APPENDICE ALLA NORMATIVA SULLA PROTEZIONE DEI DATI (GDPR)
APPENDICE ALLA NORMATIVA SULLA PROTEZIONE DEI DATI (GDPR)
Questa Appendice alla Normativa sulla Protezione dei Dati ("Appendice") è parte integrante dell'EUSA ("Contratto") tra (i) Avetta, LLC ("Avetta") e Voi, ciascuno dei cui soggetti costituisce una "Parte", e che vengono definiti collettivamente le "Parti".
Con la presente, le Parti acconsentono al fatto che i termini e le condizioni sotto indicati siano da considerarsi un'Appendice al Contratto, e che i riferimenti al Contratto contenuti in questa Appendice, che diventa a sua volta parte integrante del Contratto, valgano come rettifiche al Contratto.
1. Definizioni
1.1 In questa Appendice, i seguenti termini avranno i significati sotto specificati, e i termini affini dovranno essere costruiti di conseguenza:
(a) "Data di entrata in vigore dell'Appendice" ha il significato che le è attribuito nella sezione 2;
(b) "Affiliata" significa un'entità che possiede o controlla, è posseduta o controllata da, o è comunemente sotto controllo o di proprietà Vostra o di Avetta (in base a come specificato dal contesto), laddove "controllo" è definito come il possesso, diretto o indiretto, del potere di dirigere o indicare la direzione della gestione e degli aspetti normativi dell'entità, tramite il possesso di azioni con diritto di voto, per contratto, o in altro modo;
(c) "Dati Personali" significa qualsiasi Dato Personale trattato da Avetta (i) per conto di Voi o di un'Affiliata, oppure (ii) altrimenti trattato da Avetta, in ciascun caso in accordo o in connessione con le istruzioni da Voi fornite per iscritto, in forma coerente con il Contratto;
(d) "Leggi sulla Protezione dei Dati" fa riferimento alla Direttiva 95/46/EC e, dal 25 maggio 2018, al Regolamento dell'Unione Europea 2016/697 ("GDPR"), insieme alle leggi in vigore che implementano o integrano il medesimo o relative in altra modalità all'elaborazione di Dati Personali di persone fisiche, assieme alle indicazioni vincolanti e ai codici di comportamento emessi di volta in volta dalle autorità di supervisione competenti;
(e) "Protezione della Privacy" fa riferimento all'accordo tra UE e USA per la difesa della privacy, e/o all'accordo per la difesa della privacy tra Svizzera e USA; e
(f) "Servizi" significa i servizi che saranno forniti da Avetta a Voi e/o alle vostre Affiliate in ottemperanza al Contratto.
1.2 I termini "Controllore", "Soggetto dei Dati", "Dati Personali", "Violazione dei Dati Personali", "Trattamento" e "Titolare del Trattamento" hanno gli stessi significati specificati nelle Leggi sulla Protezione dei Dati, e i termini affini dovranno essere costruiti di conseguenza.
1.3 I termini con iniziale maiuscola non altrimenti definiti nella presente Appendice avranno i significati loro ascritti nel Contratto.
2. Stipula della presente Appendice
La presente Appendice è oggetto di accordo tra le Parti ed entra in vigore a partire dal 25 maggio 2018.
3. Ruoli delle Parti
Le Parti riconoscono e concordano sul fatto che, riguardo al Trattamento dei Dati Personali, e in base a quanto descritto con maggiore dettaglio nell'Allegato 1 qui accluso, Voi agirete in veste di Controllore e Avetta in veste di Titolare del Trattamento.
4. Descrizione del Trattamento dei Dati Personali
Nell'Allegato 1 alla presente Appendice, le parti hanno rispettivamente predisposto la loro comprensione dei dettagli del Trattamento dei Dati Personali che saranno Trattati da Avetta in ottemperanza alla presente Appendice, in base a quanto stabilito dall'Articolo 28(3) del GDPR. Ciascuna Parte comunicherà eventuali ragionevoli rettifiche all'Allegato 1 in forma scritta all'altra parte secondo quanto reso ragionevolmente necessario al fine di soddisfare tali requisiti. L'Allegato 1 non determina alcun obbligo né alcun diritto per nessuna delle Parti.
5. Termini del Trattamento dei Dati
5.1 Nel Trattamento dei Dati Personali, Xxxxxx agirà in conformità a tutte le Leggi sulla Protezione dei Dati in vigore e ha inoltre l'obbligo:
5.1.1 di trattare i Dati Personali solo in base alle istruzioni da Voi fornite in forma documentata, per gli scopi relativi alla fornitura dei Servizi e in base a quanto altrimenti richiesto al fine di rendere operativi tali obblighi in base al Contratto, inclusa la parte riguardante il trasferimento dei Dati Personali in un paese terzo al di fuori dell'Unione Europea o ad un'organizzazione internazionale (a meno che ciò non sia richiesto dall'Unione o da uno Stato Membro al quale Avetta è soggetta, nel qual caso Xxxxxx provvederà ad informare Voi [o l'Affiliata di competenza] del relativo requisito legale prima di procedere con tale Trattamento, a meno che la legge in oggetto non vieti tale informazione per importanti motivi di interesse pubblico);
5.1.2 di garantire che le persone autorizzate al trattamento dei Dati Personali si impegnino alla riservatezza o che siano soggette ad un adeguato obbligo statutario alla riservatezza;
5.1.3 di implementare e mantenere le misure di natura tecnica e organizzativa indicate nel Contratto sottoscritto mutualmente dalle parti
in ottemperanza all'Articolo 32 del GDPR, e riguardanti la valutazione dell'adeguato livello di sicurezza dei Dati Personali e i rischi presentati dal Trattamento, in particolare quelli derivanti da distruzione accidentale o illecita, perdita, alterazione, divulgazione e accesso non autorizzati, o danno a tali Dati Personali. Ogni rettifica alle misure qui concordate dalle parti che sia resa necessaria in seguito ad un cambiamento nella tipologia dei Dati Personali oggetto del Trattamento, o dei relativi rischi connessi al Trattamento, sarà gestita tramite una procedura di modifica concordata tra Avetta e Voi;
5.1.4 Con la presente, autorizzate in modo esplicito e specifico Xxxxxx a coinvolgere un altro Titolare del Trattamento ai fini del Trattamento dei Dati Personali ("Sotto-Titolare del Trattamento"), e, nello specifico, i Sott-Titolari elencati nell'Allegato 2 ivi incluso, fermo restando, da parte di Xxxxxx, l'obbligo a:
a. inviarVi notifica di ogni modifica volontaria al proprio ricorso ai Sotto-Titolari del Trattamento elencati nell'Allegato 2, trasmettendoVi indicazione della modifica volontaria tramite e-mail;
b. includere nei rispettivi accordi con ciascun Sotto-Titolare del Trattamento dei termini che siano materialmente assimilabili a quelli indicati nella presente Appendice; e
c. a continuare ad essere responsabile nei Vostri confronti di eventuali mancanze da parte di ciascun Sotto-Titolare del Trattamento, nel rispetto dei propri obblighi in relazione al Trattamento dei Dati Personali.
In relazione ad ogni notifica ricevuta in accordo a quanto indicato nella sezione 5.1.4 a., Avrete a disposizione un periodo di 30 (trenta) giorni dalla data di notifica per informare Xxxxxx per iscritto di eventuali ragionevoli obiezioni al ricorso al Sotto-Titolare in oggetto. Le parti, pertanto, per un periodo non superiore a 30 (trenta) giorni dalla data della Vostra obiezione, lavoreranno insieme in buona fede per cercare di trovare per Voi una ragionevole soluzione commerciale che consenta di evitare il ricorso al Sotto-Titolare oggetto di obiezione. Nel caso in cui non sia possibile trovare nessuna soluzione, ciascuna delle parti potrà (a prescindere da tutto ciò che, nel Contratto, offra indicazione contraria) interrompere immediatamente i Servizi rilevanti previa notifica scritta all'altra parte, senza incorrere in penali o obblighi d'indennizzo;
5.1.5 inviare a Voi [o all'Affiliata rilevante] notifica immediata di ogni comunicazione ricevuta da un Soggetto Dati e riguardante il Trattamento di Dati Personali, o ogni altra comunicazione (incluse quelle ricevute da un'autorità di supervisione) riguardanti eventuali obblighi stabiliti dalle Leggi sulla Protezione dei Dati nel rispetto dei Dati Personali, e, prendendo in considerazione la natura del Trattamento, assistere Voi [o l'Affiliata di competenza] con misure tecniche e
organizzative adeguate, nei limiti del possibile, a soddisfare pienamente l'obbligo da parte Vostra [o dell'Affiliata di competenza] a rispondere a richieste per l'esercizio dei diritti del soggetto dei dati, per come stabiliti dal Capitolo III del GDPR; Voi acconsentite a corrispondere ad Avetta un pagamento per il tempo in eccesso [due ore-persona] e per il rimborso delle spese sostenute da Avetta per ottemperare ai propri obblighi in base a quanto indicato nella presente Sezione 5.1.5;
5.1.6 inviare a Voi [o all'Affiliata di competenza] notifica senza eccessivo ritardo di ogni Violazione dei Dati Personali riguardante i Dati Personali, non appena Xxxxxx viene a conoscenza di una Violazione dei Dati Personali; tale notifica dovrà includere tutte le informazioni da Voi [o da una qualsiasi Affiliata] ragionevolmente richieste per ottemperare ai propri obblighi in base alle Leggi sulla Protezione dei Dati;
5.1.7 assistere Voi [e le Affiliate] nell'ottemperanza ai propri obblighi per come stabiliti dagli Articoli dal 32 al 36 del GDPR, prendendo in considerazione la natura del Trattamento e le informazioni disponibili ad Avetta; Voi acconsentite a corrispondere ad Avetta un pagamento per il tempo in eccesso per all'assistenza fornita in relazione agli Articoli 35 e 36 del GDPR;
5.1.8 interrompere il Trattamento dei Dati Personali alla scadenza o alla decadenza del Contratto, e, in base all'opzione da Voi scelta [o scelta dalla Vostra Affiliata di competenza] restituire o eliminare (inclusa la garanzia che tali dati siano in formato non recuperabile) tutte le copie dei Vostri Dati Personali Trattati da Avetta, a meno che (e solo per l'estensione di tale periodo) le leggi dell'Unione o di uno Stato Membro non richiedano la conservazione dei Dati Personali; e
5.1.9 rendere disponibili a Voi [e a tutte le Affiliate], previa richiesta e con costo a Vostro carico, tutte le informazioni necessarie a dimostrare la conformità alla presente Appendice e all'Articolo 28(3)(h) del GDPR, e consentire e contribuire attivamente ai controlli, incluse le ispezioni, da parte Vostra [o di una vostra Affiliata] o di un ispettore incaricato da Voi [o da una vostra Affiliata], con costo a Vostro carico.
6. Precedenza
Le disposizioni della presente Appendice integrano le disposizioni contenute nel Contratto. In caso di mancata coerenza tra le disposizioni della presente Appendice e le disposizioni del Contratto, prevarranno le disposizioni della presente Appendice.
IN FEDE DI CIÒ, la presente Appendice viene inclusa nel Contratto, diventandone parte vincolante, con effetto a partire dalla Data di Entrata in Vigore dell'Appendice.
Allegato 1: Descrizione del Trattamento dei Dati Personali
Il presente Allegato include alcuni dettagli del Trattamento dei Dati Personali in base a quanto stabilito dall'Articolo 28(3) del GDPR.
Esportatore dei dati
L'esportatore dei dati è (si prega di specificare brevemente le vostre attività pertinenti al trasferimento):
Avetta, per conto di sé medesima e delle proprie Affiliate, incluse le Affiliate aggiunte durante il periodo di validità dei termini del Contratto Principale. L'Esportatore dei Dati potrà inserire i Dati Personali durante l'utilizzo dei servizi web dell'Importatore dei Dati.
Soggetti di dati
I dati personali trasferiti riguardano le seguenti categorie di soggetti di dati (si prega di specificare):
L'Esportatore dei Dati potrà inviare i Dati Personali ai servizi web, oppure l'Importatore dei Dati potrà ricevere i Dati Personali durante la fornitura di prodotti e servizi, il cui ambito sarà stabilito da e sottoposto al controllo dell'esportatore dei dati, che potrebbe includere, senza limitazione, i Dati Personali relativi alle seguenti categorie di Soggetti di Dati:
1. Potenziali clienti, clienti effettivi, soci d'affari e fornitori degli Esportatori dei Dati;
2. Dipendenti attuali e passati, o persone di contatto dei potenziali clienti, dei clienti effettivi, dei soci d'affari e dei fornitori dell'Esportatore dei Dati;
3. Dipendenti, agenti, consulenti, collaboratori esterni o l'Esportatore dei Dati; e
4. Gli utenti dell'Esportatore dei Dati autorizzati ad utilizzare il servizio dall'Esportatore dei Dati stesso.
Categorie di dati
I dati personali trasferiti riguardano le seguenti categorie di dati (si prega di specificare):
L'Esportatore dei Dati potrà inviare i dati personali all'importatore dei dati per lo svolgimento dei Servizi, il cui ambito è stabilito da e soggetto al controllo dell'esportatore dei dati, e che potrebbe includere, senza limitazione, le seguenti categorie di Dati Personali:
(a) Nome e cognome;
(b) Titolo;
(c) Posizione lavorativa;
(d) Datore di lavoro;
(e) Informazioni di contatto (azienda, email, telefono, indirizzo della sede fisica di lavoro);
(f) Dati del documento d'identità;
(g) Dati relativi alla vita professionale;
(h) Dati relativi alla vita personale;
(i) Dati di connessione;
(j) Dati di localizzazione;
(k) Informazioni assicurative;
(l) Diversità e Pari Opportunità;
(m) procedure relative a sicurezza, incidenti e infortuni;
(n) programmi su droghe e alcol;
(o) guida e sicurezza dei veicoli;
(p) igiene industriale e salute dei dipendenti;
(q) responsabilità sociale dell'azienda, sostenibilità e temi ambientali;
(r) controllo qualità, certificazioni, brevetti, requisiti;
(s) dati fiscali;
(t) Requisiti finanziari e informazioni di fatturazione, quali indirizzo di fatturazione e nominativo, numero di carta di credito e numero di utenti.
Categorie speciali di dati (se appropriato)
I dati personali trasferiti riguardano le seguenti categorie speciali di dati (si prega di specificare):
L'Esportatore dei Dati dovrà inviare categorie speciali di dati ai servizi web (o l'Importatore dei Dati potrà ricevere categorie speciali di dati nel corso della fornitura di prodotti e servizi), il cui ambito è stabilito da e soggetto al controllo dell'esportatore dei dati.
Operazioni di Trattamento
I dati personali trasferiti saranno soggetti alle seguenti attività basilari di trattamento (si prega di specificare), tutte necessarie al fine di fornire i Servizi:
Le attività di trattamento includono la fornitura di servizi di hosting, software di manutenzione e servizi di supporto, servizi di formazione e di sviluppo all'Esportatore dei Dati in accordo con il contratto con l'Esportatore dei Dati e con le istruzioni da esso fornite.
Allegato 2: Lista dei Sotto-Titolari del Trattamento
Lista dei Sotto-Titolari del Trattamento | ||
Sotto-Titolari del Trattamento | Categoria | Scopo |
E3 Apprendimento | Applicazione in hosting di parte terza | Applicazione utilizzata per fornire un sistema di gestione dell'apprendimento e il tracciamento della conformità |
Overnite Software Inc | Applicazione in hosting di parte terza | L'applicazione utilizzata fornisce un sistema di gestione dell'apprendimento e il tracciamento della conformità |
File di Sicurezza | Applicazione in hosting di parte terza | Applicazione utilizzata per fornire credenziali e gestione della conformità |
Logi Analytics | Applicazione in hosting di parte terza | Applicazione utilizzata per fornire prodotti per la visualizzazione di dati interattivi per business intelligence e business analytics |
Netscribes | Agenzia a cui è stato concesso l'appalto | Consulenti per la fornitura di intelligence di mercato, ricerche di mercato, contenuti basati su ricerca e servizi di e-commerce |