta che Pix4D possa rivolgersi a subincaricati che tratteranno i Dati personali dei clienti per suo conto. I subincaricati attualmente impiegati da Pix4D e autorizzati dall'Utente sono (i) le Affiliate di Pix4D e (ii) le terze parti menzionate nell'elenco di subincaricati di Pix4D disponibile alla pagina xxxxx://xxx.xxx0x.xxx/xxxxx/. Inoltre, con il presente documento, l'Utente concede a Pix4D l'autorizzazione scritta generale di nominare qualsiasi altro subincaricato in conformità al presente Articolo 6 per eseguire attività di trattamento specifiche per conto di Pix4D.
6.2. Possibilità di opporsi alle modifiche apportate ai subincaricati. Nella misura in cui sia applicabile la Normativa europea sulla protezione dei dati, Pix4D informerà l'Utente di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione dei suoi subincaricati apportando la modifica all'elenco dei
subincaricati. L'Utente può iscriversi alle notifiche tramite e-mail in caso di aggiunta o sostituzione dei subincaricati compilando il modulo disponibile alla pagina: xxxxx://xxxxx.xxxxxxx.xxx/0XX0xx0XXXxXxX0XXxXXXXx000xx e Pix4D comunicherà quindi all'Utente eventuali aggiornamenti al suo elenco di subincaricati; l'Utente avrà la possibilità di opporsi a tali modifiche per motivi oggettivi e ragionevolmente giustificabili, entro trenta (30) giorni dalla notifica. In caso di obiezione tempestiva, l'Utente avrà la possibilità di discutere dei Suoi dubbi con Pix4D al fine di ottenere una soluzione commercialmente ragionevole. Qualora non possa essere raggiunta una risoluzione di questo tipo, Pix4D, a sua esclusiva discrezione, non nominerà il nuovo subincaricato oppure consentirà all'Utente di risolvere l'EULA in conformità alle disposizioni pertinenti, senza alcuna responsabilità nei confronti di Pix4D (ma fatti salvi eventuali costi sostenuti dall'Utente prima della risoluzione dell'EULA).
6.3. Requisito per il coinvolgimento dei subincaricati. Nel caso di impiego di un eventuale subincaricato, Pix4D si accerterà che il subincaricato sia vincolato da obblighi relativi alla riservatezza e alla protezione dei dati che siano come minimo altrettanto rigorosi quanto le disposizioni dell'EULA (compreso il presente DPA) nella misura applicabile alla natura delle attività di trattamento fornite da tale subincaricato; resto inteso e concordato che Pix4D rimarrà responsabile per il comportamento dei suoi eventuali subincaricati e per la sua condotta.
7. SICUREZZA DEI DATI
Pix4D implementerà e manterrà adeguate misure tecniche e organizzative volte a proteggere i Dati personali dei clienti da distruzione, perdita, alterazione, divulgazione o accessi accidentali o illegali, incluse in particolare e come minimo le misure stabilite nell'Allegato D (Misure di sicurezza) del presente DPA ("Misure di sicurezza"). Le Misure di sicurezza includono misure atte a crittografare i Dati personali dei clienti, garantire sempre la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di Pix4D, contribuire a ripristinare l'accesso tempestivo ai Dati personali dei clienti in seguito a una Violazione dei dati e verificare regolarmente l'efficacia. L'Utente ha la responsabilità di rivedere le informazioni rese disponibili da Pix4D relative alla sicurezza dei dati e di stabilire in modo indipendente la conformità delle Misure di sicurezza ai Suoi requisiti e agli obblighi legali previsti dalle Normative sulla protezione dei dati. L'Utente riconosce che le Misure di sicurezza sono soggette a sviluppo e progressi tecnici, e che Pix4D può aggiornare o modificare le Misure di sicurezza di tanto in tanto, a condizione che tali aggiornamenti e modifiche non vadano a compromettere la sicurezza complessiva delle Offerte in licenza fornite all'Utente.
8. TRASFERIMENTI DI DATI A PAESI NON APPROVATI
8.1. SCC UE. Le Parti convengono che Pix4D può trasferire i Dati personali dei clienti a Paesi non approvati per finalità o in relazione all'esecuzione dell'EULA. Nel caso in cui Pix4D trasferisca (nuovamente) i Dati personali dei clienti soggetti alla Normativa europea sulla protezione dei dati all'Utente, in qualità di titolare del trattamento, con sede in un Paese non approvato, le Parti accettano di essere vincolate e di conformarsi al Modulo 4 (Trasferimento dal responsabile del trattamento al titolare del trattamento) delle SCC UE, come indicato nell'Allegato A (Modulo 4 (Trasferimento dal responsabile del trattamento al titolare del trattamento) delle SCC UE) compilato come segue ("Clausole P-C"), comprese le eventuali modifiche specifiche per Paese contenute nell'Allegato B (Modifiche alle SCC UE specifiche per Paese) del presente DPA. Pix4D ha il ruolo di "esportatore dei dati" e l'Utente di "importatore dei dati":
(d) Clausole da 1 a 6;
(e) La Clausola 7 non è applicabile;
(f) Clausola 8 con le disposizioni relative al "Modulo 4", compreso il paragrafo introduttivo;
(g) Clausola 10 con le disposizioni relative al "Modulo 4";
(h) Clausola 11, lettera (a), ma senza le disposizioni di "Opzione" della Clausola 11, lettera (a);
(i) Clausola 12 con le disposizioni relative al "Modulo 4"; nella misura in cui non sia in conflitto con le SCC UE, la responsabilità tra l'importatore dei dati e l'esportatore dei dati (ma non nei confronti degli interessati) è limitata/esclusa ai sensi dell'Articolo 14 del presente DPA;
(j) Le Clausole 14-15 e le disposizioni relative al "Modulo 4", nella misura in cui l'esportatore dei dati combini i dati personali che ha raccolto in un Paese approvato con quelli ricevuti dall'importatore dei dati;
(k) Clausola 16 con le disposizioni relative al "Modulo 4";
(l) La Clausola 17 con le disposizioni relative al "Modulo 4"; inoltre, le Parti hanno concordato la legislazione francese ai fini della Clausola 17;
(m) Xxxxxxxx 18 con le disposizioni relative al "Modulo 4"; inoltre, le Parti hanno concordato i tribunali francesi come legislazione ai fini della Clausola 18.
8.2. Allegati alle SCC UE. Gli Allegati di cui alle Clausole P-C sono costituiti dai seguenti elementi:
(a) L'Allegato I.A è composto da:
i. informazioni specificate nell'EULA e fornite dall'Utente nel relativo Modulo Organizzazione; Pix4D ha il ruolo di "esportatore dei dati" e agisce da "responsabile del trattamento", mentre l'Utente ha il ruolo di "importatore dei dati" e agisce da "titolare del trattamento";
ii. informazioni di contatto dell'esportatore dei dati: i recapiti dell'esportatore dei dati sono: Xxx0X XX, Xxxxx xx Xxxxxx 00, 0000 Xxxxxx, Xxxxxxxx. Il responsabile addetto alla protezione dei dati dell'esportatore può essere contattato al seguente indirizzo e-mail: xxxx_xxxxxxxxxx@xxx0x.xxx;
iii. informazioni di contatto dell'importatore dei dati: i dati di contatto dell'importatore dei dati, compresi i dati di contatto del suo responsabile della protezione dei dati, sono a disposizione dell'esportatore dei dati nel Modulo Organizzazione pertinente (qualora tali dati siano stati forniti dall'importatore dei dati) e/o possono essere richiesti in seguito separatamente dall'esportatore dei dati in base al caso specifico;
iv. attività descritte nell'Allegato C (Descrizione del trasferimento) del presente DPA;
v. le Parti convengono che l'esecuzione dell'EULA da parte dell'importatore dei dati e dell'esportatore dei dati costituirà l'esecuzione delle presenti Clausole P-C da parte di entrambe le Parti dalla Data di entrata in vigore delle Condizioni.
(b) L'Allegato I.B è costituito dall'articolo pertinente dell'Allegato C (Descrizione del trasferimento);
(c) L'Allegato II è costituito dall'Allegato B (Misure tecniche e organizzative) del presente DPA.
8.3. Valutazione dell'impatto del trasferimento. Il Cliente riconosce che, per quanto di sua conoscenza, i trasferimenti di dati personali pianificati da Pix4D (nuovamente) al Cliente sono consentiti dalla legge applicabile e le Parti non hanno motivo di ritenere che i trasferimenti previsti non siano autorizzati.
8.4. Indennizzo. Ciascuna Parte deve indennizzare l'altra in caso di reclami di terzi a causa di una violazione degli obblighi previsti dalle Clausole P-C.
9. VIOLAZIONI DEI DATI
Nel caso in cui venga a conoscenza di una Violazione dei dati, Pix4D dovrà: (i) informare l'Utente senza indebiti ritardi e, ove possibile, in ogni caso non oltre quarantotto (48) ore dal momento in cui è venuta a conoscenza della Violazione dei dati, (ii) fornire tempestivamente informazioni relative alla Violazione dei dati appena diventa nota o come ragionevolmente richiesto dall'Utente, e (iii) adottare subito misure ragionevoli per contenere e indagare su eventuali Violazioni dei dati. La comunicazione o la risposta di Pix4D a una Violazione dei dati ai sensi del presente Articolo 9 non deve essere interpretata come una conferma da parte di Pix4D di qualsiasi colpa o responsabilità in relazione alla Violazione dei dati.
10. RICHIESTE DI ACCESSO AI DATI DEL GOVERNO
In caso di trattamento dei Dati personali dei clienti in qualità di responsabile del trattamento ai sensi della Normativa europea sulla protezione dei dati, Pix4D fornirà a enti o autorità governative, incluse le forze dell'ordine, l'accesso o le informazioni relative agli Account Pix4D, inclusi i Dati del cliente, unicamente se richiesto dalla legge applicabile. Le spese connesse alla risposta a una richiesta obbligatoria (sia mediante mandato di comparizione, ordinanza del tribunale, mandato di perquisizione o altro procedimento giuridico valido) da qualsiasi ente o autorità governativa, incluse le forze dell'ordine, per l'accesso o le informazioni su un Account Pix4D, inclusi i Dati del cliente, appartenenti all'Utente e/o agli Utenti autorizzati saranno a carico dell'Utente.
11. REVISIONE E VERIFICA DELLA CONFORMITÀ
Pix4D fornirà all'Utente tutte le informazioni ragionevolmente necessarie per dimostrare di rispettare i propri obblighi ai sensi del presente DPA, consentendo e contribuendo alle verifiche, incluse le ispezioni, condotte dall'Utente o da un Suo revisore indipendente per verificare la conformità di Pix4D ai suoi obblighi ai sensi del presente DPA, soggetto ai consueti vincoli di riservatezza. Inoltre, Pix4D può fornire all'Utente in via gratuita, dietro richiesta o meno, qualsiasi rapporto di verifica preparato dal proprio revisore a conferma della conformità di Pix4D al presente DPA.
12. VALUTAZIONI DELL'IMPATTO E CONSULTAZIONI
Nella misura richiesta dalle Leggi applicabili in materia di protezione dei dati e tenendo in considerazione la natura del trattamento e delle informazioni di cui dispone, Pix4D deve fornire tutte le informazioni ragionevolmente richieste sulle Offerte in licenza per consentire all'Utente di eseguire le valutazioni dell'impatto sulla protezione dei dati o consultazioni preliminari con le autorità preposte alla protezione dei dati, come richiesto dalle Normative sulla protezione dei dati. Previo accordo scritto tra le Parti, l'Utente rimborserà Pix4D per le spese e i costi ragionevoli sostenuti da Pix4D per l'assistenza fornita in conformità al presente Articolo 12.
13. RESTITUZIONE O CANCELLAZIONE DEI DATI
Al momento della risoluzione o della scadenza dell'EULA, Pix4D dovrà (a scelta dell'Utente) cancellare (anche mediante anonimizzazione) o restituire all'Utente tutti i Dati personali dei clienti (incluse le copie) in suo possesso o sotto il suo controllo, a eccezione del fatto che questo requisito non si applichi nella misura in cui la legge applicabile richieda a Pix4D di conservare alcuni o tutti i Dati personali dei clienti, o i Dati personali dei clienti archiviati sui sistemi di backup; Pix4D isolerà tali Dati personali dei clienti in modo sicuro, proteggendoli da qualsiasi ulteriore trattamento e in seguito li eliminerà in conformità alle politiche di cancellazione di Pix4D, salvo nei limiti previsti dalla legge applicabile.
14. LIMITAZIONE DI RESPONSABILITÀ
A eccezione di quanto previsto dalle Clausole P-C stabilite negli Articoli 8.1 e 8.2 e fatta eccezione di quanto espressamente concordato nel presente DPA, la responsabilità rispettivamente di Pix4D e dell'Utente, è esclusa nella misura consentita dalla legge applicabile.
15. VARIE
15.1. Modifiche. Qualsiasi modifica al presente DPA deve essere effettuata per iscritto e debitamente firmata dai rappresentanti autorizzati delle Parti.
15.2. Conflitti. In caso di eventuali conflitti o incoerenze tra il presente DPA e l'EULA relativamente al trattamento dei Dati personali dei clienti, prevarranno le disposizioni dei seguenti documenti (in ordine di priorità): (i) SCC UE, quindi (ii) il presente DPA e infine (iii) l'EULA.
15.3. Clausola salvatoria. Qualora una disposizione del DPA venga ritenuta inapplicabile per qualsiasi motivo, dovrà essere modificata anziché annullata, se possibile, per conseguire l'intento giuridico ed economico delle Parti nella massima misura possibile. In ogni caso, tutte le altre disposizioni del DPA rimarranno valide e applicabili nella massima misura possibile.
15.4. Comunicazioni. Ai fini di tutte le comunicazioni scritte tra le Parti, qualsiasi comunicazione o altra notifica effettuata in relazione all'EULA deve avvenire per iscritto (il modulo elettronico è considerato soddisfacente) e deve essere inviata via e-mail ai seguenti indirizzi:
A Pix4D: e-mail: xxxxx@xxx0x.xxx.
All'Utente: all'indirizzo e-mail registrato nel Suo Account. In caso di modifica, è responsabilità esclusiva dell'Utente informare Pix4D delle nuove informazioni di contatto. A tal fine, l'Utente può contattare il team di assistenza di Pix4D tramite la pagina xxxxx://xxxxxxx.xxx0x.xxx o aggiornare le informazioni di contatto nel Suo Account.
L'eventuale sistema di comunicazione elettronica di Pix4D fungerà de prova esclusiva del contenuto e dell'ora di consegna e ricezione di tali comunicazioni elettroniche.
15.5. Costi. Ciascuna Parte sosterrà i propri costi connessi al rispetto del presente DPA, comprese le Clausole P-C, ove applicabili.
16. LEGGE APPLICABILE - RISOLUZIONE DELLE CONTROVERSIE
16.1. Legge applicabile. Indipendentemente dalla legge applicabile all'EULA, il presente DPA è regolato e interpretato in via esclusiva in conformità al diritto sostanziale svizzero, in base al quale (i) convenzioni internazionali, Inclusa la Convenzione delle Nazioni Unite sui contratti di vendita internazionale di merci (CISG) dell'11/04/1980 e (ii) le norme svizzere in materia di conflitti di legge sono espressamente inapplicabili al presente DPA.
16.2. Giurisdizione e sede. Indipendentemente dal luogo di giurisdizione dell'EULA, i tribunali ordinari di Losanna, Svizzera, avranno la giurisdizione esclusiva in merito a qualsiasi controversia sorta tra le Parti derivante da o in relazione al presente DPA.
17. Disposizioni aggiuntive per i dati personali della California
17.1. Ambito e applicabilità. Questo Articolo 17 del DPA si applica in aggiunta alle condizioni del presente DPA nella misura in cui Pix4D tratti Dati personali della California ai sensi dell'EULA in conformità alla legge CCPA della California. In caso di eventuali conflitti o ambiguità tra questa Articolo 17 e qualsiasi altra condizione del presente DPA, questo Articolo 17 avrà la priorità, ma solo nella misura in cui risulti applicabile a Pix4D.
17.2. Ruolo delle Parti. In caso di trattamento dei Dati personali della California in conformità alle istruzioni dell'Utente, ai fini della Legge CCPA della California, le Parti riconoscono e accettano che l'Utente sia un'Azienda e Pix4D un Fornitore di servizi.
17.3. Responsabilità. Le Parti convengono che Pix4D tratterà i Dati personali della California come Fornitore di servizi esclusivamente allo scopo di fornire le Offerte in licenza ai sensi dell'EULA "Finalità aziendale") o come altrimenti consentito dalla Legge CCPA della California.
18. DEFINIZIONI
Condizioni aggiuntive significato indicato nella prima pagina.
Utenti autorizzati indica le persone autorizzate dall'Utente a utilizzare i
Prodotti concessi in licenza in conformità all'EULA. Per maggiore chiarezza, gli Utenti autorizzati possono includere i dipendenti e le affiliate dell'Utente, così come altre terze parti esterne all'Utente che sono state debitamente autorizzate dall'amministratore account dell'Utente a diventare membri di un'Organizzazione, nel caso in cui l'Utente agisca da titolare del trattamento di tali terze parti.
Azienda ha il significato attribuito nella Legge CCPA della California.
Finalità aziendale significato indicato nell'Articolo 17.3.
Dati personali della California
indica i Dati personali tutelati dalla Legge CCPA della California.
CCPA indica il California Civil Code art. 1798.100 e seguenti, noto anche come California Consumer Privacy Act del 2018.
CNIL indica la Commission Nationale de l'Informatique et des Libertés ai sensi dell'Articolo 8.2.
Consumatore ha il significato attribuito nella Legge CCPA della
California.
Titolare del trattamento si intende la persona fisica o giuridica, l'autorità pubblica,
l'agenzia o altro organismo che, da solo o congiuntamente ad altri, determina le finalità e le modalità del trattamento dei dati personali.
Dati dei clienti indica i dati forniti da o per conto dell'Utente o degli Utenti
finali, tramite le Offerte in licenza e nell'Account.
Dati personali dei clienti
si intendono i dati personali contenuti nei Dati dei clienti, incluse eventuali categorie specifiche di dati personali.
Violazione dei dati indica una violazione della sicurezza che comporta la
distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentali o illeciti a dati personali trasmessi, memorizzati o altrimenti trattati da Pix4D, inclusa, a titolo esemplificativo ma non esaustivo, qualsiasi violazione dell'Allegato D (Misure di sicurezza).
Normative sulla protezione dei dati
indica tutte le leggi e le normative in materia di protezione dei dati applicabili a Pix4D o al trattamento dei Dati personali dei clienti da parte dell'Utente ai sensi dell'EULA, incluse, ove applicabile, la Normativa europea sulla protezione dei dati e la Normativa extraeuropea sulla protezione dei dati.
Interessato si intende qualsiasi persona fisica identificata o
identificabile a cui si riferiscono i dati personali.
Richiesta dell'interessato
significato indicato nell'Articolo 4.
DPA significato indicato nella prima pagina.
SEE indica lo Spazio Economico Europeo.
EULA significato indicato nella prima pagina.
SCC UE indica il contratto tipo approvato con la Decisione della Commissione europea del 4 giugno 2021 [C(2021)3972 def.] sulle clausole contrattuali tipo per il trasferimento di dati personali a Paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, nonché le eventuali modifiche.
Normativa europea sulla protezione dei dati
indica, ove applicabile, (a) il GDPR e qualsiasi legislazione locale, provinciale o nazionale che attui il GDPR, (b) il GDPR del Regno Unito e (c) il DPA svizzero e, in ogni caso, qualsiasi versione nuova o rivista del medesimo che possa entrare in vigore durante il Periodo di validità.
IFPDT indica l'Incaricato federale della protezione dei dati e della trasparenza, come indicato nell'Articolo 8.2.
GDPR indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE, qualsiasi versione nuova o riveduta della stessa che possa entrare in vigore durante il Periodo di validità.
Condizioni generali significato indicato nella prima pagina.
Normativa extraeuropea sulla protezione dei dati
indica le leggi sulla protezione dei dati o sulla privacy in vigore al di fuori dello SEE, del Regno Unito e della Svizzera, inclusa, a titolo esemplificativo, la Legge CCPA della California.
Modulo Organizzazione indica le impostazioni dell'Organizzazione all'interno della
Gestione utenti aziendali fornita da Pix4D per la registrazione dell'Account.
Parti significato indicato nella prima pagina.
Clausole P-C indica il Modulo 4 (Trasferimento dal responsabile del
trattamento al titolare del trattamento) delle SCC UE come compilato e descritto negli Articoli 8.1 e 8.2 del presente DPA.
Pix4D, Noi, Nostro/a/i/e Pix4D SA, società per azioni (société anonyme) svizzera,
iscritta in Svizzera con il numero CHE-207.009.701, con sede legale in Xxxxx xx Xxxxxx 00, 0000 Xxxxxx, Xxxxxxxx.
Misure di sicurezza si intendono le misure di sicurezza tecniche e
organizzative descritte nell'Allegato D (Misure di sicurezza).
Fornitore di servizi ha il significato attribuito nella Legge CCPA della
California.
DPA svizzero indica la Legge federale svizzera sulla protezione dei dati
del 19 giugno 1992 e l'Ordinanza svizzera sulla Legge federale sulla protezione dei dati del 14 giugno 1993, nonché, in ogni caso, qualsiasi versione nuova o riveduta delle stesse che possa entrare in vigore durante il Periodo di validità.
Periodo di validità indica il periodo compreso tra la Data di entrata in vigore
delle Condizioni fino al termine della fornitura delle Offerte in licenza da parte di Pix4D, incluso, se del caso, qualsiasi periodo durante il quale la fornitura delle Offerte in licenza potrebbe essere sospesa e qualsiasi periodo successivo
alla cessazione durante il quale Pix4D può continuare a fornire le Offerte in licenza per finalità temporanee.
Data di entrata in vigore delle Condizioni
indica la data in cui l'Utente ha accettato, o le Parti hanno altrimenti accettato, il presente DPA.
GDPR DEL REGNO UNITO
indica il GDPR dell'UE come modificato e incorporato nella legge del Regno Unito ai sensi della Legge UK European Union (Withdrawal) Act del 2018, e il diritto derivato applicabile emanato ai sensi di tale Legge, qualsiasi versione nuova o rivista della stessa che possa entrare in vigore durante il Periodo di validità.
Paesi approvati indica:
- per i Dati personali dei clienti soggetti al GDPR: lo SEE o un Paese o un territorio oggetto di una decisione di adeguatezza da parte della Commissione europea ai sensi dell'articolo 45, paragrafo 1, del GDPR;
- per i Dati personali dei clienti soggetti al GDPR del Regno Unito: il Regno Unito o un Paese o un territorio soggetto alle norme di adeguatezza ai sensi dell'articolo 45, paragrafo 1, del GDPR del Regno Unito e dell'articolo 17A della Legge Data Protection Act del 2018; e/o
- per i Dati personali dei clienti soggetti al DPA svizzero: la Svizzera o un Paese o un territorio (i) incluso nell'elenco degli stati la cui legislazione garantisce un livello di protezione adeguato secondo quanto pubblicato dall'Incaricato federale della protezione dei dati e della trasparenza o, a seconda dei casi, (ii) oggetto di una decisione di adeguatezza da parte del Consiglio federale svizzero nell'ambito del DPA svizzero.
Utente e Suo/a/i/e indica l'entità giuridica che fornisce le Offerte in licenza ai
sensi dell'EULA per l'utilizzo da parte dei Suoi Utenti autorizzati.
I termini "dati personali", "interessato", "trattamento", "titolare del trattamento" e "responsabile del trattamento" utilizzati nel presente DPA hanno i significati indicati nel GPDR indipendentemente dal fatto che si applichi la Normativa europea sulla protezione dei dati o la Normativa extraeuropea sulla protezione dei dati.
Allegati:
Allegato A: Modulo 4 (Trasferimento dal responsabile del trattamento al titolare del trattamento) delle SCC UE
Allegato B: Modifiche alle SCC UE specifiche per Paese Allegato C: Descrizione del trasferimento
Allegato D: Misure di sicurezza
Allegato A: Modulo 4 (Trasferimento dal responsabile del trattamento al titolare del trattamento) delle SCC UE
ARTICOLO I
Clausola 1
Finalità e campo di applicazione
(a) Le presenti clausole contrattuali tipo hanno la finalità di garantire il rispetto delle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 in merito alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (1) per il trasferimento di dati personali verso un Paese terzo.
(b) Le Parti:
(i) le persone fisiche o giuridiche, le autorità pubbliche, le agenzie o altri organismi (d'ora innanzi "entità") che trasferiscono i dati personali elencati nell'Allegato I.A (d'ora innanzi ognuna di esse indicata come "esportatore dei dati"), e
(ii) le entità con sede in un Paese terzo che ricevono i dati personali dall'esportatore dei dati, per via diretta o indiretta tramite un'altra entità anch'essa Parte delle presenti Clausole, secondo quanto indicato nell'Allegato I.A (d'ora innanzi ognuna di esse indicata come "importatore dei dati")
hanno accettato le presenti clausole contrattuali tipo (d'ora innanzi: "Clausole").
(c) Le presenti Clausole si applicano al trasferimento di dati personali come specificato nell'Allegato I.B.
(d) L'Appendice delle presenti Clausole contenente gli Allegati ivi menzionati costituisce parte integrante delle Clausole stesse.
Clausola 2
Effetto e invariabilità delle Clausole
(a) Le presenti Clausole prevedono adeguate garanzie, compresi i diritti degli interessati applicabili e rimedi giuridici efficaci, ai sensi dell'Articolo 46, paragrafo 1, e dell'Articolo 46, paragrafo 2, lettera (c), del Regolamento (UE) 2016/679 e, per quanto riguarda il trasferimento dei dati dai titolari del trattamento ai responsabili del trattamento e/o dai responsabili del trattamento ai responsabili del trattamento, le clausole contrattuali tipo ai sensi dell'Articolo 28, paragrafo 7, del Regolamento (UE) 2016/679, a condizione che non vengano modificate, salvo che per selezionare i Moduli appropriati o aggiungere o aggiornare le informazioni dell'Appendice. Ciò non impedisce alle Parti di includere, in un contratto più ampio, le Clausole contrattuali tipo stabilite nelle presenti Clausole e/o di aggiungere altre clausole o garanzie supplementari, purché non siano in
1 Se l'esportatore dei dati è un responsabile del trattamento soggetto al Regolamento (UE) 2016/679 che agisce per conto di un'istituzione o di un organismo dell'Unione in qualità di titolare del trattamento, il ricorso alle presenti Clausole nell'ambito dell'impiego di un altro responsabile del trattamento (subcontratto) non soggetto al Regolamento (UE) 2016/679 garantisce inoltre il rispetto dell'Articolo 29, paragrafo 4, del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio del 23 ottobre 2018 relativo alla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte di istituzioni, organismi, uffici e agenzie dell'Unione, nonché sulla libera circolazione di tali dati, che abroga il Regolamento (CE) n. 45/2001 e la Decisione n. 1247/2002/CE (GU L 295 del 21/11/2018, pag. 39), nella misura in cui le presenti Clausole siano allineate agli obblighi in materia di protezione dei dati definiti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento ai sensi dell'Articolo 29, paragrafo 3, del Regolamento (UE) 2018/1725. Ciò si verifica in particolare nel caso in cui il titolare del trattamento e il responsabile del trattamento facciano affidamento sulle clausole contrattuali tipo incluse nella Decisione 2021/915.
contrasto, direttamente o indirettamente, con le presenti Clausole o non pregiudichino i diritti o le libertà fondamentali degli interessati.
(b) Le presenti Clausole non pregiudicano gli obblighi cui è soggetto l'esportatore dei dati in virtù del Regolamento (UE) 2016/679.
Clausola 3
Beneficiari terzi
(a) Gli interessati possono appellarsi e far valere le presenti Clausole, in qualità di beneficiari terzi, nei confronti dell'esportatore dei dati e/o dell'importatore dei dati, con le seguenti eccezioni:
(i) Clausola 1, Xxxxxxxx 0, Xxxxxxxx 0, Xxxxxxxx 0, Xxxxxxxx 0;
(ii) Clausola 8.1, lettera (b) e Xxxxxxxx 8.3, lettera (b);
(iii) X/X
(xx) X/X
(x) Xxxxxxxx 00;
(vi) Clausola 15.1, lettere (c), (d) ed (e);
(vii) Clausola 16, lettera (e);
(viii) Clausola 18.
(b) La lettera (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.
Clausola 4
Interpretazione
(a) Laddove le presenti Clausole utilizzino termini definiti nel Regolamento (UE) 2016/679, tali termini avranno lo stesso significato di cui al suddetto Regolamento.
(b) Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.
(c) Le presenti Clausole non devono essere interpretate in modo tale da essere in contrasto con i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.
Clausola 5
Gerarchia
In caso di contrasto tra le presenti Xxxxxxxx e le disposizioni degli accordi correlati tra le Parti esistenti al momento dell'accettazione o della successiva stipula delle presenti Clausole, queste ultime prevarranno.
Clausola 6
Descrizione dei trasferimenti
Le informazioni relative ai trasferimenti, in particolare le categorie di dati personali che vengono trasferiti e le finalità del trasferimento, sono specificati nell'Allegato I.B.
Clausola 7 - Facoltativa
"Docking clause"
(a) Un'entità che non è una Parte delle presenti Clausole, con il consenso delle Parti, potrà aderire alle presenti Clausole in qualsiasi momento, in qualità di esportatore dei dati o di importatore dei dati compilando l'Appendice e firmando l'Allegato I.A.
(b) Una volta compilata l'Appendice e firmato l'Allegato I.A, l'entità aderente diventa una Parte delle presenti Clausole e detiene i diritti e gli obblighi di un esportatore dei dati o di un importatore dei dati conformemente alla relativa designazione nell'Allegato I.A.
(c) L'entità aderente non sarà soggetta a diritti o obblighi derivanti dalle presenti Clausole per il periodo precedente alla sua adesione.
ARTICOLO II - OBBLIGHI DELLE PARTI
Clausola 8
Garanzie di protezione dei dati
L'esportatore dei dati garantisce di aver compiuto sforzi ragionevoli per determinare che l'importatore dei dati è in grado, attraverso l'implementazione di adeguate misure tecniche e organizzative, di rispettare gli obblighi derivanti dalle presenti Clausole.
8.1 Istruzioni
(a) L'esportatore dei dati deve trattare i dati personali solo dietro istruzioni documentate dell'importatore dei dati che agisce in qualità di titolare del trattamento.
(b) L'esportatore dei dati deve informare immediatamente l'importatore dei dati se non è in grado di seguire tali istruzioni e se queste ultime violano il Regolamento (UE) 2016/679 o altre leggi dell'Unione o degli Stati membri in materia di protezione dei dati.
(c) L'importatore dei dati deve astenersi da qualsiasi azione che impedisca all'esportatore dei dati di adempiere ai propri obblighi ai sensi del Regolamento (UE) 2016/679, anche nell'ambito di un subcontratto o per quanto riguarda la collaborazione con le autorità di vigilanza competenti.
(d) Al termine della fornitura dei servizi di trattamento, l'esportatore dei dati, su scelta dell'importatore dei dati, dovrà cancellare tutti i dati personali trattati per conto dell'importatore dei dati e dovrà certificare di averlo fatto o restituire all'importatore tutti i dati personali trattati per suo conto eliminando le copie esistenti.
8.2 Sicurezza del trattamento
(a) Le Parti devono implementare misure tecniche e organizzative appropriate atte a garantire la sicurezza dei dati, anche durante la trasmissione, e la protezione contro una violazione della sicurezza che possa comportare la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso accidentali o illeciti (d'ora innanzi "Violazione dei dati personali"). Nel valutare il livello di sicurezza corretto, devono tenere in debita considerazione lo stato dell'arte, le spese di esecuzione, la natura dei dati personali (2), la natura, la portata, il contesto e le finalità del trattamento e dei rischi connessi al trattamento per gli interessati e in particolare considerare il ricorso alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, quando la finalità del trattamento può essere soddisfatta in questo modo.
2 È incluso l'eventuale trasferimento e l'ulteriore trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, il credo religioso o filosofico, o l'appartenenza a sindacati, i dati genetici o i dati biometrici allo scopo di identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona, o i dati relativi a condanne o reati penali.
(b) L'esportatore dei dati deve assistere l'importatore dei dati nel garantire un livello di sicurezza adeguato conformemente alla lettera (a). In caso di violazione di dati personali trattati dall'esportatore ai sensi delle presenti Clausole, l'esportatore deve informare l'importatore senza indebito ritardo appena ne viene a conoscenza e deve assistere l'importatore nell'affrontare la violazione.
c) L'esportatore dei dati deve accertarsi che le persone autorizzate a trattare i dati personali si siano impegnate a garantire la riservatezza o siano soggette a un adeguato obbligo di riservatezza previsto dalla legge.
8.3 Documentazione e conformità
(a) Le Parti devono essere in grado di dimostrare il rispetto delle presenti Clausole.
(b) L'esportatore dei dati deve mettere a disposizione dell'importatore dei dati tutte le informazioni necessarie per dimostrare il rispetto degli obblighi in virtù delle presenti Clausole, così come per consentire e contribuire alle verifiche.
Clausola 9
Impiego di subincaricati
X/X
Xxxxxxxx 00
Diritti dell'interessato
Le Parti devono prestarsi reciproca assistenza per rispondere alle richieste degli interessati ai sensi della legge locale applicabile all'importatore dei dati o, per il trattamento dei dati da parte dell'esportatore dei dati nell'UE, ai sensi del Regolamento (UE) 2016/679.
Clausola 11
Riparazione
(a) L'importatore dei dati deve informare gli interessati in modo trasparente e facilmente accessibile (mediante comunicazione individuale o sul proprio Sito web) in merito a un punto di contatto autorizzato addetto alla gestione tempestiva degli eventuali reclami ricevuti dagli interessati.
[OPZIONE: l'importatore dei dati accetta che gli interessati possano proporre reclamo anche a un organo indipendente competente per la composizione delle controversie (3) senza alcun costo a loro carico. Deve informare gli interessati secondo le modalità di cui alla lettera (a) di tale meccanismo di riparazione e che non è obbligatorio utilizzarlo né attenersi a una procedura specifica per ottenere una riparazione.]
Clausola 12
Responsabilità
(a) Ciascuna Parte sarà responsabile nei confronti delle altre Parti per eventuali danni causati in seguito a una violazione delle presenti Clausole.
(b) Ciascuna Parte sarà responsabile nei confronti dell'interessato e l'interessato avrà diritto a ricevere un risarcimento per qualsiasi danno materiale o morale causatogli dalla Parte in violazione dei diritti del beneficiario terzo ai sensi delle
3 L'importatore dei dati può offrire una composizione indipendente delle controversie tramite un organo arbitrale solo se ha sede in un Paese che ha ratificato la Convenzione di New York sull'esecuzione dei lodi arbitrali.
presenti Clausole. È fatta salva la responsabilità dell'esportatore dei dati ai sensi del Regolamento (UE) 2016/679.
(c) Se più Parti sono responsabili di qualsiasi danno causato all'interessato in seguito a una violazione delle presenti Clausole, tutte le Parti saranno responsabili in solido e l'interessato avrà diritto a intentare un'azione legale nei confronti di una qualsiasi di queste Parti.
(d) Le Parti convengono che, se una Parte è ritenuta responsabile ai sensi della lettera (c), avrà il diritto di rivendicare la parte del risarcimento corrispondente alla responsabilità per il danno delle altre Parti.
(e) L'importatore dei dati non può invocare la condotta di un responsabile del trattamento o di un subincaricato per evitare la propria responsabilità.
Clausola 13
Supervisione
N/D
ARTICOLO III - LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE
Clausola 14
Leggi e prassi locali che influiscono sulla conformità alle Clausole
(quando il responsabile del trattamento UE combina i dati personali che ha raccolto all'interno dell'UE con quelli ricevuti dal titolare del trattamento del Paese terzo)
(a) Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del Paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore dei dati (compresi eventuali obblighi di divulgazione dei dati personali o misure che autorizzano l'accesso da parte delle autorità pubbliche) impediscano all'importatore dei dati di adempiere ai suoi obblighi in virtù delle presenti Clausole. A tale scopo, si basano sulla consapevolezza che le presenti Clausole non sono in contraddizione con le leggi e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e che non eccedono quanto è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell'Articolo 23, paragrafo 1, del Regolamento (UE) 2016/679.
(b) Le Parti dichiarano che, nel fornire la garanzia di cui alla lettera (a), hanno tenuto in debito conto in particolare i seguenti elementi:
(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti in uscita previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; la posizione di archiviazione dei dati trasferiti;
(ii) le leggi e le prassi del Paese terzo di destinazione (comprese quelle che richiedono la divulgazione di dati alle autorità pubbliche o l'autorizzazione dell'accesso da parte di tali autorità) pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili (4);
4 Per quanto riguarda l'impatto di tali leggi e prassi sul rispetto delle presenti Clausole, vari elementi possono essere tenuti in considerazione per una valutazione globale. Tali elementi possono comprendere un'esperienza pratica pertinente e documentata con precedenti casi di richieste di divulgazione da parte delle autorità pubbliche o l'assenza di tali richieste,
(iii) qualsiasi garanzia contrattuale, tecnica o organizzativa pertinente messa in atto per integrare le garanzie previste dalle presenti Clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel Paese di destinazione.
(c) L'importatore dei dati garantisce che, nell'effettuare la valutazione di cui alla lettera (b), ha fatto del suo meglio per fornire le informazioni pertinenti all'esportatore dei dati e si impegna a continuare a collaborare con quest'ultimo per garantire il rispetto delle presenti Clausole.
(d) Le Parti convengono di documentare la valutazione di cui alla lettera (b) e di metterla a disposizione su richiesta dell'autorità di vigilanza competente.
(e) L'importatore dei dati accetta di informare subito l'esportatore dei dati se, dopo aver accettato le presenti Xxxxxxxx e per la durata del contratto, ha motivo di ritenere di essere o di essere divenuto soggetto a leggi o prassi non conformi ai requisiti di cui alla lettera (a), anche a seguito di una modifica delle leggi del Paese terzo o di una misura (come una richiesta di divulgazione) a indicare un'applicazione pratica di tali leggi non conforme ai requisiti di cui alla lettera (a).
(f) A seguito di una comunicazione ai sensi della lettera (e), o se l'esportatore dei dati ha motivo di ritenere che l'importatore dei dati non possa più adempiere ai propri obblighi in virtù delle presenti Clausole, l'esportatore dei dati deve prontamente individuare le misure appropriate (ad esempio misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che devono essere adottate dall'esportatore dei dati e/o dall'importatore dei dati per affrontare la situazione. L'esportatore dei dati dovrà interrompere il trasferimento dei dati se ritiene di non poter garantire misure di salvaguardia adeguate per tale trasferimento o se richiesto dall'autorità di vigilanza competente. In tal caso, l'esportatore dei dati ha il diritto di rescindere il contratto, sempre che riguardi il trattamento di dati personali ai sensi delle presenti Clausole. Se il contratto coinvolge più di due Parti, l'esportatore dei dati può esercitare questo diritto di recesso solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente. In caso di risoluzione del contratto ai sensi della presente Xxxxxxxx, sarà applicabile la Clausola 16, lettere (d) ed (e).
Clausola 15
Obblighi dell'importatore dei dati in caso di accesso da parte di autorità pubbliche
(quando il responsabile del trattamento UE combina i dati personali che ha raccolto all'interno dell'UE con quelli ricevuti dal titolare del trattamento del Paese terzo)
15.1 Notifica
(a) L'importatore dei dati accetta di informare immediatamente l'esportatore dei dati e, se del caso, l'interessato (se necessario con l'aiuto dell'esportatore dei dati) se:
(i) riceve una richiesta giuridicamente vincolante da un'autorità pubblica, comprese le autorità giudiziarie, ai sensi della legislazione del Paese di
a copertura di un arco di tempo sufficientemente rappresentativo. Ci si riferisce in particolare a documenti interni o ad altra documentazione, redatti in modo continuativo in conformità alla dovuta diligenza e certificati a livello di alta dirigenza, a condizione che tali informazioni possano essere legalmente condivise con terzi. Se si fa affidamento su questa esperienza pratica per concludere che l'importatore dei dati non sarà impossibilitato a conformarsi alle presenti Clausole, deve essere sostenuta da altri elementi pertinenti e oggettivi; spetta alle Parti valutare attentamente se questa serie di elementi abbia un peso sufficiente, in termini di affidabilità e rappresentatività, a sostegno di tale conclusione. In particolare, le Parti devono tener conto del fatto che la loro esperienza pratica sia avvalorata e non contraddetta da informazioni attendibili, disponibili o altrimenti accessibili al pubblico in merito all'esistenza o all'assenza di richieste all'interno dello stesso settore e/o all'applicazione pratica della legge, come la giurisprudenza e i rapporti di organi di vigilanza indipendenti.
destinazione per la divulgazione dei dati personali trasferiti in virtù delle presenti Clausole; tale notifica deve indicare informazioni in merito ai dati personali richiesti, all'autorità richiedente, alla base giuridica della richiesta e alla risposta fornita; oppure
(ii) viene a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti in virtù delle presenti Clausole conformemente alle leggi del Paese di destinazione; tale notifica deve includere tutte le informazioni di cui dispone l'importatore.
(b) Se all'importatore dei dati è vietato informare l'esportatore dei dati e/o l'interessato ai sensi della legislazione del Paese di destinazione, l'importatore dei dati accetta di adoperarsi al meglio per ottenere una deroga al divieto al fine di comunicare il maggior numero di informazioni il più rapidamente possibile. L'importatore dei dati si impegna a documentare quanto fatto per poterlo dimostrare dietro richiesta dell'esportatore dei dati.
(c) Xxx consentito dalla legislazione del Paese di destinazione, l'importatore dei dati accetta di fornire all'esportatore dei dati, a frequenza regolare per la durata del contratto, il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, le autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.).
(d) L'importatore dei dati accetta di conservare le informazioni di cui alle lettere da
(a) a (c) per la durata del contratto e di renderle disponibili su richiesta dell'autorità di vigilanza competente.
(e) Le lettere da (a) a (c) non pregiudicano l'obbligo dell'importatore dei dati ai sensi delle Clausole 14, lettera (e) e 16 di informare tempestivamente l'esportatore dei dati qualora non sia in grado di conformarsi alle presenti Clausole.
15.2 Controllo di legittimità e minimizzazione dei dati
(a) L'importatore dei dati accetta di controllare la legittimità della richiesta di divulgazione, in particolare se inclusa nei poteri conferiti all'autorità pubblica richiedente, e di contestare la richiesta se, dopo attenta valutazione, conclude che esistono fondati motivi per ritenere che la richiesta sia illegittima in base alle leggi del Paese di destinazione, agli obblighi applicabili in base al diritto internazionale e ai principi di correttezza internazionale. Alle stesse condizioni, l'importatore dei dati deve perseguire eventuali possibilità di ricorso. Quando impugna una richiesta, l'importatore dei dati deve chiedere misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso in merito. Deve divulgare i dati personali richiesti solo quando richiesto dalle norme procedurali applicabili. Tali requisiti non pregiudicano gli obblighi dell'importatore dei dati di cui alla Clausola 14, lettera (e).
(b) L'importatore dei dati accetta di documentare la sua valutazione giuridica e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalla legislazione del Paese di destinazione, di mettere la documentazione a disposizione dell'esportatore dei dati. Inoltre, deve metterla a disposizione su richiesta dell'autorità di vigilanza competente.
(c) L'importatore dei dati accetta di fornire la quantità minima di informazioni ammissibile per rispondere a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della stessa.
ARTICOLO IV - DISPOSIZIONI FINALI
Clausola 16
Non conformità alle Clausole e risoluzione
(a) L'importatore dei dati deve informare immediatamente l'esportatore dei dati qualora, per qualsiasi motivo, non sia in grado di conformarsi alle presenti Clausole.
(b) Nel caso in cui l'importatore dei dati violi le presenti Clausole o non sia in grado di rispettarle, l'esportatore dei dati deve interrompere il trasferimento dei dati personali all'importatore fino a quando non sia nuovamente garantito il rispetto delle Clausole o venga risolto il contratto. Ciò non pregiudica la Clausola 14, lettera (f).
(c) L'esportatore dei dati ha il diritto di rescindere il contratto, sempre che riguardi il trattamento di dati personali ai sensi delle presenti Clausole, nei seguenti casi:
(i) l'esportatore dei dati ha sospeso il trasferimento di dati personali all'importatore dei dati ai sensi della lettera (b) e la conformità alle presenti Clausole non viene ripristinata entro un periodo ragionevole e comunque entro un mese dall'interruzione;
(ii) l'importatore dei dati ha violato in modo sostanziale o persistente le presenti Clausole; oppure
(iii) l'importatore dei dati non rispetta una decisione vincolante di un tribunale o di un'autorità di vigilanza competente in merito agli obblighi stabiliti in virtù delle presenti Clausole.
In questi casi, deve informare l'autorità di vigilanza competente in merito a tale inosservanza. Se il contratto coinvolge più di due Parti, l'esportatore dei dati può esercitare questo diritto di recesso solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente.
(d) I dati personali raccolti dall'esportatore dei dati all'interno dell'UE che sono stati trasferiti prima della risoluzione del contratto ai sensi della lettera (c) devono essere immediatamente cancellati nella loro interezza, inclusa qualsiasi copia degli stessi. L'importatore dei dati deve certificare l'avvenuta cancellazione all'esportatore dei dati. Prima della cancellazione o della restituzione dei dati, l'importatore dei dati deve continuare a garantire il rispetto delle presenti Clausole. Nel caso in cui le leggi locali applicabili all'importatore dei dati vietino la restituzione o la cancellazione dei dati personali trasferiti, l'importatore dei dati assicura che continuerà a garantire il rispetto delle presenti Clausole e che tratterà i dati solo nella misura e per il tempo richiesti dalla legge locale.
(e) Ciascuna delle Parti può revocare il proprio consenso a essere vincolata dalle presenti Clausole qualora (i) la Commissione europea adotti una decisione ai sensi dell'Articolo 45, paragrafo 3, del Regolamento (UE) 2016/679 in materia di trasferimento di dati personali a cui si applicano le presenti Clausole; oppure (ii) il
Regolamento (UE) 2016/679 entri a far parte del quadro giuridico del Paese in cui vengono trasferiti i dati personali. Ciò non pregiudica gli altri obblighi che si applicano al trattamento in questione ai sensi del Regolamento (UE) 2016/679.
Clausola 17
Legge applicabile
Le presenti Clausole saranno disciplinate dalla legge di un Paese che ammette i diritti di terzi beneficiari. Le Parti convengono che si tratterà della legge di ( specificare il Paese).
Clausola 18
Scelta del foro e della giurisdizione
Qualsiasi controversia derivante dalle presenti Xxxxxxxx sarà risolta dai tribunali di
(specificare il Paese)APPENDICE
NOTA ESPLICATIVA:
Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o categoria di trasferimenti e, a questo proposito, determinare i rispettivi ruoli delle Parti in quanto esportatori e/o importatori di dati. Non richiede necessariamente la compilazione e la firma di appendici separate per ciascun trasferimento/categoria di trasferimenti e/o rapporto contrattuale, laddove tale trasparenza possa essere ottenuta attraverso un'unica Appendice. Tuttavia, devono essere utilizzate appendici separate, se necessario, per garantire una chiarezza sufficiente.
ALLEGATO I
A. ELENCO DELLE PARTI
Esportatori dei dati: [Identità e informazioni di contatto degli esportatori dei dati e, se del caso, del loro responsabile della protezione dei dati e/o del rappresentante nell'Unione europea]
1.
Nome:
Indirizzo:
Nome, posizione e informazioni di contatto del referente:
Attività relative ai dati trasferiti ai sensi delle presenti Clausole:
Firma e data:
Xxxxx (titolare del trattamento/responsabile del trattamento):
2.
Importatori dei dati: [Identità e informazioni di contatto degli importatori dei dati, incluso qualsiasi referente responsabile della protezione dei dati]
1.
Nome:
Indirizzo:
Nome, posizione e informazioni di contatto del referente:
Attività relative ai dati trasferiti ai sensi delle presenti Clausole:
Firma e data:
Xxxxx (titolare del trattamento/responsabile del trattamento):
2.
B. DESCRIZIONE DEL TRASFERIMENTO
Categorie di interessati soggetti al trasferimento dei dati personali
Categorie di dati personali trasferiti
Dati sensibili trasferiti (se del caso) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una limitazione rigorosa delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), tenendo un registro dell'accesso ai dati, limitazioni per i trasferimenti successivi o ulteriori misure di sicurezza.
Frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuo).
Natura del trattamento
Finalità del trasferimento dei dati e dell'ulteriore trattamento
Periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo
Per i trasferimenti a subincaricati/responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento
Allegato B: Modifiche alle SCC UE specifiche per Paese Svizzera
Ai fini del DPA svizzero, qualora i trasferimenti dei Dati personali dei clienti ai sensi dell'EULA siano soggetti al GDPR e al DPA svizzero, le Clausole P-C applicabili ai sensi degli Articoli 8.1 e 8.2 del presente DPA si applicheranno con le seguenti modifiche (per evitare dubbi, tali modifiche non pregiudicano le Clausole P-C applicabili ai fini del GDPR):
● I riferimenti al "Regolamento (UE) 2016/679" o a "tale Regolamento" devono essere interpretati come riferimenti al DPA svizzero nella misura applicabile.
● I riferimenti al "Regolamento (UE) 2018/1725" sono stati eliminati.
● I riferimenti a "Unione", "UE" e "Stato membro dell'UE" devono essere interpretati come la Svizzera.
● La Clausola 17 viene sostituita dalla seguente: "Le presenti Clausole sono disciplinate dalla legislazione svizzera nella misura in cui i trasferimenti sono disciplinati dal DPA svizzero".
● La Clausola 18 viene sostituita dalla seguente:
"Qualsiasi controversia derivante dalle presenti Xxxxxxxx in relazione al DPA svizzero sarà risolta dai tribunali svizzeri. Un interessato può inoltre intentare un procedimento legale nei confronti dell'esportatore dei dati e/o dell'importatore dei dati dinanzi ai tribunali svizzeri della sede di residenza. Le parti accettano di sottoporsi alla giurisdizione di tali tribunali".
● Prima dell'entrata in vigore della versione rivista del DPA svizzero, le Clausole P-C tutelano anche i dati personali delle persone giuridiche e, ai sensi delle Clausole P-C, le persone giuridiche beneficiano della stessa protezione delle persone fisiche.
Ai fini del DPA svizzero, qualora i trasferimenti di Dati personali dei clienti ai sensi dell'EULA siano soggetti esclusivamente al DPA svizzero, le Clausole P-C applicabili ai sensi degli Articoli 8.1 e 8.2 del presente DPA si applicheranno con le seguenti modifiche:
● I riferimenti al "Regolamento (UE) 2016/679" o a "tale Regolamento" devono essere interpretati come riferimenti al DPA svizzero.
● I riferimenti al "Regolamento (UE) 2018/1725" sono stati eliminati.
● I riferimenti a "Unione", "UE" e "Stato membro dell'UE" devono essere interpretati come la Svizzera.
● La Clausola 17 viene sostituita dalla seguente: "Le presenti Clausole sono disciplinate dalla legislazione svizzera".
● La Clausola 18 viene sostituita dalla seguente:
"Qualsiasi controversia derivante dalle presenti Xxxxxxxx in relazione al DPA svizzero sarà risolta dai tribunali svizzeri. Un interessato può inoltre intentare un procedimento legale nei confronti dell'esportatore dei dati e/o dell'importatore dei dati dinanzi ai tribunali svizzeri della sede di residenza. Le parti accettano di sottoporsi alla giurisdizione di tali tribunali".
● Prima dell'entrata in vigore della versione rivista del DPA svizzero, le Clausole P-C tutelano anche i dati personali delle persone giuridiche e, ai sensi delle
Clausole P-C, le persone giuridiche beneficiano della stessa protezione delle persone fisiche.
Allegato C: Descrizione del trasferimento
Categorie di interessati soggetti al trasferimento dei dati personali:
Gli interessati includono le persone i cui dati vengono forniti a Pix4D (tramite le Offerte in licenza) dall'Utente, o sotto la Sua guida, o dagli Utenti autorizzati, incluse le terze parti presenti nei Contenuti.
Categorie di dati personali trasferiti:
Dati relativi a persone forniti a Pix4D (tramite i Servizi) dall'Utente, o sotto la Sua guida, o da Utenti autorizzati, inclusi i dati personali di terze parti presenti nei Contenuti.
Dati sensibili trasferiti (se del caso) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una limitazione rigorosa delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), tenendo un registro dell'accesso ai dati, restrizioni per i trasferimenti successivi o ulteriori misure di sicurezza:
Le parti non prevedono il trasferimento di dati sensibili.
Frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuo):
Regolare e continuo.
Natura del trattamento:
Pix4D tratterà i Dati personali dei clienti allo scopo di fornire l'Offerta in licenza per l'utilizzo da parte dell'Utente e degli Utenti autorizzati in conformità all'EULA.
Finalità del trasferimento dei dati e dell'ulteriore trattamento:
Periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo:
Il Periodo di validità più il periodo compreso tra il termine del Periodo di validità e la cancellazione di tutti i Dati dei clienti da parte di Pix4D in conformità all'EULA e al presente DPA.
Per i trasferimenti a subincaricati/responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento:
Consultare l'elenco dei subincaricati di Pix4D disponibile alla pagina xxxxx://xxx.xxx0x.xxx/xxxxx.
Allegato D: Misure di sicurezza
Di seguito sono descritte le misure tecniche e organizzative attuate da Pix4D (comprese le eventuali certificazioni pertinenti) atte a garantire un livello di sicurezza adeguato ("Misure di sicurezza") tenendo in considerazione la natura, la portata, il contesto e le finalità del trattamento, così come i rischi per i diritti e le libertà degli interessati:
1. Misure di pseudonimizzazione e crittografia dei dati personali
a) La pseudonimizzazione viene eseguita in maniera tale che nessun dato possa essere abbinato a un interessato specifico senza ulteriori informazioni.
b) Le informazioni aggiuntive per l'attribuzione dei dati personali a un interessato specifico sono conservate in sistemi separati e sicuri, accessibili solo da un numero limitato di persone.
c) Per la crittografia dei dati personali, gli algoritmi e la lunghezza delle chiavi vengono mantenuti proporzionati al livello di sensibilità dei dati.
d) Le chiavi di crittografia sono protette e vengono fornite solo a un numero limitato di persone.
e) Le istruzioni interne garantiscono l'anonimizzazione/pseudonimizzazione laddove possibile in caso di divulgazione o anche dopo la scadenza del periodo di cancellazione previsto dalla legge.
2. Misure volte a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei servizi e dei sistemi di trattamento
a) Un responsabile della sicurezza o un membro designato dell'alta dirigenza viene nominato responsabile del coordinamento e del monitoraggio delle norme e delle procedure di sicurezza delle informazioni.
b) Gli aspetti relativi alla protezione dei dati sono definiti come parte integrante della gestione dei rischi aziendali.
c) Vengono mantenuti piani di emergenza e d'intervento per le strutture in cui si trovano i sistemi informativi di trattamento dei dati personali.
d) Se necessario, viene eseguita una valutazione d'impatto sulla protezione dei dati (DPIA).
e) Il personale è qualificato e vincolato dalla riservatezza e dal segreto sui dati.
f) Il personale viene informato sulle procedure di sicurezza pertinenti e sui rispettivi ruoli.
g) Il personale viene informato sulle possibili conseguenze della violazione delle norme e delle procedure di sicurezza.
h) Al personale vengono fornite istruzioni di lavoro sul controllo degli accessi, sulla sicurezza delle comunicazioni e sulla sicurezza operativa.
i) Le istruzioni di lavoro descrivono esplicitamente le misure di sicurezza, così come le procedure e le responsabilità pertinenti.
j) Tutte le normative, le istruzioni e le linee guida in materia di protezione dei dati sono documentate a livello centrale e sono accessibili a tutti i dipendenti.
k) I componenti critici per il funzionamento del sistema sono monitorati in ogni momento e salvaguardati da appositi sistemi di protezione nella misura necessaria per proteggerli da incendi, penetrazione d'acqua, umidità, urti, calore, freddo e interruzioni di corrente impreviste.
l) I componenti critici per il funzionamento del sistema possono essere sostituiti entro il tempo richiesto in caso di crash, ad esempio, mediante componenti di backup, sistemi RAID o mirroring dei dati.
m) Se necessario, per i sistemi operativi e i dati vengono utilizzate partizioni separate.
3. Misure volte a garantire la possibilità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico
a) Definizione di una strategia di backup in base alla quantità di dati e alla frequenza delle modifiche.
b) La strategia di backup è progettata per ripristinare i dati personali al loro ultimo stato prima della perdita o della distruzione dei dati.
c) I sistemi di backup sono separati fisicamente dai sistemi di produzione.
d) Le stesse misure di protezione vengono applicate ai server di backup e ai server di produzione.
e) Le persone incaricate del ripristino dei dati sono appositamente formate per questo compito.
4. Procedure atte a verificare, valutare e stimare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento (TOMS)
a) L'importatore dei dati testa l'efficacia delle TOMS a una frequenza prestabilita. La natura e la frequenza di queste prove sono definite in base alla rispettiva misura.
b) Misure appropriate vengono definite e intraprese nel caso in cui le prove dimostrino che le TOMS non sono implementate o non vengono attuate a sufficienza o non dimostrano l'efficacia richiesta.
c) Vengono introdotte delle nuove TOMS se l'esame di quelle esistenti indica che non sono più sufficienti (ad esempio, in caso di nuove minacce).
d) Una o più persone vengono assegnate al monitoraggio continuo dell'efficacia delle TOMS e al coordinamento delle prove e delle eventuali misure da adottare.
5. Misure per l'identificazione e l'autorizzazione degli utenti
a) L'accesso ai sistemi informativi è protetto da procedure di identificazione e autenticazione standard del settore.
b) I dispositivi di archiviazione dati, le postazioni di lavoro, i computer portatili, gli smartphone e i tablet sono crittografati con metodi di crittografia standard del settore.
c) Le autorizzazioni e gli account utente sono gestiti da persone designate (amministratori).
d) I concetti di autorizzazione restrittiva e basata sulle necessità dei diritti del database sono gestiti da un numero minimo di amministratori.
e) L'accesso ai dati personali è limitato ai dipendenti che hanno un'esigenza legittima di accedervi nell'ambito della loro funzione o del loro ruolo.
f) I dati raccolti per finalità diverse possono essere trattati separatamente dagli altri dati.
g) Vengono impedite attività di sistema che vadano oltre l'accesso autorizzato.
h) Le linee guida sono sviluppate e implementate sui seguenti argomenti: "password protette", "cancellazione/distruzione", "scrivania pulita", "dispositivo mobile".
i) Tutti gli account utente che consentono l'autenticazione sono personali e utilizzati da una sola persona.
j) Al personale viene richiesto di disattivare le sessioni amministrative quando si lascia l'edificio o quando le postazioni di lavoro vengono lasciate incustodite.
k) Le password utente sono composte da almeno otto caratteri, tra cui lettere maiuscole e minuscole, numeri e caratteri speciali.
l) L'autenticazione a due fattori viene utilizzata per accedere a sistemi critici.
m) Il file shredder e/o la distruzione esterna di file sono conformi allo standard di sicurezza DIN 66399.
6. Misure di protezione dei dati durante la trasmissione
a) L'accesso remoto avviene solo tramite linee crittografate (VPN).
b) Il trasferimento elettronico dei dati e la trasmissione dei dati personali avvengono tramite metodi di crittografia standard del settore. Per le e-mail, viene utilizzata almeno la crittografia di linea (TLS), se supportata.
c) Laddove necessario vengono implementate procedure di firma.
d) I dati non vengono trasferiti a terzi sconosciuti.
7. Misure per la protezione dei dati durante la conservazione
a) L'accesso a dati specifici è limitato a chi ha bisogno di Trattare tali dati e viene controllato tramite un modello di autorizzazione utente.
b) Se del caso, i vari dati dei clienti vengono memorizzati in database diversi.
c) I supporti di archiviazione esterni che contengono dati personali sensibili sono crittografati e fisicamente protetti.
d) Il diritto di immettere, modificare e cancellare i dati viene assegnato sulla base di un concetto di autorizzazione.
e) Il diritto alla cancellazione viene concesso in modo restrittivo.
8. Misure volte a garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali
a) I sistemi e i servizi sono protetti contro la distruzione accidentale o illegale, la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati.
b) È installato un sistema antifurto con allarme 24 ore su 24, 7 giorni su 7.
c) Le porte esterne e quelle divisorie interne sono fissate con contatti magnetici e di chiusura.
d) Le chiavi e le chiavi elettroniche sono assegnate a singole persone.
e) L'ingresso o la reception sono sempre presidiati durante l'orario di lavoro.
f) Gli edifici e gli ingressi sono sottoposti a costante sorveglianza video.
g) I visitatori sono sempre accompagnati da dipendenti.
h) Il personale esterno viene selezionato con attenzione.
i) Per i sistemi che sono alloggiati, in hosting e mantenuti da fornitori di servizi esterni, vengono predisposte delle misure corrispondenti che devono essere implementate e gestite da tali fornitori di servizi.
9. Misure volte a garantire la registrazione degli eventi
a) Le autorizzazioni di accesso e il recupero dei dati vengono monitorati e registrati.
b) Vengono registrate le assegnazioni delle chiavi e delle chiavi elettroniche.
c) Viene registrato l'accesso dei visitatori.
d) Vengono registrati l'inserimento, la modifica e la cancellazione dei dati.
e) Vengono registrati gli sforzi di ripristino dei dati.
f) Vengono registrati i risultati delle prove di efficacia delle TOMS.
g) Vengono registrati i risultati delle prove della struttura di segnalazione.
h) Vengono registrati gli incidenti di sicurezza e le violazioni dei dati. Vengono conservati registri che includono la natura della violazione dei dati, le categorie e il numero approssimativo di interessati, le categorie e il numero approssimativo di registrazioni dei dati personali coinvolti, il periodo di tempo, le conseguenze della violazione dei dati, la procedura di recupero dei dati, le misure adottate per mitigare gli effetti negativi, i nomi delle persone che hanno segnalato la violazione dei dati e i nomi delle persone alle quali è stata segnalata la violazione dei dati.
i) I registri consentono la tracciabilità di singoli utenti e non di gruppi di utenti.
10. Misure volte a garantire la configurazione dei sistemi, inclusa la configurazione predefinita
a) Vengono adottate misure tecniche per consentire agli interessati di esercitare facilmente il loro diritto di revoca del consenso.
b) Le impostazioni predefinite per la protezione dei dati vengono utilizzate nei software standard e individuali.
11. Misure per la gestione e la governance interna dell'IT e della sicurezza IT
a) Un software antivirus e un firewall sono installati su server e client per evitare che software dannosi possano accedere ai sistemi in modo non autorizzato.
b) Viene implementato un sistema antintrusione.
c) È stata adottata una procedura ufficiale per la gestione degli incidenti di sicurezza.
d) Viene monitorato l'accesso remoto da parte di soggetti esterni.
e) L'hardware e il software IT vengono controllati a una frequenza predefinita per valutare se devono essere aggiornati o sostituiti per motivi di sicurezza.
12. Misure per la certificazione/garanzia di processi e prodotti
a) Viene regolarmente valutata la necessità di certificazioni per sistemi e prodotti.
b) Le eventuali certificazioni di sicurezza dei dati e le verifiche (inclusi i test di penetrazione, a seconda dei casi) vengono ripetute con regolarità.
13. Misure volte a garantire la minimizzazione dei dati
a) I dati personali vengono raccolti solo nella misura necessaria per conseguire gli scopi previsti.
b) I dati personali conservati vengono esaminati periodicamente e cancellati in caso di inutilizzo e se nessuna norma legale o contrattuale vieta la cancellazione di tali dati personali.
14. Misure volte a garantire la qualità dei dati
a) Se del caso, l'immissione dei dati è soggetta a test di plausibilità.
b) Se del caso, agli utenti viene consentito di verificare i dati inseriti.
15. Misure volte a garantire una conservazione limitata dei dati
a) Ove opportuno e possibile, vengono definiti dei periodi di conservazione.
b) Laddove possibile e opportuno, i protocolli di archiviazione automatizzata vengono utilizzati per documenti e dati nei sistemi produttivi.
16. Misure volte a garantire l'attendibilità
a) Viene definita una procedura formale per il follow-up degli incidenti di sicurezza e delle violazioni dei dati.
b) I meccanismi di controllo relativi al rispetto dei principi di protezione dei dati si basano sui requisiti delle leggi applicabili in materia di protezione dei dati.
c) Le strutture di segnalazione sono allineate all'organizzazione del Gruppo, alla rispettiva unità e consentono di reagire entro un lasso di tempo ragionevole e ai sensi di legge.
d) L'efficacia delle strutture di segnalazione viene testata a una frequenza predefinita.
e) Misure appropriate vengono definite e adottate nel caso in cui le prove dimostrano che le strutture di segnalazione non sono implementate o non vengono attuate a sufficienza o non dimostrano l'efficacia richiesta.
17. Misure volte a consentire la portabilità dei dati e a garantire la cancellazione
a) Le responsabilità in materia di portabilità dei dati sono definite chiaramente.
b) Vengono implementate procedure ufficiali per le richieste di portabilità dei dati.
c) I set di dati possono essere identificati e separati dalle funzioni di selezione del sistema impiegato.
d) Le richieste di portabilità dei dati vengono inviate senza ritardi alle unità corrette e indirizzate tempestivamente, in modo da rispettare sempre le scadenze previste per legge.
e) Vengono adottate misure appropriate per garantire la rimozione dei dati personali dai sistemi del Fornitore al momento della risoluzione del Contratto principale.
f) I responsabili della portabilità dei dati sono qualificati e competenti nella gestione delle richieste relative alla portabilità dei dati. In particolare, sono definite chiaramente le informazioni che devono essere divulgate, trasferite o cancellate e le richieste o parti di esse che non devono essere soddisfatte.
g) I dati personali vengono trasmessi in formati strutturati, di uso comune e leggibili da dispositivi automatici utilizzando metodi sicuri.