ACCORDO IDEXX PER LA PROTEZIONE DEI DATI
ACCORDO IDEXX PER LA PROTEZIONE DEI DATI
(Ultima revisione: maggio 2018)
(A) IDEXX Europe B.V. o un’Affiliata di IDEXX Europe B.V. (a seconda dei casi, “IDEXX”) e l’utente di uno o più servizi descritti nell’Allegato A del presente Accordo per la protezione dei dati (“Cliente”) hanno stipulato un Contratto perché IDEXX presti tali servizi. Nel contesto del Contratto, IDEXX tratterà i Dati personali per conto e in favore del Cliente in qualità di responsabile del trattamento;
(B) Inoltre, se descritto nei Prospetti acclusi al presente Accordo per la protezione dei dati per quanto riguarda un particolare servizio IDEXX, IDEXX tratterà i Dati personali nel contesto del Contratto anche in qualità di titolare (congiunto) del trattamento, ove determinerà (congiuntamente) le finalità e gli strumenti di trattamento dei Dati personali;
(C) Le intese tra le Parti relative al trattamento dei Dati personali sono sancite nel presente Accordo per la protezione dei dati in conformità alla legge applicabile;
(D) IDEXX e il Cliente saranno indicati collettivamente come “Parti” o separatamente come “Parte”.
1 Relazione con il Contratto
1.1 Il presente Accordo per la protezione dei dati è un allegato al Contratto a cui si fa riferimento nell’Allegato A e annulla qualsiasi intesa (orale e/o scritta) con data precedente relativa al trattamento dei Dati personali tra il Cliente che agisce in qualità di titolare del trattamento, e IDEXX che agisce in qualità di responsabile del trattamento o titolare (congiunto) del trattamento in relazione ai Dati personali, se del caso.
1.2 A meno che non sia disposto diversamente in maniera esplicita nel presente Accordo per la protezione dei dati, in caso di discrepanze tra le disposizioni del Contratto, l’informativa sulla privacy indicata nel Contratto e il presente Accordo per la protezione dei dati, si applicherà il seguente ordine di priorità:
1. Accordo per la protezione dei dati;
2. Contratto;
3. Informativa sulla privacy indicata nel Contratto; ed
4. Eventuale altro accordo o altra intesa pertinente applicabile tra le Parti.
2 Struttura del presente Accordo per la protezione dei dati
2.1 La Parte A contiene le definizioni e la parte generale riguardanti il trattamento dei dati personali nel contesto del presente Accordo per la protezione dei dati. Questa parte si applica sia al caso in cui IDEXX agisce in qualità di responsabile del trattamento sia a quello in cui agisce come titolare del trattamento in relazione ai Dati personali.
2.2 La Parte B contiene disposizioni che si applicano solo al caso in cui IDEXX agisce in qualità di responsabile del trattamento in relazione ai Dati personali.
2.3 La Parte C contiene disposizioni che si applicano solo al caso in cui IDEXX agisce in qualità di titolare del trattamento in relazione ai Dati personali, se del caso in base a quanto indicato nei Prospetti quivi acclusi.
2.4 La Parte D contiene le disposizioni conclusive. Questa parte si applica al caso in cui IDEXX agisce in qualità di responsabile del trattamento e a quello in cui agisce come titolare del trattamento in relazione ai Dati personali.
PARTE A - Generale
3 Definizioni
3.1 Tutte le definizioni incluse nel Contratto si applicheranno anche al presente Accordo per la protezione dei dati, a meno che questo non disponga diversamente. Al presente Accordo per la protezione dei dati si applicano altresì le seguenti definizioni:
3.2 Affiliata: qualsiasi persona fisica o giuridica (“Persona”) che controlla, è controllata da o è sottoposta a controllo comune con un’altra. A tal fine, per “controllo” si intende (i) il potere, diretto o indiretto, di orientare la gestione o le politiche dell’ente interessato, sia mediante la titolarità di azioni con diritto di voto, sia mediante contratto o altro modo o (ii) la proprietà, diretta o indiretta, di almeno il cinquanta percento (50%) delle azioni con diritto di voto o di altra interessenza partecipativa dell’ente interessato o, qualora tale ente risieda in un Paese in cui non è consentito tale livello di proprietà, la massima proprietà percentuale ivi consentita;
3.3 Violazione dei dati: una violazione della sicurezza che comporta accidentali o illegittimi distruzione, perdita, modifica, divulgazione o accesso non autorizzati ai Dati personali trasmessi, salvati o altrimenti trattati;
3.4 Accordo per la protezione dei dati: il presente accordo per la protezione dei dati nonché qualsiasi modifica, sostituzione, aggiornamento o versioni successive dello stesso;
3.5 Sistema di trattamento dei dati: sistema usato per il trattamento dei Dati personali da parte di IDEXX o dei suoi subappaltatori;
3.6 Xxxxxxxx interessato: la persona a cui si riferiscono i Dati personali;
3.7 Dipendenti: i dipendenti e altre persone incaricate da IDEXX dell’adempimento del Contratto;
3.8 Autorità governativa: un’autorità governativa competente;
3.9 Ente non SEE: qualsiasi ente incaricato da IDEXX come subappaltatore, incorporato e/o che tratta i Dati personali controllati dal Cliente in un Paese al di fuori dello Spazio economico europeo e/o che non è un Paese in cui sia stato riscontrato un livello adeguato di protezione dei dati mediante decisione della Commissione europea e/o che non abbia aderito allo Scudo UE-USA per la privacy;
3 . 1 0 Dati personali: tutti i dati relativi a una persona fisica vivente identificata o identificabile;
4 Soggetto del presente Accordo per la protezione dei dati
4.1 IDEXX tratterà i Dati personali per conto e in favore del Cliente in qualità di responsabile del trattamento. Inoltre, se del caso in base a quanto indicato nei Prospetti quivi acclusi, IDEXX tratterà i Dati personali in qualità di titolare (congiunto) del trattamento al fianco del Cliente, ove determinerà (congiuntamente) le finalità e gli strumenti di trattamento dei Dati personali;
4.2 Il presente Accordo per la protezione dei dati è stato raggiunto per conto e in favore di IDEXX e delle sue Affiliate. Le menzioni di IDEXX contenute nel presente Accordo per la protezione dei dati faranno riferimento anche a qualsiasi Affiliata di IDEXX. IDEXX ha il diritto di dare esecuzione al presente Accordo per la protezione dei dati per sé stessa e anche per conto di qualsiasi sua Affiliata. Inoltre, le Affiliate di IDEXX hanno il diritto di dare esecuzione al presente Accordo per la protezione dei dati come se fossero parti contraenti dello stesso.
5 Trattamento dei Dati personali
5.1 I Prospetti acclusi al presente Accordo per la protezione dei dati contengono una descrizione delle attività di trattamento. Le parti manterranno una documentazione scritta o elettronica adeguatamente protetta di tutte le categorie di attività di trattamento svolte in linea con la legge applicabile, nella misura in cui tale documentazione non sia regolata dal presente Accordo per la protezione dei dati.
5.2 Il Cliente garantisce che tratterà i Dati personali o farà in modo che vengano trattati in conformità alla legge applicabile. Il Cliente, alla prima richiesta di IDEXX, fornirà tempestivamente tutte le informazioni pertinenti richieste ad IDEXX per iscritto, anche eventualmente in formato elettronico. IDEXX non è incaricata, né responsabile, della conformità agli obblighi del Cliente ai sensi della legge applicabile, inclusi, senza limitazione, gli obblighi del Cliente nei confronti dei propri clienti, come ad esempio l’obbligo di informarli dei destinatari dei loro Dati personali.
5.3 Tenendo conto della natura del trattamento dei dati e delle informazioni a disposizione delle Parti, queste ultime forniranno l’un l’altra tutta l’assistenza necessaria per conformarsi agli obblighi ad esse spettanti ai sensi della legge applicabile, in particolare gli obblighi in materia di sicurezza dei Dati personali, i doveri di notifica delle Violazioni dei dati, il dovere di informazione e l’esecuzione delle valutazioni dell’impatto sulla protezione dei dati, compresa la consultazione preliminare dell’Autorità governativa competente.
PARTE B - Responsabile del trattamento
6 Trattamento dei Dati personali in qualità di responsabile del trattamento
6.1 IDEXX tratterà i Dati personali esclusivamente per conto del Cliente e in conformità alle istruzioni documentate eventualmente fornite dal Cliente, tra cui quelle relative ai trasferimenti dei Dati personali a un Paese terzo. IDEXX informerà immediatamente il Cliente se, a proprio parere, una qualsiasi istruzione del Cliente viola la legge applicabile. IDEXX non avrà voce in capitolo in merito ai Dati personali che tratta. IDEXX non tratterà i Dati personali in favore o per le finalità né di sé stessa né di un terzo, o per altre finalità, fatto salvo quanto altrimenti disposto dalla legge applicabile.
6.2 I Prospetti elencano i (gruppi di) Dipendenti di IDEXX e/o altre persone incaricate da IDEXX che potrebbero avere accesso ai Dati personali e descrivono i tipi di Dati personali e le attività di trattamento dei dati che tali persone sono autorizzate a svolgere; altre attività di trattamento sono espressamente vietate. IDEXX garantirà che tali persone abbiano preso un impegno di riservatezza, nella misura in cui le stesse non siano vincolate da un opportuno obbligo di riservatezza prescritto dalla legge. IDEXX garantirà che tali Dipendenti o altre persone incaricate dalla stessa si conformino a tutti gli obblighi esposti nel presente Accordo per la protezione dei dati e nel Contratto.
7 Subappaltatori
7.1 IDEXX può incaricare dei subappaltatori (sub-responsabili del trattamento). Le informazioni riguardanti i subappaltatori di IDEXX, tra cui la loro funzione e le loro sedi operative, sono disponibili al xxx.xxxxx.xx/xxxx (ed eventuali aggiornamenti periodici da parte di IDEXX). IDEXX informerà il Cliente, nelle modalità definite da IDEXX, di qualsiasi modifica prevista riguardante l’aggiunta o la sostituzione di tali subappaltatori. Il Cliente può opporsi a qualsiasi nuovo subappaltatore mediante risoluzione del Contratto dandone preavviso scritto a IDEXX, purché tale preavviso avvenga entro 60 giorni da quando IDEXX informa il Cliente dell’incarico del subappaltatore. Se il Cliente si oppone a un eventuale nuovo subappaltatore, il diritto di risoluzione è l’unico ed esclusivo rimedio a disposizione del Cliente.
7.2 In caso di subappalto delle attività di trattamento dei dati personali, (a) IDEXX concluderà e darà esecuzione a un accordo scritto di sub-trattamento dei dati con tale subappaltatore, che prevede obblighi
di privacy e sicurezza dei dati almeno tanto rigorosi quanto quelli indicati nel presente Accordo per la protezione dei dati; e (b) IDEXX rimarrà l’incaricato e il responsabile dell’adempimento dei propri obblighi previsti dal Contratto, dal presente Accordo per la protezione dei dati e dalla legge applicabile.
8 Misure di sicurezza
8.1 IDEXX implementerà opportune misure di sicurezza tecniche e organizzative volte a garantire un adeguato livello di sicurezza in relazione ai Dati personali, tra le altre cose in considerazione dell’obbligo del titolare del trattamento di rispondere alle richieste dei Soggetti interessati che esercitano i propri diritti. Le misure di sicurezza tecniche e organizzative che devono essere attuate da IDEXX, tenendo conto dello stato attuale della tecnica, costi di attuazione e natura, ambito di applicazione, contesto e finalità del trattamento, nonché del rischio di svariate probabilità e gravità dei diritti e delle libertà delle persone fisiche, sono descritte nell’Allegato sulla sicurezza. IDEXX potrà aggiornare o modificare le proprie misure di sicurezza di volta in volta, purché tali aggiornamenti e modifiche non comportino una riduzione della sicurezza complessiva dei servizi.
8.2 IDEXX valuterà regolarmente le proprie misure di sicurezza tecniche e organizzative e le aggiornerà ove necessario. Su richiesta scritta del Cliente, IDEXX fornirà al Cliente una relazione riservata che riassume la valutazione di IDEXX delle sue misure di sicurezza.
9 Segnalazione di Violazioni dei dati
9.1 IDEXX manterrà delle procedure adeguate, concepite per rilevare e rispondere a tutte le Violazioni dei dati in conformità alla legge applicabile.
9.2 L’obbligo di IDEXX di notificare il Cliente di una Violazione dei dati e di intervenire in relazione a una Violazione dei dati non comporta un riconoscimento di alcun difetto o responsabilità da parte di IDEXX in relazione a tale Violazione dei dati.
9.3 Non appena IDEXX rilevi una Violazione dei dati di cui il Cliente non era ancora informato, IDEXX ne informerà il Cliente senza indebito ritardo nelle modalità definite da IDEXX. IDEXX informerà il referente del Cliente indicato dal Cliente in relazione ai servizi.
9.4 Quando il Cliente stesso è a conoscenza di una Violazione dei dati pertinente alla fornitura dei Servizi da parte di IDEXX, il Cliente ne informerà IDEXX senza indebito ritardo, indicando anche quali misure sono state o saranno adottate dal Cliente.
9.5 Una volta rilevata una Violazione dei dati da parte di IDEXX, quest’ultima fornirà tutti i ragionevoli riscontri al Cliente riguardo al possibile impatto della Violazione dei dati sul Cliente e sui Xxxxxxxx interessati coinvolti. Il riscontro include una descrizione della natura e dell’entità della Violazione dei dati, delle misure pianificate e già adottate per prevenire il danno.
9.6 Su richiesta del Cliente, IDEXX fornirà anche l’assistenza ragionevolmente necessaria nel comporre la documentazione pertinente in relazione alla Violazione dei dati. Il Cliente rimarrà in ogni caso responsabile per l'adempimento dell’obbligo di eseguire un monitoraggio interno delle Violazioni dei dati verificatesi.
9.7 Se il Cliente richiede a IDEXX di comunicare al/i Xxxxxxxx/i interessato/i coinvolto/i e/o all’Autorità governativa competente la Violazione dei dati, IDEXX agirà in tal modo solo dopo aver ricevuto istruzioni scritte complete del Cliente. Ciò non comporta alcuna responsabilità o passività per IDEXX in relazione alla (notifica della) Violazione dei dati.
10 Diritti di audit del Cliente
1 0 . 1 Il Cliente potrà, a proprie spese e previa consultazione con IDEXX, eseguire un audit sul Sistema di trattamento dei dati, per valutare se le ragionevoli misure di sicurezza tecniche e organizzative adottate in relazione ai Dati personali, trattati nel contesto del presente Accordo per la protezione dei dati, sono in linea con le misure descritte nell’articolo 8.
1 0 . 2 IDEXX metterà a disposizione del Cliente tutte le informazioni ragionevolmente necessarie a dimostrare la conformità agli obblighi del Cliente di concludere un accordo per il trattamento dei dati in linea con i pertinenti requisiti a tale riguardo ai sensi della legge applicabile e consentirà e contribuirà agli audit, comprese le ispezioni, condotti dal Cliente o da un auditor delegato dal Cliente. Di concerto con IDEXX, il Cliente potrà incaricare un terzo (esperto) dell’adempimento ai propri diritti di audit, purché tale terzo sia vincolato a un obbligo di riservatezza.
1 0 . 3 L’esecuzione di un audit da parte del Cliente o per conto dello stesso non comporterà alcun ritardo nelle attività aziendali di IDEXX o di alcuno dei suoi subappaltatori.
11 Trasferimento dei Dati personali
1 1 . 1 IDEXX potrà trasferire e salvare i Dati personali verso e presso le proprie sedi negli Stati Uniti. IDEXX è certificata ai sensi dello, e si conforma con lo Scudo UE-USA per la privacy e il trasferimento dei Dati personali verso le sedi statunitensi di IDEXX rientra nell’ambito di applicazione di tale certificazione.
1 1 . 2 Se IDEXX intende trasferire i Dati personali a un Ente non SEE, IDEXX informerà il Cliente di tale intenzione. IDEXX quivi informa il Cliente di tale intenzione nella misura in cui i subappaltatori menzionati nell’Articolo 7 del presente Accordo per la protezione dei dati siano Enti non SEE.
1 1 . 3 Il trasferimento a un Ente non SEE può essere legittimato in base allo Scudo UE-USA per la privacy, ove riguardi un trasferimento a un ente statunitense che è autocertificato allo Scudo UE-USA per la privacy e il trasferimento rientri nell’ambito di tale certificazione.
1 1 . 4 A seconda dei casi, il trasferimento a un Ente non SEE può invece essere legittimato anche in base alle immutate Clausole contrattuali standard da titolare-a-responsabile del trattamento raccomandate dall’UE. Xxxx Xxxxxxxx contrattuali standard senza clausole opzionali saranno considerate quivi incorporate a titolo di riferimento e si applicheranno tra il Cliente e l’Ente non SEE, se e nella misura in cui i Dati personali a cui si applicano le leggi sulla protezione dei dati di uno Stato membro dello SEE siano trasferiti dallo SEE a un Ente non SEE. Le applicabili Clausole contrattuali standard quivi incorporate in conformità al presente articolo, sono concordate in nome e per conto dell’Ente non SEE da IDEXX che agisce in qualità di procuratore dell’Ente non SEE.
1 1 . 5 Nessuna disposizione contenuta nel Contratto (nel corpo dello stesso) o nel presente Accordo per la protezione dei dati sarà interpretata come intesa a prevalere su alcuna clausola contrastante delle presenti Clausole contrattuali standard. Il Cliente riconosce di aver avuto l’opportunità di esaminare le Clausole contrattuali standard o richiederne una copia integrale a IDEXX.
12 Richieste dei Soggetti interessati
IDEXX fornirà tutta la ragionevole assistenza per agevolare la conformità del Cliente ai propri obblighi di titolare del trattamento, se un Soggetto interessato esercita un qualsiasi suo diritto secondo la legge applicabile.
PARTE C - Titolare del trattamento
13 IDEXX che agisce in qualità di titolare (congiunto) del trattamento
Nella misura in cui IDEXX determini le finalità e gli strumenti di trattamento dei Dati personali o (congiuntamente) con il Cliente, IDEXX agirà poi come titolare (congiunto) del trattamento in relazione alle attività di trattamento dei dati nei modi descritti nel Prospetto applicabile.
14 Doveri di informazione verso i Soggetti interessati e Diritti dei Soggetti interessati
1 4 . 1 In caso di titolarità congiunta del trattamento, il Cliente informerà i Xxxxxxxx interessati riguardo al trattamento dei loro Dati personali e alla natura dell’intesa tra le Parti dello stesso in conformità alle istruzioni (che devono essere) fornite da IDEXX. Il Cliente garantisce che informerà i Xxxxxxxx interessati in base alle istruzioni di IDEXX e fornirà immediatamente a quest’ultima tutte le informazioni richieste per iscritto a tale riguardo.
1 4 . 2 Inoltre, le Parti coopereranno appieno l’una con l’altra in modo da poter essere all’altezza dei propri obblighi prescritti per legge in qualità di titolari del trattamento, se un Soggetto interessato esercita i propri diritti previsti dalla legge applicabile.
1 4 . 3 Le Parti riconoscono che, a prescindere dai termini del presente Accordo per la protezione dei dati, i Soggetti interessati non possono essere privati dell’esercizio dei propri diritti previsti dalla legge applicabile verso le Parti.
PARTE D - Generale
15 Costi
1 5 . 1 I costi eventualmente sostenuti da IDEXX nell’adempimento dei propri obblighi previsti dal presente Accordo per la protezione dei dati (per esempio, fornire assistenza al Cliente nel rispondere alle richieste dei soggetti interessati) potrebbero comportare un addebito del lavoro supplementare al Cliente da parte di IDEXX. In tal caso, IDEXX ne informerà il Cliente.
16 Indennità
1 6 . 1 Il Cliente si impegna a indennizzare totalmente IDEXX per qualsiasi rivendicazione di terzi, anche di eventuali Xxxxxxxx interessati, imposta nei confronti di IDEXX quale risultato di una violazione della legge applicabile, che è attribuibile al Cliente o a qualsiasi suo dipendente o appaltatore.
17 Periodo di validità e risoluzione
1 7 . 1 Il presente Accordo per la protezione dei dati entra in vigore alla data in cui IDEXX tratta per la prima volta i Dati personali per conto del Cliente nell’adempimento del Contratto.
1 7 . 2 Il presente Accordo per la protezione dei dati rimarrà efficace per tutta la durata del Contratto. In caso di risoluzione del Contratto, anche il presente Accordo per la protezione dei dati si risolverà per legge, senza ulteriore azione legale.
1 7 . 3 A meno che alla conservazione dei Dati personali da parte di IDEXX non si applichi un periodo minimo prescritto per legge, IDEXX, alla risoluzione del presente Accordo per la protezione dei dati o in data precedente in cui il Cliente determini che i Dati personali o parte degli stessi non siano più necessari per la fornitura dei Servizi, dovrà assicurare, a discrezione del Cliente, che (i) i Dati personali vengano immediatamente restituiti o forniti al Cliente, o (ii) siano immediatamente distrutti, su richiesta scritta del
Cliente, anche eventualmente in formato elettronico. Tale restituzione o distruzione avverrà entro i 90 giorni successivi a tale risoluzione o alla richiesta del Cliente, a seconda dei casi.
1 7 . 4 IDEXX si impegna ad assicurare che cesserà immediatamente e desisterà da tutto il trattamento dei Dati personali (pertinenti) al momento della fornitura, restituzione o distruzione dei Dati personali.
1 7 . 5 Qualsiasi obbligo derivante dal presente Accordo per la protezione dei dati, che per natura ha un effetto post-contrattuale, dovrà rimanere efficace dopo la risoluzione del presente Accordo per la protezione dei dati.
18 Deviazioni e rinegoziazione
1 8 . 1 Le deviazioni da e le aggiunte al presente Accordo per la protezione dei dati saranno valide esclusivamente se espressamente concordate per iscritto, anche in formato elettronico.
1 8 . 2 Il Cliente informerà tempestivamente IDEXX di qualsiasi modifica che è o potrebbe essere pertinente al Contratto e al trattamento dei Dati personali.
1 8 . 3 Le Parti hanno il diritto di rinegoziare il presente Accordo per la protezione dei dati, qualora ciò derivi ragionevolmente da circostanze mutate.
1 8 . 4 Se il presente Accordo per la protezione dei dati è tradotto in diverse lingue, il testo in inglese sarà considerato autentico ai fini dell’interpretazione o in caso di conflitto o incoerenza tra le varie traduzioni.
Allegato A
Servizi di IDEXX contemplati dal presente Accordo per la protezione dei dati | Contratto | Prospetti applicabili |
VetConnect® PLUS | Termini di servizio di VetConnect® PLUS | Prospetto A |
SmartServiceTM | Contratto SmartServiceTM | Prospetto B |
Prospetto A: VetConnect® PLUS
Descrizione dei Servizi: VetConnect® PLUS | |||
I | Descrizione delle attività di trattamento per le quali IDEXX agisce come responsabile del trattamento | 1. | Refertazione e presentazione online in formato combinato dei risultati di laboratorio e diagnostici in clinica, ordini di laboratorio, clinica che avvia richieste di consultazione, presentazione di immagini elettroniche, stampa e condivisione (anche via e-mail) di riassunti e risultati diagnostici con proprietari di animali. Fornire al Cliente l’analisi della prestazione o dell’utilizzo del servizio, sia da parte del Cliente su base individuale o a confronto con altre cliniche rese anonime. Monitoraggio, risoluzione dei problemi e diagnostica del servizio. Backup e memorizzazione dei dati del Cliente. |
2. | Eventuali funzioni, moduli, componenti aggiuntivi futuri descritti su xxxxx.xxx, aggiornato di volta in volta. | ||
II | Descrizione delle attività di trattamento per le quali IDEXX agisce come titolare (congiunto) del trattamento | 1. | Svolgere un’analisi di mercato aggregata, pseudoanonimizzata usando dati grezzi non direttamente identificabili per una persona fisica forniti tramite i Servizi per prevedere le esigenze del Cliente, acquisire know-how che beneficerà le pratiche veterinarie in generale e fornire servizi professionali e formazione medica al settore veterinario. Analisi dell’utilizzo del servizio per una migliorata esperienza dell’utente e per il potenziamento e miglioramento del prodotto. |
I Indicazione di dettagli relativi alle attività di trattamento per le quali IDEXX agisce come responsabile del trattamento – VetConnect® PLUS | |||||
Finalità delle attività di trattamento dei dati | Durata del trattamento dei dati | Categorie di Soggetti interessati | (Tipi di) Dati personali trattati da IDEXX | (Gruppi di) Dipendenti o altre persone incaricate da IDEXX che hanno o potrebbero avere accesso ai Dati personali | (Gruppi di) Dipendenti o altre persone incaricate da IDEXX che hanno o potrebbero avere accesso ai Dati personali |
Software | Come descritto nell’Articolo 17, il periodo minimo prescritto per legge, applicabile alla conservazione dei Dati personali da parte di IDEXX. | Cliente, Dipendenti del Cliente, proprietari di animali | Nome e cognome; indirizzo e- mail; nome, indirizzo e-mail e indirizzo fisico della clinica | A Gruppo di ingegneria del software B Operazioni di sviluppo C Gruppo vendite D Gruppo di consulenza medica | A & B: Raccolta Registrazione Organizzazione Strutturazione Memorizzazione Adattamento/Modifica Recupero Consultazione Utilizzo Divulgazione mediante trasmissione Diffusione Restrizione Cancellazione/Distruzione Monitoraggio/Risoluzione dei problemi Allineamento/Combinazione Analisi/Segmentazione C & D: Recupero Consultazione Utilizzo Divulgazione mediante trasmissione Diffusione Monitoraggio/ Risoluzione dei problemi |
Servizi di assistenza clienti | Come descritto nell’Articolo 17, il periodo minimo prescritto per legge, applicabile alla conservazione dei Dati personali da parte di IDEXX. | Cliente, Dipendenti del Cliente, proprietari di animali | Nome e cognome; indirizzo e- mail; nome, indirizzo e-mail e indirizzo fisico della clinica | A Formazione B Assistenza Clienti | A & B: Raccolta Organizzazione Strutturazione Memorizzazione Adattamento/Modifica Recupero Consultazione Utilizzo Divulgazione mediante trasmissione Diffusione Restrizione Cancellazione/Distruzione Monitoraggio/Risoluzione dei problemi Analisi/Segmentazione |
II Indicazione di dettagli relativi alle attività di trattamento per le quali IDEXX agisce come titolare congiunto del trattamento – VetConnect® PLUS | ||||
Finalità delle attività di trattamento dei dati | Durata del trattamento dei dati | Categorie di Xxxxxxxx interessati | (Tipi di) Dati personali trattati da IDEXX | Il titolare del trattamento e i suoi rispettivi doveri nei confronti dei Soggetti interessati |
Analisi di mercato* | I dati grezzi, subito dopo essere stati analizzati, vengono trasformati in dati aggregati. I dati aggregati sono conservati per il periodo di conservazione minimo applicabile prescritto per legge. | Cliente | Dati grezzi, non direttamente identificabili per una persona fisica, quali: Nome del cliente (clinica), malattia, razza ed età di un animale. Dati aggregati, ottenuti dall’analisi eseguita sui dati grezzi, quali correlazioni tra razze specifiche e malattie. | IDEXX è titolare congiunto del trattamento per l’analisi di mercato che esegue sui Dati personali. A tal proposito, i soggetti interessati possono esercitare i loro diritti ai sensi della Legge applicabile nei confronti di IDEXX, come ad esempio il loro diritto di accesso, rettifica, cancellazione, restrizione, portabilità dei dati e obiezione. |
*Questa attività di trattamento dei dati descrive il momento in cui i dati aggregati, non direttamente identificabili per una persona fisica, non sono stati ancora resi anonimi. Una volta avvenuta tale attività di trattamento, i dati aggregati sono resi anonimi
Prospetto B: SmartServiceTM
Descrizione dei Servizi: SmartServiceTM | |||
I | Descrizione delle attività di trattamento per le quali IDEXX agisce come responsabile del trattamento | 1. | Diagnosi di problematiche relative alla prestazione, risoluzione dei problemi, monitoraggio remoto, analisi predittiva e servizio sulla strumentazione diagnostica IDEXX del Cliente e i dispositivi ad essa connessi. Aggiornamenti del software della strumentazione di IDEXX e del software installato sui dispositivi connessi. Le suddette attività di trattamento possono aver luogo a distanza tramite un software di gestione della relazione del dispositivo o mediante strumentazione o dispositivi di archiviazione restituiti a IDEXX per riparazione o rinnovo. Fornire al Cliente l’analisi della prestazione o dell’utilizzo del servizio, sia da parte del Cliente su base individuale o a confronto con altre cliniche rese anonime. Monitoraggio, risoluzione dei problemi e diagnostica del servizio. Backup e memorizzazione dei dati del Cliente. |
2. | Eventuali funzioni, moduli, componenti aggiuntivi futuri descritti su xxxxx.xxx, aggiornato di volta in volta. | ||
II | Descrizione delle attività di trattamento per le quali IDEXX agisce come titolare (congiunto) del trattamento | 1. | Svolgere un’analisi di mercato aggregata, pseudoanonimizzata usando dati grezzi non direttamente identificabili per una persona fisica forniti tramite i Servizi per prevedere le esigenze del Cliente, acquisire know-how che beneficerà le pratiche veterinarie in generale e fornire servizi professionali e formazione medica al settore veterinario. Analisi dell’utilizzo del servizio per una migliorata esperienza dell’utente e per il potenziamento e miglioramento del prodotto. |
I Indicazione di dettagli relativi alle attività di trattamento per le quali IDEXX agisce come responsabile del trattamento – SmartServiceTM | |||||
Finalità delle | Durata del | Categorie di | (Tipi di) Dati | (Gruppi di) | Attività di trattamento dei |
attività di | trattamento dei | Soggetti | personali trattati | Dipendenti o | dati che queste persone |
trattamento dei | dati | interessati | da IDEXX | altre persone | potrebbero svolgere con i |
dati | incaricate da | Dati personali | |||
IDEXX che | |||||
hanno o | |||||
potrebbero | |||||
avere accesso | |||||
ai Dati personali | |||||
Risoluzione dei problemi | Come descritto nell’Articolo 17, il periodo minimo prescritto per legge, applicabile alla conservazione dei Dati personali da parte di IDEXX. | Cliente, Dipendenti del Cliente, proprietario di un animale | Nome e cognome del proprietario di un animale; nome e cognome del dipendente della clinica | A Gruppo di ingegneria del software B Operazioni di sviluppo C Gruppo vendite D Gruppo di consulenza medica E Assistenza ai clienti | A&B: Raccolta Registrazione Organizzazione Strutturazione Memorizzazione Adattamento/Modifica Recupero Consultazione Utilizzo Divulgazione mediante trasmissione Diffusione Restrizione Cancellazione/Distruzione Monitoraggio/ Risoluzione dei problemi |
C, D & E: Recupero Consultazione Utilizzo Divulgazione mediante trasmissione Diffusione Monitoraggio/Risoluzione dei problemi | |||||
II Indicazione di dettagli relativi alle attività di trattamento per le quali IDEXX agisce come titolare congiunto del trattamento – SmartServiceTM | ||||
Finalità delle attività di trattamento dei dati | Durata del trattamento dei dati | Categorie di Xxxxxxxx interessati | (Tipi di) Dati personali trattati da IDEXX | Il titolare del trattamento e i suoi rispettivi doveri nei confronti dei Soggetti interessati |
Analisi di mercato* | I dati grezzi, subito dopo essere stati analizzati, vengono trasformati in dati aggregati. I dati aggregati sono conservati per il periodo di conservazione minimo applicabile prescritto per legge. | Proprietario di un animale, Cliente | Dati grezzi, non direttamente identificabili per una persona fisica, estratti da uno strumento IDEXX, quali: razza, età di un animale, risultati diagnostici Dati aggregati, ottenuti dall’analisi eseguita sui dati grezzi, quali correlazioni tra razze specifiche e risultati diagnostici. | IDEXX è titolare congiunto del trattamento per l’analisi di mercato che esegue sui Dati personali. A tal proposito, i soggetti interessati possono esercitare i loro diritti ai sensi della Legge applicabile nei confronti di IDEXX, come ad esempio il loro diritto di accesso, rettifica, cancellazione, restrizione, portabilità dei dati e obiezione. |
*Questa attività di trattamento dei dati descrive il momento in cui i dati aggregati, non direttamente identificabili per una persona fisica, non sono stati ancora resi anonimi. Una volta che si svolge tale attività di trattamento, i dati aggregati sono resi anonimi.
Controllo dell’accesso fisico
Allegato sulla sicurezza
Misure volte a garantire che le persone non autorizzate non accedano fisicamente ai sistemi usati per il trattamento dei Dati personali.
• agenti di sicurezza, portieri
• sistema elettronico di controllo dell’accesso mediante schede di prossimità
• videosorveglianza (telecamere IP)
• controlli di sicurezza per i visitatori
Controllo dell’accesso al sistema
Misure volte a impedire l’utilizzo dei sistemi di trattamento dei dati senza autorizzazione:
• linee guida sulle password (tra cui complessità, lunghezza minima, riutilizzo e validità minima della password)
• disconnessione automatica o salvaschermo protetto da password dopo un certo periodo di inattività dell’utente
• autenticazione e autorizzazione dell’accesso
• firewall, protezione anti-virus
• rilevamento/prevenzione delle intrusioni
• registrazione dell’accesso
Controllo dell’accesso ai dati
Misure volte a garantire che le persone autorizzate a utilizzare i sistemi di trattamento dei dati accedano solo a quei dati per cui dispongono di un’autorizzazione di accesso e che i Dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento, l’utilizzo e successivamente:
• concetto di controllo dell’accesso (diritti di accesso limitati in base a profili e ruoli)
• documentazione dei diritti di accesso
• approvazione e assegnazione dei diritti di accesso solo attraverso il personale autorizzato
Controllo del trasferimento dei dati
Misure volte a garantire che i Dati personali non vengano letti, copiati, modificati o rimossi senza autorizzazione durante il trasferimento o il trasporto elettronico o mentre vengono memorizzati su strumenti di archiviazione dei dati e che sia possibile accertare e controllare a quali enti devono essere trasferiti i Dati personali usando strutture di trasmissione dei dati:
• crittografia di trasporto (Transport Layer Security [TLS] o Virtual Private Network [VPN])
Controllo dell’immissione dei dati
Misure volte a garantire che sia possibile, a fatto compiuto, verificare e accertare se i Dati personali sono stati immessi in, modificati o rimossi dai sistemi di trattamento dei dati e se sì, da chi:
• I dati sono di sola lettura per finalità di segnalazione una volta memorizzati nel centro dati di IDEXX
Controllo dei responsabili del trattamento
Misure volte a garantire che i Dati personali trattati per conto di altri siano trattati in rigorosa conformità alle istruzioni del Titolare del trattamento:
• accordi scritti sul trattamento dei dati (obbligatorio)
Controllo di disponibilità
Misure volte a garantire che i Dati personali siano protetti da distruzione o perdita accidentale:
• backup in un luogo separato
• continuità aziendale/concetto di disaster recovery (ripristino in caso di disastro)
• gruppo di continuità (uninterruptable power supply, UPS)
• Gruppo elettrogeno dedicato del centro dati con contratti multipli di fornitura di combustibile
• sistema di protezione ed estinzione incendi
• rilevamento dell’acqua
• sistema di climatizzazione ridondante
Separazione dei dati
Misure volte a garantire che i dati raccolti per finalità diverse possano essere trattati separatamente:
• chiara separazione logica dei dati dai dati di altri Titolari del trattamento (universo dati dedicato)