ACCORDO SULLA PROTEZIONE DEI DATI ASSISTENZA TECNICA E MANUTENZIONE
ACCORDO SULLA PROTEZIONE DEI DATI ASSISTENZA TECNICA E MANUTENZIONE
Il presente Accordo sulla protezione dei dati e i suoi allegati (“DPA”) stabiliscono gli standard minimi di protezione dei dati e di sicurezza informatica ed i relativi requisiti e costituiscono parte integrante del contratto, compreso qualsiasi contratto commerciale, contratto di servizio o ordine (il “Contratto”), ad eccezione del Contratto con l’Utente di Cepheid C360. Il presente DPA è stipulato tra il Cliente (secondo la definizione fornita dal Contratto) e Cepheid (secondo la definizione fornita dal Contratto) e rimarrà in vigore per tutta la durata del Contratto. Cepheid e il Cliente sono denominati di seguito singolarmente la “Parte” o collettivamente le “Parti”.
Le Parti convengono che, in caso di Trattamento di Dati Personali ai sensi del Contratto, i termini del presente DPA si applicheranno a tale Contratto, a prescindere dal fatto che vi si faccia o meno espresso riferimento.
DI CONSEGUENZA, in considerazione delle premesse di cui sopra e degli accordi reciproci qui contenuti, le Parti convengono quanto segue:
1. Definizioni.
(A) Per “Legge in vigore” si intende qualsiasi legge (comprese tutte le leggi e i regolamenti mondiali sulla protezione dei dati e sulla privacy applicabili ai Dati Personali trattati, tra cui, ove applicabile, la Legge sulla protezione dei dati dell’UE o il POPIA), norma o regolamento applicabile al Contratto, ai Servizi o alle Parti e qualsiasi standard del settore in vigore in materia di privacy, protezione dei dati, riservatezza, sicurezza delle informazioni, disponibilità e integrità, o elaborazione o Trattamento (compresa la conservazione e la divulgazione) dei Dati Personali, eventualmente modificato, regolamentato, rideterminato o sostituito a seconda dei casi.
(B) I termini “Titolare del trattamento”, “Responsabile del trattamento”, “Persona interessata”, “Dati Personali o Informazioni Personali”, “Trattare”, “Trattamento”, “Categorie speciali di Dati Personali” e “Informazioni Personali Sensibili” avranno i significati attribuiti nella Legge in vigore.
(C) Per “Violazione dei dati” si intende (i) la perdita o l’uso improprio (con qualsiasi mezzo) dei Dati Personali; (ii) la divulgazione, l’accesso, l’alterazione, la corruzione, il trasferimento, la vendita, il noleggio, la distruzione o l’uso involontario, non autorizzato e/o illegale dei Dati Personali; (iii) qualsiasi altro atto o omissione che comprometta o possa compromettere la sicurezza, la riservatezza o l’integrità dei Dati Personali, o (iv) qualsiasi violazione delle garanzie di salvaguardia della sicurezza.
(D) Per “Legge UE/UK/Svizzera sulla protezione dei dati” si intende (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali e alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati (“GDPR UE”); (ii) il GDPR UE recepito nel diritto britannico in virtù della sezione 3 della legge britannica del 2018 relativa al recesso del Regno Unito dall’Unione europea (il “GDPR UK”); (iii) in Svizzera, la Legge federale sulla protezione dei dati del 19 giugno 1992 (versione aggiornata) (la “LPD”); (iv) la Direttiva UE sulla e-Privacy (Direttiva 2002/58/CE); e (v) qualsiasi altra legge nazionale vigente sulla protezione dei dati varata in base o ai sensi delle lettere (i), (ii) o (iii); in ogni caso, modificata o sostituita di volta in volta.
v.09.23.2022
(E) Per “Dati Personali” si intende, in qualsiasi forma, formato o supporto, qualsiasi (a) informazione riservata del Cliente; e/o (b) dato ovvero qualsiasi informazione che può identificare un individuo. Per chiarezza, Dati Personali significa anche Informazioni Personali.
(F) Per “POPIA” si intende la Legge sudafricana sulla protezione delle informazioni personali, relativa alla protezione e alla regolamentazione del trattamento delle informazioni personali all’interno della Repubblica del Sudafrica, approvata il 13 novembre 2013 e entrata in vigore il 1° luglio 2020.
(G) Per “Trasferimento limitato” si intende (i) laddove sia applicabile il GDPR UE, un trasferimento di Dati Personali verso un paese al di fuori dello Spazio economico europeo che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea; (ii) laddove sia applicabile il GDPR UK, un trasferimento di Dati Personali verso qualsiasi altro paese che non è basato su regolamenti di adeguatezza ai sensi della Sezione 17A della legge britannica del 2018 relativa alla protezione dei dati; (iii) laddove sia applicabile la LPD, una divulgazione transfrontaliera in assenza di una legislazione che garantisca una protezione adeguata ai sensi dell’articolo 6 della LPD; e (iv) laddove sia applicabile il POPIA, un trasferimento, una divulgazione o uno scambio transfrontaliero di informazioni al di fuori della Repubblica del Sudafrica.
(H) Per “Clausole contrattuali tipo” si intende (i) laddove sia applicabile il GDPR UE, le clausole contrattuali allegate alla Decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021 sulle clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (“SCC dell’UE”); (ii) laddove sia applicabile il GDPR UK, l’“Addendum sul trasferimento internazionale di dati alle clausole contrattuali tipo della Commissione UE” emesso dal Commissario all’Informazione ai sensi della sezione 119A(1) della Legge sulla protezione dei dati del 2018 (“Addendum del Regno Unito”);
(iii) laddove sia applicabile la LPD, i contratti tipo e le clausole contrattuali tipo riconosciute dall’Incaricato federale della protezione dei dati e della trasparenza (“IFPDT”) ai sensi dell’art. 6 comma 2 lett. a della LPD, conformemente alla dichiarazione dell’IFPDT del 27 agosto 2021 (originariamente disponibile all’indirizzo xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000 082021.pdf.download.pdf/Paper%20SCC%20def.en%2024082021.pdf) (“Addendum della Svizzera”); e (iv) laddove sia applicabile il POPIA, le clausole contrattuali relative alla protezione, al trattamento e al trasferimento di informazioni personali effettuati da due o più parti in relazione a tali informazioni.
(I) Per “Servizi” si intendono i servizi che Cepheid esegue ai sensi del Contratto.
(J) Il termine “Sub-responsabile” indica qualsiasi entità o persona cui il Responsabile del trattamento subappalta le proprie responsabilità.
(K) Qualora siano applicabili, altri termini in maiuscolo definiti dal Contratto.
2. Rapporto tra le Parti:
2.1 Il Cliente (il “Titolare del trattamento”) nomina Cepheid in qualità di Responsabile del trattamento allo scopo di trattare i Dati Personali descritti all’Allegato 1 del presente DPA per le finalità ivi descritte (o secondo quanto concordato per iscritto dalle Parti) (le “Finalità consentite”). Ciascuna Parte è tenuta a rispettare gli obblighi che le competono ai sensi della Legge in vigore.
Il Cliente riconosce e accetta che Cepheid possa coinvolgere i suoi affiliati e/o sub-responsabili terzi in relazione alla fornitura dei Servizi. Cepheid rimane pienamente responsabile nei confronti del Cliente
v. 09.23.2022
per tali terzi e stipulerà un accordo scritto e valido con tali terzi che includa termini che non siano meno restrittivi rispetto agli obblighi applicabili al Cliente ai sensi del presente DPA.
2.2 Cepheid raccoglie e tratta i necessari dati identificativi allo scopo di concludere ed eseguire il Contratto, e più in generale per la gestione del rapporto commerciale tra le Parti, nonché per l’invio di informazioni su prodotti, beni e servizi o relativi prodotti, beni o servizi da parte di affiliati.
Il Cliente si impegna ad informare qualsiasi persona interessata delle attività di trattamento da parte di Cepheid e di conseguenza a fornire l’Informativa sulla Privacy di Cepheid.
3. Requisiti generali.
3.1 In occasione del trattamento dei Dati Personali da parte di Cepheid per conto del Cliente, Cepheid dovrà:
i) rispettare tutte le leggi in vigore, compresa la Legge in vigore, durante il Trattamento dei Dati Personali;
ii) salvo qualora richiesto dalla Legge in vigore, elaborare i Dati Personali solo per conto del Cliente ed esclusivamente nella misura necessaria all’erogazione dei Servizi al Cliente e in conformità a tutte le leggi vigenti, compresa la Legge in vigore, nonché le istruzioni documentate del Cliente;
iii) implementare e mantenere idonee e ragionevoli misure di sicurezza tecniche ed organizzative per garantire un livello di sicurezza adeguato al rischio, comprese, all’occorrenza, le misure di cui all’articolo 32(1) del GDPR UE/UK (compreso il rispetto dello standard di sicurezza dei data del settore delle carte di pagamento PCI DSS se Cepheid tratta i dati del titolare della carta o di altri conti finanziari) allo scopo di proteggere i Dati Personali (i) dalla distruzione accidentale o illegale e (ii) dalla perdita, alterazione, divulgazione non autorizzata o dall’accesso ai Dati Personali; come minimo, tali misure includono quelle riportate all’Allegato 2;
iv) consentire l’accesso ai Dati Personali esclusivamente al personale di Cepheid che ha la necessità di accedere ai relativi Dati Personali secondo quanto ragionevolmente richiesto ai fini del Contratto, considerato che tutti questi individui sono soggetti a un obbligo di riservatezza;
v) fornire tutta l’assistenza ragionevole e tempestiva necessaria (anche implementando idonee e ragionevoli misure tecniche ed organizzative) per assistere il Cliente a rispondere a: (i) qualsiasi richiesta da parte di una Persona interessata di esercitare uno dei suoi diritti ai sensi della Legge in vigore (compresi i diritti di accesso, correzione, opposizione, cancellazione e portabilità dei dati, a seconda dei casi); e (ii) qualsiasi altra corrispondenza, domanda o reclamo ricevuto da una Persona interessata, un’autorità di controllo o terzi in relazione al Trattamento dei Dati Personali. Qualora tale richiesta, corrispondenza, domanda di informazioni o reclamo sia inoltrato direttamente a Cepheid, Cepheid informerà prontamente il Cliente fornendo tutti i dettagli del caso;
vi) notificare prontamente al Cliente:
a) qualsiasi richiesta, domanda, reclamo, notifica o comunicazione ricevuto da terzi, compresa una Persona interessata o un’autorità di controllo, in relazione a qualsiasi Dato
v. 09.23.2022
Personale e rispettare le istruzioni del Cliente nel rispondere a tale richiesta, domanda, reclamo, notifica o comunicazione; e
b) qualsiasi istruzione ricevuta dal Cliente che Cepheid ritenga essere in violazione delle leggi in vigore, compresa la Legge in vigore;
vii) in caso di trasferimento internazionale, le Parti convengono che, laddove il trasferimento dei Dati di Cepheid sia un Trasferimento limitato, sarà soggetto alle relative Clausole contrattuali tipo come indicato all’Allegato 3.
viii) su ragionevole richiesta del Cliente e con ragionevole preavviso, sottoporre le strutture che utilizza per trattare i Dati Personali e/o i Dati Personali a un’ispezione che sarà effettuata dai rappresentanti del Cliente o da un organismo di controllo concordato da entrambe le Parti, considerato che il costo associato sarà esclusivamente a carico del Cliente;
ix) tenere registrazioni adeguate che dimostrino la sua conformità agli obblighi previsti dal presente DPA e metterle a disposizione del Cliente in relazione a qualsiasi verifica di cui al punto (viii) di cui sopra;
x) tranne nei casi in cui Cepheid abbia adottato Xxxxxxxx contrattuali tipo in relazione a qualsiasi Trasferimento limitato di Dati Personali, non trasferire alcun Dato Personale da una giurisdizione a un’altra senza il previo consenso scritto del Cliente;
xi) assistere e cooperare ragionevolmente con il Cliente, compresa l’assistenza fornita al Cliente per qualsiasi valutazione d’impatto sulla protezione dei dati o valutazione d’impatto sulla privacy (come richiesto dalla Legge in vigore) e previe consultazioni con le autorità competenti, assistere il Cliente affinché rispetti i suoi obblighi ai sensi della Legge in vigore;
xii) conservare i Dati Personali solo per il tempo necessario all’erogazione dei Servizi, e al termine della fornitura dei Servizi, a scelta del Cliente, cancellare o restituire i Dati Personali al Cliente (a meno che non sia espressamente richiesto diversamente dalla legge in vigore) e fornire una certificazione scritta, se richiesto, al Cliente ad indicare che siano state rispettate le disposizioni di questa sezione;
xiii) se Cepheid sospetta o viene ragionevolmente a conoscenza di una Violazione dei Dati:
a) fornire al Cliente una notifica scritta dell’accaduto senza indebito ritardo e in qualsiasi caso entro ventiquattro (24) ore dopo essere venuta a conoscenza di tale violazione dei dati presunta o confermata;
b) fornire al Cliente informazioni che gli consentano di segnalare o informare gli Interessati della Violazione dei Dati, a seconda delle necessità;
c) avviare un’indagine su tale Violazione dei Dati e cooperare ragionevolmente con il Cliente, le autorità di regolamentazione e le forze dell’ordine;
d) non procedere ad alcun annuncio pubblico relativo a tale Violazione dei Dati senza la previa approvazione scritta del Cliente, che non sarà irragionevolmente negata; e
e) adottare tempestivamente ragionevoli azioni correttive per assistere nell’indagine, nell’attenuazione e nel rimedio di una Violazione dei Dati, per rimediare e ridurre il rischio che si ripeta tale Violazione dei Dati; e
v. 09.23.2022
xiv) sottoporsi alla scelta della giurisdizione stipulata nel Contratto per quanto riguarda eventuali controversie o reclami di qualsiasi tipo derivanti dal presente DPA, comprese le controversie relative alla sua esistenza, validità o risoluzione o le conseguenze della sua nullità; il presente DPA e tutti gli obblighi non contrattuali o di altro tipo derivanti da o in connessione con esso sono disciplinati dalla legge del paese o territorio stipulato a tal fine nel Contratto.
3.2 Le Parti non parteciperanno (né permetteranno ad alcun Sub-responsabile del trattamento di partecipare) ad altri Trasferimenti limitati di Dati Personali (sia come esportatore che come importatore dei Dati Personali) a meno che il Trasferimento limitato non avvenga nel pieno rispetto della Legge in vigore ed in conformità alle Clausole contrattuali tipo attuate tra il relativo esportatore e importatore dei Dati Personali.
3.3 Il Cliente autorizza Cepheid a nominare Sub-responsabili del trattamento (ed a consentire ad ogni Sub-responsabile nominato di nominare altri Responsabili del trattamento) ai sensi della Sezione 3.3 e in conformità ad eventuali restrizioni previste dal Contratto.
3.3.1 Con la presente, il Cliente esprime il proprio consenso generale affinché Cepheid utilizzi i Sub- responsabili già ingaggiati alla data del presente DPA, a condizione che Cepheid rimanga pienamente responsabile nei confronti del Cliente per tali terzi e, in ogni caso, non appena possibile, stipuli un accordo scritto e applicabile con tali terzi che includa termini che non siano meno restrittivi degli obblighi a carico di Cepheid ai sensi del presente DPA.
3.3.2 Cepheid conserverà un elenco dei suoi Sub-responsabili autorizzati che sarà messo a disposizione su richiesta.
4. Varie.
Se applicabili, le Clausole contrattuali tipo, compresi gli Allegati 1-4, disciplineranno e prevarranno in caso di conflitto o incoerenza tra i termini del presente DPA e le suddette Clausole.
v. 09.23.2022
Allegato 1
Descrizione del Trattamento dei Dati
Il presente Allegato 1 fa parte integrante del DPA e descrive il Trattamento che il Responsabile del trattamento eseguirà per conto del Titolare del trattamento.
Elenco delle Parti Responsabile del trattamento:
1. | Nome: | Cepheid, entità individuata nel Contratto |
Indirizzo: | Secondo quanto definito nel Contratto | |
Nome, posizione e recapiti del contatto: | Secondo quanto definito nel Contratto o tra le Parti | |
Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: | Descritte nel presente Allegato 1 | |
Ruolo: | Responsabile del trattamento |
Titolare del trattamento:
1. | Nome: | Cliente, entità individuata nel Contratto |
Indirizzo: | Secondo quanto definito nel Contratto | |
Nome, posizione e recapiti del contatto: | Secondo quanto definito nel Contratto o tra le Parti | |
Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: | Descritte nel presente Allegato 1 | |
Ruolo: | Titolare del trattamento |
Descrizione del trasferimento Oggetto del Trattamento
I Dati Personali sono trattati per le seguenti finalità:
Assistenza tecnica, ottimizzazione del flusso di lavoro (Programma Cepheid XpertCare), assistenza di alto livello, riduzione dei tempi di inattività del Cliente, risposta al feedback del Cliente, questioni normative, misurazione, analisi per il Cliente (visita nell’ambito del Programma Cepheid XpertCare – Specialisti di applicazioni sul campo), verifica della connettività (risoluzione dei problemi, implementazione / LIS (Sistema Informativo del Laboratorio)), sorveglianza post-market, audit
Durata del Trattamento
I Dati Personali saranno trattati:
Programma Cepheid XpertCare, analisi per il Cliente: per tutto il tempo necessario ad adempiere agli scopi e a fornire i servizi richiesti ai sensi del Contratto, a meno che non sia stato concordato diversamente per iscritto
Assistenza tecnica, assistenza di alto livello, riduzione dei tempi di inattività del Cliente, risposta al feedback del Cliente, questioni normative, misurazione, verifica della connettività: fino alla risoluzione del problema Tutti i dati possono essere archiviati ai fini della sorveglianza post-market o di audit per il periodo di conservazione definito dal Regolamento
Frequenza di trasferimento
I Dati Personali saranno trattati su base continuativa.
v. 09.23.2022
Natura del Trattamento:
Operazioni di Trattamento
I Dati Personali saranno soggetti alle seguenti attività di Trattamento basilari:
Registrazione, conservazione, consultazione, utilizzo, divulgazione mediante trasmissione, combinazione, restrizione, cancellazione o distruzione, anonimizzazione, pseudonimizzazione e secondo quanto stabilito ai sensi del Contratto.
Categorie di Interessati
I Dati Personali oggetto del Trattamento riguardano le seguenti categorie di Interessati: Pazienti del Cliente
Cliente e i suoi dipendenti
Categorie di Dati Personali
I Dati Personali oggetto del Trattamento riguardano le seguenti categorie di dati:
In base ai dati acquisiti dal Cliente nella console dello strumento e/o ricevuti dal Sistema Informativo del Laboratorio, possono essere trattati i seguenti dati per le diverse finalità sopra elencate: ID del campione, dati di telemetria dello strumento (temperatura, tensioni, pressione, notifiche e allarmi del sistema), risultati dei test, nome, cognome, ID del paziente (i dati possono includere categorie sensibili o speciali di dati personali)
Autorità competente
Sarà l’autorità di vigilanza (garante) dello Stato membro dell’UE in cui ha sede l’esportatore, la Commissione per le informazioni se l’esportatore ha sede nel Regno Unito (UK) o l’IFPDT se l’esportatore ha sede in Svizzera. Se l’esportatore non ha sede in uno Stato membro dell’UE, nel Regno Unito o in Svizzera, ma è soggetto alla legge sulla protezione dei dati dell’UE, del Regno Unito o della Svizzera, sarà l’autorità di vigilanza della giurisdizione in cui ha sede il rappresentante di Cepheid (ai sensi della legge sulla protezione dei dati europea, britannica o svizzera). Qualora non sia richiesta la nomina di un rappresentante in conformità alla legge UE/UK/Svizzera sulla protezione dei dati, in Francia l’autorità di vigilanza (garante) sarà la CNIL se le persone oggetto del trasferimento dei dati si trovano nell’UE, il Commissario all’Informazione se tali persone si trovano nel Regno Unito o l’IFPDT se si trovano in Svizzera. Se i Dati Personali provengono dal Canada, l’autorità di vigilanza sarà uno dei Commissari competenti in materia, come stabilito dalla legge in vigore sulla protezione dei dati.
v. 09.23.2022
Allegato 2
Descrizione delle misure tecniche ed organizzative implementate da Cepheid
Il presente Allegato 2 fa parte integrante del DPA e descrive le misure tecniche ed organizzative implementate da Cepheid in conformità all’articolo 32(1) del GDPR e di qualsiasi altra legge in vigore sulla protezione dei dati.
1- Sul posto:
Gli addetti di Cepheid possono utilizzare un’unità USB crittografata per estrarre i dati dallo strumento del Cliente necessari per risolvere i problemi tecnici e garantire le prestazioni dello strumento.
Per le visite di determinazione del Programma Cepheid XpertCare e di ottimizzazione delle performance, gli addetti di Cepheid accedono solo ai dati strettamente necessari, che non contengono alcuna informazione sullo stato di salute del paziente. I dati vengono trasferiti sul notebook dell’addetto, vengono elaborati per la generazione del report del Cliente con le relative raccomandazioni e vengono poi cancellati in conformità alle politiche operative standard e di conservazione dei dati di Cepheid.
2- Da remoto:
Accesso: solo gli addetti all’assistenza tecnica e all’assistenza sul campo di Cepheid dispongono di un accesso protetto agli strumenti.
Per l’assistenza remota relativa alla gestione dei reclami, gli agenti di Cepheid possono ricorrere a sessioni di condivisione del desktop da remoto (RDS), ma solo dopo averne ricevuto l’autorizzazione dal Cliente in qualsiasi caso.
Trasmissione dei dati: secondo la politica di Cepheid, i dati vengono trasmessi tramite un metodo sicuro e criptato ai server interni di Cepheid per consentire agli addetti di effettuare le attività di assistenza ai clienti (per garantire la sicurezza delle transazioni vengono utilizzati i protocolli TLS 1.2+).
3- Invio dei dati da parte del Cliente:
Invio via e-mail, su piattaforma web o via fax: i dati vengono inviati dal Cliente tramite un metodo sicuro e criptato a un addetto interno di Cepheid nella propria area geografica. Il Cliente, in qualità di Titolare del trattamento, è responsabile dell’anonimizzazione dei Dati Personali e del caricamento dei dati strettamente necessari prima del trasferimento a Cepheid (il software dello strumento Cepheid consente al Cliente di mascherare specifici Dati Personali e Dati sulla salute nel report dello strumento prima dell’esportazione).
4- Trasferimento di dati all’interno delle funzioni di supporto di Cepheid:
Se è necessaria un’assistenza supplementare al di fuori dell’area geografica di origine del Cliente, saranno trasmesse solo le informazioni necessarie, mentre i Dati Personali e i Dati sulla salute superflui saranno cancellati/anonimizzati ove possibile* e inviati tramite un metodo di condivisione sicuro. I Dati conservati sono criptati e distrutti in conformità alla relativa policy di assistenza clienti di Cepheid.
5- Policy e prassi:
Cepheid garantisce la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento dei dati. A tal fine, ha la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai servizi di assistenza e ai dati relativi alla gestione dei reclami nei propri sistemi in caso di incidente fisico o tecnico.
6- Processi:
Cepheid dispone di un processo per testare, valutare e misurare regolarmente l’efficacia delle misure tecniche e organizzative adottate allo scopo di garantire la sicurezza del trattamento.
v. 09.23.2022
* La procedura di de-identificazione/anonimizzazione è specifica dello strumento.
v. 09.23.2022
Allegato 3
Disposizioni sul trasferimento dei dati (UE, UK e Svizzera)
1. Laddove si consideri che le clausole SCC UE siano stipulate e integrate nel presente DPA per riferimento tra le Parti, saranno completate come segue:
(i) alla Clausola 7, si applicherà la clausola facoltativa di aggancio;
(ii) alla Clausola 9, si applicherà l’Opzione 2 e il termine per il preavviso delle modifiche del Sub-responsabile sarà quello stabilito nella Clausola 3.2 del presente DPA;
(iii) alla Clausola 11, non si applicherà la lingua opzionale;
(vi) si considera che l’Allegato I delle clausole SCC dell’UE sia stato completato; ( ) Parte A: con le informazioni di cui all’Allegato 1 del presente DPA;
(A) Parte B: con la relativa descrizione del trattamento di cui all’Allegato 1 del presente DPA; e
(B) Parte C: conformemente ai criteri di cui alla Clausola 13, lettera (a), delle clausole SCC UE;
(vii) Allegato II: con le Misure Minime di Sicurezza; e
2. Laddove si consideri che l’Addendum del Regno Unito sia stipulato e integrato nel presente DPA per riferimento tra le Parti, sarà completato come segue:
a. Le SCC UE, completate come sopra indicato alla clausola 1 del presente Allegato 3, si applicano anche ai trasferimenti di tali Dati Personali, fatta salva la sottoclausola 2.b del presente Allegato 3 di seguito;
b. Le Tabelle da 1 a 3 dell’Addendum del Regno Unito si considerano completate con le informazioni pertinenti delle SCC UE, debitamente completate come sopra indicato, e l’opzione “nessuna delle parti” si considera selezionata nella Tabella 4. La data di adozione dell’Addendum del Regno Unito (come indicato nella Tabella 1) è la Data di entrata in vigore.
v. 09.23.2022
a. Le SCC UE, completate come sopra indicato alla clausola 1 del presente Allegato 3, si applicano anche ai trasferimenti di tali Dati Personali, fatta salva la sottoclausola 3.b del presente Allegato 3 di seguito;
b. Le Clausole contrattuali tipo integrate per riferimento proteggeranno i Dati Personali delle persone giuridiche con sede in Svizzera fino all’entrata in vigore della LPD rivista.
v. 09.23.2022
Allegato 4
4.1 Requisiti supplementari per il trasferimento di Dati Personali al di fuori dello Spazio Economico Europeo
I seguenti requisiti supplementari sono applicabili a qualsiasi Trasferimento limitato:
1. Il Cliente metterà regolarmente a disposizione di Xxxxxxx le informazioni relative alle richieste di accesso ai Dati Personali da parte delle autorità pubbliche e le modalità di risposta fornite (se consentito dalla legge);
2. Il Cliente garantisce di non aver creato appositamente backdoor tecniche o processi interni allo scopo di facilitare l’accesso diretto delle autorità pubbliche ai Dati Personali, e di non essere obbligato dalla legge o dalla prassi in vigore a creare o mantenere backdoor;
3. Il Cliente dovrà informarsi presso qualsiasi autorità pubblica che inoltri una richiesta di accesso ai Dati Personali per sapere se sta collaborando con altre autorità statali in relazione agli stessi;
4. Il Cliente fornirà un’assistenza ragionevole agli interessati nell’esercizio dei loro diritti sui Dati Personali nella giurisdizione ricevente;
5. Il Cliente collaborerà con Xxxxxxx nel caso in cui un’autorità di vigilanza o un tribunale competente stabilisca che un trasferimento di Dati Personali debba essere soggetto a specifiche garanzie di salvaguardia supplementari;
6. Il Cliente dovrà implementare misure di crittografia e/o altre disposizioni tecniche sufficienti a proteggere ragionevolmente dall’intercettazione i Dati Personali durante il transito, o da altri accessi non autorizzati, da parte delle autorità pubbliche; e
7. Il Cliente dovrà disporre di politiche e procedure adeguate, compresa la formazione, affinché le richieste di accesso ai Dati Personali da parte delle autorità pubbliche siano indirizzate alla funzione preposta e gestite correttamente.
4.2 Requisiti supplementari per il trasferimento di Dati Personali al di fuori della Repubblica del Sudafrica
I seguenti requisiti supplementari sono applicabili al trasferimento di Dati Personali al di fuori della Repubblica del Sudafrica:
1. Il trasferimento di Xxxx Personali al di fuori del Sudafrica dovrà rispettare i seguenti parametri:
(A) la Parte che riceve le informazioni è soggetta ai requisiti di legge, nonché a norme aziendali vincolanti o a un accordo vincolante che fornisca un livello di protezione adeguato che:
1. sostenga effettivamente principi per un trattamento ragionevole delle informazioni che siano sostanzialmente analoghi alle condizioni per il trattamento legale delle informazioni personali relative a una persona interessata che sia una persona fisica e, laddove applicabile, una persona giuridica; e
2. includa disposizioni relative all’ulteriore trasferimento di informazioni personali dal destinatario a terzi che si trovano in un paese straniero;
(B) l’interessato acconsente al trasferimento;
(C) il trasferimento è necessario per l’adempimento di un contratto tra l’interessato e la parte responsabile, o per l’attuazione di misure precontrattuali adottate in risposta alla richiesta dell’interessato;
v. 09.23.2022
(D) il trasferimento è necessario per la conclusione o l’adempimento di un contratto stipulato nell’interesse dell’interessato tra la parte responsabile e un terzo; oppure
(E) il trasferimento è a beneficio dell’interessato, e:
1. non è ragionevolmente possibile ottenere il consenso dell’interessato a tale trasferimento; e
2. se fosse ragionevolmente possibile ottenere tale consenso, è probabile che l’interessato lo fornisca.
2. Ai fini della presente sezione:
(A) per “norme aziendali vincolanti” si intendono le politiche sul trattamento delle informazioni personali, all’interno di un gruppo di imprese, che sono rispettate da una parte responsabile o da un operatore all’interno di tale gruppo di imprese al momento del trasferimento di informazioni personali a una parte responsabile o a un operatore all’interno dello stesso gruppo di imprese in un paese straniero; e
(B) per “gruppo di imprese” si intende un’impresa controllante e le rispettive imprese controllate.
v. 09.23.2022