Condizioni d'uso di Linde Service Manager
Condizioni d'uso di Linde Service Manager
Linde Material Handling GmbH, Xxxx-xxx-Xxxxx-Xxxxx, 00000 Xxxxxxxxxxxxx, Xxxxxxxx (“LMH”) offre l'uso di “Linde Service Manager” (“Service”), un'applicazione software mobile, a determinati distributori (ognuno un “Distributore” e congiuntamente i “Distributori”), ognuno qualificato come imprenditore ai sensi dell'articolo 14 del Codice civile tedesco (“BGB”).
Il Service consente la raccolta e la combinazione di varie informazioni relative all'apparecchio di material handling e l'interazione con il backend dell'assistenza LMH mediante la rete dell'assistenza LMH (“LMH- Extranet”).
Soggetto ai termini e alle condizioni dell'LMH-Extranet (“TeCG dell'Extranet”), un Distributore può richiedere a LMH di registrare determinati clienti dei Distributori (ognuno un “Cliente” e congiuntamente i “Clienti”), ognuno qualificato come imprenditore ai sensi dell'articolo 14 del BGB, per ottenere l'accesso al Service per conto del Distributore e per consentire ad altre persone (ad esempio i collaboratori dei Clienti) di ottenere l'accesso al Service per conto del Cliente.
1. Generale
1.1. L'uso del Service è soggetto esclusivamente a questi termini e condizioni generali (“TeCG”). La versione corrente dei Termini e condizioni generali è reperibile all'indirizzo : xxxxx://xxx.xxxxx- xx.xxx/xx/Xxxxx-Xxxxx/Xxxxxxx-Xxxxxxxxx/. In caso di modifica di questi TeCG, tale modifica sarà pubblicata non più tardi di quattro settimane prima della rispettiva data di efficacia. Le modifiche diventeranno parte integrante dell'accordo tra LMH e il Distributore, consentendo l'uso del Service, a meno che il Distributore rifiuti tali modifiche.
1.2. Ogni persona che ha ottenuto l'accesso al Service tramite il Distributore (tra cui, a scanso di equivoci, il Cliente) o il Cliente in conformità ai TeCG dell'Extranet (ognuno un “Utente” e congiuntamente gli “Utenti”), agirà come delegato del Distributore ai sensi dei TeCG. Qualora il Distributore revochi o modifichi il diritto dell'Utente in tal senso, LMH avrà la facoltà di risolvere l'accordo con il Distributore per giusta causa e di impedire l'accesso al servizio agli Utenti.
1.3. Nessun altro termine e condizione generale, inclusi a titolo esemplificativo i termini e condizioni generali dei Distributori o dei Clienti, diventerà parte dell'accordo tra LMH e il Distributore per quanto riguarda il Service anche nel caso in cui LMH non rifiuti espressamente i termini e le condizioni generali presentati ad essa.
2. Conclusione del contratto e accesso generale al Service
2.1. Per poter accedere al Service, l'Utente deve usare le credenziali di accesso ottenute nel corso della registrazione nell'LMH-Extranet o attivare il Service mediante l'LMH-Extranet. L'accesso all'LMH-Extranet è soggetto ai TeCG dell'Extranet e, a scanso di equivoci, niente di quanto indicato nel presente consentirà al Distributore o all'Utente di accedere all'LMH-Extranet.
2.2. Accettando i TeCG (autonomamente o tramite il suo Utente), il Cliente accetta l'offerta di LMH di conclusione del presente accordo rispetto al Service.
3. Ambito del Service
3.1. L'Ambito del Service è descritto in maniera dettagliata all'indirizzo xxxxx://xxx.xxxxx- xx.xx/XXXXxxxx (“Ambito del Service”) unitamente ai termini del Service.
1/15
3.2. Fatto salvo quanto diversamente concordato, i servizi pertinenti che devono essere forniti da LMH devono rientrare nell'Ambito del Service ed essere forniti come servizi ai sensi dell'articolo 611 del BGB.
3.3. LHM avrà la facoltà di modificare l'Ambito del Service per motivi sostanziali, in particolare in caso di nuovi sviluppi tecnici, modifiche della giurisdizione rilevante o altri motivi comparabili. Nella misura in cui una modifica nell'Ambito del Service comprometta l'equilibrio contrattuale tra LMH e il Distributore, LMH si asterrà dall'attuare tale modifica. A parte gli scenari summenzionati, le modifiche all'Ambito del Service sono soggette al consenso del Distributore, che può essere concesso dall'Utente.
4. Obblighi di cooperazione
4.1. Gli obblighi di cooperazione dei Distributori o le condizioni per l'erogazione del Service (condizioni tecniche nonché configurazioni richieste) sono descritti in maniera dettagliata nell'Ambito del Service.
4.2. Il Distributore e i suoi Utenti devono cooperare a titolo gratuito. Qualora il Distributore o i suoi Utenti non cooperassero in maniera tempestiva o non cooperassero affatto, la fornitura del Service sarà posticipata di conseguenza.
5. Diritti di LMH
5.1. LMH potrà avvalersi di tutti i diritti relativamente al Service e alle informazioni corrispondenti allo stesso, comprese la sua configurazione, in particolare riguardo a diritti d'autore, invenzioni, database e diritti di proprietà tecnica. Lo stesso si applica ai dati sull'uso derivati dall'uso del Service da parte dell'Utente (“Dati sull'uso”) e a qualsiasi tipo di documentazione riguardante il Service fornita da LMH.
5.2. LMH userà i Dati sull'uso in forma anonima per fini aziendali.
6. Licenze
6.1. Le licenze dei Distributori al software standard (ove presenti) sono soggette ai termini rilevanti delle licenze stesse. Tale software può essere fornito al Distributore solo sulla base degli accordi di licenza con l'utente finale (EULA) o di accordi simili rilevanti. Il Distributore si accerterà che ogni Utente di tale software aderisca agli accordi di licenza rilevanti.
6.2. Fatto salvo quanto altrimenti previsto e soggetto al pagamento di eventuali tariffe previste per l'uso del Service, LMH concede al Distributore una licenza non esclusiva e non trasferibile all'uso del Service nel suo stato compilato (senza estensione al codice sorgente) per i fini aziendali dei Distributori e per la durata del presente accordo, e consente al Distributore (nell'ambito di tale licenza) di concedere all'Utente l'accesso all'uso del Service nella stessa maniera.
7. Responsabilità
7.3. Qualsiasi altra responsabilità di LMH sarà esclusa nella misura massima consentita.
8. Riservatezza
8.1. Il Distributore e i suoi Utenti tratteranno tutte le informazioni a loro fornite in maniera riservata. Al Distributore e ai suoi Utenti non sarà consentito trasmettere e/o duplicare qualsiasi informazione a loro fornita, fatto salvo quanto espressamente consentito da LMH. Le informazioni che erano già in possesso del Distributore e dei suoi Utenti non sono da considerarsi informazioni riservate ai fini della presente dichiarazione.
8.2. Qualora al Distributore e ai suoi Utenti fosse richiesto da tribunali, autorità o altri enti o istituzioni dotate di poteri speciali, o fosse altrimenti imposto per legge, di divulgare informazioni riservate, il Distributore e i suoi Utenti saranno tenuti a informare immediatamente LMH per consentirle di adottare le misure necessarie a impedire la divulgazione o di esimersi dall'obbligo di riservatezza ai sensi della presente dichiarazione. Nel caso in cui LMH non sia in grado di impedire la divulgazione, il Distributore e i suoi Utenti avranno il diritto di divulgare le informazioni riservate nella misura in cui, secondo il loro consulente legale, il Distributore e i suoi Utenti sono tenuti per legge a farlo, anche se non sono stati esonerati dall'obbligo di riservatezza.
9. Protezione dei dati
9.1. LMH aderirà a tutte le leggi in materia di protezione dei dati applicabili e, in particolare, tratterà qualsiasi dato personale in conformità a tali leggi.
9.2. Per quanto riguarda i dati personali forniti ad essa dal Distributore e dai suoi Utenti, LMH agirà come responsabile del trattamento ai sensi dell'Art. 4 del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati, “GDPR”) e tratterà tali dati personali in conformità con l'accordo sul trattamento dei dati concluso da LMH e dal Distributore relativamente al Service (“DPA”).
9.3. Il Distributore aderirà a qualsiasi legge sul trattamento dei dati applicabile alle sue attività come titolare del trattamento (ai sensi dell'Art. 4 del GDPR) in conformità con i TeCG e il DPA, in particolare rispetto all'accesso al Service da parte degli Utenti, e provvederà al trattamento legittimo dei dati personali forniti a LMH relativamente al Service, inclusi a titolo esemplificativo i dati personali degli Utenti.
10. Durata
La durata del presente accordo equivale alla durata del Service come descritta nell'Ambito del Service. Nel caso in cui nell'Ambito del Service non sia definita una durata specifica, LMH e il Cliente possono risolvere l'accordo in qualsiasi momento, soggetti a un preavviso di tre mesi alla fine di un anno solare. Ciò non influisce in alcun modo sul diritto di risolvere il contratto per giusta causa. Un motivo importante è rappresentato in particolare dal caso in cui
10.1. l'altra parte abbia violato una disposizione essenziale del presente contratto e non abbia posto rimedio a tale violazione entro un periodo di tempo ragionevole indicato dall'altra parte,
10.2. il DPA sia risolto o cessi a causa di qualsivoglia motivo,
11. Diritto e foro competente
Al presente contratto viene applicato il diritto tedesco. Sono escluse la Convenzione delle Nazioni Unite sui contratti per la vendita internazionale di beni mobili (CISG) e l'applicazione delle disposizioni sul conflitto di legge. Il foro competente in caso di controversie tra LMH e il cliente rispetto al presente contratto è Aschaffenburg.
Ultima revisione: 10-2018
Accordo sul trattamento dei dati (“Accordo”) rispetto a Linde Service Manager
Questo Accordo si riferisce ai termini e alle condizioni generali di “Linde Service Manager” (“TeCG”). Qualsivoglia termine in maiuscolo usato ma non definito nel presente avrà il significato attribuito ad esso nei TeCG.
Il Distributore (“Cliente” o “Titolare del trattamento”), rappresentato dall'Utente, e LMH (“Responsabile del trattamento” e insieme al Titolare del trattamento, le “Parti”) concludono il presente Accordo per il trattamento dei dati personali relativamente al Service. Il presente Accordo regola gli obblighi sulla protezione dei dati delle Parti in rapporto alla protezione dei dati personali del Cliente.
1. Definizioni
Nel presente Accordo, i termini seguenti hanno i significati indicati qui sotto:
1.1. “Responsabile del trattamento”: una persona fisica o giuridica, un'autorità pubblica, un ente o un altro organismo che si occupa del trattamento dei dati personali per conto del Responsabile del trattamento.
1.2. “Terzo”: una persona fisica o giuridica, un'autorità pubblica, un ente o un organismo diverso dall'interessato, dal titolare del trattamento, dal responsabile del trattamento e dalle persone che, sotto l'autorità diretta del titolare o del responsabile del trattamento, è autorizzata a trattare i dati personali.
1.3. “Dati personali”: qualsiasi informazione relativa a una persona fisica identificata o identificabile (“Interessato”); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare attraverso un identificatore come un nome, un
numero identificativo o uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica.
1.4. “Pseudonimizzazione”: il trattamento dei dati personali effettuato in modo tale che i dati personali non possono più essere attribuiti a un Interessato specifico senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative tali da garantire che i dati personali non siano attribuibili a una persona fisica identificata o identificabile.
1.5. “Titolare del trattamento”: la persona fisica o giuridica, l'autorità pubblica, l'ente o l'organismo che, da sola o congiuntamente ad altri, determina i fini e i mezzi del trattamento dei dati personali; nei casi in cui i fini e i mezzi di tale trattamento sono determinati dalla legge dell'Unione o degli Stati Membri, il titolare del trattamento o i criteri specifici per la sua nomina possono essere stabiliti dalla legge dell'Unione o degli Stati Membri.
1.6. “Trattamento”: qualsiasi operazione o insieme di operazioni effettuata sui dati personali o su insiemi di dati personali, mediante o meno mezzi automatici, quale acquisizione, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, disseminazione o messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
1.7. “Violazione dei dati personali”: una violazione della sicurezza che causa la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o in altro modo trattati.
1.8. “Accordo principale”: l'accordo concluso tra LMH e il Distributore relativamente ai Servizi,
specificato nei TeCG.
2. Oggetto e durata del presente accordo
2.1. Il presente Accordo regola gli obblighi del Responsabile del trattamento rispetto ai Dati personali del Cliente trattati dal Responsabile del trattamento per conto del Cliente.
2.2. Le disposizioni del presente Accordo non si applicano qualora e nella misura in cui, in conformità con l'incarico, il Responsabile del trattamento non sia tenuto a svolgere attività di trattamento dei dati rispetto ai Dati personali del Cliente. In questo caso il Cliente si assicurerà che i suoi Dati personali siano protetti in maniera appropriata dal Responsabile del trattamento.
2.3. Il Cliente determinerà se il Trattamento è legale e si assicurerà che i diritti degli interessati siano protetti.
2.5. Nonostante la disposizione contenuta nel paragrafo 2.4, le Parti possono risolvere il presente Accordo per giusta causa. Qualora la causa sia correlata alla violazione di un obbligo previsto dall'Accordo, la risoluzione è consentita solo dopo il termine di un periodo specificato per porre rimedio alla violazione senza che sia stato posto rimedio alla violazione o dopo che un avvertimento fornito non abbia sortito alcun effetto. La giusta causa per il Responsabile del trattamento dei dati si ha in particolare nel caso in cui
2.5.1. Il Cliente fornisca ripetutamente istruzioni illegali senza revocarle nonostante il Responsabile abbia informato prontamente il Cliente di ciò;
2.5.2. Il Cliente abbia violato le disposizioni del presente Accordo;
2.5.3. Il Cliente si sia opposto all'ingaggio di un subappaltatore ai sensi del presente Accordo.
Inoltre, i termini dell'Accordo principale devono applicarsi mutatis mutandis al presente Accordo.
3. Natura, ambito e luogo del trattamento
3.1. Il Responsabile del trattamento è autorizzato ad accedere ai Dati personali del Cliente per poter fornire i servizi ai sensi dell'Accordo principale nella misura descritta nell'Appendice 1. Le disposizioni del presente Accordo non estendono in alcun modo gli obblighi del Responsabile del trattamento, ma li descrivono in modo più dettagliato. Il presente Accordo regola anche gli obblighi del Cliente.
3.2. Il Cliente può fornire istruzioni che specificano in maniera più dettagliata gli obblighi del Responsabile del trattamento.
3.3. Al Responsabile del trattamento non è consentito usare i Dati personali per fini diversi da quelli descritti nell'Accordo principale e nel presente Accordo e, in particolare, non è consentito, senza istruzioni esplicite precedenti del Cliente, trasmettere i Dati personali a terzi o ad altri destinatari, fatto salvo quanto altrimenti specificato nel presente Accordo.
3.4. Il Trattamento ai sensi del presente Accordo è limitato al territorio dell'Unione europea e del SEE, fatto salvo quanto altrimenti specificato negli Allegati al presente Accordo.
4. Istruzioni del Cliente, diritti degli Interessati, valutazione dell'impatto della protezione dei dati
4.1. Il Cliente, mediante le istruzioni, ha la facoltà di specificare o aggiornare la natura, l'ambito e il metodo di trattamento dei dati, delle misure di sicurezza, dei Dati personali da trattare e dei gruppi di interessati. Ciò si applica principalmente ai casi in cui un ente regolatore o eventuali modifiche legislative obblighino o richiedano al Cliente di fornire delle istruzioni. Qualora un Interessato contatti direttamente il Responsabile del trattamento, il Responsabile del trattamento è tenuto a informare tempestivamente il Cliente per iscritto richiedendo istruzioni su come procedere.
4.2. Se il Cliente effettua una valutazione sull'impatto della protezione dei dati, il Responsabile del trattamento deve fornirgli assistenza nella misura massima possibile, anche in merito a eventuali consultazioni precedenti con l'ente regolatore competente.
4.3. Le istruzioni del Cliente sono limitate all'attuazione delle disposizioni giuridiche o normative della legge sulla protezione dei dati, e devono essere distinte dalle richieste di modifica. Le richieste di modifica si riferiscono alle modifiche all'ambito dei servizi che non sono richieste al fine di attuare disposizioni giuridiche o normative o che vanno oltre le misure necessarie per attuare tali disposizioni. Non sono istruzioni nel senso usato nel presente Accordo, ma richieste di modifica dei servizi effettuate dal Cliente. Il Responsabile del trattamento ha la facoltà, ma non l'obbligo, di adottare tali richieste di modifica. L'adozione di tali richieste di modifica sarà remunerata separatamente.
4.4. Il Cliente fornirà le istruzioni sempre per iscritto, via fax o via e-mail. Il Cliente confermerà tempestivamente qualsiasi istruzione fornita verbalmente, in via eccezionale, per iscritto o in forma testuale.
4.5. Il Responsabile del trattamento informerà prontamente il Cliente per iscritto qualora ritenga che un'istruzione fornita dal Cliente violi le disposizioni in materia di protezione dei dati o sia, in maniera non trascurabile, errata, incompleta, contraddittoria o impraticabile dal punto di vista tecnico o legale. Al momento di fornire tale informazione, il Responsabile del trattamento richiederà espressamente per iscritto al Cliente di decidere prontamente se desidera che il Responsabile del trattamento agisca in maniera conforme all'istruzione o continui a trattare i Dati personali senza seguire l'istruzione fintanto che il Cliente avrà rivisto l'informazione e avrà preso una decisione in merito.
5. Obblighi di fornitura di informazioni del Responsabile del trattamento
5.1. In caso di Violazione dei dati personali, il Cliente potrebbe avere l'obbligo di segnalare tale violazione. Il Responsabile del trattamento dovrà informare il Cliente qualora sospetti o sia a conoscenza (in maniera più che trascurabile) di una violazione della protezione dei Dati personali del Cliente da parte del Responsabile del trattamento o delle persone che operano sotto la supervisione del Responsabile del trattamento.
5.2. Il Cliente potrà richiedere al Responsabile del trattamento di adottare tutte le misure ragionevoli e necessarie per assistere il Cliente nell'adempimento agli obblighi di segnalazione.
6. Obblighi del Cliente
6.1. Il Cliente è tenuto a informare prontamente il Responsabile del trattamento nel caso in cui riscontri la presenza di errori o irregolarità durante il controllo dei risultati del servizio fornito.
6.2. Il Cliente deve accertarsi che, sia prima dell'inizio del trattamento dei dati che dopo, siano rispettate le misure tecniche e organizzative adottate presso il Responsabile del trattamento. Il risultato di tali controlli deve essere documentato.
6.3. Il Cliente è tenuto a conformarsi agli obblighi derivanti dagli Artt. 33 e 34 del Regolamento generale sulla protezione dei dati dell'UE nei confronti dell'ente regolatore o di qualsiasi interessato coinvolto in una Violazione dei dati personali.
6.4. Il Cliente è tenuto a comunicare al Responsabile del trattamento le disposizioni per la cancellazione e la conservazione dei Dati personali e per l'attuazione di tali disposizioni.
7. Responsabile della protezione dei dati
7.1. Il Responsabile del trattamento ha nominato un Responsabile della protezione dei dati (“DPO”). Di seguito sono indicati i dati di contatto: xxxxxxxxxxx@xxxxxxxxx.xxx. Il Responsabile del trattamento deve comunicare al Cliente eventuali modifiche o modifiche imminenti in tal senso.
7.2. Il cliente ha nominato un responsabile della protezione dei dati, o, nella misura in cui il Cliente non sia tenuto a nominare un responsabile della protezione dei dati e non lo abbia fatto, fornirà al Responsabile del trattamento il nominativo di un collaboratore del Cliente che si sia fatto carico degli obblighi e delle responsabilità previste per un responsabile della protezione dei dati. Il Cliente comunicherà al Responsabile del trattamento eventuali modifiche o modifiche imminenti in tal senso, senza che gli sia appositamente richiesto dal Responsabile del trattamento.
7.3. Qualora il Cliente sia tenuto a nominare un rappresentante ai sensi dell'Art. 27 del Regolamento generale sulla protezione dei dati, comunicherà al Responsabile del trattamento l'identità di tale rappresentante. Il Cliente comunicherà al Responsabile del trattamento eventuali modifiche o modifiche imminenti in tal senso, senza che gli sia appositamente richiesto dal Responsabile del trattamento.
8. Persone sotto la supervisione del Responsabile del trattamento
8.1. Nell'esecuzione del trattamento dei dati ai sensi dei termini del presente Accordo, il Responsabile del trattamento dovrà avvalersi esclusivamente di persone di cui possa essere documentata la riservatezza e che siano state previamente rese edotte sulle disposizioni obbligatorie in materia di protezione dei dati applicabili nei loro confronti e di quelli delle attività di trattamento da eseguire per conto del Cliente.
8.2. Il Responsabile del trattamento si accerterà che tutte le persone sotto la sua supervisione che abbiano accesso ai Dati personali del Cliente trattino tali Dati personali esclusivamente nel rispetto dell'ambito e in conformità alle istruzioni fornite dal Cliente e alle disposizioni del presente Accordo. La sola eccezione alla disposizione soprastante riguarda casi individuali di
attività di trattamento, in particolare trasmissioni di dati, che il Responsabile del trattamento o le persone sotto la sua supervisione sono espressamente tenute a eseguire su richiesta di un tribunale o di un ente regolatore sulla base di una disposizione normativa. Nella misura consentita dalla legge, il Responsabile del trattamento è tenuto a informare il Cliente di tali ordinanze, preferibilmente prima della trasmissione di qualsiasi Dato personale.
9. Principi per il trattamento sicuro
9.1. Prendendo in considerazione la tecnologia attualmente disponibile, i costi di attuazione e la natura, l'ambito, le circostanze e i fini del Trattamento dei dati stipulato con il Cliente, nonché la probabilità e la gravità potenziale del rischio di violazione dei diritti e della libertà delle persone (analisi del rischio), il Responsabile del trattamento dovrà adottare le misure tecniche e organizzative necessarie a garantire la protezione appropriata dei Dati personali.
9.2. Al momento di stabilire il livello di sicurezza appropriato, il Responsabile del trattamento dovrà considerare i rischi inerenti al trattamento dei Dati personali del Cliente, incluso a titolo esemplificativo il rischio di distruzione imprevista o illegale, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato ai Dati personali del Cliente.
9.3. Il Responsabile del trattamento è tenuto ad aggiornare e adattare le misure tecniche e organizzative al suo piano di sicurezza per tenere conto dei cambiamenti alla tecnologia disponibile, sebbene tali misure non devono scendere al di sotto del livello di sicurezza e protezione specificato nel presente Accordo.
9.4. Il Responsabile del trattamento deve documentare le misure tecniche e organizzative ai sensi del presente Accordo in maniera dettagliata nell'Allegato del presente Accordo. Il Responsabile del trattamento deve tenere aggiornata la documentazione e segnalare eventuali modifiche materiali.
9.5. Le misure tecniche e organizzative indicate nell'Allegato del presente Accordo devono essere approvate e necessarie al momento della conclusione del contratto; rappresentano tutti i requisiti che il Responsabile del trattamento è tenuto a soddisfare.
9.6. Il Cliente è tenuto a rivedere le misure tecniche e organizzative sulla base dell'analisi del rischio da lui condotta. Il Cliente ha la responsabilità di assicurarsi che le misure tecniche e organizzative offrano un livello di protezione dei dati che sia commensurato ai rischi dei Dati personali da trattare. Qualora l'analisi del rischio condotta dal Cliente generi un risultato che differisce dall'analisi del rischio condotta dal Responsabile del trattamento, il Cliente ha la facoltà di trovare un accordo con il Responsabile del trattamento per la regolazione delle misure di sicurezza. Nel caso in cui le Parti non siano in grado di trovare un accordo, hanno il diritto di risolvere l'Accordo con un preavviso di 14 giorni.
10. Controlli
00.0.Xx Cliente ha la facoltà di verificare la performance dei servizi forniti dal Responsabile del trattamento rispetto ai Dati personali del Cliente e la conformità alle disposizioni del presente Accordo, incluse a titolo esemplificativo, le misure tecniche e organizzative adottate per garantire la sicurezza del trattamento.
00.0.Xx richiesta, il Responsabile del trattamento deve fornire al Cliente prove dell'adozione delle misure di sicurezza tecniche e organizzative. Tra queste sono incluse
− prova della conformità ai codici di condotta approvati ai sensi dell'Art. 40 del Regolamento generale sulla protezione dei dati o
− certificazione in conformità con una procedura di certificazione approvata ai sensi dell'Art. 42 del Regolamento generale sulla protezione dei dati o
− auto-valutazione qualificata da parte di un terzo indipendente (come DPO, auditor, auditor esterni per la protezione/sicurezza dei dati) per iscritto o
− certificazione appropriata mediante un audit sulla protezione dei dati o della sicurezza IT (es. ISO 27001).
Tale prova deve contenere tutte le informazioni necessarie per dimostrare la conformità agli obblighi previsti ai sensi del presente Accordo e l'adozione delle misure tecniche e organizzative rilevanti, necessarie per garantire la sicurezza del trattamento. Il Cliente può richiedere tali informazioni una volta ogni anno solare e a intervalli più brevi solo in caso di sospetto legittimo di una violazione da parte del Responsabile del trattamento del presente Accordo, del quale il Cliente deve informare il Responsabile del trattamento per iscritto.
00.0.Xx Cliente ha la facoltà di verificare la conformità al presente Accordo, in particolare la conformità alle norme di sicurezza previste per il trattamento, effettuando ispezioni preannunciate presso le sedi aziendali del Responsabile del trattamento durante i normali orari di apertura (9:00 - 18:00) una volta ogni tre anni o facendo effettuare tali controlli da un auditor esterno soggetto a obblighi di non divulgazione legali o contrattuali. Il Cliente deve fornire un preavviso scritto di due settimane per tali ispezioni. Tale restrizione nei confronti del Cliente non si applica nei casi di emergenza (ad esempio se sussiste un sospetto più che trascurabile di violazioni del presente Accordo da parte del Responsabile del trattamento); il Cliente non deve inviare un preavviso scritto al Responsabile del trattamento in tali casi.
11. Subappaltatori
11.1.Qualora e nella misura in cui tale Responsabile del trattamento abbia il diritto sulla base di un accordo esplicito concluso con il Cliente di ingaggiare ulteriori responsabili del trattamento (subappaltatori), e nel caso in cui la possibilità che tali subappaltatori abbiano accesso ai Dati personali del Cliente non possa essere esclusa, il Responsabile del trattamento ha la facoltà di ingaggiare esclusivamente tali subappaltatori e pertanto di consentire l'accesso ai Dati personali del Cliente purché abbia comunicato al Cliente per iscritto i dettagli descritti nel paragrafo seguente e abbia offerto al Cliente la possibilità di opporsi, e il Cliente non si sia opposto entro il periodo stipulato.
11.2.Le informazioni che il Responsabile del trattamento è tenuto a fornire come detto sopra devono almeno includere quanto indicato qui sotto in maniera specifica e dettagliata:
11.2.1. Identità del subappaltatore
11.2.2. Servizi specifici che il subappaltatore deve fornire al Responsabile del trattamento
11.2.3. L'esperienza, la capacità, l'affidabilità e le misure di sicurezza IT e protezione dei dati essenziali per la conformità agli obblighi in materia di protezione dei dati nel presente Accordo.
11.2.4. Le garanzie o assicurazioni del subappaltatore che si conformerà alle disposizioni del presente Accordo.
00.0.Xx Cliente ha diritto, entro sette giorni dalla ricezione delle informazioni suddette, di opporsi per iscritto all'ingaggio di un subappaltatore, a condizione che abbia un motivo legittimo per farlo. In caso di opposizione, il Responsabile del trattamento è tenuto ad adempiere al presente Accordo, e a fornire i servizi e adempiere ai suoi obblighi senza avvalersi di tale subappaltatore, pur continuando ad avere la facoltà di risolvere il presente Accordo.
11.4.Qualora e nella misura in cui a un subappaltatore sia consentito l'accesso ai Dati personali del Cliente, il Responsabile del trattamento è tenuto a concludere un accordo per il trattamento dei dati con il subappaltatore che impone a quest'ultimo gli obblighi definiti nel presente Accordo. Tale accordo deve essere concluso prima che il subappaltatore abbia accesso ai Dati personali del Cliente.
12. Restituzione e cancellazione
00.0.Xx Responsabile del trattamento è tenuto, dopo la risoluzione del presente Accordo o prima, se richiesto dal Cliente, a restituire o consegnare tutti i Dati personali del Cliente.
12.2.I dettagli degli obblighi di cancellazione dei dati possono essere aggiunti nell'Appendice del presente Accordo e, ove applicabile, mediante istruzioni esplicite da parte del Cliente. Il Responsabile del trattamento non è tenuto ad avere un piano di cancellazione. Il Responsabile del trattamento è tenuto a cancellare immediatamente dopo la risoluzione del presente Accordo o prima, se richiesto dal Cliente, tutti i Dati personali che non sono soggetti a un requisito di archiviazione o conservazione legale da parte del Responsabile del trattamento ai sensi della legge dell'UE o di uno Stato membro dell'UE, o a un accordo contrario esplicito che regoli l'archiviazione o la cancellazione dei Dati personali concluso con il Cliente. Il Responsabile del trattamento dovrà conservare documenti che attestino la cancellazione.
13. Costi sostenuti dal Responsabile del trattamento
Tutti i costi sostenuti dal Responsabile del trattamento o dai subappaltatori durante il trattamento dei Dati personali per conto del Cliente ai sensi del presente Accordo, e in particolare quelli sostenuti sulla base di
13.1. un obbligo a rispondere alle richieste dell'interessato secondo le istruzioni del Cliente, che in particolare implichino la correzione, cancellazione o limitazione dei Dati personali o la restituzione dei Dati personali al Cliente e, ove applicabile, la trasmissione dei dati (portabilità) o la fornitura di assistenza in tali misure,
13.2. un obbligo a fornire assistenza durante la valutazione dell'impatto della protezione dei dati,
13.3. la conformità o l'attuazione delle istruzioni del Cliente,
13.4. l'obbligo a fornire assistenza nell'adempimento alle disposizioni di divulgazione delle informazioni all'ente regolatore o agli interessati,
13.5. la produzione di un'auto-valutazione qualificata,
13.6. le ispezioni in loco effettuate dal Cliente o da auditor (esterni) ingaggiati dal Cliente, a condizione che tale ispezione abbia identificato criticità considerevoli; l'onere della prova in tal caso ricade sul Cliente,
13.7. costi aggiuntivi per misure tecniche e organizzative adottate al fine di garantire la sicurezza del trattamento, ove tali misure sono adottate come conseguenza ad analisi del rischio discordanti delle Parti,
13.8. conformità agli obblighi di restituzione o cancellazione dei Dati personali,
saranno rimborsati separatamente al Responsabile del trattamento sulla base di tariffe orarie applicate nel mercato. Il Responsabile del trattamento dovrà conservare documenti attestanti i costi e le spese sostenute.
14. Modifiche al presente Accordo
Qualora il Responsabile del trattamento sia tenuto per legge ad adottare modifiche ed emendamenti, il Cliente è tenuto a supportarli e approvarli.
15. Responsabilità
15.1. Nel caso in cui un interessato e/o un terzo intentino un'azione legale nei confronti del Responsabile del trattamento relativamente alle attività di trattamento dei dati condotte dal Responsabile del trattamento per conto del Cliente, il Cliente è tenuto a manlevare il Responsabile del trattamento e a farsi carico dei costi legali, dei danni e/o delle sanzioni associati ai sensi del diritto amministrativo o penale.
15.2. La disposizione soprastante non si applica nel caso in cui il Responsabile del trattamento non si sia conformato agli obblighi a lui spettanti ai sensi del Regolamento generale sulla protezione dei dati o non si sia conformato alle istruzioni legalmente fornite dal Cliente o abbia agito in maniera contraria a tali istruzioni.
15.3. I limiti alla responsabilità concordati tra il Cliente e il Responsabile del trattamento in favore del Responsabile del trattamento delineati nell'Accordo principale, si applicano anche alla responsabilità del Responsabile del trattamento per le attività di trattamento dei dati previste nel presente Accordo.
Appendice
I. Categorie degli Interessati
- Clienti
- Altri: distributori, partner della rete
II. Tipi di dati
- Dati personali principali
- Dati sulla comunicazione principali
- Cronologia del cliente
III. Ambito del trattamento
I requisiti principali del Cliente sono indicati qui sotto:
Creazione ed elaborazione di notifiche e richieste di assistenza
IV. Luogo del trattamento dei Dati personali
SEE
V. Sistemi usati per il trattamento, tra cui importazione ed esportazione di dati personali da altri sistemi
Linde Global Extranet, SAP Netweaver Gateway, SAP ERP e altri sistemi ERP dei nostri distributori, OneSignal Mobile Push Notifications
VI. Misure di sicurezza tecniche e organizzative adottate dal Responsabile del trattamento
Adozione di misure tecniche e organizzative
a. Riservatezza (Art. 32 (1) GDPR)
(1) Controllo dell'accesso (stabilimenti)
- Sistema di allarme
- Controllo automatico dell'accesso
- Blocchi di sicurezza
- Videosorveglianza degli ingressi
- Controllo chiavi/Elenco
- Reception/Portineria
- Elenco visitatori
- ID del collaboratore/visitatore
- Visitatori accompagnati da un collaboratore
(2) Controllo dell'accesso (sistemi)
- Login con nome utente e password
- Antivirus server
- Antivirus client
- Firewall
- Sistemi di rilevamento delle intrusioni
- Gestione dei dispositivi mobili
- Uso di VPN per l'accesso remoto
- Crittografia dei sistemi di storage dei dati
- Crittografia degli smartphone
- Protezione BIOS (password separata)
(3) Controllo dell'accesso (dati)
- Gestione dei diritti degli utenti
- Creazione di profili degli utenti
- Linee guida "Password sicure"
- Linee guida "Eliminazione/Distruzione"
- Linee guida generali per la protezione dei dati e/o la sicurezza dei dati
- Manuale "Blocco manuale del desktop"
- Corsi di formazione frequenti per i collaboratori
- Uso di uno schema di autorizzazione
- Gestione dei diritti degli utenti da parte degli amministratori
(4) Controllo della separazione
Separazione dell'ambiente di produzione e di prova
(5) Pseudonimizzazione (Art. 32 (1) GDPR; Art. 25 (1) GDPR)
n/d
b. Disponibilità e resilienza (Art. 32 (1) GDPR)
- Rilevatori di fiamme e fumo
- Estintori nella sala server
- Controllo della temperatura e dell'umidità nella sala server
- Sala server climatizzata
- Sistema UPS
- Multipresa di sicurezza nella sala server
- Sistema RAID/Mirroring del disco rigido
- Videosorveglianza nella sala server
- Segnale di allarme in caso di accesso non autorizzato nella sala server
- Concetto di backup e recupero (scritto)
- Controllo del backup
- Nessun apparecchio sanitario all'interno o sopra la sala server
- Esistenza di un piano di emergenza (iE BSI IT-Grundschutz 100-4)
- Partizioni separate per l'uso di sistemi e dati
c. Integrità (Art. 32 Par. 1 GDPR)
- I dati personali possono essere modificati solo dagli amministratori
- Fornitura di collegamenti crittografati come sftp e https
- Registrazione degli accessi e dei recuperi
- Panoramica dei processi regolari di recupero e trasmissione
- Personale selezionato accuratamente
d. Procedura per verifica, esame e valutazione regolari (Art. 32 (1) GDPR; Art. 25 (1) GDPR)
(1) Gestione della protezione dei dati
- Certificazione di sicurezza di ISO 27001
- L'efficacia delle misure di sicurezza tecniche è verificata almeno una volta all'anno
- I collaboratori sono formati e tenuti a mantenere la riservatezza
(2) Gestione della risposta agli incidenti
- Uso di un firewall e aggiornamento regolare
- Uso di filtri antispam e aggiornamento regolare
- Uso di scansioni antivirus e aggiornamento regolare
- Sistema di rilevamento delle intrusioni (IDS)
- Sistema di prevenzione delle intrusioni (IPS)
Protezione dei dati per impostazione predefinita (Art. 25 (2) GDPR)
- La quantità di dati personali è limitata a quanto necessario per i fini per cui sono trattati