Data Processing Agreement
1. DEFINIZIONI E COSTRUZIONE
1.1. Definizione
“Data Processing Agreement” o “DPA” indica il presente contratto per il trattamento dei dati, inclusi gli Allegati, come modificati di volta in volta.
“Assa Abloy” indica ASSA ABLOY Italia Spa
"Giorno lavorativo" indica un giorno (diverso da un sabato, una domenica o un giorno festivo);
"Clausole Contrattuali Standard UE" indica le clausole contrattuali tipo pertinenti per il trasferimento di dati personali a paesi terzi adottate dalla Commissione UE;
“Legislazione dell'UE in materia di dati personali” indica (i) il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (“GDPR”) (ii) il D.Lgs. 30 giugno 2003, n. 196 (i.e. il 'Codice Privacy') e al D.Lgs. 10 agosto 2018, n. 101 di adeguamento del Codice Privacy al GDPR e iii) le legislazioni locali rimaste in vigore dopo il 25 maggio 2018 e (iV) le eventuali legislazioni locali in cui siano implementati requisiti normativi aggiuntivi al GDPR e le relative modifiche;
"Contratto" indica il contratto quadro denominato ASSA ABLOY Incedo™ Business Cloud Termini e Condizioni, unitamente al Modulo d’Ordine e questo Data Processing Agreement (e relativi allegati) che formano un unico Contratto;
"Parte"/"Parti" indica il Cliente e Assa Abloy separatamente o congiuntamente, a seconda dei casi;
“Cliente” significa il cliente come indentificato nel Modello d’Ordine;
"Violazione dei dati personali" indica una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai dati personali trasmessi, archiviati o altrimenti elaborati da Assa Abloy, o da un subappaltatore, nell'esecuzione di Servizi.
"Progetto" indica come descritto nello Schedule 1 e implementato dal Cliente (inclusi tutti i servizi associati forniti da Assa Abloy, di volta in volta);
"Scopo" indica come descritto nello Schedule 1;
"Requisiti Normativi" indica la Legislazione dell'UE in materia di dati personali, la legislazione che può sostituire di volta in volta la suddetta legislazione, i requisiti legali locali specificati dalla giurisdizione locale (e in caso di discrepanze o contraddizioni tra diverse norme o regolamenti, quella che fornisce il massimo grado di privacy e/o si applica la sicurezza delle informazioni) e qualsiasi regolamento o strumento associato e qualsiasi altra legge, regolamento, requisito normativo e codice di condotta sulla protezione dei dati applicabile alla fornitura dei Servizi da parte di Assa Abloy;
"Autorità di Controllo" indica qualsiasi tribunale, agenzia di regolamentazione o autorità che, in base alle leggi e/o ai regolamenti applicabili (inclusi i requisiti normativi), sovrintende alle questioni relative alla privacy e/o al trattamento dei dati personali.
1.2. Costruzione
Termini ed espressioni non in maiuscolo utilizzati nel presente DPA, ad es. "interessato", "titolare", "dati personali", "trattamento", "responsabile del trattamento", "paese terzo" ecc., devono essere interpretati secondo il significato loro attribuito nella legislazione dell'UE in materia di dati personali.
I dati personali trattati da Assa Abloy (come indicati nello Schedule 1) nella fornitura dei Servizi sono limitati ai dati personali trasmessi dal Cliente, o per suo conto, o dagli utenti finali, direttamente all'infrastruttura in cui è ospitato il Servizio. I tipi di dati personali che possono essere utilizzati per eseguire il Servizio sono quelli specificatamente indicati nello Schedule 1.
2. IMPEGNI SPECIALI DELLE PARTI
2.1. Xxxxx, titolarità dei dati personali, elaborazione e finalità
2.1.1. Il Cliente sarà considerato il titolare del trattamento dei dati personali trattati per suo conto ed in base alle sue istruzioni, e Xxxx Xxxx sarà considerata responsabile del trattamento dei dati personali per conto del Cliente.
2.1.2. Assa Abloy può trattare i dati personali del Cliente solo per lo Scopo e nella misura necessaria per l'adempimento degli obblighi di Assa Abloy ai sensi del Contratto. Nel caso in cui Assa Abloy violi i Requisiti Normativi determinando le finalità e i mezzi del trattamento (ad esempio, trattando i dati personali in violazione dello Scopo), il responsabile sarà considerato il titolare del trattamento e sarà pienamente responsabile in qualità di titolare del trattamento ai sensi dei Requisiti Normativi anche in relazione alle eventuali sanzioni previste dalle predette disposizioni.
2.1.3. Assa Abloy riconosce che, tra le Parti, tutti i diritti, titoli e interessi sui dati personali trattati a seguito del presente DPA spettano esclusivamente al Cliente, indipendentemente dal fatto che Assa Abloy sia considerata, e in quale misura, titolare del trattamento dei dati personali.
2.2. Impegni speciali del Cliente
Il Cliente, si impegna a:
(a) garantire l'esistenza di un fondamento giuridico per il trattamento dei dati personali oggetto del presente Agreement;
(b) informare Assa Abloy di eventuali dati personali errati, rettificati, aggiornati o cancellati soggetti al trattamento di Assa Abloy;
(c) mantenere i registri richiesti dalla Legislazione dell'UE in materia di dati personali.
Il Cliente dichiara e garantisce che i dati personali forniti ad Assa Abloy per il trattamento possono essere trattati in modo lecito (es. raccolta lecita, rispetto dell'obbligo di informativa e rispetto della normativa applicabile sulla privacy) e allo scopo di fornire i Servizi. Il Cliente non dovrà, con alcuna azione od omissione, porre Assa Abloy oi suoi subappaltatori in violazione delle leggi sulla privacy in relazione al trattamento dei dati personali. Il Cliente deve garantire che i dati personali siano accurati, adeguati e completi. Inoltre, se necessario, il Cliente garantisce che fornirà tutte le comunicazioni appropriate agli utenti finali e che ha ottenuto tutti i consensi appropriati per trasferire i dati personali ad Assa Abloy o per consentire ad Assa Abloy di raccogliere legalmente dati personali direttamente dagli utenti finali e consentire il loro trattamento se necessario per fornire i Servizi in conformità con il Contratto.
2.3. Impegni speciali di Assa Abloy
Assa Abloy si impegna a:
(a) trattare i dati personali solo in conformità con i Requisiti Normativi e le istruzioni documentate del Cliente, anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, a meno che ciò non sia richiesto dai Requisiti Normativi; in tal caso, Assa Abloy informerà il Cliente di tale obbligo legale prima di elaborare i dati personali, a meno che tale informazione non sia vietata dai Requisiti Normativi per importanti motivi di interesse pubblico;
(b) garantire che solo i dipendenti (di Assa Abloy o dei suoi subappaltatori) che devono avere accesso ai dati personali per adempiere agli obblighi di Assa Abloy ai sensi del presente Accordo abbiano ricevuto formazione e istruzioni adeguate in merito al trattamento dei dati personali e si siano impegnati alla riservatezza o sono soggetti a un adeguato obbligo legale di riservatezza;
(c) tenere conto della natura del trattamento, attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (e come minimo le misure di sicurezza descritte nello Schedule 1) e assistere il Cliente implementando adeguate misure tecniche e misure organizzative, per quanto possibile, per l'adempimento dell'obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell'interessato previsti dalla Legislazione UE in materia di dati personali;
(d) assistere il Cliente nel garantire il rispetto degli obblighi ai sensi del GDPR, articoli da 33 a 36 (ad es. assistere il Cliente in caso di violazione dei dati personali, durante lo svolgimento di valutazioni di impatto sulla protezione dei dati e consultazioni preventive);
(e) alla risoluzione o alla scadenza del presente Contratto, su richiesta del Cliente, cancellare o restituire al Cliente tutte le copie dei dati personali trattati per conto del Cliente, salvo ove necessario per conservare tali dati personali esclusivamente per finalità di conformità alla legge;
(f) mettere a disposizione del Cliente tutti i documenti e le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti nel presente DPA e consentire e contribuire alle verifiche, comprese le ispezioni, condotte dal Cliente o da un altro revisore incaricato da esso, in conformità con la Clausola 4;
(g) In ogni caso a rispettare i Requisiti Normativi nella sua attività ordinaria.
3. SUBAPPALTATORI
3.1. Qualora Assa Abloy desideri ingaggiare un subappaltatore, dovrà ottenere la previa approvazione scritta del Cliente, che non dovrà essere irragionevolmente negata o ritardata. Al fine evitare qualsiasi possibilità di equivoco, il Cliente acconsente pienamente ed esplicitamente all'utilizzo dei subappaltatori/subresponsabili elencati nello Schedule 1 (ed al trattamento nelle locations ivi previste), con i quali Assa Abloy garantisce di avere gli opportuni accordi (diretti o attraverso la catena di trattamento dei dati come opportuno) per il trattamento dei dati personali. L'Assa Abloy informerà il Cliente di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri subappaltatori, dando così al Cliente la possibilità di opporsi a tali modifiche.
3.2. La nomina di qualsiasi subappaltatore è subordinata al fatto che il subappaltatore sia vincolato da un contratto scritto che afferma che deve aderire sostanzialmente alla stessa protezione dei dati e privacy di Assa Abloy ai sensi del presente DPA. Su richiesta, il Cliente avrà diritto a una copia del contratto tra Assa Abloy e il subappaltatore.
3.3. Il Cliente può decidere che un subappaltatore non potrà più essere coinvolto nel trattamento dei dati personali per conto del Cliente se (i) il Cliente può fornire ragionevoli motivi per cui ritiene che le prestazioni del subappaltatore siano materialmente carenti, o (ii) il Cliente determina ragionevolmente che il subappaltatore non è, o sarà, incapace di adempiere efficacemente alle proprie responsabilità in conformità con il presente Contratto. Se il Cliente prende una tale decisione, Assa Abloy dovrà (i) rimuovere tale subappaltatore il più rapidamente possibile; oppure (ii) consentire al Cliente di interrompere l'utilizzo dei servizi interessati, senza penali.
3.4. L'Assa Abloy rimarrà responsabile per tutti gli obblighi eseguiti e qualsiasi omissione di eseguire o rispettare le disposizioni del presente DPA da parte dei subappaltatori nella stessa misura in cui tali obblighi fossero eseguiti o omessi da Assa Abloy. L'Assa Abloy rimarrà inoltre l'unico referente del Cliente.
4.DIRITTI DI AUDIT E LUOGHI
4.1 Il Cliente o un revisore di sua scelta, o un'Autorità di controllo, avrà il diritto di eseguire verifiche sul trattamento dei dati personali del Cliente da parte di Assa Abloy (compreso il trattamento che potrebbe essere effettuato dai subappaltatori di Assa Abloy, se presenti) al fine di verificare la conformità di Assa Abloy e di qualsiasi subappaltatore al presente DPA.
4.2 Assa Abloy, durante il normale orario lavorativo e previo ragionevole preavviso (per cui un periodo di preavviso di trenta (30) Xxxxxx lavorativi sarà sempre ritenuto ragionevole), fornirà al personale del Cliente o ai suoi consulenti assunti, ai suoi revisori interni o esterni, agli ispettori e le autorità di regolamentazione hanno un accesso ragionevole alle parti delle strutture in cui Assa Abloy svolge attività di trattamento, al personale e a tutti i dati e le registrazioni (inclusi strumenti e procedure) relativi al trattamento. I revisori dei conti e gli altri rappresentanti del Cliente devono rispettare le ragionevoli regole di lavoro, i requisiti di sicurezza e gli standard di Assa Abloy durante le visite in loco.
Se qualsiasi Autorità di controllo:
(a) contatti Assa Abloy in merito ai suoi sistemi o a qualsiasi trattamento di dati personali effettuato da Assa Abloy,
(b) (ii) conduce, o comunica la sua intenzione di condurre, un'ispezione di Assa Abloy in relazione al trattamento dei dati personali, o
(c) (iii) intraprende, o comunica la propria intenzione di intraprendere, qualsiasi altra azione normativa relativa a pratiche improprie o inadeguate rispetto a qualsiasi trattamento di dati personali effettuato da Assa Abloy,
allora Assa Abloy sarà soggetta a qualsiasi restrizione imposta da l'Autorità di controllo, dandone immediata comunicazione al Cliente, fornirà successivamente al Cliente tutte le informazioni ad esso pertinenti nella misura consentita dalla legge. Fermo restando quanto sopra, qualsiasi Autorità di controllo avrà sempre accesso diretto e illimitato ai locali, agli strumenti di elaborazione dei dati e alla documentazione di Assa Abloy al fine di verificare che il trattamento dei dati personali da parte di Assa Abloy sia effettuato in conformità con i Requisiti Normativi.
4.3 Assa Abloy manterrà in ogni momento un registro completo e aggiornato di dove si trovano i sistemi informatici utilizzati per elaborare i dati personali per conto del Cliente. A scanso di equivoci, ciò include l'ubicazione di qualsiasi sistema IT appartenente a qualsiasi subappaltatore. Su richiesta, Assa Abloy fornirà tempestivamente al Cliente copia del verbale.
4.4 Il Cliente avrà il diritto di eseguire una verifica del trattamento dei dati personali del Cliente da parte di Assa Abloy (compreso il trattamento che potrebbe essere effettuato dai subappaltatori di Assa Abloy, se presenti) senza preavviso ad Assa Abloy qualora il Cliente sia a conoscenza una violazione dei dati personali del Cliente è stata causata da Assa Abloy o dal subappaltatore di Assa Abloy. Laddove l'audit dimostri che Assa Abloy o il subappaltatore di Assa Abloy ha causato la violazione, il costo della riparazione e il costo dell'audit saranno a carico di Assa Abloy.
4.5 Salvo quanto descritto nella Clausola 4.4, ciascuna Parte sosterrà i propri costi per gli audit qui stabiliti, tranne nel caso in cui l'audit riveli la non conformità al presente Accordo o ai Requisiti normativi, nel qual caso Assa Abloy sosterrà tutti i costi dell'audit.
4.6 Assa Abloy farà tutto il possibile per consentire al Cliente di eseguire un audit fisico delle strutture del subappaltatore nella misura in cui Assa Abloy è in grado di farlo.
5. TRASFERIMENTO INTERNAZIONALE DI DATI
5.1 In relazione ai dati personali provenienti dal, o trattati per conto del, Cliente all'interno dell'UE/SEE e trasferiti a subappaltatori di Assa Abloy all'interno dell'UE/SEE, si applica quanto stabilito nella clausola 3 relativa ai subappaltatori.
5.2 Per quanto riguarda i dati personali provenienti da, o elaborati per conto del, Cliente all'interno dell'UE/SEE, ma consultati o altrimenti trattati da Assa Abloy o da un subappaltatore in giurisdizioni al di fuori dell'UE/SEE (anche attraverso l'uso di soluzioni IT basate su cloud ) Assa Abloy si impegna a che tale trasferimento dei dati personali del Cliente non avrà luogo senza il previo accordo scritto del Cliente e subordinatamente alla stipula di Clausole Contrattuali Standard UE. A tali fini, I subappaltatori previsti in Schedule 1 per le rispettive finalità (e le locations) ivi indicate sono autorizzati dal Cliente, per mezzo della firma del Modello d’Ordine che comporta accettazione anche del presente DPA. Le Clausole Contrattuali Standard potranno essere sottoscritte con il subappaltatore in giurisdizione al di fuori dell’EU/SEE da Assa Abloy direttamente anche per conto e su mandato del Cliente (o attraverso la propria catena contrattuale per il trattamento dei dati, come opportuno), oppure tra Assa Abloy e il Cliente e/o tra il Cliente e il subappaltatore. Le parti convengono che qualsiasi controversia derivante da Clausole Contrattuali Standard UE sarà trattata come se fosse sorta ai sensi del presente DPA.
5.3 La clausola 5.2 non si applica se (i) la giurisdizione in cui è stabilito Assa Abloy o il subappaltatore è stata considerata dall'Unione Europea come una giurisdizione con un'adeguata protezione dei dati personali.
COMPENSO
Assa Abloy non avrà diritto a compensi aggiuntivi sulla base del presente DPA.
6. DURATA E RISOLUZIONE
6.1 Il presente Accordo entrerà in vigore al momento della firma del Modello d’Ordine da parte del Cliente e resterà in per tutta la Durata del Contratto e della prestazione dei Servizi da parte di Assa Abloy, e potrà essere risolto dal Cliente con un preavviso scritto di trenta (90) giorni, salvo risoluzione anticipata a causa di una violazione sostanziale dei termini del presente DPA, nel qual caso il presente Accordo sarà risolto con effetto immediato se l'altra Parte non pone rimedio a tale violazione in modo soddisfacente entro quindici (15) giorni dalla richiesta scritta dell'altra Parte.
6.2 Alla risoluzione del presente DPA per qualsiasi motivo, Assa Abloy cesserà di trattare i dati personali trattati per conto del Cliente e provvederà alla pronta e sicura restituzione al Cliente (o al suo terzo designato) in un formato leggibile comune concordato dalle parti, o la distruzione, ad insindacabile giudizio del Cliente, di tutti tali dati personali unitamente a tutte le copie in suo possesso o controllo, a meno che la conservazione dei dati personali non sia richiesta ai sensi dei Requisiti Normativi. Il Cliente può richiedere ad Assa Abloy di confermare prontamente per iscritto al Cliente che Assa Abloy ha restituito o distrutto tutte le copie di tali dati personali.
7.RESPONSABILITÀ E INDENNIZZO
7.1 Ciascuna Parte dovrà indennizzare e tenere indenne l'altra Parte da e contro tutte le perdite dovute a reclami da parte di terzi, comprese ammende governative/autorità e sanzioni derivanti da, derivanti da o relative a qualsiasi violazione da parte di tale prima Parte del presente DPA.
7.2. Qualsiasi perdita subita da una Parte derivante da o relativa a una violazione del presente DPA da parte dell'altra Parte che non sia dovuta a pretese di terzi ai sensi della Clausola 8.1 sarà disciplinata dalle disposizioni in materia di responsabilità e limitazione di responsabilità nei Termini e Condizioni.
8. COMUNICAZIONI
8.2 Tutte le comunicazioni a una Parte ai sensi del presente Accordo devono essere in forma scritta e inviate al suo indirizzo come indicato all'inizio del presente DPA o nell'Avviso di adesione (se applicabile), o ad altro indirizzo che tale Parte ha fornito all'altra in scrivere a tale scopo. Le comunicazioni possono essere inviate per posta, corriere, fax o e-mail.
8.3 Gli avvisi si considerano debitamente forniti (i) il giorno della consegna se consegnati di persona o tramite corriere, (ii) tre (3) giorni lavorativi dopo il giorno in cui l'avviso è stato inviato se inviato per posta, e (iii) nel giorno in cui il destinatario ha confermato manualmente di essere ricevuto quando inviato per fax o e-mail.
9. VARIE
9.2 Nessuna delle Parti può cedere i propri diritti o obblighi ai sensi del Contratto senza il previo consenso scritto dell'altra Parte.
9.3 Il presente DPA stabilisce e costituisce l'intero accordo tra le Parti in relazione all'oggetto del presente e tutti i precedenti accordi, intese o promesse in merito sono sostituiti con il presente. A scanso di equivoci, in caso di incongruenze tra le disposizioni del presente DPA e qualsiasi altro accordo tra le Parti, i termini del presente DPA prevarranno in relazione agli obblighi di protezione dei dati delle Parti, incluso il regime di responsabilità e indennizzo di cui alla clausola 8 del presente DPA e dei Termini e Condizioni ivi richiamati.
9.4. Nessun emendamento, modifica, rinuncia relativa al presente DPA sarà vincolante per le Parti se non per atto scritto e debitamente sottoscritto da rappresentanti autorizzati delle Parti.
10.LEGGE APPLICABILE E CONTROVERSIE
10.1. Il presente Contratto sarà disciplinato dalla legge italiana indipendentemente dalle norme sul conflitto di leggi.
10.2. Le controversie derivanti dal presente Contratto saranno devolute alla competenza esclusiva del tribunale di Bologna.
Sottoscrizione
IL CLIENTE MANIFESTA L’ ACCETTAZIONE DEL PRESENTE DPA (e Schedule 1) CON LA SOTTOSCRIZIONE DEL MODULO D'ORDINE.
SCHEDULE 1 DEL DATA PROCESSING AGREEMENT
Scopo: lo scopo del trattamento è che Assa Abloy fornisca al Cliente Incedo™ Business Cloud e i Servizi correlati. Le tipologie di dati personali trattati sono selezionati dal Cliente.
Breakdown dei dati:
Tipoligie di dati personali | Finalità del trattamento | Data Retention Period |
Nome e cognome Xxxxxxxxx e-mail Titolo di lavoro Numero di telefono Informazioni sul datore di lavoro Datore di lavoro Indirizzo | Onboarding dell'organizzazione dell'utente finale al servizio. Si applica agli amministratori | 30 giorni dal termine del servizio |
Nome e cognome Xxxxxxxxx e-mail Titolo di lavoro Suffisso | Identificazione utenti finale. | 30 giorni dal termine del servizio |
Stato dell'applicazione, eventi e statistiche di utilizzo | Migliorare le prestazioni del servizio e fornire supporto tecnico. | 3 anni in forma non identificata |
Posizione della piattaforma: ospitata dalla società Amazon Web Services ("provider di hosting") - Piattaforma attualmente situata negli Stati Uniti
Consegna dei dati tramite client: API o interfaccia utente su HTTPS
Subappaltarori/ Subresponsabili:
Security and Risk Communications Limited, Reg. No. 417550, a company incorporated under the laws of Republic of Ireland of the ASSA ABLOY Group (“subresponsabile”)
Altri subappaltatori della catena per il trattamento dei dati personali
Azienda | Paese | Finalità |
Google LLC | US | API Gateway, Google Analytics |
Amazon Web Services | US, Ireland | Infrastructure, security and integration services |
HSL Mobile | UK | Deliver one-time passwords via SMS for two-factor authentication to mobile phones. |
Rapid 7 LLC | US | Central storage and analysis of application log files |
Mixpanel | US | Usage analytics data from the HID Origo SDK |
I dati personali saranno altresì trattati (incluso l’accesso remoto): Italy – San Xxxxxxxx in Persiceto (BO)
United Kingdom, Poland & South Africa