Accordo sul trattamento dei dati
Ultimo aggiornamento: 3 giugno 2021
1. Sommario
- Preambolo
- Diritti e obblighi del titolare del trattamento
- Il responsabile del trattamento agisce secondo le istruzioni
- riservatezza
- Sicurezza del trattamento
- Uso di subprocessori
- Trasferimento di dati a paesi terzi o organizzazioni internazionali
- Assistenza al titolare del trattamento
- Notifica di violazione dei dati personali
- Cancellazione e restituzione dei dati
- Audit e ispezione
- L'accordo delle parti sulle altre condizioni
- Decorrenza e cessazione
- Contatti/punti di contatto del titolare del trattamento e del responsabile del trattamento
Appendice A - Informazioni sul trattamento
Appendice B - Sub-processori autorizzati
Appendice C - Istruzioni relative all'uso dei dati personali
Appendice D - I termini dell'accordo delle parti su altri argomenti
2. Preambolo
- Le presenti Clausole contrattuali (le Clausole) stabiliscono i diritti e gli obblighi del titolare del trattamento e del responsabile del trattamento quando trattano i dati personali per conto del titolare del trattamento.
- Le clausole sono state concepite per garantire la conformità delle parti all'articolo 28, paragrafo 3, del regolamento 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
- Nel contesto della fornitura della Piattaforma di personalizzazione, il responsabile del trattamento tratterà i dati personali per conto del titolare del trattamento in conformità con le Clausole.
- Le Clausole avranno la priorità su qualsiasi disposizione simile contenuta in altri accordi tra le parti.
- Quattro appendici sono allegate alle clausole e costituiscono parte integrante delle clausole.
- L'Appendice A contiene dettagli sul trattamento dei dati personali, inclusi lo scopo e la natura del trattamento, il tipo di dati personali, le categorie di interessati e la durata del trattamento.
- L'Appendice B contiene le condizioni del titolare del trattamento per l'utilizzo di subincaricati del trattamento e un elenco dei subprocessori autorizzati dal responsabile del trattamento.
- L'Appendice C contiene le istruzioni del titolare del trattamento in merito al trattamento dei dati personali, le misure minime di sicurezza che devono essere implementate dal responsabile del trattamento e le modalità di esecuzione degli audit del responsabile del trattamento e degli eventuali subincaricati.
- L'Appendice D contiene disposizioni per altre attività che non sono coperte dalle Clausole.
- Le clausole e le appendici devono essere conservate per iscritto, anche elettronicamente, da entrambe le parti.
- Le clausole non esonerano il responsabile del trattamento dei dati dagli obblighi a cui è soggetto il responsabile del trattamento ai sensi del Regolamento generale sulla protezione dei dati (GDPR) o di altre leggi.
3. I diritti e gli obblighi del titolare del trattamento
- Il titolare del trattamento è responsabile di garantire che il trattamento dei dati personali avvenga in conformità con il GDPR (vedi articolo 24 GDPR), le disposizioni applicabili sulla protezione dei dati dell'UE o degli Stati membri e le clausole.
- Il titolare del trattamento ha il diritto e l'obbligo di prendere decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali.
- Il responsabile del trattamento è responsabile, tra l'altro, di garantire che il trattamento dei dati personali, che il responsabile del trattamento è incaricato di eseguire, abbia una base legale.
4. Il responsabile del trattamento agisce secondo le istruzioni
- Il responsabile del trattamento tratta i dati personali solo su istruzioni documentate del titolare del trattamento, a meno che ciò non sia richiesto dal diritto dell'Unione o dello Stato membro a cui è soggetto il responsabile del trattamento. Tali istruzioni devono essere specificate nelle appendici A e C. Le istruzioni successive possono anche essere impartite dal titolare del trattamento per tutta la durata del trattamento dei dati personali, ma tali istruzioni devono sempre essere documentate e conservate per iscritto, anche elettronicamente, in relazione alle Clausole.
- Il responsabile del trattamento informa immediatamente il titolare del trattamento se le istruzioni impartite dal titolare del trattamento, a giudizio del responsabile del trattamento, violano il GDPR o le disposizioni applicabili sulla protezione dei dati dell'UE o degli Stati membri.
5. riservatezza
- Il responsabile del trattamento concede l'accesso ai dati personali trattati per conto del titolare del trattamento solo alle persone sotto l'autorità del responsabile del trattamento che si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo legale di riservatezza e solo in base alla necessità di conoscere. L'elenco delle persone a cui è stato concesso l'accesso è tenuto sotto controllo periodico. Sulla base di tale revisione, tale accesso ai dati personali può essere revocato, se l'accesso non è più necessario, e di conseguenza i dati personali non saranno più accessibili a tali persone.
- Su richiesta del titolare del trattamento, il responsabile del trattamento dimostra che le persone interessate sotto l'autorità del responsabile del trattamento sono soggette alla suddetta riservatezza.
6. Sicurezza del trattamento
- L'articolo 32 del GDPR stabilisce che, tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento implementano misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Il titolare del trattamento valuta i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per mitigare tali rischi. A seconda della loro rilevanza, le misure possono includere quanto segue: - Pseudonimizzazione e crittografia dei dati personali;
- la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico;
- un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
- Ai sensi dell'articolo 32 del GDPR, il responsabile del trattamento deve inoltre, indipendentemente dal titolare del trattamento, valutare i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attuare misure per mitigare tali rischi. A tal fine, il titolare del trattamento fornisce al responsabile del trattamento tutte le informazioni necessarie per identificare e valutare tali rischi.
- Inoltre, il responsabile del trattamento assiste il titolare del trattamento nel garantire il rispetto degli obblighi del titolare del trattamento ai sensi degli articoli 32 GDPR, tra l'altro fornendo al titolare del trattamento informazioni relative alle misure tecniche e organizzative già attuate dal responsabile del trattamento ai sensi dell'articolo 32 GDPR insieme a tutte le altre informazioni necessarie affinché il titolare del trattamento dei dati rispetti l'obbligo del titolare del trattamento ai sensi dell'articolo 32 GDPR.
Se successivamente, nella valutazione del titolare del trattamento, la mitigazione dei rischi identificati richieda l'attuazione di ulteriori misure da parte del responsabile del trattamento, rispetto a quelle già implementate dal responsabile del trattamento ai sensi dell'articolo 32 GDPR, il titolare del trattamento deve specificare tali misure aggiuntive da attuare nell'Appendice C.
7. Uso di subprocessori
- Il responsabile del trattamento dei dati deve soddisfare i requisiti specificati nell'articolo 28, paragrafi 2 e 4, del GDPR per ingaggiare un altro responsabile del trattamento (un sub-responsabile).
- Il responsabile del trattamento non deve pertanto incaricare un altro responsabile del trattamento (sub-responsabile) per l'adempimento delle Clausole senza la previa autorizzazione scritta generale del responsabile del trattamento.
- Il responsabile del trattamento dei dati ha l'autorizzazione generale del titolare del trattamento per l'assunzione di subprocessori. Il responsabile del trattamento deve informare per iscritto il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione dei sub-responsabili del trattamento con almeno 30 giorni di anticipo, dando così al titolare del trattamento la possibilità di opporsi a tali modifiche prima dell'assunzione del o dei sub-responsabili del trattamento in questione. Periodi di preavviso più lunghi per specifici servizi di subtrattamento possono essere forniti nell'Appendice B. L'elenco dei subresponsabili del trattamento già autorizzati dal titolare del trattamento è riportato nell'Appendice B.
- Se il responsabile del trattamento incarica un subresponsabile dello svolgimento di specifiche attività di trattamento per conto del titolare del trattamento, gli stessi obblighi di protezione dei dati stabiliti nelle Clausole saranno imposti a tale subresponsabile mediante un contratto o altro atto giuridico ai sensi del diritto dell'UE o degli Stati membri, in particolare fornendo garanzie sufficienti per attuare misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti delle Clausole e del GDPR.
Il responsabile del trattamento dei dati è quindi responsabile di richiedere che il subresponsabile rispetti almeno gli obblighi a cui è soggetto il responsabile del trattamento ai sensi delle Clausole e del GDPR. - Una copia di tale accordo di subprocessore e delle successive modifiche deve, su richiesta del titolare del trattamento, essere presentata al responsabile del trattamento, dando così al responsabile del trattamento l'opportunità di garantire che gli stessi obblighi di protezione dei dati stabiliti nelle Clausole siano imposti al subresponsabile. Le clausole relative a questioni commerciali che non influiscono sul contenuto legale in materia di protezione dei dati dell'accordo di subresponsabile del trattamento non devono essere presentate al responsabile del trattamento.
- Il responsabile del trattamento concorda una clausola di terzo beneficiario con il subresponsabile del trattamento in base alla quale, in caso di fallimento del responsabile del trattamento, il responsabile del trattamento è un terzo beneficiario dell'accordo di subprocessore e ha il diritto di far valere l'accordo nei confronti del subresponsabile del trattamento incaricato dal responsabile del trattamento, ad esempio consentendo al responsabile del trattamento di ordinare al subresponsabile del trattamento di cancellare o restituire i dati personali.
- Se il subresponsabile del trattamento non adempie ai suoi obblighi di protezione dei dati, il responsabile del trattamento rimane pienamente responsabile nei confronti del responsabile del trattamento per quanto riguarda l'adempimento degli obblighi del subresponsabile. Ciò non pregiudica i diritti degli interessati ai sensi del GDPR, in particolare quelli previsti dagli articoli 79 e 82 del GDPR, nei confronti del titolare del trattamento e del responsabile del trattamento, incluso il subresponsabile.
8. Trasferimento di dati a paesi terzi o organizzazioni internazionali
- Qualsiasi trasferimento di dati personali verso paesi terzi o organizzazioni internazionali da parte del responsabile del trattamento avviene solo sulla base di istruzioni documentate del titolare del trattamento e deve sempre avvenire in conformità al Capitolo V del GDPR.
- Nel caso in cui i trasferimenti verso paesi terzi o organizzazioni internazionali, che il responsabile del trattamento non è stato incaricato di eseguire dal titolare del trattamento, siano richiesti dal diritto dell'UE o dello Stato membro a cui è soggetto il responsabile del trattamento, il responsabile del trattamento informa il titolare del trattamento di tale requisito legale prima del trattamento, a meno che tale legge non vieti tali informazioni per importanti motivi di interesse pubblico.
- Senza istruzioni documentate da parte del titolare del trattamento, il responsabile del trattamento non può quindi, nell'ambito delle Clausole:
- trasferire i dati personali a un titolare del trattamento o a un responsabile del trattamento in un paese terzo o in un'organizzazione internazionale
- trasferire il trattamento dei dati personali a un sub-responsabile del trattamento in un paese terzo
- far trattare i dati personali dal responsabile del trattamento in un paese terzo
- Le istruzioni del titolare del trattamento relative al trasferimento dei dati personali verso un paese terzo, incluso, se applicabile, lo strumento di trasferimento di cui al Capitolo V del GDPR su cui si basano, sono riportate nell'Appendice C.6.
- Le Clausole non devono essere confuse con le clausole standard di protezione dei dati ai sensi dell'articolo 46 (2) (c) e (d) del GDPR e le Clausole non possono essere utilizzate dalle parti come strumento di trasferimento ai sensi del Capitolo V del GDPR.
9. Assistenza al titolare del trattamento
- Tenendo conto della natura del trattamento, il responsabile del trattamento assiste il titolare del trattamento con misure tecniche e organizzative adeguate, per quanto possibile, nell'adempimento degli obblighi del titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell'interessato di cui al Capo III del GDPR.
Ciò implica che il responsabile del trattamento deve, per quanto possibile, assistere il responsabile del trattamento nel rispetto da parte del titolare del trattamento dei dati: - il diritto di essere informati quando si raccolgono dati personali dall'interessato
- il diritto di essere informati quando i dati personali non sono stati ottenuti dall'interessato
- il diritto di accesso da parte dell'interessato
- il diritto alla rettifica
- il diritto alla cancellazione («diritto all'oblio»)
- il diritto alla limitazione del trattamento
- obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
- il diritto alla portabilità dei dati
- il diritto di opporsi
- il diritto di non essere soggetto a una decisione basata esclusivamente sul trattamento automatizzato, compresa la profilazione
- Oltre all'obbligo del responsabile del trattamento di assistere il titolare del trattamento ai sensi della clausola 6.3., il responsabile del trattamento deve inoltre, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assistere il titolare del trattamento nel garantire il rispetto di:
- l'obbligo del titolare del trattamento di notificare senza indebito ritardo e, ove possibile, entro 72 ore dopo esserne venuto a conoscenza, la violazione dei dati personali all'autorità di controllo competente, l'Agenzia danese per la protezione dei dati, a meno che non sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche;
- l'obbligo del titolare del trattamento di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, quando la violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
- l'obbligo del titolare del trattamento di effettuare una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali (valutazione d'impatto sulla protezione dei dati);
- l'obbligo del titolare del trattamento di consultare l'autorità di controllo competente, l'Agenzia danese per la protezione dei dati, prima del trattamento se una valutazione d'impatto sulla protezione dei dati indica che il trattamento comporterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per mitigare il rischio.
- Le parti definiscono nell'Appendice C le misure tecniche e organizzative appropriate mediante le quali il responsabile del trattamento dei dati è tenuto ad assistere il titolare del trattamento, nonché l'ambito e l'entità dell'assistenza richiesta. Ciò vale per gli obblighi previsti nelle clausole 9.1. e 9.2.
10. Notifica di violazione dei dati personali
- In caso di violazione dei dati personali, il responsabile del trattamento dei dati deve, senza indebito ritardo dopo esserne venuto a conoscenza, notificare al titolare del trattamento la violazione dei dati personali.
- La notifica del responsabile del trattamento al responsabile del trattamento deve, se possibile, avvenire entro 36 ore dalla data in cui il responsabile del trattamento è venuto a conoscenza della violazione dei dati personali per consentire al titolare del trattamento di rispettare l'obbligo del titolare del trattamento di notificare la violazione dei dati personali all'autorità di controllo competente, cfr. articolo 33 GDPR.
- In conformità alla clausola 9, paragrafo 2, lettera a), il responsabile del trattamento assiste il titolare del trattamento nella notifica della violazione dei dati personali all'autorità di controllo competente, il che significa che il responsabile del trattamento è tenuto ad aiutare a ottenere le informazioni elencate di seguito che, ai sensi dell'articolo 33, paragrafo 3, del GDPR, devono essere riportate nella notifica del titolare del trattamento all'autorità di controllo competente:
- la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati interessati e le categorie e il numero approssimativo di registrazioni di dati personali interessate;
- le probabili conseguenze della violazione dei dati personali;
- le misure adottate o proposte dal titolare del trattamento per porre rimedio alla violazione dei dati personali, comprese, se del caso, misure per attenuarne i possibili effetti negativi.
- Le parti definiscono nell'appendice C tutti gli elementi che devono essere forniti dal responsabile del trattamento quando assiste il responsabile del trattamento nella notifica di una violazione dei dati personali all'autorità di controllo competente.
11. Cancellazione e restituzione dei dati
- Al termine della fornitura dei servizi di trattamento dei dati personali, il responsabile del trattamento è tenuto a cancellare tutti i dati personali trattati per conto del titolare del trattamento e a certificare al titolare del trattamento di averlo fatto, a meno che il diritto dell'Unione o degli Stati membri non richieda la conservazione dei dati personali.
Il responsabile del trattamento si impegna a trattare i dati personali esclusivamente per gli scopi e la durata previsti dalla presente legge e nelle rigorose condizioni applicabili.
12. Audit e ispezione
- Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi di cui all'articolo 28 e alle Clausole e consente e contribuisce agli audit, comprese le ispezioni, condotti dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.
- Le procedure applicabili agli audit del titolare del trattamento, comprese le ispezioni, del responsabile del trattamento e dei subincaricati sono specificate nelle appendici C.7. e C.8.
- Il responsabile del trattamento è tenuto a fornire alle autorità di controllo, che ai sensi della legislazione applicabile hanno accesso alle strutture del titolare e del responsabile del trattamento, o ai rappresentanti che agiscono per conto di tali autorità di controllo, l'accesso alle strutture fisiche del responsabile del trattamento dietro presentazione di un'adeguata identificazione.
13. L'accordo tra le parti sulle altre condizioni
- Le parti possono concordare altre clausole relative alla fornitura del servizio di trattamento dei dati personali specificando ad esempio la responsabilità, purché non contraddicano direttamente o indirettamente le Clausole o pregiudichino i diritti o le libertà fondamentali dell'interessato e la protezione offerta dal GDPR.
14. Decorrenza e cessazione
- Le Clausole entreranno in vigore alla data del primo accesso al servizio da parte dei titolari del trattamento.
- Entrambe le parti hanno il diritto di richiedere la rinegoziazione delle Clausole se modifiche alla legge o l'inopportunità delle Clausole dovessero dare origine a tale rinegoziazione.
- Le Clausole si applicano per la durata della fornitura di servizi di trattamento dei dati personali. Per la durata della fornitura dei servizi di trattamento dei dati personali, le Clausole non possono essere risolte a meno che non siano state concordate tra le parti altre Clausole che disciplinano la fornitura di servizi di trattamento dei dati personali.
- Se la fornitura dei servizi di trattamento dei dati personali viene interrotta e i dati personali vengono cancellati o restituiti al titolare del trattamento ai sensi della Clausola 11.1. e dell'Appendice C.4., le Clausole possono essere risolte mediante comunicazione scritta da entrambe le parti.
15. Contatti/punti di contatto del titolare del trattamento e del responsabile del trattamento
- Le parti possono contattarsi utilizzando i seguenti contatti/punti di contatto: [email protected]
- Le parti hanno l'obbligo di informarsi continuamente sulle modifiche ai contatti/punti di contatto.
Appendice A - Informazioni sul trattamento
A.1. Lo scopo del trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento è:
Quando la Piattaforma di personalizzazione, che è di proprietà e gestita dal Responsabile del trattamento, viene messa a disposizione del Titolare, i dati personali relativi ai clienti e ai potenziali clienti del Titolare vengono trattati dal Responsabile del trattamento. Lo scopo di questo trattamento è quello di poter combinare i clienti/potenziali clienti del Titolare con i prodotti del Titolare nell'ambiente online del Titolare e inoltre consentire al Titolare di ottenere informazioni sui prodotti, sugli interessi di acquisto ecc.
A.2. Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento riguarda principalmente (la natura del trattamento):
Il Responsabile del trattamento riceve dati automatizzati dal Titolare del trattamento sui clienti del Titolare nella piattaforma di personalizzazione. I dati vengono analizzati e un'analisi degli interessi di acquisto dei clienti del Titolare viene messa a disposizione del Titolare del trattamento. La piattaforma di personalizzazione è applicabile solo ai negozi del Titolare del trattamento (vale la stessa definizione dei Termini di servizio «ToS»)
A.3. Il trattamento include i seguenti tipi di dati personali relativi agli interessati:
Il Titolare del trattamento può potenzialmente trattare tutti i tipi di dati personali non sensibili relativi agli interessati al Responsabile del trattamento. I dati personali esatti sono determinati dal modo in cui il Titolare utilizza il Servizio negozio per negozio. Il Responsabile del trattamento fornisce uno strumento di analisi dei dati personali per identificare i sub-processori e i dati personali utilizzati in un singolo negozio. Please refer here per i dati personali trattati nello specifico Store del titolare del trattamento.
A.4. Il trattamento include le seguenti categorie di interessati:
- Soggetti che hanno effettuato un acquisto presso il Titolare
- Potenziali clienti del Titolare del trattamento
A.5. Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento può essere eseguito all'inizio delle Clausole. Il trattamento ha la seguente durata:
Il Responsabile del trattamento tratterà i dati personali per tutto il tempo in cui i «ToS» concordati sono in vigore e per tutto il tempo in cui il Titolare del trattamento utilizza la piattaforma di personalizzazione del Responsabile del trattamento.
Appendice B - Sub-processori autorizzati
B.1. Sub-processori approvati
All'entrata in vigore delle Clausole, il titolare del trattamento autorizza l'assunzione dei seguenti sub-processori: Please refer to this page per i dati personali trattati nello specifico Store del titolare del trattamento.All'inizio delle Clausole, il titolare del trattamento autorizza l'uso dei suddetti subincaricati del trattamento per il trattamento descritto per tale parte. Il responsabile del trattamento non ha il diritto, senza l'esplicita autorizzazione scritta del titolare del trattamento, di incaricare un subresponsabile del trattamento per un trattamento «diverso» da quello concordato o di far eseguire il trattamento descritto a un altro subresponsabile.
B.2. Avviso preventivo per l'autorizzazione dei subprocessori
Il Responsabile del trattamento ha l'autorizzazione generale del Titolare del trattamento per l'assunzione di subprocessori. Si prega di consultare il paragrafo 7.3 del presente Accordo sul trattamento dei dati per informazioni sulla notifica prima delle modifiche relative all'aggiunta o alla sostituzione dei sub-responsabili del trattamento.
Appendice C - Istruzioni relative all'uso dei dati personali
C.1. Oggetto/istruzioni per il trattamento
Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento è effettuato dal responsabile del trattamento che esegue le seguenti operazioni:
- Analisi dei dati inseriti dal Titolare del trattamento al fine di prevedere gli interessi e le intenzioni dei clienti del Titolare attraverso l'apprendimento automatico. L'esito del trattamento da parte del Responsabile del trattamento consentirà al Titolare del trattamento di fornire ricerche intelligenti, raccomandazioni pertinenti e offerte di prodotti personalizzate via e-mail ai clienti dei Titolari e di consentire al Titolare del trattamento di rivolgersi a nuovi clienti pertinenti.
C.2. Sicurezza del trattamento
Il livello di sicurezza deve tenere conto:
- Che il Responsabile del trattamento utilizzi, quando possibile, la pseudonimizzazione durante il trattamento dei dati personali
Il Responsabile del trattamento avrà di seguito il diritto e l'obbligo di prendere decisioni in merito alle misure di sicurezza tecniche e organizzative da applicare per creare il livello di sicurezza dei dati necessario (e concordato). Il Responsabile del trattamento deve tuttavia, in ogni caso e come minimo, attuare le seguenti misure concordate con il Titolare (sulla base della valutazione del rischio effettuata dal Titolare):
- Il Responsabile del trattamento informerà il Titolare del trattamento senza indebito ritardo e in modo completo su eventuali errori o irregolarità relativi alle disposizioni di legge sul trattamento dei dati personali rilevati durante una verifica dei risultati di tale trattamento.
- Il Titolare del trattamento, alla risoluzione o alla scadenza del ToS e mediante l'emissione di un'istruzione, stabilisce, entro un periodo di tempo stabilito dal Responsabile del trattamento, le misure ragionevoli per restituire i supporti di dati o per cancellare i dati memorizzati.
- Qualsiasi costo aggiuntivo derivante dalla restituzione o dalla cancellazione dei Dati personali dopo la risoluzione o la scadenza del ToS sarà a carico del Titolare del trattamento.
C.3. Assistenza al titolare del trattamento
Il responsabile del trattamento dei dati deve, per quanto possibile, nell'ambito e nella misura dell'assistenza specificati di seguito, assistere il responsabile del trattamento in conformità alle clausole 9.1. e 9.2. implementando le seguenti misure tecniche e organizzative: Il Titolare del trattamento ha accesso 24 ore su 24, 7 giorni su 7 a tutti i dati personali tramite la piattaforma di personalizzazione. Il Responsabile del trattamento può assistere e supportare il Responsabile del trattamento ogni giorno lavorativo entro il normale orario di lavoro.
C.4. Periodo di conservazione/procedure di cancellazione
Finché il ToS è in vigore e finché il Titolare del trattamento utilizza la piattaforma di personalizzazione del Responsabile del trattamento, i dati personali vengono conservati presso il Responsabile del trattamento fino a quando il Titolare non richiede la cancellazione o la restituzione dei dati. In caso di risoluzione del ToS, i dati personali vengono cancellati entro 30 giorni dalla scadenza del contratto, a meno che motivi legali non richiedano la conservazione di tali dati personali sul server aziendale.
C.5. Luogo del trattamento
Il trattamento dei dati personali ai sensi delle Clausole non può essere eseguito in luoghi diversi dai seguenti senza la previa autorizzazione scritta del titolare del trattamento: Si prega di fare riferimento a for the personal data processed in the Data controllers specific Store.
C.6. Istruzioni sul trasferimento di dati personali verso paesi terzi
Il Responsabile del trattamento ha il diritto di trasferire i dati personali ai subincaricati approvati nei paesi terzi elencati nel C.5. La base giuridica per questo trasferimento sono le clausole contrattuali standard della Commissione europea. Se i dati personali devono essere trasferiti a paesi terzi in altri casi, il Responsabile del trattamento è tenuto a notificare e chiedere debitamente il consenso del Titolare del trattamento in merito al trasferimento dei dati personali verso un paese terzo. Il trasferimento di dati personali a un paese terzo può avvenire solo in base alle norme del Regolamento generale sulla protezione dei dati e il Responsabile del trattamento è tenuto a garantire una base legale per il trasferimento.
C.7. Procedure per gli audit, comprese le ispezioni, da parte del titolare del trattamento dei dati personali effettuato dal responsabile del trattamento
Le Parti hanno concordato che possono essere utilizzati i seguenti tipi di rapporto di ispezione: Il Titolare del trattamento ha accesso e può controllare tutti i dati personali in qualsiasi momento tramite la Piattaforma di personalizzazione. Una volta all'anno il Titolare del trattamento può richiedere che il Responsabile del trattamento risponda alle domande in un questionario scritto sulla conformità del Responsabile dei dati alle Clausole e una volta all'anno, il Titolare o il rappresentante del Titolare avrà la possibilità di effettuare un'ispezione fisica del luoghi in cui viene effettuato il trattamento dei dati personali emessi dal responsabile del trattamento, comprese le strutture fisiche e i sistemi utilizzati per e relativi al trattamento per accertare la conformità del responsabile del trattamento al GDPR, alle disposizioni applicabili sulla protezione dei dati dell'UE o degli Stati membri e alle clausole. I costi del Titolare del trattamento, se applicabili, relativi all'ispezione fisica saranno sostenuti dal Titolare del trattamento. Il Responsabile del trattamento avrà, tuttavia, l'obbligo di riservare le risorse (principalmente il tempo) necessarie affinché il Titolare sia in grado di eseguire l'ispezione.
C.8. Procedure per gli audit, comprese le ispezioni, del trattamento dei dati personali eseguito dai subincaricati
Le Parti hanno concordato che possono essere utilizzati i seguenti tipi di rapporto di ispezione: Il Titolare del trattamento ha accesso e può controllare tutti i dati personali in qualsiasi momento tramite la Piattaforma di personalizzazione. Una volta all'anno il Titolare del trattamento può richiedere che il Responsabile del trattamento risponda alle domande in un questionario scritto sulla conformità del Responsabile dei dati alle Clausole e una volta all'anno, il Titolare o il rappresentante del Titolare avrà la possibilità di effettuare un'ispezione fisica del luoghi in cui viene effettuato il trattamento dei dati personali emessi dal responsabile del trattamento, comprese le strutture fisiche e i sistemi utilizzati per e relativi al trattamento per accertare la conformità del responsabile del trattamento al GDPR, alle disposizioni applicabili sulla protezione dei dati dell'UE o degli Stati membri e alle clausole. I costi del Titolare del trattamento, se applicabili, relativi all'ispezione fisica saranno sostenuti dal Titolare del trattamento. Il Responsabile del trattamento avrà, tuttavia, l'obbligo di riservare le risorse (principalmente il tempo) necessarie affinché il Titolare sia in grado di eseguire l'ispezione.
Appendice D - I termini dell'accordo delle parti su altri argomenti
Nessun contenuto