CONTRATTO PER IL TRATTAMENTO DEI DATI APPLICABILE AI SERVIZI SAP (“DPA”)
CONTRATTO PER IL TRATTAMENTO DEI DATI APPLICABILE AI SERVIZI SAP (“DPA”)
1. DEFINIZIONI
1.1. “Relazioni e Certificazioni di Verifica” si riferisce ai documenti disponibili all’indirizzo: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx-xxxxxxxxxx/xxxxxxxxxx-xxxxxx.xxxx o l’eventuale sito web successivo comunicato al Cliente.
1.2. “Cloud Service” si riferisce ad una qualsiasi soluzione offerta in sottoscrizione, in hosting, supportata e gestita in modalità "on-demand" come definito nel Contratto.
1.3. “Titolare” si riferisce alla persona fisica o giuridica, all’autorità pubblica, all’agenzia o ad altro ente che, da solo o con altri, determini le finalità e le modalità di trattamento dei Dati Personali; ai fini del presente DPA, quando il Cliente agisce in qualità di responsabile di un altro titolare, verso SAP sarà considerato un Titolare aggiuntivo e indipendente con i rispettivi diritti e obblighi del titolare ai sensi del presente DPA..
1.4. “Normativa sulla Protezione dei Dati” si riferisce alla normativa applicabile a tutela dei diritti e delle libertà fondamentali delle persone fisiche, e il loro diritto alla privacy con riguardo al trattamento dei Dati Personali ai sensi del Contratto.
1.5. “Soggetto Interessato” si riferisce a una persona fisica identificata o identificabile quale definita dalla Normativa sulla Protezione dei Dati.
1.6. “SEE” si riferisce allo Spazio Economico Europeo, in particolare agli Stati Membri dell’Unione Europea unitamente all’Islanda, al Liechtenstein e alla Norvegia.
1.7. “GDPR” si riferisce al Regolamento Generale sulla Protezione dei Dati 2016/679.
1.8. “Elenco dei Sub-Responsabili” si riferisce ad una raccolta del nominativo, indirizzo e qualifica di ciascun Sub-Responsabile che SAP utilizza per fornire i SAP Service che viene pubblicata all’indirizzo: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx.xxxx o l’eventuale sito web successivo comunicato al Cliente.
1.9. “My Trust Center” si riferisce alle informazioni disponibili sul portale di supporto SAP (all’indirizzo xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) o sul sito web dei contratti SAP (all’indirizzo xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) o l’eventuale successivo sito web messo a disposizione da SAP al Cliente.
1.10. “Nuovo Trasferimento con Rilevanza SCC” si riferisce al trasferimento (o un trasferimento successivo) verso un Paese Terzo di Dati Personali che è soggetto al GDPR o alla applicabile Normativa sulla Protezione dei Dati ove l’eventuale adeguatezza richiesta dal GDPR o dalla Normativa sulla Protezione dei Dati può essere soddisfatta stipulando le Nuove Clausole Contrattuali Tipo.
1.11. “Nuove Clausole Contrattuali Tipo” si riferisce alle Clausole Contrattuali Tipo non modificate pubblicate dalla Commissione Europea sotto il riferimento 2021/914 o le loro eventuali successive versioni finali come adottate da SAP. Resta inteso che i Moduli DUE e TRE si applicheranno come stabilito alla Clausola 8.3.
1.12. “Dati Personali” si riferisce a qualunque informazione relativa ad un Soggetto Interessato. Per le finalità del DPA, il termine comprende solamente i dati personali che siano:
a) trattati da SAP come parte del Cloud Service; oppure
b) forniti a o a cui SAP o i suoi Subresponsabili abbiano avuto accesso al fine di fornire supporto ai sensi del Contratto applicabile ovvero in relazione ai Servizi SAP.
1.13. “Violazione dei Dati Personali” si riferisce ad un caso confermato di:
a) accidentale o illegittima distruzione, perdita, alterazione, divulgazione non autorizzata o accesso di terzi non autorizzato a Dati Personali, oppure
b) un simile evento che coinvolga i Dati Personali per il quale il Titolare è obbligato dalla Normativa sulla Protezione dei Dati a notificare l’autorità competente per la protezione dei dati o i Soggetti Interessati.
1.14. “Responsabile” si riferisce alla persona fisica o giuridica, all’autorità pubblica, all’agenzia o a altro ente che tratta i dati personali per conto del titolare, sia direttamente quale responsabile di un titolare o indirettamente quale sub responsabile di un responsabile che tratta dati personali per conto del titolare.
1.15. “Supporto SAP” si riferisce ai servizi di supporto quali definiti nel Contratto applicabile.
1.16. “Allegato” si riferisce all’Appendice numerata con riguardo alle Clausole Contrattuali Tipo (2010) e all’Allegato numerato con riguardo alle Nuove Clausole Contrattuali Standard.
1.17. “Servizi” si riferisce ai servizi di implementazione, consulenza e/o altri servizi connessi quali definiti nel Contratto e nel Contratto ci si potrà altresì riferire ad essi con l’espressione “Servizi di Consulenza” o “Servizi Professionali”.
1.18. “Clausole Contrattuali Tipo (2010)” si riferisce alla Clausole Contrattuali Tipo (responsabili) pubblicate dalla Commissione Europea, riferimento 2010/87/EU.
1.19. “Subresponsabile” o “sub-responsabile” si riferisce alle Affiliate di SAP, SAP SE, Affiliate di SAP SE e terzi incaricati da SAP, SAP SE o dalle Affiliate di SAP SE in relazione al SAP Services che trattano i Dati Personali ai sensi del presente DPA.
1.20. “Misure tecnico organizzative” si riferisce alle misure tecnico organizzative per il relativo Servizio SAP pubblicate su My Trust Center (si veda: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx/xxxxx/xxxxx- services.html?search=Technical%20Organizational%20Measures).
1.21. “Paese Terzo” si riferisce a qualunque paese, organizzazione o territorio non riconosciuto dall’Unione Europea ai sensi dell’Articolo GDPR come paese sicuro caratterizzato da un adeguato livello di protezione dei dati.
2. CONTESTO
2.1. Applicazione
2.1.1. Il presente documento (“DPA”) forma parte integrante ed essenziale del Contratto stipulato da SAP e il Cliente relativo ai Servizi SAP. Ai fini del presente DPA, l’espressione Servizi SAP si riferisce al Cloud Service, Servizi o Supporto SAP di cui al Contratto e che sono soggetti ai suoi termini e condizioni.
2.1.2. Il presente DPA stabilisce i termini e le condizioni relative al trattamento dei Dati Personali da parte di SAP e i suoi Sub-responsabili in relazione alla fornitura dei Servizi SAP.
2.1.3. Il presente DPA non si applica agli ambienti non produttivi dei Servizi SAP messi a disposizione da SAP. Il Cliente non dovrà archiviare Dati Personali in tali ambienti.
2.2. Struttura
Gli Allegati 1 e 2 formano parte integrante del presente DPA. Essi stabiliscono l’oggetto, la natura e gli scopi concordati del trattamento, la tipologia di Dati Personali, le categorie di soggetti interessati e le misure tecnico- organizzative applicabili.
2.3. Governance
2.3.1. SAP agisce quale Responsabile e il Cliente e le entità ai quali è permesso l’utilizzo dei Servizi SAP dal Cliente agiscono da Titolari ai sensi del DPA.
2.3.2. Il Cliente è il punto di contatto univoco e dovrà ottenere tutte le autorizzazioni, consensi e permessi necessari per il trattamento dei Dati Personali ai sensi del presente DPA, inclusa, l’approvazione dei Titolari a usare SAP quale Responsabile ove necessario. Le autorizzazioni, consensi o permessi forniti dal Cliente, si intendono rilasciati non solo per conto del Cliente ma anche per conto di eventuali altri Titolari. Nel caso in cui SAP informi o notifichi il Cliente, tale informazione o notifica si intende ricevuta dai Titolari cui il Cliente abbia concesso l’utilizzo dei Servizi SAP o abbia fornito Dati Personali. Il Cliente dovrà inoltrare tali informazioni e notifiche ai relativi Titolari.
3. SICUREZZA DEL TRATTAMENTO
3.1. Applicabilità delle Misure Tecnico-Organizzative
SAP ha implementato ed applicherà le Misure Tecniche ed Organizzative. Il Cliente ha accertato l’appropriatezza di tali misure prima della stipulazione di un eventuale Contratto che incorpori il presente DPA.
3.2. Modifiche
3.2.1. SAP applica le Misure Tecniche ed Organizzative all’intera base clienti SAP affidata in hosting del medesimo data center o che riceve i medesimi Servizi SAP. SAP sottoporrà ad esame le Misure Tecniche ed Organizzative nella misura necessaria e modificherà le stesse Misure Tecniche ed Organizzative in ogni momento e senza preavviso purché sia mantenuto un livello di sicurezza comparabile o migliore. Singole misure possono essere sostituite da nuove misure che sono finalizzate al medesimo scopo senza diminuire il livello di sicurezza posto a protezione dei Dati Personali.
3.2.2. SAP pubblicherà versioni aggiornate delle Misure Tecnico Organizzative su My Trust Center e, ove possibile, il Cliente potrà attivare la ricezione di notifiche a mezzo e-mail relativamente a tali versioni aggiornate.
4. OBBLIGAZIONI
4.1. Istruzioni dal Cliente
SAP sottoporrà a trattamento i Dati Personali solamente in conformità con le istruzioni documentate provenienti dal Cliente. Il Contratto (ivi compreso il presente DPA) va a costituire tali istruzioni documentate. SAP farà quanto ragionevolmente possibile per implementare le eventuali altre istruzioni del Cliente, sempre che siano tecnicamente fattibili. Ove SAP si attenga ad una istruzione o ritenga che un’istruzione comporti una violazione della Normativa sulla Protezione dei Dati, SAP provvederà a darne comunicazione immediata al Cliente (anche tramite email).
4.2. Trattamento imposto dalla legge
SAP potrà altresì trattare i Dati Personali qualora sia richiesto dalla normativa applicabile. In tal caso, SAP informerà il Cliente di tale obbligo di legge prima del trattamento, salvo il caso in cui la legge vieti tale informativa per ragioni di interesse pubblico.
4.3. Personale
Per il trattamento dei Dati Personali, SAP e i suoi Sub-responsabili concederanno l’accesso solo a personale autorizzato che si è obbligato alla riservatezza. SAP e i Sub-responsabili formeranno regolarmente il personale che ha accesso ai Dati Personali sulle applicabili misure di sicurezza e di riservatezza dei dati.
4.4. Cooperazione
4.4.1. Su richiesta del Cliente, SAP collaborerà ragionevolmente con il Cliente e i Titolari nella gestione delle richieste provenienti dai Soggetti Interessati o autorità relative al trattamento dei Dati Personali o eventuali Violazioni dei Dati Personali. Nel caso in cui riceva una richiesta da un Soggetto Interessato relativa al trattamento dei Dati Personali di cui al presente, SAP informerà immediatamente il Cliente (nel caso in cui il Soggetto Interessato abbia fornito informazioni atte a identificare il Cliente) a mezzo di e-mail e non fornirà direttamente la risposta a tale richiesta ma richiederà invece al Soggetto Interessato di reindirizzare la richiesta al Cliente.
4.4.2. In caso di una disputa con un Soggetto Interessato che concerne il trattamento di Dati personali ai sensi del presente DPA da parte di SAP, le Parti si terranno reciprocamente informate e se del caso coopereranno in maniera ragionevole al fine di addivenire ad una soluzione amichevole della controversia con il Soggetto Interessato.
4.4.3. SAP fornirà la funzionalità per i sistemi produttivi che assistono le abilità del Cliente di correggere, cancellare o rendere anonimi i Dati Personali dal Cloud Service, ovvero limitare il suo trattamento ai sensi della Normativa sulla Protezione dei Dati. Laddove tale funzionalità non sia fornita, SAP provvederà a correggere, cancellare o rendere anonimi i Dati Personali, ovvero a limitare il suo trattamento secondo le istruzioni del Cliente e la Normativa sulla Protezione dei Dati.
4.5. Notifica della Violazione dei Dati Personali
Dopo esserne venuta a conoscenza, senza ingiustificato ritardo, SAP notificherà al Cliente qualsiasi Violazione dei Dati Personali fornendo le ragionevoli informazioni in suo possesso al fine di aiutare il Cliente nell’adempimento dei suoi obblighi di segnalazione di una Violazione dei Dati Personali come richiesto dalla Normativa sulla Protezione dei Dati. SAP potrà fornire tali informazioni a fasi successive man mano che divengano disponibili. Tale comunicazione non potrà essere interpretata o intesa come un’ammissione di colpa o responsabilità da parte di SAP.
4.6. Valutazione di Impatto della Protezione dei Dati
Qualora, ai sensi della Normativa sulla Protezione dei Dati, il Cliente (o i suoi Titolari) sia tenuto a effettuare una valutazione di impatto protezione dei dati oppure una preventiva consultazione con un’autorità, su richiesta del Cliente, SAP fornirà la documentazione che è generalmente disponibile per i Servizi SAP (ad esempio, il presente DPA, il Contratto, Relazioni di Revisione o Certificazioni). L’eventuale ulteriore supporto andrà concordato dalle Parti.
5. ESPORTAZIONE DEI DATI E CANCELLAZIONE
5.1. Esportazione e Recupero
Qualora e nella misura in cui SAP detenga in hosting Dati Personali in un Servizio Cloud, nel corso del Periodo di Abbonamento di tale Cloud Service ed ai sensi del Contratto, il Cliente potrà accedere ai propri Dati Personali in ogni momento. Il Cliente potrà utilizzare gli strumenti di esportazione self service di SAP e recuperare i propri Dati Personali in un formato strutturato, utilizzato comunemente e leggibili da macchine.
5.2. Cancellazione
5.2.1. Prima della scadenza del Periodo di Sottoscrizione del Cloud Service, il Cliente dovrà eseguire un’esportazione dati finale che va a costituire una restituzione definitiva dei Dati Personali dal Cloud Service.
5.2.2. Alla scadenza del Contratto, il Cliente ordina ai sensi del presente a SAP di procedere alla cancellazione degli (eventuali) Dati Personali che rimangano nella disponibilità di SAP Cloud Service entro un ragionevole periodo di tempo in linea con la Normativa sulla Protezione dei Dati (che non potrà eccedere i sei mesi) fatto salvo che la normativa applicabile richieda la loro conservazione.
6. CERTIFICAZIONI E AUDIT
6.1. Risorse SAP
SAP fornisce Relazioni e Certificazioni di Verifica a titolo gratuito, online o a richiesta. Verifiche ulteriori che richiedano l’utilizzo di risorse SAP sono soggette a limitazione ed alle disposizioni delle seguenti Clausole.
6.2. Limitazioni
6.2.1. Il Cliente o il suo revisore terzo indipendente (che dovrà ottenere il ragionevole gradimento di SAP e con l’esclusione di eventuali revisori terzi che siano concorrenti di SAP o non in possesso delle idonee qualificazioni) potranno essere autorizzati a condurre una revisione ai sensi delle Clausole 6.3 e 6.4. Il Cliente dovrà garantire un preavviso minimo di almeno 60 giorni per qualsiasi verifica a meno che la Normativa sulla Protezione dei Dati o un’autorità della protezione dei dati competente richieda un preavviso più breve.
6.2.2. La frequenza (che non potrà eccedere la misura di una revisione ogni dodici mesi), le tempistiche e la portata di eventuali revisioni saranno oggetto di accordo reciproco tra le parti che dovranno agire ragionevolmente e secondo buona fede. Per quanto possibile, le verifiche del Cliente dovranno limitarsi a verifiche in remoto. Il Cliente dovrà fornire a SAP i risultati di tutte le verifiche. Il Cliente dovrà sostenere i costi di qualsiasi verifica avviata dal Cliente stesso a meno che tale verifica evidenzi un grave inadempimento di SAP del presente DPA, in tal caso SAP sosterrà i costi della verifica a proprie spese. Qualora all’esito di una verifica risulti che SAP si sia resa inadempiente delle obbligazioni poste a suo carico ai sensi del DPA, SAP dovrà porre immediatamente rimedio all’inadempimento a proprie spese.
6.3. Verifica dei Cloud Service da parte del Cliente
6.3.1. Il Cliente potrà sottoporre a verifica l’ambiente di controllo e le pratiche di sicurezza IT di SAP che abbiano rilevanza per i Dati Personali sottoposti a trattamento da SAP, che richiedano a SAP l’impiego di risorse equivalenti a tre giornate lavorative qualora:
a) SAP non ha fornito sufficiente prova della propria osservanza delle Misure Tecniche ed Organizzative fornendo la certificazione di conformità allo standard ISO 27001 o altri standard (con la portata definita nel certificato), quali un SSAE18/ISAE3402 e/o ISAE3000 (ad es. SOC2 o C5) in corso di validità oppure una certificazione o attestazione ugualmente accettabile; oppure
b) si è verificata una Violazione dei Dati personali; oppure
c) l’autorità di protezione dei dati del Cliente abbia presentato richiesta formale di verifica; oppure la verifica sia obbligatoria ai sensi della Normativa sulla Protezione dei Dati inderogabile.
6.4. Supporto SAP e/o Verifica dei Servizi da parte del Cliente
Il Cliente potrà sottoporre a verifica i centri di servizio e di fornitura servizi di SAP che abbiano rilevanza per i Dati Personali sottoposti a trattamento da SAP, che richiedano a SAP l’impiego di risorse equivalenti ad una giornata lavorativa qualora:
a) SAP non ha fornito sufficienti elementi a prova della propria osservanza alle Misure Tecniche ed Organizzative fornendo una certificazione di conformità alla norma ISO 27001 o ad altri standard (nell’estensione di cui al certificato); oppure
b) si è verificata una Violazione dei Dati personali; oppure
c) l’autorità di protezione dei dati del Cliente abbia presentato richiesta formale di verifica; oppure la verifica sia obbligatoria ai sensi della Normativa sulla Protezione dei Dati inderogabile.
6.5. Verifiche di altro Titolare
L’eventuale altro Titolare potrà assumere i diritti del Cliente ai sensi della presente Clausola 6 solamente nel caso in cui presenti domanda direttamente al Titolare e tale verifica sia permessa e coordinata dal Cliente. Il Cliente dovrà impiegare tutti i mezzi ragionevoli per combinare le verifiche dei vari altri Titolari al fine di evitare verifiche plurime.
7. SUB RESPONSABILI
7.1. Usi consentiti
A SAP viene concessa un’autorizzazione generale di subaffidare il trattamento dei Dati Personali a Sub- responsabili alle seguenti condizioni:
a) SAP o SAP SE per suo conto incarichino i Sub-responsabili con un contratto scritto (anche in formato elettronico) che sia conforme con le disposizioni del presente DPA in relazione con il trattamento dei Dati Personali da parte del Sub-responsabile. SAP sarà responsabile per qualsiasi violazione del Sub- responsabile ai sensi del presente Contratto;
b) SAP dovrà sottoporre a valutazione le procedure di sicurezza, privacy e riservatezza di un Sub incaricato prima della sua nomina per stabilire che esso sia in grado di garantire il livello di protezione dei Dati Personali imposto dal presente DPA; e
c) SAP fornisce al Cliente l’Elenco dei Sub-responsabili mediante pubblicazione nel My Trust Center o mettendo per iscritto la stessa a disposizione del Cliente (le email sono ammesse) a seguito di richiesta scritta del Cliente.
L’uso di Sub-Responsabili da parte di SAP è a sua discrezione, a condizione che:
a) SAP informi il Cliente in anticipo (a mezzo email o con una comunicazione post su My Trust Center) di eventuali aggiunte o sostituzioni all’elenco dei Sub-responsabili ivi compreso il nominativo, l’indirizzo e il ruolo del nuovo Sub-responsabile; e Il Cliente concorda di registrarsi sul My Trust Center e di iscriversi
al suo Elenco di Sub-Responsabili applicabile e disponibile. Nel caso in cui il Cliente non si opponga, si presumerà che il Cliente abbia accettato il nuovo Sub-Responsabile.
b) Il Cliente potrà opporsi alla designazione del nuovo Sub-Responsabile inviando comunicazione scritta a SAP entro cinque giorni lavorativi dalla informativa sui Servizi da parte di SAP e nel caso del Supporto e dei Cloud Service SAP entro trenta giorni e illustrando le ragioni della propria opposizione.
c) In caso di opposizione del Cliente, SAP potrà decidere: (i) di non impiegare il Sub-Responsabile; oppure
(ii) di adottare le misure ragionevoli per rimediare secondo le motivazioni dell’opposizione del Cliente e di utilizzare il Sub-Responsabile oppure (iii) se ciò non sia possibile, utilizzare il Subresponsabile. Nel caso in cui il Cliente continui ad opporsi legittimamente, il Cliente potrà solamente risolvere il Servizio SAP interessato che utilizzi il nuovo Sub-Responsabile, senza riguardo al fatto che la risoluzione del Supporto SAP sarà anche conforme con le disposizioni sulla risoluzione del rispettivo contratto di Supporto SAP. Tale risoluzione sarà efficace al momento determinato dal Cliente nella sua comunicazione scritta di risoluzione a condizione che il Cliente accetti l’utilizzo del Sub-responsabile proposto durante la restante durata del Cliente fino alla data di risoluzione effettiva.
d) Nel caso in cui il Cliente si opponga ma nessuna delle opzioni di cui all’art. 7.2 (c) (i) o (ii) vengano coltivate e SAP non abbia ricevuto un’eventuale comunicazione di recesso, si riterrà che il Cliente abbia accettato il nuovo Sub-Responsabile.
e) L’eventuale recesso ai sensi della presente Clausola si intende senza colpa di entrambe le parti e sarà soggetto alle previsioni del Contratto.
7.3. Sostituzione di Emergenza
8. TRATTAMENTO INTERNAZIONALE
8.1. Condizioni per il Trattamento Internazionale
SAP potrà trattare i Dati Personali, anche con l’utilizzo di Sub-responsabili, conformemente al presente DPA al di fuori del paese in cui abbia sede il Cliente nei limiti consentiti dalla Normativa sulla Protezione dei Dati.
8.2. Applicabilità delle Clausole Contrattuali Tipo (2010)
a) se del caso, SAP e il Cliente adotteranno le Clausole Contrattuali Standard (2010);
b) Il Cliente accederà alle Clausole Contrattuali Tipo (2010) stipulate da SAP o SAP SE e il Subresponsabile quale titolare indipendente di diritti ed obblighi; o
c) altri titolari il cui utilizzo dei SAP Service sia stato autorizzato dal Cliente ai sensi del Contratto possono altresì stipulare le Clausole Contrattuali Standard (2010) con SAP e/o i relativi Sub incaricati nella stessa maniera del Cliente ai sensi delle precedenti Clausole 8.2.1 a) e (b).
8.2.2. Le Clausole Contrattuali Tipo (2010) sono disciplinate dalla legge del paese dove il Titolare abbia sede.
8.2.3. Nel caso in cui la Normativa sulla Protezione dei Dati applicabile stabilisca che le Nuove Clausole Contrattuali Tipo siano idonee per soddisfare l’eventuale livello di adeguatezza quale alternativa o aggiornamento alle Clausole Contrattuali Tipo, le Nuove Clausole Contrattuali Tipo si applicheranno ai sensi della Clausola Error! Reference source not found..
8.3. Applicabilità delle Nuove Clausole Contrattuali Tipo
8.3.1. Quanto segue si applica dal 27 settembre 2021 ed esclusivamente ai Nuovi Trasferimenti con Rilevanza SCC:
8.3.1.1. Nel caso in cui SAP non abbia sede in un Paese Terzo e agisca da esportatore dei dati, SAP (o SAP SE per suo conto) ha stipulato le Nuove Clausole Contrattuali Tipo con ciascun Subresponsabile quale importatore dei dati. Il Modulo TRE (Responsabile a Responsabile) delle Nuove Clausole Contrattuali Tipo si applicherà a tali Nuovi Trasferimenti con Rilevanza SSC.
8.3.1.2. Nel caso in cui SAP abbia sede in un Paese Terzo:
con il presente, SAP e il Cliente stipulano le Nuove Clausole Contrattuali Tipo con il Cliente quale esportatore dei dati e SAP quale importatore dei dati che si applicheranno come segue:
a) il Modulo DUE (Titolare a Responsabile) si applicherà nel caso in cui il Cliente sia un Titolare; e
b) il Modulo TRE (Responsabile a Responsabile) si applicherà nel caso in cui il Cliente sia un Responsabile. Nel caso in cui il Cliente agisca da Responsabile ai sensi del Modulo TRE (Responsabile a Responsabile) delle Nuove Clausole Contrattuali Tipo, SAP riconosce che il Cliente agisce in qualità di Responsabile secondo le istruzioni del proprio(propri) Titolare(i).
Altri Titolari o Responsabili il cui utilizzo dei Cloud Service sia stato autorizzato dal Cliente ai sensi del Contratto possono altresì accedere alle Nuove Clausole Contrattuali Tipo con SAP nella stessa maniera del Cliente ai sensi della precedente Clausola 8.3.1.2. In tal caso, il Cliente accederà alle Nuove Clausole Contrattuali Tipo per conto degli altri Titolari o Responsabili.
8.3.2. Con riguardo ad un Nuovo Trasferimento con Rilevanza SSC, su richiesta rivolta al Cliente da un Soggetto Interessato, il Cliente potrà mettere a disposizione dei Soggetti Interessati una copia del Modulo DUE o TRE delle Nuove Clausole Contrattuali Tipo stipulate dal Cliente e da SAP (compresi i relativi Allegati).
8.3.3. La legge applicabile delle Nuove Clausole Contrattuali Tipo sarà la normativa della Repubblica Federale di Germania.
8.4. Rapporto delle Clausole Contrattuali Tipo con il Contratto
In nessun caso il presente Contratto avrà prevalenza sulle Clausole Contrattuali Tipo (2010) o sulle Nuove Clausole Contrattuali Tipo in caso di conflitto. Notabene, nel caso in cui il presente DPA specifichi ulteriori regole sui diritti di verifica e sui Subresponsabili, tali disposizioni troveranno applicazione anche con riguardo con le Clausole Contrattuali Tipo (2010) e le Nuove Clausole Contrattuali Tipo.
8.5. Diritti dei Terzi Beneficiari ai sensi delle Nuove Clausole Contrattuali Tipo
8.5.1. Nel caso in cui il Cliente sia localizzato in un Paese Terzo ed agisca da importatore dei dati ai sensi del Modulo DUE o Modulo TRE delle Nuove Clausole Contrattuali Tipo e SAP agisca in qualità di sub-responsabile del Cliente ai sensi del Modulo applicabile, il rispettivo esportatore dei dati disporrà del seguente diritto del terzo beneficiario:
8.5.2. Nel caso in cui il Cliente sia di fatto scomparso, cessato di esistere giuridicamente o sia divenuto insolvente (in ogni caso senza un avente causa che si sia fatto carico delle obbligazioni giuridiche poste a carico del Cliente a norma di contratto o di legge), il rispettivo esportatore dei dati disporrà del diritto di risolvere il Servizio SAP interessato solamente nella misura in cui i Dati Personali dell’esportatore vengono trattati. In tal caso, il rispettivo esportatore dei dati impartisce altresì istruzioni a SAP di procedere con la cancellazione o la restituzione dei Dati Personali.
9. DOCUMENTAZIONE; REGISTRI DI TRATTAMENTO
Ciascuna parte è tenuta ad osservare gli obblighi di documentazione posti a suo carico, in particolare con riferimento al mantenimento dei registri del trattamento quando sono richiesti dalla Normativa sul Trattamento dei Dati. Ciascuna delle parti dovrà ragionevolmente assistere l’altra con riguardo alle proprie esigenze di documentazione. Il Cliente dovrà fornire e conservare le informazioni relative a tutti i Titolari (ad es. la denominazione e la sede) che utilizzino i Servizi SAP in formato elettronico (ad es. nel Modulo d'Ordine) come ragionevolmente richiesto da SAP, al fine di mettere SAP nelle condizioni di conformarsi con le eventuali obbligazioni relative al mantenimento dei registri del trattamento.
Allegato 1 Descrizione del Trattamento
Il presente Allegato 1 descrive il Trattamento dei Dati Personali per le finalità connesse alle Clausole Contrattuali Tipo (2010), alle Nuove Clausole Contrattuali Tipo e alla Normativa sulla Protezione dei Dati applicabile.
1. A. UN ELENCO DI PARTI
1.1. Ai sensi delle Clausole Contrattuali Tipo (2010)
1.1.1. Esportatore
L’Esportatore è il Cliente che ha concluso con SAP il Contratto per la fornitura di Servizi SAP come ulteriormente descritto ai sensi del relativo Contratto. L’esportatore dei dati permette ai Titolari di utilizzare anche il Servizio SAP, tali altri Titolari sono anche Esportatori.
1.1.2. Importatore
1.1.2.1. Con riguardo ai Cloud Service
SAP e i suoi Subresponsabili che forniscono e supportano il Cloud Service agiscono da importatori dei dati ai sensi delle Clausole Contrattuali Tipo (2010).
1.1.2.2. Con riguardo ad altri Servizi SAP
SAP ed i propri Sub-responsabili forniscono il Servizio SAP quale definito ai sensi del relativo Contratto stipulato dall’esportatore che comprende le Clausole Contrattuali Tipo (2010) agiscono da importatori dei dati.
1.2. Ai sensi delle Nuove Clausole Contrattuali Tipo
1.2.1. Modulo DUE: Trasferimento da Titolare a Responsabile
Nel caso in cui SAP abbia sede in un Paese Terzo, il Cliente sia Titolare e SAP il Responsabile, il Cliente si intenderà l’esportatore e SAP l’importatore.
1.2.2. Modulo TRE: Trasferimento da Responsabile a Responsabile
Nel caso in cui SAP abbia sede in un Paese Terzo, il Cliente sia Responsabile e SAP sia Responsabile, il Cliente si intenderà l’esportatore e SAP l’importatore.
2. B. DESCRIZIONE DEL TRASFERIMENTO
2.1. Soggetti interessati
Salvo altrimenti disposto dall'esportatore, i Dati Personali trasferiti si riferiscono alle seguenti categorie di Soggetti Interessati: dipendenti, terzisti, business partner o altri soggetti i cui Dati Personali vengono tramessi al, messi a disposizione del o a cui acceda o altrimenti siano trattati dall’importatore.
2.2. Categorie di Dati
I Dati Personali trasferiti riguardano le seguenti categorie di dati:
Il Cliente determina le categorie di dati e/o i campi di dati che possono essere trasferiti mediante il Servizio SAP come indicato nel relativo Contratto. Per i Cloud Service, il Cliente può configurare i campi dei dati durante l’implementazione del Cloud Service o come altrimenti previsto nel Cloud Service stesso. I Dati Personali trasferiti riguardano in genere le seguenti categorie di dati: nome, numeri di telefono, indirizzi di posta elettronica, indirizzo postale, dati relativi all'accesso o all'utilizzo del sistema o di autorizzazione, ragione sociale, dati contrattuali, dati di fatturazione e un qualsiasi dato specifico dell'applicazione trasferito o inserito nel Servizio SAP da Utenti Autorizzati e può comprendere dati finanziari quali i dati riguardanti il conto corrente bancario, la carta di credito o la carta di debito.
2.3. Categorie Speciali di Dati (se concordate)
2.3.1. I Dati Personali oggetto di trasferimento potranno comprendere categorie speciali di dati personali stabilite nel Contratto (“Dati Sensibili”). SAP ha adottato le Misure Tecnico Organizzative di cui all’Allegato 2 al fine di assicurare un adeguato livello di sicurezza al fine di proteggere anche i Dati Sensibili.
2.3.2. Il trasferimento dei Dati Sensibili potrà fare attivare l’applicazione delle seguenti limitazioni o sicurezze supplementari se necessarie per prendere in considerazione la natura dei dati ed il rischio di differenti probabilità e gravità per i diritti e le libertà delle eventuali persone fisiche:
a) formazione del personale;
b) codifica dei dati in transito o custoditi;
c) registrazione degli accessi al sistema e degli accessi ai dati in generale.
2.3.3. Oltre a ciò, i Cloud Service prevedono misure per la gestione dei Dati Sensibili come descritto nella Documentazione.
2.4. Finalità del trasferimento dei dati ed ulteriore trattamento; Natura del trattamento
2.4.1. Per i Cloud Service
2.4.1.1. I Dati Personali trasferiti sono sottoposti alle seguenti attività di trattamento di base:
a) uso dei Dati Personali per configurare, fare funzionare, monitorare e erogare il Cloud Service (compreso il Supporto operativo e tecnico);
b) miglioramento incrementale delle caratteristiche e funzionalità del servizio fornite come parte integrante del Cloud Service ivi compresa l’automatizzazione, l’elaborazione delle transazioni e il machine learning;
c) fornitura dei Servizi di Consulenza;
d) comunicazione agli Utenti Autorizzati;
e) archiviazione dei Dati Personali in Data Center dedicati (con architettura multi-tenant);
f) rilascio, sviluppo ed upload di riparazioni e upgrade del Cloud Service;
g) backup e ripristino dei Dati Personali custoditi nel Cloud Service;
h) trattamento computerizzato dei Dati Personali, compresa la trasmissione, il reperimento e l'accesso ai dati;
i) accesso di rete per consentire il trasferimento dei Dati Personali;
j) monitoraggio, ricerca guasti e amministrazione della struttura e database Cloud Service sottostanti;
k) monitoraggio di sicurezza, supporto in rete per la rilevazione di accessi non autorizzati, test di penetrazione; e
l) l’esecuzione delle istruzioni del Cliente ai sensi del Contratto.
2.4.1.2. La finalità del trasferimento è di fornire e di supportare il Cloud Service. SAP ed i suoi Subresponsabili possono supportare i data center del Cloud Service da remoto. SAP ed i suoi Sub-responsabili forniscono supporto quando un Cliente invia un ticket di supporto come ulteriormente stabilito nel Contratto.
2.4.2. Per altri Servizi SAP
I Dati Personali trasferiti sono soggetti alle attività di elaborazione di base stabilite nel Contratto che possono comprendere:
a) accesso ai sistemi che contengono i Dati Personali al fine di fornire il Supporto e i Servizi SAP;
b) l’utilizzo dei Dati Personali per fornire il Servizio SAP;
c) miglioramento incrementale delle caratteristiche e funzionalità del servizio fornite come parte integrante del Servizio SAP ivi compresa l’automatizzazione, l’elaborazione delle transazioni e il machine learning;
d) la custodia dei Dati Personali;
e) l’elaborazione informatica dei Dati Personali per la trasmissione dei dati;
f) l’esecuzione delle istruzioni del Cliente ai sensi del Contratto.
2.4.3. Per il Supporto SAP: SAP o i suoi Sub-responsabili forniscono supporto allorquando un Cliente presenti un ticket di assistenza perché il Software non è disponibile o non sta funzionando come previsto. Essi rispondono alle chiamate telefoniche ed eseguono attività di ricerca guasti di base e gestisce i ticket di assistenza in un sistema di tracciatura.
2.4.4. Per i Servizi: SAP o i suoi Sub-responsabili forniscono i Servizi ai sensi del Modulo d'Ordine Servizi e del Documento d’Ambito applicabile.
2.5. La finalità del trasferimento è di fornire e di supportare il relativo Servizio SAP. SAP e i suoi Subresponsabili possono fornire o supportare il Servizio SAP da remoto.
2.6. La frequenza del trasferimento (vale a dire se i dati vengano trasferiti una tantum o in via continuativa): I Dati Personali verranno trasferiti costantemente per la durata del Contratto.
2.7. Il periodo per il quale i dati personali verranno custoditi, o, nel caso in cui ciò non sia possibile, i criteri impiegati per determinare tale periodo:
I Dati Personali saranno trattenuti da SAP come stabilito alla precedente Clausola 5.
2.8. Per i trasferimenti ai (sub-) responsabili, specificare ancora l’oggetto, la natura e la durata del trattamento:
Per la durata del Contratto, SAP trasferirà i Dati Personali ai Subresponsabili, come indicati nell’Elenco di Subresponsabili applicabile.
3. C. AUTORITÀ DI VIGILANZA COMPETENTE
3.1. Con riguardo alle Nuove Clausole Contrattuali Tipo
3.1.1. Modulo DUE: Trasferimento da Titolare a Responsabile
3.1.2. Modulo TRE: Trasferimento da Responsabile a Responsabile
3.2. Nel caso in cui il Cliente sia l’esportatore, l’autorità di vigilanza sarà l’autorità di vigilanza competente per il Cliente ai sensi della Clausola 13 delle Nuove Clausole Contrattuali Tipo.
Allegato 2 Misure Tecnico-Organizzative
Il presente Allegato 2 descrive le misure tecnico organizzative applicabili per le finalità connesse alle Clausole Contrattuali Tipo (2010), alle Nuove Clausole Contrattuali Tipo e alla Normativa sulla Protezione dei Dati applicabile.
SAP applicherà e manterrà le Misure Tecnico Organizzative.
Nella misura in cui la fornitura del Cloud Service comprenda Nuovi Trasferimenti con Rilevanza SSC, le Misure Tecnico Organizzative di cui all’Allegato 2 descrivono le misure e le cautele adottate per prendere integralmente in considerazione la natura dei dati personali e i rischi connessi. Nel caso in cui la normativa locale abbia un impatto sull’osservanza delle clausole, questo potrà determinare l’applicazione di cautele supplementari nel corso della trasmissione e trattamento dei dati personali nel paese di destinazione (se applicabile: codifica dei dati in transito, codifica dei dati custoditi, trasformazione in forma anonima, utilizzo di pseudonimi).