CONTRATTO PER IL TRATTAMENTO DEI DATI PER I SAP SUPPORT AND PROFESSIONAL SERVICES
CONTRATTO PER IL TRATTAMENTO DEI DATI PER I SAP SUPPORT AND PROFESSIONAL SERVICES
1. DEFINIZIONI
1.1. “Utenti Autorizzati” si riferisce a qualunque persona a cui il Cliente concede l’autorizzazione di accesso conformemente alla licenza software SAP per usare il Servizio SAP che sia un dipendente, agente, appaltatore o rappresentante
a) del Cliente;
b) delle Affiliate del Cliente; o
c) dei Business Partner del Cliente e delle Affiliate del Cliente (come definiti nel Contratto di Licenza Software e Supporto).
1.2. “Titolare” si riferisce alla persona fisica o giuridica, all’autorità pubblica, all’agenzia o ad altro ente che, da solo o con altri, determini le finalità e le modalità di trattamento dei Dati Personali; ai fini del presente DPA, quando il Cliente agisce in qualità di Responsabile di un altro Titolare, verso SAP sarà considerato un Titolare aggiuntivo e indipendente con i rispettivi diritti ed obblighi del Titolare ai sensi del presente DPA.
1.3. “Normativa sulla Protezione dei Dati” si riferisce alla normativa applicabile a tutela dei diritti e delle libertà fondamentali delle persone e il loro diritto alla privacy con riguardo al trattamento dei Dati Personali ai sensi del Contratto.
1.4. “Soggetto Interessato” si riferisce a una persona fisica identificata o identificabile quale definita dalla Normativa sulla Protezione dei Dati.
1.5. “My Trust Center” si riferisce alle informazioni disponibili sul portale di supporto SAP (all’indirizzo: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) o sul sito web dei contratti SAP (all’indirizzo: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) o l’eventuale successivo sito web messo a disposizione da SAP al Cliente.
1.6. “Nuovo Trasferimento con Rilevanza SCC” si riferisce al trasferimento (o un trasferimento successivo) verso un Paese Terzo di Dati Personali che è soggetto al GDPR o alla applicabile Normativa sulla Protezione dei Dati ove l’eventuale adeguatezza richiesta dal GDPR or dalla Normativa sulla Protezione dei Dati applicabile può essere soddisfatta stipulando le Nuove Clausole Contrattuali Tipo.
1.7. “Nuove Clausole Contrattuali Tipo” si riferisce alle Clausole Contrattuali Tipo non modificate, pubblicate dalla Commissione Europea, sotto il riferimento 2021/914 o le loro eventuali successive versioni finali che si applicheranno automaticamente. Resta inteso che i Moduli DUE e TRE si applicheranno come stabilito alla Clausola 8.
1.8. “Dati Personali” si riferisce a qualsiasi informazione relativa ad un Soggetto Interessato tutelata dalla Normativa sulla Protezione dei Dati. Ai fini del DPA, essi comprendono solamente i dati personali che siano forniti a o ai quali SAP o i suoi Sub-responsabili hanno accesso al fine di fornire i Servizi SAP Support o Professional ai sensi del Contratto.
1.9. “Violazione dei Dati Personali” si riferisce ad una confermata:
a) accidentale o illegittima distruzione, perdita, alterazione, divulgazione non autorizzata o accesso di terzi non autorizzato a Dati Personali, oppure
b) un simile evento che coinvolga i Dati Personali per il quale il Titolare è obbligato dalla Normativa sulla Protezione dei Dati a notificare l’autorità competente per la protezione dei dati competenti o ai Soggetti Interessati.
1.10. “Professional Service” si riferisce ai servizi di implementazione, ai servizi di consulenza o i servizi quali i SAP Premium Engagement Support Services, Innovative Business Solutions Development Services, Innovative Business Solutions Development Support Services.
1.11. “Responsabile” si riferisce alla persona fisica o giuridica, all’autorità pubblica, agente o a altro ente che tratta i Dati Personali per conto del Titolare, sia direttamente quale Responsabile di un Titolare o indirettamente quale Sub-responsabile di un Responsabile che tratta Dati Personali per conto del Titolare.
1.12. “Allegato” si riferisce all’Appendice numerata con riguardo alle Clausole Contrattuali Tipo (2010) e all’Allegato numerato con riguardo alle Nuove Clausole Contrattuali Standard.
1.13. “Clausole Contrattuali Tipo (2010)” si riferisce alla Clausole Contrattuali Tipo (responsabili) pubblicate dalla Commissione Europea, riferimento 2010/87/EU.
1.14. “Subresponsabile” o “sub-responsabile” si riferisce alle Affiliate di SAP, SAP SE, Affiliate di SAP SE e terzi incaricati da SAP, SAP SE o dalle Affiliate di SAP SE in relazione al SAP Service che trattano i Dati Personali ai sensi del presente DPA.
1.15. “Misure Tecnico Organizzative” si riferisce alle misure tecnico organizzative per il relativo Servizio SAP Support o Professional pubblicate su My Trust Center.
1.16. “Paese Terzo” si riferisce a qualunque paese, organizzazione o territorio non riconosciuto dall’Unione Europea ai sensi dell’Articolo GDPR come paese sicuro caratterizzato da un adeguato livello di protezione dei dati.
2. CONTESTO
2.1. Scopi ed Applicazione
Il presente documento (“DPA”) è parte integrantedel Contratto e forma parte di un contratto scritto (anche in formato elettronico) tra SAP e il Cliente. Il presente DPA si applica ai Dati Personali forniti dal Cliente e da ciascun Titolare del Trattamento in relazione all’esecuzione di servizi SAP stabiliti nel relativo Contratto (“Servizio(i) SAP”) al quale il presente DPA è allegato e che possono comprendere:
a) Il SAP Support come definito nel Contratto di Licenza Software e Supporto; o
b) I Servizi Professionali quali descritti nel contratto di servizio stipulato da SAP e il Cliente (“Contratto di Servizio”).
2.2. Struttura
Gli Allegati 1 e 2 formano parte integrante del presente DPA. Esse stabiliscono l’oggetto, la natura e la finalità del trattamento, la tipologia di Dati Personali, le categorie di dati, i soggetti interessati e le misure tecnico- organizzative applicabili.
2.3. Governance
2.3.1. SAP agisce quale Responsabile e il Cliente e le entità ai quali è permesso l’utilizzo dei Servizi SAP Support o Professional dal Cliente agiscono da Titolari ai sensi del DPA.
2.3.2. Il Cliente è il punto di contatto univoco e dovrà ottenere tutte le autorizzazioni, consensi e permessi necessari per il trattamento dei Dati Personali ai sensi del presente DPA, inclusa l’approvazione dei Titolari a usare SAP quale Responsabile ove necessario. Le autorizzazioni, consensi o permessi sonoforniti dal Cliente anche per conto di eventuali altri Titolari. Nel caso in cui SAP notifichi o avvisi il Cliente, tale informazione o notifica si intende ricevuta dai Titolari autorizzati dal Cliente ad includere i Dati Personali. Il Cliente dovrà inoltrare tali informazioni e notifiche ai relativi Titolari.
3. SICUREZZA DEL TRATTAMENTO
3.1. Applicabilità delle Misure Tecnico-Organizzative
3.1.1. SAP ha implementato ed applicherà le Misure Tecniche ed Organizzative. Il Cliente ha esaminato tali misure e ritiene che le stesse sono idonee tenendo conto dello stato dell’arte, dei costi di implementazione, della natura, ambito, contesto e finalità del trattamento dei Dati Personali.
3.1.2. L’Allegato 2 si applica solo nella misura in cui tali Servizi SAP vengano eseguiti presso o da sedi SAP. Nel caso in cui SAP stia eseguendo i Servizi SAP presso le sedi del Cliente e venga concesso a SAP l’accesso ai sistemi e ai dati del Cliente, SAP dovrà rispettare le ragionevoli condizioni amministrative, tecniche e fisiche messe del Cliente per proteggere tali dati e proteggerli da accessi non autorizzati. In relazione ad eventuali accessi ai sistemi e ai dati del Cliente, il Cliente dovrà fornire al personale SAP le autorizzazioni utente e le password per accedere ai suoi sistemi, nonchè di revocare tali autorizzazioni e far cessare tale accesso,
qualora il Cliente lo ritenga di volta in volta appropriato. Il Cliente non concederà a SAP l’accesso ai sistemi o alle informazioni personali del Licenziatario (del Cliente o di terzi) a meno che tale accesso non sia essenziale per lo svolgimento dei Servizi SAP. Il Cliente non dovrà archiviare alcun Dato Personale negli ambienti non- produttivi.
3.2. Modifiche
3.2.1. SAP applica le misure Tecnico-Organizzative all’intera base clienti SAP e che ricevono il medesimo Servizio SAP. SAP potrà modificare le Misure Tecnico Organizzative in un qualsiasi momento senza preavviso purché sia mantenuto un similare o migliore livello di sicurezza. Singole misure possono essere sostituite da nuove misure che sono finalizzate al medesimo scopo senza diminuire il livello di sicurezza posto a protezione dei Dati Personali.
3.2.2. SAP pubblicherà versioni aggiornate delle Misure Tecnico Organizzative sul My Trust Center e, ove possibile, il Cliente potrà attivare la ricezione di notifiche a mezzo e-mail relativamente a tali versioni aggiornate.
4. OBBLIGHI IN CAPO A SAP
4.1. Istruzioni dal Cliente
4.1.1. SAP tratterà i Dati Personali solamente in conformità con le istruzioni documentate provenienti dal Cliente. Il Contratto (incluso il presente DPA) costituisce le istruzioni documentate e il Cliente potrà fornire ulteriori istruzioni durante l’esecuzione del Servizio SAP.
4.1.2. SAP farà quanto ragionevolmente possibile per implementare le eventuali altre istruzioni del Cliente, sempre che siano richieste dalla Normativa sulla Protezione dei Dati, tecnicamente fattibili e non richiedano modifiche all’esecuzione del Servizio SAP. Ove una delle precedenti eccezioni sia applicabile, o SAP non possa altrimenti attenersi a una istruzione o ritenga che un’istruzione comporti una violazione della Normativa sulla Protezione dei Dati, SAP provvederà a darne comunicazione immediata al Cliente (anche tramite e-mail).
4.2. Trattamento imposto dalla legge
SAP potrà altresì trattare i Dati Personali qualora sia richiesto dalla normativa applicabile. In tal caso, SAP informerà il Cliente di tale obbligo di legge prima del trattamento, salvo il caso in cui la legge vieti tale informativa per ragioni di interesse pubblico.
4.3. Personale
Per il trattamento dei Dati Personali, SAP e i suoi Sub-incaricati concederanno l’accesso solo a personale autorizzato che si è obbligato alla riservatezza. SAP e i Sub-responsabili formeranno regolarmente il personale che ha accesso ai Dati Personali sulle applicabili misure di sicurezza e di riservatezza dei dati.
4.4. Cooperazione
4.4.1. Su richiesta del Cliente, SAP collaborerà ragionevolmente con il Cliente e i Titolari nella gestione delle richieste provenienti da Soggetti Interessati o autorità relative al trattamento dei Dati Personali o eventuali Violazioni dei Dati Personali. Nel caso in cui riceva una richiesta da un Soggetto Interessato relativa al trattamento dei Dati Personali di cui al presente, SAP informerà immediatamente il Cliente (nel caso in cui il Soggetto Interessato abbia fornito informazioni atte a identificare il Cliente) a mezzo di e-mail e non fornirà direttamente la risposta a tale richiesta ma richiederà invece al Soggetto Interessato di reindirizzare la richiesta al Cliente.
4.4.2. In caso di una disputa con un Soggetto Interessato che concerne il trattamento di Dati personali ai sensi del presente DPA da parte di SAP, le Parti si terranno reciprocamente informate e se del caso coopereranno in maniera ragionevole al fine di addivenire ad una soluzione amichevole della controversia con il Soggetto Interessato. SAP provvederà a correggere, cancellare o rendere anonimi eventuali Dati Personali in suo possesso (ove possibile), o a limitare il loro trattamento, secondo le istruzioni del Cliente e la Normativa sulla Protezione dei Dati.
4.5. Notifica della Violazione dei Dati Personali
Dopo esserne venuta a conoscenza, senza ingiustificato ritardo, SAP notificherà al Cliente qualsiasi Violazione dei Dati Personali fornendo le ragionevoli informazioni in suo possesso al fine di aiutare il Cliente nell’adempimento dei suoi obblighi di segnalazione di una Violazione dei Dati Personali come richiesto dalla Normativa sulla Protezione dei Dati. SAP potrà fornire tali informazioni a fasi successive man mano che divengano disponibili. Tale comunicazione non potrà essere interpretata o intesa come un’ammissione di colpa o responsabilità da parte di SAP.
4.6. Valutazione di Impatto della Protezione dei Dati
Qualora, ai sensi della Normativa sulla Protezione dei Dati, il Cliente (o i suoi Titolari) sia tenuto a effettuare una valutazione di impatto sulla protezione dei dati oppure una preventiva consultazione con un’autorità, su richiesta del Cliente, SAP fornirà la documentazione che è generalmente disponibile per il Servizio SAP (ad esempio, il presente DPA, il Contratto, Relazioni di Revisione o Certificazioni). L’eventuale ulteriore supporto andrà concordato dalle Parti.
5. ELIMINAZIONE DEI DATI
Il Cliente con il presente autorizza SAP a cancellare i Dati Personali rimasti presso SAP (se esistenti) entro per un periodo ragionevole nel rispetto della Normativa sulla Protezione dei Dati (non oltre sei mesi) non appena i Dati Personali non siano piu’ necessari per l’eseciuzione del Contratto, salvo la legge richieda un tempo di archiviazione superiore.
6. CERTIFICAZIONI E AUDIT
Il Cliente o il proprio indipendente revisore terzo che sia di ragionevole gradimento di SAP (che non comprenderanno eventuali revisori terzi che siano concorrenti di SAP o non siano in possesso delle idonee qualificazioni o indipendenti) potranno ispezionare i centri di fornitura di servizi e supporto e le pratiche di sicurezza informatiche di SAP relative ai Dati Personali trattati da SAP solamente se:
a) SAP non abbia fornito sufficiente evidenza della sua conformità alle Misure Tecnico Organizzative fornendo una certificazione di conformità alla norma ISO 27001 o ad altri standard (nell’estensione di cui al certificato). Le certificazioni sono disponibili nel My Trust Center oppure su richiesta se la certificazione non è disponibile online; oppure
b) si sia verificata una Violazione dei Dati personali; oppure
c) l’autorità di protezione dei dati del Cliente abbia presentato richiesta formale di verifica; oppure
d) la Normativa sulla Protezione dei Dati Personali inderogabile riconosca al Cliente un diritto per la verifica diretta, fatto salvo che il Cliente potrà effettuare la verifica una sola volta ogni dodici mesi a meno che la Normativa di legge sulla Protezione dei Dati richieda verifiche più frequenti.
6.2. Verifiche di altro Titolare
Eventuali altri Titolari potranno sottoporre a verifica l’ambiente di controllo e le procedure di sicurezza di SAP relative ai Dati Personali trattati da SAP ai sensi della e nella misura ammessa nella Clausola 6.1 se ciò siano applicabile direttamente a tale diverso Titolare. Tale verifica dovrà essere effettuata dal Cliente a meno che la verifica non debba essere effettuata dall’altro Titolare ai sensi della Normativa sulla Protezione dei Dati. Nel caso in cui diversi Titolari i cui Dati Personali vengano trattati da SAP ai sensi del Contratto richiedano una verifica, il Cliente dovrà utilizzare tutti i mezzi ragionevoli per combinare le verifiche ed evitare verifiche multiple.
6.3. Ambito della Verifica
Il Cliente dovrà garantire un preavviso minimo di almeno 60 giorni per qualsiasi verifica, a meno che la Normativa sulla Protezione dei Dati o un’autorità della protezione dei dati competente richieda un preavviso più breve. La frequenza, l’intervallo temporale e l’ambito di qualsiasi verifica andrà concordata dalle parti che agiranno ragionevolmente e in buona fede. Per quanto possibile, le verifiche del Cliente dovranno limitarsi a verifiche in remoto. Nel caso siano obbligatorie verifiche in loco, non potranno estendersi per più di 1 giorno
lavorativo. Oltre a tali limitazioni, le parti utilizzeranno le certificazioni in vigore o altre relazioni di verifica al fine di evitare o minimizzare la ripetizione delle verifiche. Il Cliente dovrà fornire a SAP i risultati di tutte le verifiche.
6.4. Costo delle Verifiche
Il Cliente dovrà sostenere i costi di qualsiasi verifica a meno che la verifica evidenzi un grave inadempimento di SAP del presente DPA, in tal caso SAP sosterrà i costi della verifica. Qualora all’esito di una verifica risulti che SAP si sia resa inadempiente delle obbligazioni poste a suo carico ai sensi del DPA, SAP dovrà porre immediatamente rimedio all’inadempimento a proprie spese.
7. SUB RESPONSABILI
7.1. Usi consentiti
A SAP viene concessa un’autorizzazione generale di subaffidare il trattamento dei Dati Personali a Sub- responsabili alle seguenti condizioni:
a) SAP o SAP SE per suo conto incarichino i Sub-responsabili con un contratto scritto (anche in formato elettronico) che sia conforme con le disposizioni del presente DPA in relazione con il trattamento dei Dati Personali da parte del Sub-responsabile. SAP sarà responsabile per eventuali violazioni del Sub- Incaricato conformemente ai termini del presente Contratto;
b) SAP valuti le procedure di sicurezza, privacy e riservatezza di un Sub-responsabile prima della sua nomina per stabilire se sia in grado di garantire il livello di protezione dei Dati Personali imposto dal presente DPA;
c) Per SAP Support, la lista di Sub-responsabili di SAP in essere alla data di decorrenza del Contratto sia pubblicata da SAP su My Trust Center oppure sia messa a disposizione del Cliente da SAP a richiesta, ivi compreso il nominativo, l’indirizzo e la qualifica di ciascun Sub-responsabile utilizzato da SAP per fornire il SAP Service; e
d) Con riguardo ai Professional Services, su richiesta del Cliente, SAP metta a disposizione l’elenco o identificare tali Sub-responsabili prima dell’avvio dei relativi Servizi SAP.
7.2.1. L’uso di Sub-Responsabili da parte di SAP èeffettuato a sua discrezione a condizione che:
a) SAP informi il Cliente in anticipo l’intenzione di aggiungere o sostituire all’elenco dei Sub-responsabili ivi compreso il nominativo, l’indirizzo e la qualifica del nuovo Sub-responsabile o (i) relativamente al SAP Support - mediante pubblicazione sul My Trust Center o a mezzo di e-mail, a seguito della registrazione del Cliente sul My Trust Center e (ii) relativamente ai Professional Services - mediante pubblicazione analoga sul My Trust Center, o a mezzo di e-mail, o in altra forma scritta; e
b) Il Cliente possa opporsi a tali modifiche nei termini di cui alla Clausola 7.2.2.
7.2.2. Opposizione ai Nuovi Sub responsabili
7.2.2.1. Supporto SAP
Qualora abbia un motivo legittimo ai sensi della Normativa sulla Protezione dei Dati di opporsi al trattamento dei Dati Personali da parte dei nuovi Sub-responsabili, il Cliente potrà recedere dal SAP Support dandone comunicazione scritta a SAP; tale comunicazione dovrà pervenire a SAP non oltre 30 giorni dalla data della comunicazione inviata da SAP al Cliente del nuovo Sub-responsabile. Nel caso in cui il Cliente non invii a SAP una comunicazione di recesso entro tale termine di 30 giorni, si riterrà che il Cliente abbia accettato il nuovo Sub-responsabile. Entro il termine di 30 giorni dalla data della comunicazione di SAP in cui si informa il Cliente del nuovo Sub-responsabile, il Cliente potrà richiedere che le parti addivengano ad una discussione in buona fede per risolvere la questione. Tali discussioni non allungheranno il termine per inviare a SAP una comunicazione di risoluzione e non inficeranno il diritto di SAP di utilizzare il nuovo Sub-responsabile successivamente il periodo di 30 giorni.
7.2.2.2. Professional Services
Qualora abbia un motivo legittimo, ai sensi della Normativa sulla Protezione dei Dati, relativo al trattamento dei Dati Personali da parte dei Sub-responsabili, il Cliente potrà opporsi all’utilizzo del Sub-responsabile da parte di SAP, mediante comunicazione scritta a SAP entro 5 giorni lavorativi dalla comunicazione di SAP. Qualora il Cliente contesti l’utilizzo del Sub-responsabile, le parti discuteranno in buona fede una soluzione. SAP potrà scegliere di: (i) non utilizzare il Sub-responsabile o (ii) adottare le misure correttive richieste dal Cliente nella sua obiezione e utilizzare il Sub-responsabile oppure (iii) se ciò non sia possibile, utilizzare il Subresponsabile. Nel caso in cui nessuna di tali opzioni sia ragionevolmente possibile e il Cliente continui ad opporsi per fondati motivi, ciascuna delle parti potrà recedere dai relativi servizi con preavviso scritto di 5 giorni. Nel caso in cui il Cliente non si opponga entro 5 giorni dalla ricezione della comunicazione, si riterrà che il Cliente abbia accettato il nuovo Sub-responsabile. Qualora l’obiezione del Cliente rimanga irrisolta 30 giorni dopo dalla sua presentazione, e SAP non abbia ricevuto alcuna comunicazione di recesso, il Sub- responsabile si riterrà accettato dal Cliente.
7.2.3. L’eventuale recesso ai sensi della presente Xxxxxxxx andrà considerato essere senza colpa delle parti e sarà sottoposta ai termini del Contratto.
7.3. Sostituzione di Emergenza
8. TRATTAMENTO INTERNAZIONALE
8.1. Condizioni per il Trattamento Internazionale
SAP potrà trattare i Dati Personali, anche con l’utilizzo di Sub-responsabili, conformemente al presente DPA al di fuori del paese in cui abbia sede il Cliente nei limiti consentiti dalla Normativa sulla Protezione dei Dati.
8.2. Applicabilità delle Clausole Contrattuali Tipo (2010)
a) SAP e il Cliente adotteranno le Clausole Contrattuali Tipo (2010);
c) Altri titolari autorizzati dal Cliente ad includere i Dati Personali ai sensi del Contratto potranno altresì adottare le Clausole Contrattuali Tipo (2010) con SAP e/o i relativi Sub-responsabili nella stessa modalità del Cliente ai sensi delle precedenti Clausole 8.2.1 a) e b). In tal caso, il Cliente adotterò le Clausole Contrattuali Tipo (2010) per conto degli altri Titolari.
8.2.2. Le Clausole Contrattuali Tipo (2010) sono disciplinate dalla legge del paese dove il Titolare abbia sede.
8.3. Applicabilità delle Nuove Clausole Contrattuali Tipo
8.3.1. Quanto segue si applica dal 27 settembre 2021 ed esclusivamente ai Nuovi Trasferimenti con Rilevanza SCC:
8.3.1.1. Nel caso in cui SAP non abbia sede in un Paese Terzo e agisca da esportatore dei dati, SAP (o SAP SE per suo conto) ha stipulato le Nuove Clausole Contrattuali Tipo con ciascun Subresponsabile quale importatore
dei dati. Il Modulo TRE (Responsabile a Responsabile) delle Nuove Clausole Contrattuali Tipo si applicherà a tali Nuovi Trasferimenti con Rilevanza SSC.
8.3.1.2. Nel caso in cui SAP abbia sede in un Paese Terzo:
con il presente, SAP e il Cliente stipulano le Nuove Clausole Contrattuali Tipo con il Cliente quale esportatore dei dati e SAP quale importatore dei dati che si applicheranno come segue:
a) il Modulo DUE (Titolare a Responsabile) si applicherà nel caso in cui il Cliente sia un Titolare; e
b) il Modulo TRE (Responsabile a Responsabile) si applicherà nel caso in cui il Cliente sia un Responsabile. Nel caso in cui il Cliente agisca da Responsabile ai sensi del Modulo TRE (Responsabile a Responsabile) delle Nuove Clausole Contrattuali Tipo, SAP riconosce che il Cliente agisce in qualità di Responsabile secondo le istruzioni del proprio(propri) Titolare(i).
8.3.2. Altri Titolari o Responsabili il cui utilizzo dei Servizi SAP Support o Professional sia stato autorizzato dal Cliente ai sensi del Contratto possono altresì accedere alle Nuove Clausole Contrattuali Tipo con SAP nella stessa maniera del Cliente ai sensi della precedente Clausola 8.3.1.2. In tal caso, il Cliente accederà alle Nuove Clausole Contrattuali Tipo per conto degli altri Titolari o Responsabili.
8.3.3. Con riguardo ad un Nuovo Trasferimento con Rilevanza SSC, su richiesta rivolta al Cliente da un Soggetto Interessato, il Cliente potrà mettere a disposizione dei Soggetti Interessati una copia del Modulo DUE o TRE delle Nuove Clausole Contrattuali Tipo stipulate dal Cliente e da SAP (compresi i relativi Allegati).
8.3.4. La legge applicabile delle Nuove Clausole Contrattuali Tipo sarà la normativa della Repubblica Federale di Germania.
8.4. Rapporto delle Clausole Contrattuali Tipo con il Contratto
In nessun caso il presente Xxxxxxxxx avrà prevalenza sulle Clausole Contrattuali Tipo (2010) o sulle Nuove Clausole Contrattuali Tipo in caso di conflitto. Notabene, nel caso in cui il presente DPA specifichi ulteriori regole sui diritti di verifica e sui Subresponsabili, tali disposizioni troveranno applicazione anche con riguardo con le Clausole Contrattuali Tipo (2010) e le Nuove Clausole Contrattuali Tipo.
8.5. Diritti dei Terzi Beneficiari ai sensi delle Nuove Clausole Contrattuali Tipo
8.5.1. Nel caso in cui il Cliente sia localizzato in un PaeseTerzo ed agisca da importatore dei dati ai sensi del Modulo DUE o Modulo TRE delle Nuove Clausole Contrattuali Tipo e SAP agisca in qualità di sub-responsabile del Cliente ai sensi del Modulo applicabile, il rispettivo esportatore dei dati disporrà del seguente diritto del terzo beneficiario:
8.5.2. Nel caso in cui il Cliente sia di fatto scomparso, cessato di esistere giuridicamente o sia divenuto insolvente (in ogni caso senza un avente causa che si sia fatto carico delle obbligazioni giuridiche poste a carico del Cliente a norma di contratto o di legge), il rispettivo esportatore dei dati disporrà del diritto di risolvere il Servizio interessato solamente nella misura in cui i Dati Personali dell’esportatore vengono trattati. In tal caso, il rispettivo esportatore dei dati impartisce altresì istruzioni a SAP di procedere con la cancellazione o la restituzione dei Dati Personali.
9. DOCUMENTAZIONE; REGISTRI DI TRATTAMENTO
Ciascuna parte è tenuta ad osservare gli obblighi di documentazione posti a suo carico, in particolare con riferimento al mantenimento dei registri del trattamento quando sono richiesti dalla Normativa sul Trattamento dei Dati. Ciascuna delle parti fornirà la ragionevole assistenza all’altra con riguardo agli obblighi di documentazione, ivi compreso il rilascio delle informazioni che l’altra parte necessiti con la ragionevole modalità richiesta dall'altra parte (ad esempio utilizzando un sistema elettronico) al fine di mettere l’altra parte nella condizione di rispettare tutti gli obblighi relativi al mantenimento dei registri del trattamento.
Allegato 1 Descrizione del Trattamento
Il presente Allegato 1 descrive il Trattamento dei Dati Personali per le finalità connesse alle Clausole Contrattuali Tipo (2010), alle Nuove Clausole Contrattuali Tipo e alla Normativa sulla Protezione dei Dati applicabile.
1. A. UN ELENCO DI PARTI
1.1. Ai sensi delle Clausole Contrattuali Tipo (2010)
1.1.1. Esportatore
L’esportatore è il Cliente che ha sottoscritto un Contratto di Licenza Software e Supporto e/o un Contratto di Servizio con SAP ai sensi del quale esso beneficia del SAP Service come descritto nel relativo Contratto. Nel caso in cui il Cliente permetta ad altri Titolari di utilizzare il SAP Service, tali altri Titolari si considerano Esportatori.
1.1.2. Importatore
SAP e i propri Sub-responsabili forniscono il SAP Service quale definito ai sensi del relativo Contratto stipulato dall’esportatore che comprende le Clausole Contrattuali Tipo (2010):
1.2. Ai sensi delle Nuove Clausole Contrattuali Tipo
1.2.1. Modulo DUE: Trasferimento da Titolare a Responsabile
Nel caso in cui SAP abbia sede in un Paese Terzo, il Cliente sia Titolare e SAP il Responsabile, il Cliente si intenderà l’esportatore e SAP l’importatore.
1.2.2. Modulo TRE: Trasferimento da Responsabile a Responsabile
Nel caso in cui SAP abbia sede in un Paese Terzo, il Cliente sia Responsabile e SAP sia Responsabile, il Cliente sarà l’esportatore e SAP l’importatore.
2. B. DESCRIZIONE DEL TRASFERIMENTO
2.1. Soggetti interessati
Salvo altrimenti disposto dall'esportatore, i Dati Personali trasferiti si riferiscono alle seguenti categorie di Soggetti Interessati: dipendenti, terzisti, business partner o altri soggetti i cui Dati Personali siano tramessi al, messi a disposizione del o a cui acceda o altrimenti siano trattati dall’importatore.
2.2. Categorie di Dati
I Dati Personali trasferiti riguardano le seguenti categorie di dati:
Il Cliente stabilisce le categorie di dati e/o i campi di dati che possono essere trasferiti mediante il SAP Service come indicato nel relativo Contratto. I Dati Personali trasferiti riguardano in genere le seguenti categorie di dati: nome, numeri di telefono, indirizzi di posta elettronica, indirizzo postale, dati relativi all'accesso o all'utilizzo del sistema o di autorizzazione, ragione sociale, dati contrattuali, dati di fatturazione e un qualsiasi dato specifico dell'applicazione trasferito da Utenti Autorizzati e può comprendere dati finanziari quali i dati riguardanti il conto corrente bancario, la carta di credito o la carta di debito.
2.3. Categorie Speciali di Dati (se concordate)
2.3.1. I Dati Personali oggetto di trasferimento potranno comprendere categorie speciali di dati personali stabilite nel Contratto (“Dati Sensibili”). SAP ha adottato le Misure Tecnico Organizzative di cui all’Allegato 2 al fine di assicurare un adeguato livello di sicurezza al fine di proteggere anche i Dati Sensibili.
2.3.2. Il trasferimento dei Dati Sensibili potrà fare attivare l’applicazione delle seguenti limitazioni o sicurezze supplementari se necessarie per prendere in considerazione la natura dei dati ed il rischio di differenti probabilità e gravità per i diritti e le libertà delle eventuali persone fisiche:
a) formazione del personale;
b) codifica dei dati in transito o custoditi;
c) registrazione degli accessi al sistema e degli accessi ai dati in generale.
2.4. Finalità del trasferimento dei dati ed ulteriore trattamento; Natura del trattamento
2.4.1. I Dati Personali trasferiti sono soggetti alle attività di elaborazione di base stabilite nel Contratto che possono comprendere:
a) l’utilizzo dei Dati Personali per fornire il SAP Service;
b) la custodia dei Dati Personali;
c) l’elaborazione informatica dei Dati Personali per la trasmissione dei dati;
d) miglioramento incrementale delle caratteristiche e funzionalità del servizio fornite come parte integrante del Servizio SAP Support o Professional ivi compresa l’automatizzazione, l’elaborazione delle transazioni e il machine learning;
e) l’esecuzione delle istruzioni del Cliente ai sensi del Contratto.
2.4.2. Ai sensi del Contratto di Licenza Software e Supporto: SAP o i suoi Sub-responsabili forniscono supporto allorquando un Cliente presenti un ticket di assistenza perché il Software non è disponibile o non sta funzionando come previsto. Xxxx rispondono alle chiamate telefoniche ed eseguono attività di ricerca guasti di base e gestisce i ticket di assistenza in un sistema di tracciatura.
2.4.3. Ai sensi del Services Agreement for Professional Services: SAP e/o i suoi Sub-responsabili forniscono i Servizi ai sensi del Modulo d'Ordine Servizi e del Documento d’Ambito applicabile.
2.5. Descrizione supplementare con riguardo alle Nuove Clausole Contrattuali Tipo:
Moduli applicabili delle Nuove Clausole Contrattuali Tipo
a) Modulo DUE: Trasferimento da Titolare a Responsabile
b) Modulo TRE: Trasferimento da Responsabile a Responsabile
2.6. La frequenza del trasferimento (vale a dire se i dati vengano trasferiti una tantum o in via continuativa): I trasferimenti saranno effettuati in via continuativa.
2.7. Il periodo per il quale i dati personali verranno custoditi, o, nel caso in cui ciò non sia possibile, i criteri impiegati per determinare tale periodo:
2.8. Per i trasferimenti ai (sub-) responsabili, specificare ancora l’oggetto, la natura e la durata del trattamento:
Con riguardo alle Nuove Clausole Contrattuali Tipo, i trasferimenti ai Subresponsabili avranno lo stesso fondamento di cui al DPA.
3. C. AUTORITÀ DI VIGILANZA COMPETENTE
3.1. Con riguardo alle Nuove Clausole Contrattuali Tipo
3.1.1. Modulo 2: Trasferimento da Titolare a Responsabile
3.1.2. Modulo 3: Trasferimento da Responsabile a Responsabile
3.2. Nel caso in cui il Cliente sia l’esportatore, l’autorità di vigilanza sarà l’autorità di vigilanza competente per il Cliente ai sensi della Clausola 13 delle Nuove Clausole Contrattuali Tipo.
Allegato 2 Misure Tecnico-Organizzative
Il presente Allegato 2 si applica per descrivere le misure tecnico organizzative applicabili per le finalità connesse alle Clausole Contrattuali Tipo (2010), alle Nuove Clausole Contrattuali Tipo e alla Normativa sulla Protezione dei Dati applicabile.
SAP applicherà e manterrà le Misure Tecnico Organizzative.