Appendice sul trattamento dei dati

Appendice per l'elaborazione dei dati

La presente Appendice costituisce parte integrante del Contratto ed è stipulata da:

(i) Il Cliente (" Esportatore di dati ")
(ii) POSTCODEZIP (" Importatore di dati ")

Ciascuno essendo un " Partito " e comunemente " Parti ".

Preambolo

DOVE l'importatore di dati fornisce servizi software professionali, computer e servizi correlati;

DOVE ai sensi del Contratto, l'Importatore di dati ha accettato di fornire all'Esportatore di dati i servizi specificati nel Contratto (i " Servizi ");

QUANDO, fornendo i Servizi, l'Importatore di dati riceve o beneficia dell'accesso alle informazioni dell'Esportatore di dati o alle informazioni di altre persone che hanno un (potenziale) rapporto con l'Esportatore di dati, tali informazioni possono essere qualificate come dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ("GDPR") e altre leggi applicabili in materia di protezione dei dati .

DOVE la presente Appendice contiene i termini e le condizioni applicabili alla raccolta, al trattamento e all'utilizzo di tali dati personali da parte dell'Importatore di dati nella sua qualità di agente autorizzato al trattamento dei dati dell'Esportatore di dati, per garantire che le Parti rispettino la normativa applicabile in materia di protezione dei dati .

PERTANTO, e per consentire alle Parti di continuare legalmente il loro rapporto, le Parti hanno concluso la presente Appendice come segue:

Parte 1

1. Struttura del documento e definizioni

1.1 Struttura

La presente appendice comprende diverse parti come segue:

Parte 1:	contiene disposizioni generali, ad esempio riguardanti le definizioni utilizzate in questa appendice, il rispetto delle leggi locali, la tempistica e la cessazione
Parte 2:	contiene il corpo del documento delle clausole contrattuali tipo non modificato
Appendice 1.1 della Parte 2:	contiene i dettagli delle operazioni di trattamento fornite dall'importatore di dati all'esportatore di dati in qualità di agente autorizzato al trattamento dei dati (inclusi il trattamento, la natura e lo scopo del trattamento, il tipo di dati personali e le categorie di interessati) ai sensi del presente Appendice
Appendice 2 della Parte 2:	contiene una descrizione delle misure di sicurezza tecniche e organizzative dell'Importatore di dati, che vengono applicate in relazione a tutte le attività di trattamento descritte nell'Appendice 1.1 della Parte 2
Parte 3:	contiene le firme delle Parti vincolate dalla presente Appendice e identifica ciascun Importatore di dati

1.2 Terminologia e definizioni

Ai fini della presente Appendice, si applicano la terminologia e le definizioni utilizzate dal GDPR (nel corpo del documento della Clausola contrattuale standard nella Parte 2, dove i termini definiti non sono in maiuscolo).

"Stato membro"	indica un paese appartenente all'Unione Europea o allo Spazio Economico Europeo
"Categorie speciali di dati (personali)"	si riferisce a dati personali idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici, se trattati allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute, dati relativi al sesso vita o orientamento sessuale
"Clausole contrattuali tipo"	indica le clausole contrattuali tipo per il trasferimento dei dati personali degli incaricati del trattamento stabiliti in paesi terzi, ai sensi della decisione 2010/87/UE della Commissione del 5 febbraio 2010, modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione del 16 febbraio 2010 dicembre 2016
"Responsabile del trattamentoâ€	indica qualsiasi responsabile del trattamento, situato all'interno o all'esterno dell'UE/SEE, che acconsente a ricevere dall'Importatore di dati o da qualsiasi altro responsabile del trattamento dell'Importatore di dati, i dati personali allo scopo esclusivo delle attività di trattamento che devono essere svolte dall'Esportatore di dati dopo il trasferire in conformità alle istruzioni dell'Esportatore di dati, ai termini della presente Appendice e al Contratto con l'Importatore di dati

2. Obblighi dell'esportatore dei dati

2.1 L'Esportatore di dati ha l'obbligo di garantire il rispetto di tutti gli obblighi applicabili ai sensi del GDPR e di qualsiasi altra legge sulla protezione dei dati applicabile che si applica all'Esportatore di dati e di dimostrare tale conformità come richiesto dall'articolo 5 (2) del GDPR. L'Esportatore di dati garantisce che l'Importatore di dati ha ottenuto il previo consenso degli interessati ai sensi dell'articolo 6 (a) del GDPR e ha adempiuto al suo obbligo di informare gli interessati ai sensi degli articoli 13 e 14 del GDPR.

2.2 L'Esportatore di dati deve fornire all'Importatore di dati i rispettivi file delle attività di trattamento ai sensi dell'articolo 30 (1) del GDPR relativo ai Servizi di cui alla presente Appendice, nella misura necessaria all'Importatore di dati per adempiere all'obbligo previsto Articolo 30 (2) del GDPR.

2.3 L'Esportatore di dati deve nominare un responsabile della protezione dei dati o un rappresentante nella misura richiesta dalla legge sulla protezione dei dati applicabile. L'Esportatore di dati è obbligato a fornire all'Importatore di dati i dati di contatto dell'agente o del rappresentante per la protezione dei dati, se presente.

2.4. L'Esportatore di dati conferma prima del completamento del trattamento, accettando la presente Appendice, che le misure di sicurezza tecniche e organizzative dell'Importatore di dati, come stabilito nell'Appendice 2 alla Parte 2, sono adeguate e sufficienti a proteggere i diritti dell'interessato e conferma che l'importatore di dati fornisce garanzie sufficienti a tale riguardo.

3. Conformità alla legge locale

Al fine di soddisfare i requisiti dell'attuazione degli incaricati del trattamento ai sensi dell'articolo 28 del GDPR, sono applicabili le seguenti modifiche:

3.1 Istruzioni

(i) L'Esportatore di dati incarica l'Importatore di dati di elaborare i dati personali solo per conto dell'Esportatore di dati. Le istruzioni dell'Esportatore dei dati sono fornite nella presente Appendice e nel Contratto. L'Esportatore di dati ha l'obbligo di garantire che tutte le istruzioni fornite all'Importatore di dati siano conformi alle leggi sulla protezione dei dati applicabili. L'importatore di dati deve trattare i dati personali solo in conformità con le istruzioni fornite dall'esportatore di dati, salvo diversamente richiesto dall'Unione europea o dalla legge dello Stato membro (in quest'ultimo caso, si applica la parte 1, clausola 3.2 (iv) (c)) .
(ii) Tutte le altre istruzioni che vanno oltre le istruzioni nella presente Appendice o nel Contratto devono essere incluse nell'oggetto della presente Appendice e del Contratto. Se l'attuazione di questa istruzione aggiuntiva comporta costi per l'Importatore di dati, l'Importatore di dati informerà l'Esportatore di dati di tali costi e fornirà una spiegazione prima di attuare l'istruzione. Solo dopo che l'Esportatore di dati ha confermato l'accettazione di questi costi per l'attuazione dell'istruzione, l'Importatore di dati deve attuare questa istruzione aggiuntiva. L'Esportatore dei dati deve dare ulteriori istruzioni per iscritto a meno che l'urgenza o altre circostanze specifiche non richiedano un'altra forma (es. orale, elettronica). Le istruzioni in forma diversa da quella scritta devono essere confermate per iscritto e senza indugio dall'Esportatore dei dati.
1. A meno che l'Esportatore di dati non possa effettuare autonomamente la rettifica, la cancellazione o la limitazione dei dati personali, le istruzioni possono riguardare anche la rettifica, la cancellazione e/o la limitazione dei dati personali come stabilito nella Parte 1, Clausola 3.3.
2. L'Importatore di dati deve informare immediatamente l'Esportatore di dati se, a suo avviso, un'Istruzione viola il GDPR o altre disposizioni applicabili in materia di protezione dei dati dell'Unione europea o di uno Stato membro ("Istruzione contestataSe l'autorità di controllo dichiara legittima l'Istruzione impugnata, l'Importatore di dati deve attuare l'Istruzione impugnata. Resta applicabile la Clausola 3.1 (ii) della Parte 1.

3.2 Obblighi dell'importatore dei dati

(i) L'Importatore di dati deve garantire che le persone autorizzate dall'Importatore di dati a trattare i dati personali per conto dell'Esportatore di dati, in particolare i dipendenti dell'Importatore di dati e i dipendenti di qualsiasi Subappaltatore, si siano impegnate a rispettare la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza e che tali persone che hanno accesso ai dati personali li trattino in conformità con le istruzioni dell'Esportatore di dati.
(ii) L'Importatore di dati deve attuare le misure di sicurezza tecniche e organizzative di cui all'Appendice 2 alla Parte 2 prima di elaborare i dati personali per conto dell'Esportatore di dati. L'Importatore di dati può modificare periodicamente le misure di sicurezza tecniche e organizzative se non forniscono una protezione inferiore a quella indicata nell'Appendice 2 alla Parte 2.
(iii) L'Importatore di dati metterà a disposizione dell'Esportatore di dati, su richiesta dell'Esportatore di dati, le informazioni per dimostrare il rispetto degli obblighi dell'Importatore di dati ai sensi della presente Appendice. Le Parti concordano che tale obbligo di informazione venga rispettato fornendo all'Esportatore di dati un rapporto di audit (che copre la sicurezza dei principi, la disponibilità del sistema e la riservatezza) ("Rapporto di audit"). Se sono richieste dalla legge ulteriori attività di audit, l'Esportatore di dati può richiedere che le ispezioni siano effettuate dall'Esportatore di dati o da un altro revisore nominato dall'Esportatore di dati, a condizione che tale revisore stipuli un accordo di riservatezza con l'Importatore di dati nei confronti dell'Importatore di dati ragionevole soddisfazione ("Audit"). Questa verifica è soggetta alle seguenti condizioni: (i) la preventiva formale accettazione scritta dell'Importatore dei dati; e (ii) l'Esportatore di dati sosterrà tutti i costi relativi alla verifica in loco per l'Esportatore di dati e l'Importatore di dati. L'Esportatore di dati deve creare un rapporto di audit che riassuma i risultati e le osservazioni dell'audit in loco ("Rapporto di audit in loco"). I rapporti di audit in loco e i rapporti di audit sono informazioni riservate dell'importatore di dati e non devono essere divulgati a terzi a meno che non sia richiesto dalla legge applicabile sulla protezione dei dati o in conformità con il consenso dell'importatore di dati.
(iv) L'importatore di dati ha l'obbligo di notificare all'esportatore di dati senza indebito ritardo:
1. UN. in merito a qualsiasi richiesta legalmente vincolante di divulgazione di dati personali da parte di un'autorità incaricata dell'applicazione della legge, salvo diversamente vietato, come un divieto ai sensi del diritto penale di proteggere la riservatezza di un'indagine dell'applicazione della legge
2. B. in merito a qualsiasi reclamo e richiesta ricevuta direttamente da un interessato (ad es. in merito all'accesso, alla rettifica, alla cancellazione, alla limitazione del trattamento, alla portabilità dei dati, all'opposizione al trattamento dei dati, al processo decisionale automatizzato) senza rispondere a tale richiesta, a meno che l'Importatore di dati non sia stato autorizzato a fare così
3. C. se l'Importatore di dati o il Responsabile del trattamento è obbligato, ai sensi del diritto dell'Unione europea o dello Stato membro a cui è soggetto l'Importatore di dati o il Responsabile del trattamento, a trattare i dati personali oltre le istruzioni dell'Esportatore di dati, prima di effettuare tale trattamento oltre le istruzioni, a meno che le leggi dell'Unione europea o dello Stato membro vietino tale trattamento per motivi di interesse pubblico vitale, nel qual caso la notifica all'esportatore dei dati specificherà l'obbligo legale previsto da tale legge dell'Unione europea o dello Stato membro; O
4. D. se l'Importatore di dati realizza una violazione dei dati personali, unicamente a causa sua o del suo subappaltatore, che pregiudicherebbe i dati personali dell'Esportatore di dati coperti dal presente contratto, nel qual caso l'Importatore di dati assisterà l'Esportatore di dati nel suo obbligo, nei confronti della normativa applicabile in materia di protezione dei dati, di informare gli interessati e, ove applicabile, le autorità di controllo fornendo le informazioni di cui dispone, ai sensi dell'articolo 33, paragrafo 3, del GDPR.
5. (v) Su richiesta dell'Esportatore di dati, l'Importatore di dati sarà obbligato ad assistere l'Esportatore di dati nel suo obbligo di effettuare una valutazione d'impatto sulla protezione dei dati che potrebbe essere richiesta dall'articolo 35 del GDPR e una consultazione preventiva che potrebbe essere richiesto dall'articolo 36 del GDPR in merito ai servizi forniti dall'importatore di dati all'esportatore di dati ai sensi della presente appendice, fornendo le informazioni necessarie all'esportatore di dati. L'Importatore di dati sarà obbligato a fornire tale assistenza solo se l'Esportatore di dati non può adempiere ai propri obblighi con altri mezzi. L'Importatore di dati informerà l'Esportatore di dati del costo di tale assistenza. Non appena l'esportatore di dati avrà confermato di poter sostenere questo costo, l'importatore di dati fornirà all'esportatore di dati questo aiuto.
6. (vi) Al termine della prestazione dei servizi, l'Esportatore di dati può richiedere la restituzione dei dati personali trattati dall'Importatore di dati ai sensi della presente Appendice entro un mese dalla prestazione dei servizi. A meno che la legislazione dello Stato membro o dell'Unione europea non imponga all'Importatore di dati di archiviare o conservare tali dati personali, l'Importatore di dati eliminerà tutti tali dati personali o non personali dopo il periodo di un mese, indipendentemente dal fatto che siano stati restituiti a l'esportatore dei dati su sua richiesta o meno.

3.3 Diritti degli interessati

1. (i) L'Esportatore di dati gestisce e risponde alle richieste avanzate dagli interessati. L'importatore di dati non è obbligato a rispondere direttamente agli interessati.
2. (ii) Se l'Esportatore di dati richiede l'assistenza dell'Importatore di dati nell'elaborazione e nella risposta alle richieste dell'Interessato, l'Esportatore di dati emetterà un'ulteriore istruzione in conformità con la Clausola 3.1 (ii) della Parte 1. L'Importatore di dati assisterà l'Esportatore di dati con le seguenti misure organizzative adeguate e tecniche per rispondere alle richieste di esercizio dei diritti degli interessati di cui al Capo III del GDPR come segue:
3. UN. Per quanto riguarda le richieste di informazioni, l'Importatore di dati fornirà all'Esportatore di dati solo le informazioni richieste dall'articolo 13 e 14 del PGRD che potrebbe avere a sua disposizione se l'Esportatore di dati non riesce a trovarle da solo.
4. B. Per quanto riguarda le richieste di accesso (articolo 15 del GDPR), l'Importatore di dati fornirà all'Esportatore di dati solo le informazioni che dovrebbero essere fornite a un interessato per detta richiesta di accesso, che potrebbe avere a sua disposizione se il quest'ultimo non può trovarlo da solo.
5. C. Per quanto riguarda le richieste di rettifica (articolo 16 del GDPR), le richieste di cancellazione (articolo 17 del GDPR), la limitazione delle richieste di elaborazione (articolo 18 del GDPR) o le richieste di portabilità (articolo 20 del GDPR), e solo se l'Esportatore di dati non può rettificare o cancellare, limitare o trasmettere i dati personali a un'altra terza parte, l'Importatore di dati offrirà all'Esportatore di dati la possibilità di rettificare o cancellare, limitare o trasmettere i dati personali in questione all'altra terza parte, o se ciò non è possibile, fornirà l'assistenza per rettificare o cancellare, limitare o trasmettere all'altra terza parte i dati personali in questione.
6. D. Per quanto riguarda la notifica relativa alla rettifica, cancellazione o limitazione del trattamento (articolo 19 del GDPR), l'Importatore di dati assisterà l'Esportatore di dati notificando a tutti i destinatari di dati personali assunti dall'Importatore di dati come responsabili del trattamento se l'Esportatore di dati lo richiede e se l'esportatore di dati non può porre rimedio alla situazione da solo.
7. e. Per quanto riguarda il diritto di opposizione esercitato da un interessato (articolo 21 e 22 del GDPR), l'esportatore di dati determinerà se l'opposizione è legittima e come gestirla.
8. (iii) Gli obblighi di assistenza dell'Importatore di dati sono limitati ai dati personali trattati all'interno della sua infrastruttura (ad esempio database, sistemi, applicazioni di proprietà o forniti dall'Importatore di dati).
9. (iv) L'Esportatore di dati determinerà se un Interessato può esercitare i diritti degli Interessati di cui alla Clausola 3.1 della presente Parte 1 e informerà l'Importatore di dati della misura in cui l'assistenza specificata nelle Clausole 3.3 (ii), ( iii) della Parte 1 è necessario.
10. (v) Se l'Esportatore di dati richiede misure tecniche e organizzative aggiuntive o modificate per soddisfare i diritti degli interessati che vanno oltre l'assistenza fornita dall'Importatore di dati ai sensi della Sottoclausola 3.3 (ii), (iii) della Parte 1, l'Esportatore di dati L'importatore informa l'esportatore dei dati dei costi di attuazione di tali misure tecniche e organizzative aggiuntive o modificate. Non appena l'Esportatore di dati ha confermato di essere in grado di far fronte a tali costi, l'Importatore di dati implementerà tali misure tecniche e organizzative aggiuntive o modificate per assistere l'Esportatore di dati nel rispondere alle richieste degli Interessati.
11. (vi) Senza limitare l'ambito di applicazione della Clausola 3.3 (v) della Parte 1, l'Esportatore di dati sarà tenuto a rimborsare all'Importatore di dati le spese ragionevoli sostenute per rispondere alle richieste degli Interessati.

3.4 Sub-trattamento

1. (i) L'Esportatore di dati autorizza l'uso di subappaltatori da parte dell'Importatore di dati per la fornitura di servizi ai sensi della presente Appendice. L'Importatore di dati selezionerà attentamente tali responsabili del trattamento dei dati. L'Esportatore di dati approva i responsabili del trattamento dei dati elencati nell'Appendice 1.1 alla fine della Parte 2.
2. (ii) L'Importatore di dati trasferirà i propri obblighi ai sensi della presente Appendice al/ai Responsabile/i del trattamento nella misura applicabile ai servizi subappaltati.
3. (iii) L'Importatore di dati può licenziare, sostituire o nominare un altro responsabile del trattamento appropriato e affidabile a sua discrezione. Se richiesto per iscritto dall'Esportatore di dati, l'Importatore di dati deve seguire la procedura di seguito indicata:

1. UN. L'Importatore di dati informerà l'Esportatore di dati prima di qualsiasi modifica all'elenco dei Responsabili del trattamento di cui alla Clausola 3.4 (i) della Parte 1. Se l'Esportatore di dati non si oppone ai sensi della Clausola 3.4. (b) della Parte 1 trenta giorni dopo aver ricevuto la notifica dall'Importatore di dati, gli ulteriori Responsabili del trattamento si considerano accettati.
2. B. Se l'Esportatore di dati ha un motivo legittimo per opporsi a un ulteriore Responsabile del trattamento, ne darà preavviso scritto all'Importatore di dati entro trenta giorni dal ricevimento della notifica dell'Importatore di dati e prima che il servizio dell'Importatore di dati sia messo in funzione. Se l'esportatore di dati si oppone all'uso di un ulteriore responsabile del trattamento, l'importatore di dati può eliminare l'obiezione mediante una delle seguenti opzioni (scelte a sua discrezione): (A) l'importatore di dati annullerà i suoi piani per utilizzare un ulteriore responsabile del trattamento in relazione i dati personali dell'esportatore dei dati; (B) l'Importatore di dati adotterà le misure correttive richieste dall'Esportatore di dati nella sua opposizione (annullando l'obiezione) e si avvarrà del responsabile aggiuntivo per quanto riguarda i dati personali dell'Esportatore di dati;
1. (iv) se il Responsabile del trattamento ha sede al di fuori dell'UE-SEE in un paese che non è riconosciuto come offrire un livello adeguato di protezione dei dati a seguito di una decisione della Commissione europea, l'Importatore di dati adotterà le misure per rispettare un livello adeguato della protezione dei dati ai sensi del GDPR (tali misure possono includere - tra le altre e - l'utilizzo di contratti di trattamento dei dati basati sulle clausole del Modello UE, il trasferimento a Responsabili del trattamento autocertificati nell'ambito dello Scudo di protezione UE-USA o un programma simile).

3.5 Scadenza

La scadenza della presente Appendice è identica alla data di scadenza del Contratto corrispondente. Salvo quanto diversamente previsto nella presente Appendice, i diritti e gli obblighi relativi alla risoluzione sono gli stessi di quelli contenuti nel Contratto.

4. Limitazione di responsabilità

4.1 Ciascuna parte gestisce i propri obblighi ai sensi della presente Appendice e della legislazione sulla protezione dei dati applicabile.

4.2 Qualsiasi responsabilità relativa alla violazione degli obblighi ai sensi della presente Appendice o della legislazione sulla protezione dei dati applicabile sarà soggetta e disciplinata dalle disposizioni sulla responsabilità stabilite nel, o applicabili al, Contratto, salvo quanto diversamente previsto nella presente Appendice. Se la responsabilità è disciplinata dalle disposizioni di responsabilità stabilite o applicabili al Contratto, per il calcolo dei limiti di responsabilità o per determinare l'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante dalla presente Appendice sarà considerata derivante dal Contratto.

5. Disposizioni generali

5.1 In caso di incongruenze o discrepanze tra le Parti 1 e 2 della presente Appendice, prevarrà la Parte 2. Nello specifico, anche in tal caso, rimarrà valida la Parte 1 che semplicemente va oltre la Parte 2 (cioè i termini delle clausole standard) senza contraddirla.

5.2 In caso di discrepanza tra le disposizioni della presente Appendice e quelle di altri contratti che vincolano le parti, la presente Appendice prevarrà per quanto riguarda gli obblighi di protezione dei dati delle parti. In caso di dubbio sul fatto che le clausole di altri contratti riguardino gli obblighi di protezione dei dati delle parti, prevarrà la presente Appendice.

5.3 Se una qualsiasi disposizione della presente Appendice non è valida o è inapplicabile, il resto della presente Appendice rimarrà in vigore a tutti gli effetti. La disposizione invalida o inapplicabile sarà (i) modificata per garantirne la validità e l'applicabilità, preservando per quanto possibile l'intenzione delle parti, o - se ciò non è possibile - (ii) interpretata come se la parte invalida o inapplicabile avesse non ha mai fatto parte del contratto. Quanto sopra si applica anche in caso di omissione nella presente Appendice.

5.5 Nella misura necessaria, le Parti possono richiedere modifiche alla Parte 1, Clausola 3 (Conformità alla legislazione locale) o ad altre parti dell'Appendice al fine di conformarsi a interpretazioni, direttive o ordini emessi dalle autorità competenti dell'Unione o del Stati membri, disposizioni nazionali di applicazione o qualsiasi altro sviluppo legale relativo al GDPR o altre condizioni di delega a qualsiasi entità coinvolta nel trattamento dei dati e in particolare per quanto riguarda l'uso delle clausole contrattuali tipo nel GDPR. I termini delle clausole contrattuali tipo non possono essere modificati o sostituiti a meno che la Commissione europea non lo approvi espressamente (ad esempio con nuove clausole adeguate e standard di protezione dei dati).

5.6 Qualsiasi riferimento nella presente Appendice alle "Clausole" deve essere inteso come riferito a tutte le disposizioni della presente Appendice salvo diversa indicazione.

5.7 La scelta della legge nella Parte 2, Clausola 9 si applica all'intero Contratto.

6. Dati personali trasmessi e trattati dalle parti per finalità personali (trasferimento dal titolare del trattamento al titolare del trattamento)

6.1 Le Parti sono pienamente consapevoli che alcuni dati personali saranno trasferiti dall'Esportatore di Dati all'Importatore di Dati e viceversa, e che tali dati sono trattati da ciascuna Parte per le proprie finalità. Per quanto riguarda tali dati personali, non pregiudica le altre disposizioni di questa Appendice (ad eccezione di questa clausola 6).

6.2 L'Esportatore di dati può trasferire i dati personali relativi al personale dell'Importatore di dati all'Importatore di dati, comprese le informazioni sugli incidenti di sicurezza, o qualsiasi altro documento o file creato o stabilito dall'Esportatore di dati in relazione ai Servizi forniti dal personale di l'importatore di dati. L'Importatore di dati può trattare tali dati personali per i propri scopi, in particolare nei suoi rapporti professionali con il personale dell'Importatore di dati, per il controllo della qualità e la formazione o per scopi commerciali.

6.3. L'Importatore di dati può trasferire dati personali all'Esportatore di dati, inclusi il nome e i recapiti del personale dell'Importatore di dati. L'Esportatore di dati può trattare tali dati personali per i propri scopi.

6.4 Entrambe le parti devono rispettare tutte le leggi sulla protezione dei dati applicabili, incluso il GDPR, nella raccolta, elaborazione e utilizzo di tali dati personali ricevuti dall'altra parte ai sensi della clausola 1 della Parte 1. In particolare, entrambe le Parti adotteranno adeguate misure di sicurezza, fornendo un livello di protezione simile alle misure di sicurezza di cui all'appendice 2 della parte 2. L'eventuale accesso a tali dati personali è limitato alla necessità di conoscerli.

6.5 Entrambe le Parti devono cancellare tali dati personali il prima possibile dopo che gli obiettivi sono stati raggiunti.

Parte 2

DECISIONE DELLA COMMISSIONE

il 5 febbraio 2010

sulle clausole contrattuali standard per il trasferimento dei dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio

Clausola 1

Definizioni

Ai sensi delle clausole:

a) "dati personali", "categorie particolari di dati", "trattamento/trattamento", "titolare", "responsabile", "interessato" e "autorità di controllo" hanno lo stesso significato della 95/46/CE Direttiva del Parlamento Europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1);

b) l'"Esportatore dei dati" è il titolare del trattamento che trasferisce i dati personali;

c) l'"Importatore di dati" è il Responsabile del trattamento che acconsente a ricevere dall'Esportatore di dati i dati personali destinati ad essere elaborati per conto dell'Esportatore di dati dopo il trasferimento secondo le sue istruzioni e secondo i termini di queste clausole e che non è soggetto al meccanismo di un paese terzo che garantisce una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46/CE; (d) "responsabile del trattamento" indica il responsabile del trattamento incaricato dall'importatore di dati o da qualsiasi altro responsabile del trattamento dei dati dell'importatore di dati che accetta di ricevere dall'importatore di dati o da qualsiasi altro responsabile del trattamento dei dati dell'importatore di dati dati personali esclusivamente per le attività di trattamento a essere effettuato per conto dell'Esportatore di dati dopo il trasferimento secondo le istruzioni dell'Esportatore di dati,

e) "legge applicabile in materia di protezione dei dati": la legislazione che tutela i diritti e le libertà fondamentali delle persone, compreso il diritto alla vita privata in relazione al trattamento dei dati personali, e che si applica a un responsabile del trattamento nello Stato membro in cui è stabilito l'Esportatore di dati;

f) "misure tecniche e organizzative relative alla sicurezza": le misure intese a proteggere i dati personali contro la distruzione accidentale o illecita o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su reti, e contro tutte le altre forme illecite di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento, incluse, ove opportuno, categorie particolari di dati personali, sono specificati nell'Allegato 1, che costituisce parte integrante delle presenti clausole.

Clausola 3

Clausola terzo beneficiario

1. L'interessato può far valere nei confronti dell'esportatore dei dati la presente clausola, la clausola 4, lettere da b) a (i), la clausola 5, lettere da a) a e) e da g) a j), la clausola 6, paragrafi 1 e 2 ), clausola 7, clausola 8, paragrafo 2, e clausole da 9 a 12 come terzo beneficiario

2. L'interessato può far valere la presente clausola, la clausola 5 da (a) a (e) e (g), la clausola 6, la clausola 7, la clausola 8 (2) e le clausole da 9 a 12 nei confronti dell'importatore di dati qualora l'esportatore di dati abbia fisicamente scomparso o ha cessato di esistere legalmente, a meno che tutti i suoi obblighi legali non siano stati trasferiti, per contratto o per effetto di legge, all'ente successore, al quale ricadono quindi i diritti e gli obblighi dell'Esportatore dei dati, e nei confronti del quale i dati soggetto può quindi far valere le suddette clausole.

L'interessato può far valere la presente clausola, la clausola 5 da (a) a (e) e (g), la clausola 6, la clausola 7, la clausola 8 (2) e le clausole da 9 a 12 nei confronti del responsabile del trattamento, ma solo nei casi in cui i dati L'Esportatore e l'Importatore dei dati sono fisicamente scomparsi, hanno cessato di esistere legalmente o sono diventati insolventi, a meno che tutti gli obblighi legali dell'Esportatore dei dati non siano stati trasferiti, per contratto o per effetto di legge, al successore legale, al quale spettano i diritti e incombono pertanto gli obblighi dell'Esportatore dei dati, e nei confronti del quale l'interessato può quindi far valere tali clausole. Tale responsabilità del Responsabile del trattamento dei dati deve essere limitata alle proprie attività di trattamento ai sensi delle presenti clausole.

4. Le parti non si oppongono a che l'interessato sia rappresentato da un'associazione o altro organismo se lo desidera e se il diritto nazionale lo consente.

Clausola 4

Obblighi dell'esportatore dei dati

L'esportatore dei dati accetta e garantisce quanto segue:

a) il trattamento, compreso l'effettivo trasferimento di dati personali, è stato e continuerà ad essere effettuato in conformità alle pertinenti disposizioni della normativa applicabile in materia di protezione dei dati (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui ha sede l'Esportatore di dati) e non viola le pertinenti disposizioni di tale Stato;

b) hanno incaricato, e istruiranno per la durata dei servizi di trattamento dei dati personali, l'Importatore di Dati a trattare i dati personali trasferiti per conto esclusivo dell'Esportatore di Dati e in conformità con la legge sulla protezione dei dati applicabile e le presenti clausole;

c) l'Importatore di dati fornirà sufficienti garanzie in merito alle misure di sicurezza tecniche e organizzative specificate nell'Allegato 2 al presente contratto;

d) previa valutazione dei requisiti della normativa applicabile in materia di protezione dei dati, le misure di sicurezza sono adeguate a proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall'alterazione, dalla divulgazione non autorizzata o dall'accesso, in particolare laddove il trattamento comporti la trasmissione di dati in rete, e contro ogni altra forma illecita di trattamento e garantire un livello di sicurezza adeguato ai rischi rappresentati dal trattamento e alla natura dei dati da proteggere, tenuto conto del livello tecnologico e del costo di attuazione;

e) assicureranno il rispetto delle misure di sicurezza;

f) se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima del trasferimento, o non appena possibile dopo il trasferimento, che i suoi dati possono essere trasferiti in un paese terzo che non offre un adeguato livello di protezione ai sensi della direttiva 95/46/CE;

g) inoltreranno qualsiasi notifica ricevuta dall'importatore di dati o da qualsiasi responsabile del trattamento ai sensi delle clausole 5 (b) e 8 (3) all'autorità di controllo della protezione dei dati se decide di continuare il trasferimento o di revocarne la sospensione;

h) mettono a disposizione degli interessati, qualora ne facciano richiesta, copia delle presenti Clausole, ad eccezione dell'Allegato 2, e una descrizione sommaria delle misure di sicurezza, nonché copia di ogni ulteriore contratto di subappalto, concluso ai sensi delle presenti Clausole, a meno che il Le clausole o l'accordo contengono informazioni commerciali, nel qual caso può ritirare tali informazioni;

i) in caso di subappalto del processo di trattamento dei dati, l'attività di trattamento è svolta in conformità con la clausola 11 da un responsabile del trattamento dei dati che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato dell'importatore di dati ai sensi delle presenti clausole ; E

j) garantirà il rispetto della clausola 4 da (a) a (i).

Clausola 5

Obblighi dell'importatore di dati

L'importatore di dati accetta e garantisce quanto segue:

a) tratteranno i dati personali solo per conto dell'Esportatore di dati e secondo le istruzioni dell'Esportatore di dati e le presenti clausole; se non può ottemperare per qualsiasi motivo, si impegnano a informare l'Esportatore dei dati quanto prima della sua impossibilità, nel qual caso l'Esportatore dei dati può sospendere il trasferimento dei dati e/o risolvere il contratto;

b) non hanno motivo di ritenere che la legge loro applicabile gli impedisca di adempiere alle istruzioni impartite dall'Esportatore dei dati e agli obblighi che gli incombono ai sensi del contratto, e se tale legge è soggetta a modifiche che potrebbero avere un pregiudizio sostanziale effetto sulle garanzie e sugli obblighi di cui alle Clausole, dovrà comunicare senza indugio la modifica all'Esportatore dei Dati dopo esserne venuto a conoscenza, nel qual caso l'Esportatore dei Dati potrà sospendere il trasferimento dei dati e/o risolvere il contratto; (c) hanno implementato le misure di sicurezza tecniche e organizzative specificate nell'allegato 2 prima di trattare i dati personali trasferiti;

d) comunicheranno senza indugio all'Esportatore dei dati:

i) qualsiasi richiesta vincolante di divulgazione di dati personali da parte di un'autorità di contrasto, salvo quanto diversamente specificato, come un divieto penale volto a preservare il segreto di un'indagine di polizia;

ii) qualsiasi accesso accidentale o non autorizzato; E

iii) ogni richiesta pervenuta direttamente dall'interessato senza dar seguito ad essa se non a ciò autorizzato; amministratori

e) si occuperanno tempestivamente e correttamente di tutte le richieste dell'Esportatore di dati in merito al trattamento dei dati personali oggetto del trasferimento e agiranno previo parere dell'autorità di controllo in merito al trattamento dei dati trasferiti;

f) su richiesta dell'Esportatore di dati, sottoporranno le proprie strutture di trattamento dei dati a una verifica delle attività di trattamento contemplate dalle presenti clausole che sarà effettuata dall'Esportatore di dati o da un organismo di vigilanza composto da membri indipendenti con le qualifiche professionali richieste, soggetti a un obbligo di segretezza e scelti dall'esportatore dei dati, se del caso con l'accordo dell'autorità di controllo;

g) metteranno a disposizione dell'interessato, qualora lo richieda, una copia delle presenti Clausole, o di eventuali contratti di subappalto esistenti del trattamento dei dati, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso potrà rimuovere tali informazioni, ad eccezione dell'Allegato 2, che sarà sostituito da una sintetica descrizione delle misure di sicurezza, ove l'interessato non possa ottenerne copia dall'Esportatore dei dati;

h) in caso di ulteriore subappalto confidenziale del trattamento dei dati, si assicurerà di informare preventivamente l'Esportatore di dati e di ottenere il consenso scritto dell'Esportatore di dati;

i) i servizi di elaborazione forniti dal Responsabile del trattamento devono essere conformi alla clausola 11;

j) trasmetterà tempestivamente all'Esportatore dei dati copia dell'eventuale subappalto del contratto di trattamento dei dati da essa stipulato ai sensi delle presenti Clausole.

Clausola 6

Responsabilità

1. Le parti concordano che l'interessato che abbia subito un danno a causa della violazione degli obblighi di cui all'articolo 3 o all'articolo 11 da parte di una delle parti o di un Responsabile del trattamento può ottenere dall'Esportatore il risarcimento del danno subito.

2. Se a una persona interessata è impedito di intentare un'azione per risarcimento danni di cui al paragrafo 1 contro l'esportatore di dati per il mancato rispetto da parte dell'importatore di dati o del suo responsabile del trattamento di uno qualsiasi dei suoi obblighi ai sensi della clausola 3 o della clausola 11 perché i dati l'esportatore è fisicamente scomparso, ha cessato di esistere legalmente o è diventato insolvente, l'importatore di dati accetta che l'interessato possa presentare un reclamo nei suoi confronti come se fosse l'esportatore di dati, a meno che tutti gli obblighi legali dell'esportatore di dati non siano stati trasferiti, per contratto o per effetto di legge, al suo ente successore, nei confronti del quale l'interessato può quindi far valere i propri diritti. L'Importatore di dati non può fare affidamento su una violazione dei propri obblighi da parte di un Responsabile del trattamento per evitare la propria responsabilità.

3. Se all'interessato è impedito di intentare l'azione di cui ai commi 1 e 2 contro l'Esportatore di dati o l'Importatore di dati per violazione da parte dell'Incaricato del trattamento dei suoi obblighi ai sensi della Clausola 3 o della Clausola 11 perché l'Esportatore e l'Importatore di dati sono fisicamente scomparse, hanno cessato di esistere legalmente o sono diventate insolventi, il Responsabile del trattamento accetta che l'interessato possa presentare un reclamo nei suoi confronti in merito alle proprie attività di trattamento in conformità con queste clausole come se fosse l'Esportatore di dati o l'Importatore di dati a meno che tutti gli obblighi legali dell'esportatore o dell'importatore di dati sono stati trasferiti, per contratto o per effetto di legge, al successore legale, nei confronti del quale l'interessato può quindi far valere i propri diritti.La responsabilità del Responsabile del trattamento dei dati deve essere limitata alle proprie attività di trattamento in conformità con queste clausole.

Clausola 7

Mediazione e giurisdizione

1. L'Importatore dei dati accetta che se in base alle clausole l'interessato invoca nei suoi confronti il diritto del terzo beneficiario e/o pretende il risarcimento del danno subito, accetterà la decisione dell'interessato:

a) sottoporre la controversia alla mediazione di un soggetto indipendente o, se del caso, dell'autorità di controllo;

b) portare la controversia dinanzi ai tribunali dello Stato membro in cui ha sede l'Esportatore di dati.

2. Le parti convengono che la scelta operata dall'interessato non pregiudica il diritto procedurale o sostanziale dell'interessato di ottenere un risarcimento ai sensi di altre disposizioni del diritto nazionale o internazionale.

Clausola 8

Collaborazione con le autorità di controllo

1. L'Esportatore dei dati si impegna a depositare una copia del presente contratto presso l'autorità di controllo se quest'ultima lo richiede o se tale deposito è previsto dalla legge sulla protezione dei dati applicabile.

2. Le parti convengono che l'autorità di controllo possa effettuare controlli presso l'importatore di dati e qualsiasi responsabile del trattamento nella stessa misura e alle stesse condizioni dei controlli effettuati presso l'esportatore di dati in conformità con la legge sulla protezione dei dati applicabile.

3. L'Importatore di dati informa quanto prima l'Esportatore di dati dell'esistenza di una legislazione riguardante l'Importatore di dati o qualsiasi Responsabile del trattamento che impedisca la verifica presso l'Importatore di dati o qualsiasi Responsabile del trattamento ai sensi del paragrafo 2. In tal caso, l'Importatore di dati L'Esportatore di dati può adottare le misure previste dalla Clausola 5 (b).

Clausola 9

Legge applicabile

Le clausole si applicano e sono disciplinate dalla legge dello Stato membro in cui ha sede l'Esportatore di dati.

Clausola 10

Modifica del contratto

Le parti si impegnano a non modificare le presenti clausole. Le parti restano libere di includere altre clausole commerciali che ritengano necessarie, a condizione che non siano in contrasto con le presenti clausole.

Clausola 11

Subappalto successivo

1. L'Importatore di dati non subappalterà nessuna delle sue attività di trattamento svolte per conto dell'Esportatore di dati ai sensi delle presenti clausole senza il previo consenso scritto dell'Esportatore di dati. L'Importatore di dati potrà subappaltare i propri obblighi ai sensi delle presenti Clausole, con il consenso dell'Esportatore di dati, solo attraverso un accordo scritto con il Responsabile del trattamento che imponga al Responsabile del trattamento gli stessi obblighi imposti all'Importatore di dati ai sensi delle presenti Clausole. Se il Responsabile del trattamento dei dati non è in grado di adempiere ai propri obblighi di protezione dei dati ai sensi di tale accordo scritto, l'Importatore di dati rimarrà pienamente responsabile nei confronti dell'Esportatore di dati per l'adempimento di tali obblighi.

2. Il previo accordo scritto tra l'Importatore dei dati e il Responsabile del trattamento deve includere anche una clausola di terzo beneficiario di cui all'articolo 3 per i casi in cui l'interessato è impossibilitato a promuovere la richiesta di risarcimento danni di cui all'articolo 6 (1 ), nei confronti dell'Esportatore di dati o dell'Importatore di dati perché l'Esportatore di dati o l'Importatore di dati è fisicamente scomparso, ha cessato di esistere legalmente o è diventato insolvente e tutti gli obblighi legali dell'Esportatore di dati o dell'Importatore di dati non sono stati trasferiti, per contratto o per operazione di legge, ad un altro ente successore. La responsabilità del Responsabile del trattamento dei dati deve essere limitata alle proprie attività di trattamento in conformità con queste clausole.

3. Le disposizioni relative agli aspetti di protezione dei dati relativi al subappalto del trattamento dei dati del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore dei dati.

4. L'Esportatore di dati tiene un elenco degli accordi di subappalto del trattamento dei dati stipulati ai sensi delle presenti Clausole e notificati dall'Importatore di dati ai sensi dell'Articolo 5 (j), che deve essere aggiornato almeno una volta all'anno. Tale elenco sarà messo a disposizione dell'autorità di controllo della protezione dei dati dell'esportatore di dati.

Clausola 12

Obbligo successivo alla cessazione del servizio di trattamento dei dati personali

1. Le parti concordano che, una volta completati i servizi di trattamento dei dati, l'Importatore di dati e il Responsabile del trattamento restituiranno, a discrezione dell'Esportatore di dati, tutti i dati personali trasferiti e copie degli stessi all'Esportatore di dati, oppure distruggeranno tutti tali dati e forniranno la prova la distruzione all'Esportatore di dati, a meno che la legislazione imposta all'Importatore di dati non gli impedisca di restituire o distruggere in tutto o in parte i dati personali trasferiti. In tal caso, l'Importatore di dati garantisce che garantirà la riservatezza dei dati personali trasferiti e che non tratterà più attivamente i dati.

2. L'importatore e l'incaricato del trattamento assicurano che, su richiesta dell'esportatore e/o dell'autorità di controllo, sottopongano i propri mezzi di trattamento alla verifica delle misure di cui al comma 1.

Appendice 1.1 alla Parte 2

Dettagli del trasferimento

Esportatore di dati

L'esportatore di dati è il cliente definito nell'accordo contrattuale.

Importatore di dati

L'importatore di dati è POSTCODEZIP ed è incaricato di elaborare i dati, fornendo servizi all'esportatore di dati.

Soggetti del trattamento

I dati personali trasferiti riguardano le seguenti categorie di interessati:

â˜ abbonati telefonici elencati nell'elenco universale

â˜' Altri, tra cui:

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati:

Categorie di dati personali degli interessati dell'Esportatore di dati in particolare,

â˜ Nome completo

â˜' indirizzo postale

â˜ Dati di contatto (e-mail, telefono, indirizzo IP, ecc.)

â˜ Dettagli delle attività di marketing riguardanti l'abbonato telefonico

â˜' Altri, compreso il tipo di alloggio, il reddito e l'età media della città resi anonimi

Categorie speciali di dati (se applicabile)

I dati personali conferiti riguardano le seguenti categorie particolari di dati:

â˜' Non è previsto il conferimento di categorie particolari di dati

â˜ Razza o origine etnica

â˜ Credenze religiose o filosofiche

â˜ Iscrizione sindacale

â˜ Opinioni politiche

â˜ Informazioni genetiche

â˜ Informazioni biometriche

â˜ Informazioni sull'orientamento sessuale o sulla vita sessuale

â˜ Dati sanitari

Attività di trattamento

I dati personali trasferiti saranno oggetto delle seguenti attività di trattamento di base:

- â€¢ FinalitÃ del trattamento

Il trattamento svolto per conto dell'Esportatore dei dati si basa sui seguenti soggetti, in particolare:

â˜' Presa in carico dei prodotti o dei servizi offerti dall'Esportatore dei dati

â˜' L'offerta di un prodotto o servizio che la persona chiamata può richiedere

â˜' Ordini presi dalle persone chiamate e ulteriore elaborazione di questi ordini

â˜' Questionari e analisi di studio

' Telemarketing

â˜ Altri, tra cui:

- â€¢ Natura e finalitÃ del trattamento

L'Importatore di dati elabora i dati personali degli interessati per conto dell'Esportatore di dati, al fine di fornire i seguenti servizi, e in particolare:

â˜' Completamento automatico del modulo
â˜' Modulo di convalida degli indirizzi

â˜' Vendite e marketing

â˜' Altri, compreso l'aggiornamento dei database dei municipi e dei partiti politici

- â€¢ Prestazione di servizi e assunzione di prestatori di servizi

POSTCODEZIP principalmente combina, centralizza e fornisce servizi all'esportatore di dati. I servizi forniti dal prestatore di servizi nominato possono essere strutturati (tra gli altri a seconda dei casi) attorno ai seguenti servizi accessori: (i) fornitura di applicazioni, strumenti, sistemi e infrastrutture informatiche in relazione ai centri di elaborazione dati utilizzati, al fine di fornire e supportare i servizi, compreso il trattamento dei dati personali degli interessati come sopra descritto, tramite tali applicazioni, strumenti e sistemi, (ii) la fornitura di supporto IT, manutenzione e altri servizi relativi a tali applicazioni, strumenti, sistemi e l'infrastruttura IT, compreso il potenziale accesso ai dati personali archiviati in tali applicazioni, strumenti e sistemi, e (iii) la fornitura di servizi di protezione dei dati, monitoraggio della protezione e servizi di risposta agli incidenti, compreso il potenziale accesso ai dati personali quando si forniscono tali servizi di protezione. POSTCODEZIP può coinvolgere i responsabili del trattamento dei dati come indicato di seguito per fornire i servizi, inclusi i servizi accessori.

- â€¢ Fornitori di servizi di terze parti esterni come sotto-enti incaricati del trattamento dei dati

POSTCODEZIP si avvale di fornitori di servizi esterni e di terze parti, che non sono filiali di POSTCODEZIP, per supportare la fornitura di servizi all'esportatore di dati. L'esportatore di dati approva tali fornitori di servizi di terze parti esterni come entità secondarie assegnate al trattamento dei dati.

Se una sub-entità coinvolta nel trattamento dei dati si trova al di fuori dell'UE/SEE, in un paese ritenuto non dotato di un livello adeguato di protezione dei dati ai sensi di una decisione della Commissione europea, l'importatore di dati adotterà misure per ottenere un livello adeguato di protezione dei dati protezione dei dati ai sensi del GDPR e della sezione 3.4 (iv) della parte 1.

Appendice 2, Parte 2

Misure di protezione tecniche e organizzative

L'Importatore di dati adotterà le seguenti misure di protezione tecniche e organizzative confermate dall'Esportatore di dati, al fine di garantire un adeguato livello di sicurezza per i diritti e le libertà delle persone, a seconda dei rischi. Nel valutare il livello di protezione in questione, l'Esportatore di dati ha considerato, in particolare, i rischi connessi al trattamento, tra cui la distruzione accidentale o illecita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o altrimenti trattati. Per chiarimento: queste misure di protezione tecnica e organizzativa non si applicano alle applicazioni, agli strumenti, ai sistemi e/o all'infrastruttura informatica forniti dall'Esportatore di dati.

1 Misure generali di protezione tecnica e organizzativa

1.1 Informazioni generali e strategie di protezione dei dati

È necessario adottare le seguenti misure per seguire le strategie generali di protezione dei dati e delle informazioni:

a) adottare misure per valutare quelle adottate in materia di protezione tecnica e organizzativa;

b) erogare attività di formazione per sensibilizzare i dipendenti;

c) avere una descrizione dei sistemi interessati e consentire l'accesso ai dipendenti;

d) stabilire un processo di documentazione formale ogni volta che i sistemi vengono implementati o modificati;

e) documentare la struttura organizzativa, i processi, le responsabilità e le relative valutazioni;

1.2 Organizzazione della protezione delle informazioni

Dovrebbero essere adottate le seguenti misure per coordinare le attività di protezione dei dati e delle informazioni:

a) responsabilità definite per la protezione delle informazioni e dei dati (ad esempio attraverso la politica di gestione della protezione dei dati);

b) le necessarie competenze in materia di protezione delle informazioni e dei dati ancora disponibili;

c) tutti i dipendenti si impegnano a garantire la riservatezza dei dati personali e sono stati informati delle potenziali conseguenze della violazione di tale impegno.

1.3 Controllo degli accessi alle aree di lavorazione

Devono essere prese le seguenti misure per impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati (in particolare software e hardware) durante l'elaborazione, la memorizzazione o la trasmissione di dati personali:

a) stabilire aree sicure;

b) proteggere e limitare l'accesso ai sistemi di elaborazione dati;

c) stabilire autorizzazioni di accesso per dipendenti e terzi, compresi i relativi documenti;

d) devono essere registrati gli eventuali accessi ai centri di elaborazione dati in cui sono conservati i dati personali.

1.4 Controllo degli accessi ai sistemi informatici

Devono essere prese le seguenti misure per impedire l'accesso non autorizzato ai sistemi di trattamento dei dati:

a) politiche e procedure di autenticazione degli utenti;

b) l'utilizzo di password su tutti i sistemi informatici;

c) l'accesso remoto alla rete richiede l'autenticazione a più fattori ed è concesso all'interessato secondo le sue competenze e previa autorizzazione;

d) l'accesso a funzioni specifiche si basa su funzioni lavorative e/o attributi assegnati individualmente all'account di un utente;

e) i diritti di accesso relativi ai dati personali sono rivisti regolarmente;

f) le registrazioni delle modifiche ai diritti di accesso sono mantenute aggiornate.

1.5 Controllo dell'accesso a particolari aree di utilizzo dei sistemi informatici

Devono essere adottate le seguenti misure per garantire che le persone autorizzate a utilizzare il sistema di trattamento dei dati possano accedere ai dati solo nell'ambito delle rispettive responsabilità e autorizzazioni di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione:

1.
1. a) politiche, istruzioni e formazione dei dipendenti, concernenti gli obblighi di ciascuno di essi in materia di riservatezza, diritto di accesso ai dati personali e ambito di trattamento dei dati personali;

b) provvedimenti disciplinari nei confronti di coloro che accedono abusivamente ai dati personali;

c) l'accesso ai dati personali è concesso solo alle persone autorizzate, sulla base della necessità di sapere;

d) mantenere un elenco degli amministratori di sistema e adottare le misure appropriate per monitorare gli amministratori di sistema;

e) non copiare o riprodurre dati personali su alcun sistema di archiviazione per consentire a persone non autorizzate di rimuovere le informazioni dell'originatore;

f) cancellazione o distruzione controllata e documentata dei dati;

g) archiviare in modo sicuro tutti i dati personali che devono essere conservati per motivi legali o normativi (ad esempio obblighi di conservazione dei dati) e solo per il tempo richiesto dalla legge.

1.6 Controllo delle trasmissioni

Devono essere adottate le seguenti misure per evitare che i dati personali vengano letti, copiati, modificati o cancellati da terzi non autorizzati durante la trasmissione o il trasporto di dispositivi di archiviazione dei dati (a seconda del trattamento dei dati personali effettuato):

1.
1. a) utilizzo di firewall;

b) evitare la memorizzazione dei dati personali su dispositivi mobili di archiviazione a scopo di trasporto, o crittografare i dispositivi;
c) l'utilizzo su computer portatili e altri dispositivi mobili solo dopo l'attivazione della protezione crittografica;

d) registrazione delle trasmissioni di dati personali.

1.7 Controllo dell'inserimento dei dati

Devono essere adottate le seguenti misure per garantire che sia possibile verificare e determinare se i dati personali sono stati inseriti o cancellati dai sistemi di trattamento dei dati e da chi:

1.
1. a) un'informativa per l'autorizzazione alla lettura, modifica e cancellazione dei dati memorizzati;

b) misure di protezione relative alla lettura, modifica e cancellazione dei dati memorizzati.

1.8 Controllo del lavoro

In caso di trattamento delegato di dati personali, devono essere adottate le seguenti misure per garantire che tali dati siano trattati secondo le istruzioni del Garante:

1.
1. a) soggetti o sub soggetti preposti al trattamento dei dati, opportunamente scelti (fornitori di servizi che trattano dati personali per conto del titolare);

b) le istruzioni relative alle finalità dell'eventuale trattamento dei dati personali ai dipendenti, enti o subincaricati del trattamento;

c) diritti di revisione concordati con i soggetti o sub soggetti preposti al trattamento dei dati;

d) accordi in essere con i soggetti o sub soggetti preposti al trattamento dei dati.

1.9 Separazione dal trattamento per altre finalità

Devono essere adottate le seguenti misure per garantire che i dati raccolti per altri scopi possano essere trattati separatamente:

1.
1. a) accesso separato ai dati personali in conformità con i diritti esistenti degli utenti;

b) le interfacce, l'elaborazione batch e la segnalazione sono per altri scopi e funzioni, in modo che i dati raccolti per altri scopi possano essere trattati separatamente.

1.10 Pseudonimizzazione

Devono essere prese le seguenti misure per quanto riguarda la pseudonimizzazione dei dati personali:

1.
1. a) Se l'Esportatore di dati ordina un'operazione di trattamento specifica o se questa è ritenuta opportuna dall'Importatore di dati in conformità con le leggi sulla protezione dei dati in vigore relative a determinate attività di trattamento, il trattamento dei dati personali sarà effettuato in modo tale che il i dati non possono più essere attribuiti a una persona specifica senza l'utilizzo di informazioni aggiuntive. Queste informazioni aggiuntive saranno conservate separatamente;

b) uso di tecniche di pseudonimizzazione, inclusa la randomizzazione dell'elenco di allocazione; creazione di valori sotto forma di diesis.

1.11 Crittografia

È necessario eseguire le seguenti operazioni per crittografare i dati personali nelle applicazioni e nelle trasmissioni che supportano la crittografia:

1. a) utilizzo di tecniche di cifratura;

b) istituzione di una gestione della crittografia a supporto delle tecniche di crittografia autorizzate all'uso;

c) sostenere l'uso della crittografia attraverso procedure e protocolli per la generazione, la modifica, la revoca, la distruzione, la distribuzione, la certificazione, la memorizzazione, l'acquisizione, l'utilizzo e l'archiviazione di chiavi crittografiche per la protezione da modifiche e divulgazioni non autorizzate.

1.12 Completezza dei sistemi e dei servizi informatici

Per garantire la completezza dei sistemi e dei servizi di trattamento dei dati devono essere adottate le seguenti misure:

1. a) protezione dei sistemi di elaborazione dei dati contro la manipolazione o la distruzione mediante mezzi adeguati (ad es. software antivirus, software per la prevenzione della perdita di dati e software contro malware, patch software, firewall e protezione desktop gestita);

b) vietare l'installazione di qualsiasi servizio o software dannoso per i sistemi informatici, i servizi o la manipolazione dei dati personali;

c) utilizzo di un sistema di rilevamento e prevenzione delle intrusioni di rete nella struttura della rete stessa.

1.13 Disponibilità di sistemi e servizi di trattamento dei dati e possibilità di ripristinare l'accesso e l'utilizzo dei dati personali in caso di incidente materiale o tecnico

Devono essere adottate le seguenti misure per garantire la disponibilità dei sistemi di trattamento dei dati, nonché per poter ripristinare rapidamente la disponibilità e l'accesso ai dati personali, in caso di incidente materiale o tecnico (in particolare garantendo che i dati personali sono protetti contro la distruzione o perdita accidentale):

a) disporre di mezzi di controllo per conservare copie di sicurezza e ripristinare i dati perduti o cancellati;

b) ridondanza infrastrutturale e verifica delle prestazioni;

c) protezione fisica delle risorse informatiche;

d) utilizzo di strumenti per monitorare lo stato e la disponibilità della rete interna;

e) politiche di segnalazione e risposta agli incidenti che disciplinano la procedura di gestione degli incidenti e reiterazione dell'adesione a tali politiche nell'ambito della formazione regolare;

f) backup (a volte fuori sede) per ripristinare il sistema per consentirgli di svolgere nuovamente le sue funzioni;

g) piani di business continuity/disaster recovery

1.14 Resilienza dei sistemi e dei servizi di elaborazione dati

Devono essere adottate le seguenti misure per garantire la resilienza dei sistemi e dei servizi di trattamento dei dati:

a) sistemi e configurati in modo armonioso, utilizzando parametri di sicurezza approvati;

b) ridondanza di rete;

c) protezione di contenimento dei sistemi critici.

1.15 Procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati

Procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per proteggere il trattamento dei dati.

a) adottare le misure necessarie per valutare i rischi e le strategie di mitigazione;

b) incontri di analisi del servizio del reparto IT per affrontare temi di attualità;

c) i piani di business continuity/disaster recovery sono regolarmente aggiornati.

Parte 3

Firme delle parti ed elenco degli importatori di dati

Con la compilazione del modulo d'ordine on-line e la sua convalida spuntando la casella accettando le condizioni generali d'uso, si instaura il contratto che regola i rapporti tra il Cliente e POSTCODEZIP.

L'invio del pagamento a POSTCODEZIP considererà concluso e concluso il contratto.

Prendi nota: questo testo è stato tradotto dal francese. La versione originale francese, valida e legalmente restrittiva, è disponibile qui .