ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI PER I SERVIZI OCLC PERSONAL DATA PROCESSING AGREEMENT FOR OCLC SERVICES
ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI PER I SERVIZI OCLC PERSONAL DATA PROCESSING AGREEMENT FOR OCLC SERVICES
Il presente accordo sul trattamento dei dati ("DPA") è stipulato tra OCLC B.V. ("OCLC" o "Responsabile del trattamento"), e "Cliente" o "Titolare" (congiuntamente "le Parti") a partire dalla data dell'ultima firma riportata di seguito. | This Data Processing Agreement (“DPA”) is entered into between OCLC B.V. (“OCLC” or “Processor”), and “Customer” or “Controller” (jointly “the Parties”) as of the date of last signature below. |
Cliente
Nome dell'organizzazione | |
Indirizzo | |
Telefono/Fax | |
Nota Contatto |
Il Cliente stipula il presente DPA per conto proprio e, in conformità alle leggi ed ai regolamenti sulla protezione dei dati applicabili, in nome e per conto delle proprie Affiliate Autorizzate, se e nella misura in cui OCLC tratta i dati personali per i quali tali Affiliate Autorizzate agiscono in qualità di Titolari del trattamento. OCLC stipula il presente DPA per contro proprio e in nome e per conto delle Affiliate OCLC che trattano i Dati Personali. Ai soli fini del presente DPA e salvo specifiche eccezioni, il termine: (i) "Cliente" o “Titolare” comprende il Cliente e le Affiliate Autorizzate; e (ii) “OCLC” o “Responsabile” indica OCLC o le relative Affiliate OCLC che effettua il trattamento dei Dati Personali in questione. Nel corso della fornitura al Cliente dei Servizi Compresi ai sensi del contratto di servizi esistente tra le parti (il "Contratto di Servizi"), OCLC può trattare i Dati Personali per conto del Cliente, e le Parti convengono di rispettare le disposizioni che seguono in relazione a qualsiasi Dato Personale, ciascuna agendo ragionevolmente e in buona fede. | Customer enters into this DPA on behalf of itself and, to the extent required under applicable Data Protection Laws and Regulations, in the name and on behalf of its Authorised Affiliates, if and to the extent OCLC processes Personal Data for which such Authorised Affiliates qualify as the Controller. OCLC enters into this DPA on behalf of itself and in the name and on behalf of those OCLC Affiliates that process Personal Data. For the purposes of this DPA only, and except where indicated otherwise, the term; (i) “Customer” or “Controller” shall include Customer and Authorised Affiliates; and (ii) “OCLC” or “Processor” shall mean OCLC or the relevant OCLC Affiliate that is undertaking the processing of the Personal Data concerned. In the course of providing the Covered Services to Customer pursuant to the existing services agreement between the parties (the “Services Agreement”), OCLC may Process Personal Data on behalf of Customer, and the Parties agree to comply with the following provisions with respect to any Personal Data, each acting reasonably and in good faith. |
Per porre domande sul presente DPA, si prega di contattare il proprio contatto OCLC o inviare un’e-mail a XX_xxxxxxx@XXXX.xxx. | To ask questions about this DPA, please contact your OCLC contact or email XX_xxxxxxx@XXXX.xxx. |
TERMINI DELL’ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI | |
L’oggetto del trattamento dei dati ai sensi del presente DPA è costituito dai Dati Personali, come definiti nell’Allegato 1, e lo scopo e la natura del trattamento dei dati ai sensi del presente DPA è la fornitura dei Servizi Compresi avviati dal Cliente ai sensi del Contratto di Servizi. Di conseguenza, la durata del trattamento dei dati ai sensi del presente DPA sarà determinata dal Contratto di Servizi sottoscritto con il Cliente per tali Servizi Compresi. Il presente DPA termina o scade alla stessa data in cui termina o scade il Contratto di Servizi, salvo che il presente DPA resta efficace per quanto riguarda i trattamenti che si prevede di effettuare dopo la risoluzione o la scadenza del Contratto di Servizi (come la messa a disposizione dei Dati Personali al Cliente per un periodo di tempo limitato prima della cancellazione), e qualsiasi proroga del Contratto di Servizi estenderà anche la durata del presente DPA. | The subject matter of the data processing under this DPA is Personal Data, as defined in Appendix 1, and the purpose and nature of the data processing under this DPA is the provision of the Covered Services initiated by Customer under the Services Agreement. Accordingly, the duration of the data processing under this DPA shall be determined by Customer’s Services Agreement for such Covered Services. This DPA shall terminate or expire on the same date that the Services Agreement terminates or expires, except that this DPA shall continue with respect to Processing that is contemplated to occur after the termination or expiration of the Services Agreement (such as making Personal Data available to Customer for a limited time period prior to deletion), and any extension of the Services Agreement shall also extend the term of this DPA. |
Ai fini del Regolamento Generale sulla Protezione dei Dati Personali e delle Leggi Svizzere sulla Protezione dei Dati (come di seguito definite), in relazione al trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi al di fuori dello Spazio Economico Europeo ("SEE") e della Svizzera che non sono riconosciuti dalla Commissione Europea o dall’ Incaricato Federale Della Protezione Dei Dati e Della Trasparenza (a seconda del casi) come paesi che assicurano un adeguato livello di protezione dei dati personali ("Destinatari di Paesi Terzi"), le società affiliate al Cliente che trasferiscono dati personali al di fuori del SEE e le società affiliate a OCLC che sono Destinatari di Paesi Terzi con il presente DPA riconoscono ed accettano che le clausole contrattuali standard (le "Clausole Standard"), qui allegate e incorporate al presente DPA per consultazione (come integrate nel paragrafo seguente), si applicano a tali trasferimenti al fine di fornire garanzie adeguate per quanto riguarda la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone fisiche per il trasferimento, da parte dell’esportatore all’importatore, dei dati personali specificati nell’Allegato 1. | For the purposes of the General Data Protection Regulation and Swiss Data Protection Laws (as defined below), for the transfer of personal data to processors established in third countries outside the European Economic Area ("EEA") and Switzerland that are not recognized by the European Commission or the Swiss Federal Protection and Information Commissioner (as applicable) as ensuring an adequate level of data protection for personal data ("Third Country Recipient"), those entities of Customer who are transferring Personal Data outside of the EEA or Switzerland and those entities of OCLC who are Third Country Recipients hereby agree that the Standard Contractual Clauses (the “Clauses”), linked here and incorporated into this DPA by reference (as supplemented in the next paragraph below), shall apply to such transfers in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1. |
Per chiarezza, le Clausole Standard si applicano al Cliente ed a ciascuna delle Affiliate Autorizzate che, ai fini delle Clausole Standard, agiscono come "esportatore di dati" ed a ciascuna delle Affiliate OCLC (ed a OCLC, talora OCLS sia o diventi un Destinatario di Paesi Terzi) nella misura in cui ciascuna, ai fini delle Clausole Standard, possa agire come "importatore di dati" ai sensi del presente DPA. Il Cliente riconosce che il Responsabile stabilito nell’SSE, in Svizzera o nel Regno Unito può utilizzare le proprie Affiliate che | For the sake of clarity, the Clauses apply to Customer and each of its Authorised Affiliates who, for the purposes of the Clauses, each act as ‘data exporter’ and each OCLC Affiliate (and OCLC, if OCLC is or becomes a Third Country Recipient) as each, for the purposes of the Clauses may act as ‘data importer’ under this DPA. Customer acknowledges that Processor established in the EEA, Switzerland or UK may utilize its Affiliates who are Third Country Recipients, and with respect to any such transfer of Personal Data to |
agiscono come Destinatari di Paesi Terzi e, in relazione a qualsiasi trasferimento di Dati Personali a tali Destinatari di Paesi Terzi, tale trasferimento sarà disciplinato dalle Clausole Standard e considerato come un’esportazione diretta dei dati dal Cliente al Destinatario di un Paese Terzo. Tutte le clausole rilevanti di cui agli Allegati 1 e 2, qui allegati, sono incorporate nelle Clausole Standard sottoscritte dalle parti (rispettivamente come allegati 1 e 2 delle Clausole Standard). Relativamente alle clausole 9 e 11(3) delle Clausole Standard, la legge applicabile è quella del paese di stabilimento del Cliente. Nessuna disposizione del presente DPA o del Contratto di Servizi deve essere interpretata dalle parti come prevalente sulle Clausole Standard. | such Third Country Recipients, such transfer shall be covered by the Clauses and deemed a direct export by Customer to the Third Country Recipient. All relevant terms from Appendices 1 and 2, attached hereto, are hereby incorporated into the Clauses agreed to by the parties (as Appendices 1 and 2 of the Clauses, respectively). In clauses 9 and 11(3) of the Clauses, the governing law is the laws of the country of Customer’s establishment. Nothing in this DPA or in the Services Agreement is intended by the parties to be construed as prevailing over the Clauses. |
1. DEFINIZIONI | DEFINITIONS |
1.1. Per "Affiliati Autorizzati" si intendono gli Affiliati del Cliente che (a) sono soggetti alle leggi e ai regolamenti sulla protezione dei dati dell’UE, dello SEE e/o dei loro stati membri, della Svizzera e/o del Regno Unito; (b) sono autorizzati a utilizzare i Servizi Compresi ai sensi del Contratto di Servizi tra il Cliente e OCLC; e (c) non hanno firmato il proprio Contratto di Servizi con OCLC. | “Authorised Affiliate” means Customer's Affiliates that (a) are subject to the data protection laws and regulations of the EU, the EEA and/or their member states, Switzerland and/or the United Kingdom; (b) are permitted to use the Covered Services pursuant to the Services Agreement between Customer and OCLC; and (c) have not signed their own Services Agreement with OCLC. |
1.2. Per "Affiliato" si intende qualsiasi entità che direttamente o indirettamente controlla, è controllata da una Parte o è sotto controllo comune con una parte. Per "controllo", ai fini della presente definizione, si intende il possesso o il controllo diretto o indiretto di più del 50% dei diritti di voto dell’entità interessata. | “Affiliate” means any entity that directly or indirectly controls, is controlled by or is under common control with a party. “Control,” for purposes of this definition, means direct or indirect ownership or control of more than 50% of the voting interests of the subject entity. |
1.3. Per "Servizi Coperti" si intendono i servizi OCLC richiesti dal Cliente a OCLC che comportano il Trattamento dei Dati Personali per conto del Cliente, come stabilito nel Contratto di Servizi applicabile. | “Covered Services” means the OCLC services that are ordered by the Customer from OCLC involving the Processing of Personal Data on behalf of the Customer, as set forth in the applicable Services Agreement. |
1.4. Per "Leggi e Regolamenti sulla Protezione dei Dati" si intendono tutte le leggi applicabili che disciplinano il trattamento dei dati relativi agli interessati, compreso il Regolamento Generale sulla Protezione dei Dati dell'Unione Europea ("GDPR"), come di volta in volta emendato o integrato, e qualsiasi altra legge straniera o nazionale nella misura in cui sono applicabili ad una parte nell’ambito dell’esecuzione del Contratto di Servizi. | “Data Protection Laws and Regulations” means all applicable laws that govern the use of data relating to Data Subjects, including the European Union (“EU”) General Data Protection Regulation (“GDPR”), as amended or replaced from time to time, and any other foreign or domestic laws to the extent that they are applicable to a party in the course of the performance of the Services Agreement. |
1.5. "Dati personali" indica qualsiasi dato personale, come definito dal GDPR, che viene conferito da o per conto del Cliente e trattato dal Responsabile del trattamento ai sensi del Contratto di Servizi. Una panoramica delle categorie di Dati Personali e delle finalità per | “Personal Data” means any personal data, as defined in the GDPR, which is provided by or on behalf of Customer and Processed by the Processor pursuant to the Services Agreement. An overview of the categories of Personal Data and |
le quali i Dati Personali sono trattati è contenuta nell’Allegato 1. | purposes for which the Personal Data are being Processed is provided in Appendix 1. |
1.6. Per "Autorità" si intende qualsiasi autorità di controllo munita di poteri ai sensi delle leggi e dei regolamenti sulla protezione dei dati personali in relazione a tutta o parte della fornitura o del ricevimento dei Servizi Compresi o del Trattamento dei Dati Personali. | “Regulator” means any supervisory authority with authority under Data Protection Laws and Regulations over all or any part of the provision or receipt of the Covered Services or the Processing of Personal Data. |
1.7. Per "Dati Sensibili" si intendono le categorie particolari di dati personali di cui all'articolo 9 del GDPR e i dati personali relativi a condanne penali e reati di cui all’articolo 10 del GDPR. | “Sensitive Data” means the special categories of Personal Data as described in Article 9 of the GDPR, and Personal Data relating to criminal convictions and offences as described in Article 10 of the GDPR. |
1.8. “Clausole Tipo di Protezione” si intendono le Clausole Tipo di Protezione della Commissione Europea per il trasferimento di Dati Personali dall’Unione Europea a incaricati del trattamento stabiliti in paesi terzi (trasferimenti tra titolare e responsabilie), come indicato nell’Allegato alla Decisione della Commissione 2010/87/EU | “Standard Contractual Clauses” means European Commission’s Standard Contractual Clauses for the transfer of Personal Data from the European Union to processors established in third countries (controller-to-processor transfers), as set out in the Annex to Commission Decision 2010/87/EU. |
1.9. Per "Sub-responsabile" si intende qualsiasi Responsabile del trattamento dei dati personali nominato al fine di trattare dati per conto di OCLC e/o delle sue Affiliate. A scanso di equivoci, le strutture della banca dati di archiviazione di OCLC non sono considerate Sub-responsabili ai sensi del presente DPA. | “Subprocessor” means any data Processor engaged to Process Personal Data on behalf of OCLC and/or its Affiliates. For the avoidance of doubt, OCLC’s colocation data centre facilities are not considered Subprocessors under this DPA. |
1.10. “Leggi Svizzere sulla Protezione dei Dati” si intendono tutte le leggi vigenti in Svizzera sulla protezione dei dati e sulla privacy, compresa la Legge Federale sulla Protezione dei Dati del 1992 come di volta in volta emendata o integrata. | “Swiss Data Protection Laws” means all applicable data protection and privacy laws in force from time to time in Switzerland, including the Swiss Federal Data Protection Xxx 0000, as amended or replaced from time to time. |
1.11. Termini come "Soggetto interessato", "Violazione dei dati personali", "Trattamento", "Titolare", "Responsabile" e "Autorità di Controllo" hanno il significato ad essi attribuito dalle Leggi e Regolamenti sulla Protezione dei Dati. | Terms such as “Data Subject”, “Personal Data Breach”, “Processing”, “Controller”, “Processor” and “Supervisory Authority” shall have the meaning ascribed to them in the Data Protection Laws and Regulations. |
2. CONTRATTO DI SERVIZI | SERVICES AGREEMENT |
2.1. Il presente DPA integra e viene incorporato nel Contratto di Servizi e, in caso di contrasto tra i termini del presente DPA e i termini del Contratto di Servizi, i termini del presente DPA prevalgono, ma unicamente per quanto riguarda l’oggetto del presente DPA. | This DPA supplements and is incorporated into the Services Agreement, and in the event of any conflict between the terms of this DPA and the terms of the Services Agreement, the terms of this DPA shall prevail and control, but only with respect to the subject matter of this DPA. |
3. OBBLIGHI DEL CLIENTE | OBLIGATIONS OF THE CUSTOMER |
3.1. Istruzioni. Il presente DPA e il Contratto di Servizi costituiscono le istruzioni complete e finali del Cliente, al momento della firma del | Instructions. This DPA and the Services Agreement are Customer’s complete and final instructions, at the time of signature of the DPA, |
DPA, a OCLC per il trattamento dei dati personali. Eventuali istruzioni supplementari o alternative devono essere concordate tra le Parti per iscritto, a meno che tali istruzioni non siano richieste dalla legge. Il Cliente garantisce che le istruzioni fornite a OCLC ai sensi del presente DPA sono conformi alle Leggi e Regolamenti sulla Protezione dei Dati. | to OCLC for the Processing of Personal Data. Any additional or alternate instructions must be agreed upon mutually by the Parties in writing, unless such instructions are required by law. Customer warrants that the instructions it provides to OCLC pursuant to this DPA comply with Data Protection Laws and Regulations. |
3.2. Richieste degli Interessati e dell’Autorità di Controllo. Il Cliente sarà responsabile delle comunicazioni e porrà in essere ogni sforzo per soddisfare tutte le richieste avanzate dagli Interessati ai sensi delle Leggi e Regolamenti sulla Protezione dei Dati e tutte le comunicazioni di qualsiasi Autorità di Controllo che si riferiscano ai Dati Personali, in conformità con le leggi e i regolamenti sulla protezione dei dati personali. | Data Subject and Supervisory Authority Requests. Customer shall be responsible for communications and leading any efforts to comply with all requests made by Data Subjects under Data Protection Laws and Regulations and all communications from any Regulator(s) that relate to the Personal Data, in accordance with Data Protection Laws and Regulations. |
3.3. Informativa, consenso e altre autorizzazioni. Il Cliente è responsabile dell’esattezza, qualità e legalità dei Dati Personali e dei mezzi con cui il Cliente ha raccolto i Dati Personali che comunica a OCLC per il Trattamento ai sensi del Contratto di Servizi. Il Cliente è responsabile del rilascio di ogni informativa agli Interessati e dell’acquisizione e dimostrazione di aver ottenuto i necessari consensi, autorizzazioni e permessi dagli Interessati in modo valido per l’esecuzione, da parte di OCLC, dei Servizi Compresi. Il Cliente fornirà a OCLC evidenza di quanto precede, nel caso in cui OCLC ne faccia ragionevolmente richiesta nei casi in cui OCLC abbia bisogno di tali informazioni per conformarsi alle Leggi sulla Protezione dei Dati o alla richiesta di qualsiasi Autorità. Il Cliente prende atto che i campi personalizzati e altri campi di testo libero nel software fornito come parte dei Servizi Compresi (come i campi "note") non sono progettati per il Trattamento dei Dati Sensibili e garantisce che non inserirà Dati Sensibili in tali campi o in altro modo quando utilizza i Servizi Compresi. | Notice, Consent, and Other Authorisations. Customer is responsible for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired the Personal Data that it provides to OCLC for Processing under the Services Agreement. Customer is responsible for providing any notice to the Data Subjects and for obtaining and demonstrating evidence that it has obtained any necessary consents, authorisations, and permissions from the Data Subjects in a valid manner for OCLC to perform the Covered Services. Customer will provide OCLC with such evidence of this as OCLC may reasonably request if OCLC needs this information to comply with Data Protection Laws or the request of any Regulator. Customer understands that custom fields and other free text fields in the software provided as a part of the Covered Services (such as “notes” fields) are not designed for the Processing of Sensitive Data and warrants that it will not enter Sensitive Data in such fields or otherwise when using the Covered Services. |
4. OBBLIGHI DEL RESPONSABILE | OBLIGATIONS OF THE PROCESSOR |
4.1. Finalità del Trattamento. OCLC tratterà i Dati Personali su istruzioni documentate fornite dal Cliente in conformità al presente DPA, anche per quanto riguarda i trasferimenti di Dati Personali a un paese terzo o a un’organizzazione internazionale, e nel modo opportuno per la fornitura di Servizi Compresi ai sensi del Contratto di Servizi, ad eccezione di quanto necessario per adempiere | Scope of Processing. OCLC will Process the Personal Data on documented instructions from Customer given in accordance with this DPA, including with regard to transfers of Personal Data to a third country or an international organisation, and in such manner as is necessary for the provision of Covered Services under the Services Agreement, except as required to comply with a legal obligation to which OCLC is subject. OCLC |
a un obbligo legale cui OCLC è soggetta. OCLC informerà il Cliente se, a proprio giudizio, l’esecuzione di un’istruzione relativa al Trattamento dei Dati Personali possa violare le Leggi e Regolamenti sulla Protezione dei Dati. Nel caso in cui OCLC debba trattare i Dati Personali al fine di adempiere ad un obbligo legale, OCLC informerà il Cliente di tale obbligo legale prima del Trattamento, a meno che la notifica non sia vietata dalla legge. | shall inform Customer if, in its opinion, the execution of an instruction relating to the Processing of Personal Data could infringe on any Data Protection Laws and Regulations. In the event that OCLC must Process Personal Data for the purpose of complying with a legal obligation, OCLC will inform the Customer of that legal requirement before Processing, unless notification is prohibited by the law. |
4.2. Richieste dell’Interessato. Tenuto conto della natura del trattamento, OCLC ha posto in essere adeguate misure tecniche e organizzative per supportare il Cliente nell’adempimento dell’obbligo di rispondere alle richieste di esercizio dei diritti di cui al capitolo III del GDPR, compresi i processi di ricezione e risposta alle richieste degli Interessati. In particolare, se OCLC riceve una richiesta da un Interessato presentata ai sensi del GDPR e stabilisce che OCLC non è il titolare e che il titolare è il Cliente, OCLC assisterà il Cliente indirizzando l’Interessato al Cliente (in modo specifico o generale) come il soggetto a cui deve essere presentata la richiesta. Su richiesta del Cliente, e a condizione che il Cliente non sia in grado di soddisfare una richiesta attraverso la funzionalità dei Servizi Compresi stessi o in altro modo, OCLC fornirà al Cliente un’ulteriore e ragionevole assistenza (tenendo conto della natura del trattamento) per supportare il Cliente nell'adempimento dei propri obblighi relativi ai diritti degli Interessati ai sensi del Capitolo III del GDPR. | Data Subject Requests. Taking into account the nature of the processing, OCLC has established appropriate technical and organizational measures to assist Customer in its fulfillment of its obligation to respond to requests for exercising the data subject rights laid down in Chapter III of the GDPR, including processes for receiving and responding to requests from Data Subjects. In particular, if OCLC receives a request from a Data Subject made under the GDPR and determines that OCLC is not the controller and that the controller is Customer, OCLC will assist Customer by referring the Data Subject to Customer (either specifically or generally) as the entity to whom a request should be made. At Customer’s request, and provided that Customer is unable to fulfill a request through functionality of the Covered Services themselves or otherwise, OCLC will provide additional, reasonable assistance (taking into account the nature of the processing) to Customer to assist Customer in fulfilling its obligations related to Data Subject rights under Chapter III of GDPR. |
4.3. Richieste dell'Autorità. In relazione al proprio ruolo di responsabile del trattamento dei dati personali, OCLC fornirà al Cliente un’assistenza ragionevole per indirizzare qualsiasi comunicazione e consiglio o ordine da parte di qualsiasi Autorità in materia di Dati Personali. | Regulator Requests. With respect to its role as a processor of Customer, OCLC will provide reasonable assistance to Customer to address any communications and advice or orders from any Regulator relating to the Personal Data. |
4.4. Conservazione. OCLC conserverà i Dati Personali solo per il tempo che il Cliente ritenga necessario per la finalità consentita, come determinato dalle opzioni di configurazione messe a disposizione da OCLC e selezionate di volta in volta dal Cliente per i Servizi Compresi, o come richiesto dalle leggi applicabili. Al momento della risoluzione del Contratto di Servizi, OCLC, a scelta del Cliente, distruggerà o restituirà i Dati Personali al Cliente, a meno che gli obblighi legali non richiedano a OCLC di conservare i Dati Personali, in conformità | Retention. OCLC will retain Personal Data only for as long as Customer deems it necessary for the permitted purpose as determined by configuration options made available by OCLC and selected by Customer for Covered Services from time to time, or as required by applicable laws. At the termination of the Services Agreement, OCLC will either, at the choice of Customer, destroy or return the Personal Data to Customer, unless legal obligations require OCLC to retain Personal Data, in accordance with OCLC’s then-existing procedures for the destruction or return of Personal Data. |
con le procedure OCLC vigenti in tale momento per la distruzione o la restituzione dei Dati Personali. | |
4.5. Comunicazione a Terzi. OCLC non divulgherà i Dati Personali a terzi se non nei limiti di quanto consentito dal presente DPA o dal Contratto di Servizi o come diversamente indicato dal Cliente o come previsto dai Servizi Compresi (come la messa a disposizione di dati personali limitati ad un’altra biblioteca per facilitare una richiesta di prestito inter-bibliotecario), a meno che OCLC non sia tenuta a divulgare i Dati Personali in base alle leggi applicabili, nel qual caso OCLC (nella misura consentita dalla legge) informerà il Cliente per iscritto e si metterà in contatto con il Cliente prima di ottemperare a tale richiesta di divulgazione. Quanto sopra non si applica ai dati personali contenuti nel patrimonio del Cliente (come ad esempio i nomi degli autori). | Disclosure to Third Parties. OCLC will not disclose the Personal Data to third parties except as permitted by this DPA or the Services Agreement or as otherwise directed by Customer or as contemplated by the Covered Services (such as making limited Personal Data available to another library to facilitate an inter-library loan request), unless OCLC is required to disclose the Personal Data by applicable laws, in which case OCLC shall (to the extent permitted by law) notify Customer in writing and liaise with Customer before complying with such disclosure request. The foregoing shall not apply to Personal Data reflected in Customer’s holdings (such as the names of authors). |
4.6. Riservatezza. OCLC tratterà tutti i Dati Personali come strettamente confidenziali e informerà tutti i suoi dipendenti, agenti e Sub- responsabili autorizzati, impegnati nel Trattamento dei Dati Personali, della natura confidenziale di tali informazioni. OCLC garantirà che il personale autorizzato al trattamento dei Dati Personali sia soggetto ad adeguati obblighi di riservatezza. | Confidentiality. OCLC will treat all Personal Data as strictly confidential and will inform all of its employees, agents, and approved Subprocessors engaged in Processing the Personal Data, of the confidential nature of such information. OCLC will ensure that personnel authorised to Process the Personal Data are subject to appropriate confidentiality obligations. |
4.7. Sicurezza. OCLC implementerà e manterrà misure amministrative, fisiche, tecniche e organizzative per garantire la sicurezza, la riservatezza e l’integrità dei Dati Personali come specificato nell’Allegato 2 (incluse le misure di protezione contro la perdita accidentale o illecita, la distruzione, l'alterazione, il danno, la divulgazione o l'accesso non autorizzato ai Dati Personali trasmessi, conservati o altrimenti trattati). OCLC disporrà di una procedura di verifica, ispezione, assessment e valutazione periodica dell'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. | Security. OCLC will implement and maintain administrative, physical, technical and organisational safeguards for the security, confidentiality and integrity of Personal Data as detailed in Appendix 2 (including protections against accidental or unlawful loss, destruction, alteration, damage, unauthorised disclosure of, or access to, Personal Data transmitted, stored or otherwise Processed). OCLC will have a procedure for the regular testing, inspection, assessment and evaluation of the effectiveness of the technical and organisational measures in order to ensure the security of the processing. |
4.8. GDPR Articoli 32-36. Tenendo conto della natura del trattamento e delle informazioni a disposizione di OCLC, OCLC fornirà, in modo ragionevole, assistenza al cliente per adempiere ai suoi obblighi ai sensi degli articoli 32-36 (compresi) del GDPR (che riguardano gli obblighi in materia di sicurezza, notifiche di violazioni, valutazioni d'impatto sulla protezione dei dati e consultazione preventiva). | GDPR Articles 32-36. Taking into account the nature of the Processing and the information available to OCLC, OCLC will provide reasonable assistance to Customer in complying with its obligations under GDPR Articles 32-36 (inclusive) (which address obligations with regard to security, breach notifications, data protection impact assessments, and prior consultation). |
5. AUDIT | AUDIT |
5.1. Procedura. Il Responsabile fornirà al Cliente, su richiesta, qualsiasi certificazione(i) di terze parti esistente al momento della richiesta, pertinente alla conformità del Responsabile ai propri obblighi ai sensi del presente DPA (ad esempio, certificazione ISO). Qualora tali certificazioni di terze parti o altre informazioni fornite dal Responsabile del trattamento siano ritenute inadeguate dal Cliente per dimostrare la conformità all'Articolo 28, il Cliente potrà richiedere che una terza parte rispettabile e indipendente o un auditor con esperienza nella sicurezza dei dati (l'"Auditor") ispezioni le procedure e gli archivi relativi al trattamento dei dati personali posti in essere da parte del Responsabile del trattamento per garantire la conformità del Responsabile del trattamento all'articolo 28 del GDPR, a condizione che tale Auditor sia ritenuto, secondo una valutazione ragionevole, accettabile dal Responsabile del trattamento. | Process. Processor will provide to Customer, upon request, any then-existing, third-party certification(s) pertinent to Processor’s compliance with its obligations under this DPA (for example, ISO certification). To the extent that such third-party certifications or other information provided by Processor are deemed inadequate by Customer to demonstrate compliance to Article 28, Customer may have a reputable, independent third party or auditor with expertise in data security (the "Auditor") inspect Processor’s policies and records relating to the Processing of Personal Data by Processor to ensure Processor's compliance with Article 28 of the GDPR, provided that such Auditor is reasonably acceptable to Processor. |
5.2. Tempi e costi. Il Cliente fornirà al Responsabile del trattamento almeno un (1) mese di preavviso scritto per qualsiasi audit. Prima dell'inizio di un audit, le Parti concorderanno tempi, durata, luogo, modalità e condizioni ragionevoli per l'audit. Il Cliente si farà carico dei costi di qualsiasi audit richiesto ai sensi della presente Sezione 5. Ad eccezione dei casi in cui sia diversamente richiesto da un’Autorità (o se l'audit riveli una violazione sostanziale del presente DPA), non potrà essere effettuato più di un audit nell’arco di un periodo di 12 mesi. | Timing and Costs. Customer will provide Processor with at least one (1) month’s written notice of any audit. Prior to the start of an audit, the Parties will agree to reasonable time, duration, place, manner, and conditions for the audit. Customer shall bear the cost of any audit requested pursuant to this Section 5. Unless otherwise required by a Regulator (or if the audit reveals a material breach of this DPA), no more than one audit may be undertaken in any 12-month period. |
5.3. Divulgazione. Prima di tale ispezione, l'Auditor deve firmare un accordo di non divulgazione che deve essere fornito all'Auditor dal Responsabile. I risultati dell'ispezione e tutte le informazioni raccolte durante l'ispezione saranno considerate informazioni riservate del Responsabile e saranno custodite dall'Auditor in conformità ai termini dell'accordo di non divulgazione che sarà stipulato tra l’Auditor ed il Responsabile. In deroga a qualsiasi altro termine, l'Auditor può rivelare al Cliente solo violazioni specifiche dell'Articolo 28, se presenti, e gli elementi su cui si fondino tali conclusioni in conformità con i termini del presente DPA e non deve rivelare nessuno dei file o delle informazioni raccolte durante l'ispezione. | Disclosure. Prior to any such inspection, the Auditor must sign a non-disclosure agreement which shall be provided to Auditor by Processor. The results of the inspection and all information reviewed during such inspection will be deemed Processor’s confidential information and shall be protected by Auditor in accordance with the terms of the non-disclosure agreement to be executed between Auditor and Processor. Notwithstanding any other terms, the Auditor may only disclose to Customer specific violations of Article 28, if any, and the basis for such findings in accordance with the terms of this DPA and shall not disclose any of the records or information reviewed during the inspection. |
6. I CONTRATTI CON I SUB-RESPONSABILI | CONTRACTING WITH SUBPROCESSORS |
6.1. Consenso del cliente. Il Cliente acconsente, per proprio conto e per conto delle proprie Affiliate Autorizzate, all'utilizzo dei Sub- responsabili per il Trattamento dei Dati Personali in relazione al Contratto di Servizi. Un elenco dei Sub-responsabili si trova qui e può essere rivisto di volta in volta. Se il Cliente ha un motivo ragionevole per opporsi all'utilizzo di un nuovo Sub- responsabile, il Cliente informerà tempestivamente il Responsabile per iscritto entro quindici (15) giorni dall’invio dell’avviso di un nuovo Sub-responsabile. Se il Cliente si oppone ragionevolmente ai sensi della presente clausola, OCLC porrà in essere ogni sforzo commercialmente ragionevole per offrire al Cliente una modifica dei Servizi Compresi interessati o raccomandare una modifica commercialmente ragionevole alla configurazione o all'uso dei Servizi Compresi interessati, al fine di evitare il trattamento dei Dati Personali da parte del contestato nuovo Sub-responsabile del trattamento, senza gravare in modo irragionevole sul Cliente. Se OCLC non fosse in grado di rendere disponibile tale modifica entro un periodo di tempo ragionevole, che non supererà i trenta (30) giorni, il Cliente potrà risolvere il Contratto di Servizi ed il presente DPA e le Clausole Standard, dandone comunicazione scritta al Responsabile. A fronte della risoluzione del Contratto di Servizi ai sensi della presente Sezione, OCLC rimborserà la parte proporzionale del corrispettivo per il restante periodo annuale di abbonamento dopo la data di risoluzione del Contratto di Servizi. | Customer Consent. Customer consents, on its own behalf and on behalf of its Authorised Affiliates, to the use of Subprocessors for the Processing of Personal Data in relation to the Services Agreement. A listing of Subprocessors is found here and may be revised from time to time. If Customer has a reasonable basis to object to the use of a new Subprocessor, Customer will notify Processor promptly in writing within fifteen (15) days after the posting of a New Subprocessor Notice. If Customer reasonably objects in accordance with this clause, OCLC will use commercially reasonable efforts to make available to Customer a change in the affected Covered Services or recommend a commercially reasonable change to Customer's configuration or use of the affected Covered Services to avoid processing of Personal Data by the objected-to new Subprocessor without unreasonably burdening Customer. If OCLC is unable to make available such a change within a reasonable period of time, which will not exceed thirty (30) days, Customer may terminate the Services Agreement and this DPA and the Clauses by providing written notice to Processor. Upon termination of the Services Agreement pursuant to this Section, OCLC will refund the pro rata portion of the fees for the remainder of the annual subscription period after the termination date of the Services Agreement. |
6.2. Responsabilità. Il Responsabile garantisce che il Sub-responsabile è vincolato da un contratto scritto o altro atto giuridico agli stessi obblighi di protezione dei dati del Responsabile del trattamento ai sensi del presente DPA e delle Leggi e Regolamenti sulla Protezione dei Dati. Il Responsabile del trattamento sarà responsabile per gli atti e le omissioni dei propri Sub-responsabili nella stessa misura in cui il Responsabile del trattamento sarebbe responsabile se eseguisse i servizi di ciascuno di questi Sub-responsabili direttamente ai sensi del presente DPA. | Liability. Processor shall ensure that the Subprocessor is bound by written contract or other legal act to the same data protection obligations of Processor under this DPA and the Data Protection Laws and Regulations. Processor will be liable for the acts and omissions of its Subprocessors to the same extent Processor would be liable if performing the services of each of those Subprocessors directly under the terms of this DPA. |
7. OBBLIGHI DI INFORMAZIONE E GESTIONE DEGLI INCIDENTI | INFORMATION OBLIGATIONS AND INCIDENT MANAGEMENT |
7.1. Notifica. OCLC è dotato di policy e procedure di gestione degli incidenti di sicurezza specificate nell’Allegato 2, e si impegna ad informare il Cliente senza ingiustificato ritardo non appena OCLC venga a conoscenza di una violazione dei dati personali che coinvolga OCLC, o i suoi Sub-responsabili coinvolti, che abbia un impatto sui Dati Personali forniti a OCLC ai sensi del presente DPA. Tale notifica può essere effettuata con qualsiasi mezzo stabilito da OCLC per tale notifica, compresa la notifica via e-mail. Le notifiche di indisponibilità dei Servizi Compresi possono essere effettuate tramite lo | Notification. OCLC maintains security incident management policies and procedures specified in Appendix 2, and shall notify Customer without undue delay after OCLC becomes aware of a Personal Data Breach involving OCLC or its applicable Subprocessors that impacts Personal Data provided to OCLC pursuant to this DPA. Such notification may be by any means OCLC has established for such notification, including notification by email. Notifications of Covered Services unavailability may be by OCLC’s System Status. |
7.2. Coordinamento. Le Parti si impegnano a coordinare in buona fede lo sviluppo del contenuto di qualsiasi dichiarazione pubblica e di qualsiasi comunicazione richiesta agli Interessati coinvolti e/o alla/alle Autorità pertinente/i in relazione ad una violazione dei dati personali che coinvolga OCLC o i suoi Sub-responsabili coinvolti, fermo restando che nulla in questa Sezione impedisce ad alcuna delle Parti di adempiere agli obblighi previsti dalle Leggi e Regolamento sulla Protezione dei Dati Personali. | Coordination. The Parties agree to coordinate in good faith on developing the content of any related public statements and any required notices to the affected data subjects and/or the relevant Regulator(s) in connection with a Personal Data Breach involving OCLC or its applicable Subprocessors, provided that nothing in this section shall prevent either party from complying with its obligations under Data Protection Laws and Regulations. |
8. MISCELLANEA | MISCELLANEOUS |
8.1. Responsabilità e indennizzo. Qualsiasi richiesta di risarcimento ai sensi del presente DPA sarà soggetta agli stessi termini e condizioni, comprese le esclusioni e le limitazioni di responsabilità, come stabiliti dal Contratto di Servizi. A scanso di equivoci, qualsiasi limitazione della responsabilità applicata dal Contratto di Servizi si applicherà in maniera aggregata a tutte le entità OCLC considerate nel loro insieme, anche se tali entità non sono specificamente menzionate nel Contratto di Servizi. | Liability and Indemnity. Any claims brought under this DPA will be subject to the same terms and conditions, including the exclusions and limitations of liability, as are set out in the Services Agreement. For avoidance of doubt, any such limitation of liability applied from the Services Agreement shall apply in the aggregate to all OCLC entities taken together, even if such entities are not referred to specifically in the Services Agreement. |
8.2. Risoluzione informale delle controversie. In caso di controversia tra il Cliente e OCLC, tale controversia sarà deferita alle persone incaricate delle questioni in materia di protezione dei dati di ciascuna organizzazione, che si adopereranno per risolvere la controversia entro trenta (30) giorni. | Informal Dispute Resolution. In the event of a dispute between Customer and OCLC, such dispute shall be referred to the individuals responsible for data protection issues for each organization, who shall endeavour to resolve the dispute within thirty (30) days. |
8.3. Obblighi Post-Risoluzione. La risoluzione o la scadenza del presente DPA non esonera | Obligations Post-Termination. Termination or expiration of this DPA shall not discharge either |
nessuna delle parti dai propri obblighi destinati a restare efficaci in seguito alla risoluzione o alla scadenza del presente DPA. | party from its obligations meant to survive the termination or expiration of this DPA. |
8.4. Modifiche alle leggi ed ai regolamenti sulla protezione dei dati personali. Le Parti convengono di negoziare modifiche al presente DPA se dovessero essere necessari cambiamenti per poter continuare a rispettare le Leggi e Regolamenti sulla Protezione dei Dati o la loro interpretazione giuridica, tra cui, a mero titolo esemplificativo: (a) sostituzione delle Clausole Contrattuali Standard se dovessero essere annullate, o (b) se le modifiche allo status di membro di un paese dell'Unione europea o dello Spazio Economico Europeo dovessero richiedere tali modifiche. | Changes in Data Protection Laws and Regulations. The Parties agree to negotiate modifications to this DPA if changes are required to continue to comply with the Data Protection Laws and Regulations or the legal interpretation of the Data Protection Laws and Regulations, including but not limited to (a) replace the Standard Contractual Clauses if they are invalidated, or (b) if changes to the membership status of a country in the European Union or the European Economic Area require such modification. |
8.5. Clausola di separazione. Se una qualsiasi disposizione del presente DPA dovesse essere ritenuta invalida o inapplicabile da un tribunale di competente giurisdizione, l'invalidità o l'inapplicabilità di tale disposizione non pregiudicherà le altre disposizioni del presente DPA. Le Parti cercheranno di concordare una disposizione valida ed applicabile che sostituisca in modo ragionevole la clausola invalidata e integreranno tale disposizione sostitutiva nel presente DPA. | Severability. If any provisions of this DPA shall be found by any court of competent jurisdiction to be invalid or unenforceable, the invalidity or unenforceability of such provision shall not affect the other provisions of this DPA. The Parties will attempt to agree upon a valid and enforceable provision that is a reasonable substitute and shall incorporate such substitute provision into this DPA. |
I firmatari autorizzati delle parti hanno debitamente sottoscritto il presente DPA per conto della parte e, se del caso, per conto delle proprie Affiliate. | The parties’ authorized signatories have duly executed this DPA on behalf of the party and, where relevant, their Affiliates. |
Firma Signature | Firma Signature |
Nome stampato Printed Name | Nome stampato Printed Name |
Titolo Title | Titolo Title |
Data Date | Data Date |
Cliente OCLC B.V.
H.L.M. (Xxxx) van Lubeek
Vice President & Managing Director
October 21, 2019
ALLEGATO 1
ESPORTATORE DI DATI L'esportatore di dati è il Cliente. | DATA EXPORTER The data exporter is Customer. |
IMPORTATORE DI DATI L'importatore di dati è OCLC, Inc. o il suo Affiliato che è un Destinatario di Paese Terzo. | DATA IMPORTER The data importer is OCLC, Inc. or its Affiliate who is a Third Country Recipient. |
CATEGORIE DI INTERESSATI Le categorie saranno determinate dal Cliente e possono includere, a titolo esemplificativo, utenti della biblioteca, personale, facoltà, studenti, amministratori, dipendenti, visitatori e alumni del Cliente, e persone i cui dati personali sono riflessi nel patrimonio del Cliente (come ad esempio i nomi degli autori). | CATEGORIES OF DATA SUBJECT The categories shall be determined by the Customer and may include, without limitation, patrons, staff, faculty, students, administrators, employees, visitors and alumni of Customer, and data subjects whose personal data are reflected in Customer’s holdings (such as the names of authors). |
TIPO DI DATI PERSONALI Le tipologie di Dati Personali saranno coerenti con la fornitura dei Servizi Compresi e possono includere, a titolo esemplificativo: • Nomi • Impieghi lavorativi • Informazioni di contatto (compresi indirizzi postali, numeri di telefono, numeri di fax, indirizzi e-mail, ecc.) • Identificatori unici, siano essi assegnati dal cliente o dal Responsabile (ad esempio, numeri identificativi degli utenti della biblioteca e codici a barre, numeri identificativi dei dipendenti, ecc.) • Nome utente e password • Caratteristiche personali (ad esempio, data di nascita, sesso, dipartimento, tipologia di utente della biblioteca, ecc.) • Fotografie (via URL) • Informazioni d'uso relative al personale • Attività di ricerca • Informazioni generali d'uso, compresi i dati di connessione • Informazioni sul fornitore/venditore | TYPE OF PERSONAL DATA Types of Personal Data shall be consistent with the provision of the Covered Services and may include, but is not limited to: • Names • Job titles • Contact information (including physical addresses, telephone number(s), fax number(s), email address(es), etc.) • Unique identifiers, whether assigned by Customer or Processor (e.g., patron ID numbers and barcodes, employee ID numbers, etc.) • Usernames and passwords • Personal attributes (e.g., dates of birth, gender, department, patron type, etc.) • Photographs (via URL) • Staff-related usage information • Research activity • General usage information, including connection data • Supplier/vendor information |
CATEGORIE PARTICOLARI DI DATI I dati personali trasferiti non includeranno categorie particolari di dati. | SPECIAL CATEGORIES OF DATA The personal data transferred will not include special categories of data. |
LE OPERAZIONI DI TRATTAMENTO I Dati Personali saranno trattati al fine di fornire i Servizi Compresi descritti nel Contratto di Servizi, facilitando così l’amministrazione, l’operatività, la manutenzione e l’utilizzo da parte degli utenti della biblioteca del Cliente e l’accesso alle sue risorse. Ciò include, a titolo esemplificativo, le seguenti attività di trattamento: | PROCESSING OPERATIONS Personal Data will be processed for the purpose of providing the Covered Services described in the Service Agreement, thus facilitating the administration, operations, maintenance, and patron use of the Customer library and access to its resources. This includes, without limitation, the following processing activities: • Storing, retrieving, using, modifying, and deleting Personal Data as necessary to provide the Covered Services; |
• Conservare, recuperare, utilizzare, modificare e cancellare i Dati Personali come necessario per fornire i Servizi Compresi; • Copia e archiviazione dei dati personali per lo sviluppo, test, backup, disaster recovery, servizi in modalità sandbox e altri scopi non di produzione; • Invio di comunicazioni relative ai Servizi Compresi agli utenti finali; • Fornire report al Cliente; • Modificare, cancellare, copiare o trasferire i Dati Personali, se necessario per soddisfare le richieste dei singoli Interessati; • Registrare le attività dell’utente sul sistema per la risoluzione dei problemi, l’auditing e altri scopi; • Esecuzione dei trattamenti necessari per la risoluzione dei problemi, il debug e il miglioramento dei Servizi Compresi; • Esecuzione dei trattamenti necessari per fornire servizi di assistenza al Cliente e ai suoi dipendenti; • Patching, aggiornamento, risoluzione dei problemi, amministrazione, configurazione e manutenzione dei sistemi informatici e dei database utilizzati per fornire i Servizi; • Monitoraggio delle prestazioni dei Servizi Compresi e risoluzione dei problemi e risoluzione di eventuali cause di inattività o inaccessibilità dei Servizi Compresi; • Monitoraggio della sicurezza, supporto per il rilevamento delle intrusioni basato su rete, test di penetrazione e altre verifiche e test simili; • Assistenza per il backup e il ripristino dei Servizi Compresi; • Esecuzione dei trattamenti necessari per soddisfare gli obblighi di legge, come l’osservanza di un provvedimento giudiziario valido e dei requisiti di conservazione dei documenti imposti dalla legge; • Qualsiasi altro trattamento lecito e concordato necessario per eseguire le istruzioni scritte del Cliente. | • Copying and storing Personal Data for development, testing, backup, disaster recovery, sandbox services, and other non-production purposes; • Sending communications related to the Covered Services to end users; • Providing reports to Customer; • Modifying, deleting, copying, or transferring Personal Data as necessary to meet the requests of individual Data Subjects; • Logging user activity on the system for troubleshooting, auditing, and other purposes; • Processing that is necessary to troubleshoot, debug, and improve the Covered Services; • Processing necessary to provide customer support services to Customer and its employees; • Patching, upgrading, troubleshooting, administering, configuring, and otherwise maintaining information technology systems and databases used to provide the Services; • Monitoring the performance of the Covered Services and troubleshooting and remediating any causes of downtime or inaccessibility of the Covered Services; • Security monitoring, network-based intrusion detection support, penetration testing, and other similar monitoring and testing; • Assistance with backup and restoration of the Covered Services • Processing that is necessary to meet legal obligations, such as compliance with a valid court order, and record retention requirements that are imposed by law; • Any other lawful and agreed upon processing necessary to carry out the written instructions of Customer. |
DURATA DEL TRATTAMENTO La durata del trattamento corrisponderà alla durata del Contratto di Servizi oltre ad un periodo di tempo ragionevole e limitato successivo alla sua scadenza o diversa risoluzione. | DURATION OF THE PROCESSING The duration of the processing shall be the term of the Services Agreement and a reasonable and limited period of time following expiration or other termination. |
ALLEGATO 2
Le Misure di Sicurezza Tecnica e Organizzativa di OCLC possono essere consultate qui. Le misure di sicurezza possono essere aggiornate di volta in volta; tuttavia, le modifiche non comporteranno alcuna riduzione del livello di protezione garantito. | OCLC’s Technical and Organizational Security Measures can be found here. Security measures may be updated from time-to-time; however, changes will not result in any reduction in the level of protection provided. |