Accordo per l'elaborazione dei dati

Aggiornato: 3 giugno 2021‍

1. Indice dei contenuti

  1. Preambolo
  2. I diritti e gli obblighi del titolare del trattamento
  3. L'elaboratore di dati agisce in base alle istruzioni
  4. Riservatezza
  5. Sicurezza del trattamento
  6. Utilizzo di subprocessori
  7. Trasferimento dei dati a paesi terzi o a organizzazioni internazionali
  8. Assistenza al titolare del trattamento
  9. Notifica di violazione dei dati personali
  10. Cancellazione e restituzione dei dati
  11. Audit e ispezioni
  12. L'accordo delle parti su altre condizioni
  13. Inizio e termine
  14. Contatti e punti di contatto del titolare e del responsabile del trattamento dei dati

Appendice A - Informazioni sul trattamento
Appendice B - Subincaricati autorizzati
Appendice C - Istruzioni relative all'utilizzo dei dati personali
Appendice D - Termini di accordo delle parti su altri argomenti

2. Preambolo

  1. Le presenti clausole contrattuali (le Clausole) stabiliscono i diritti e gli obblighi del titolare del trattamento e del responsabile del trattamento, quando elaborano dati personali per conto del titolare del trattamento.
  2. Le Clausole sono state concepite per garantire la conformità delle parti all'articolo 28, paragrafo 3, del Regolamento 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
  3. Nell'ambito della fornitura della Piattaforma di personalizzazione, il responsabile del trattamento tratterà i dati personali per conto del titolare del trattamento in conformità alle Clausole.
  4. Le Clausole hanno la priorità su qualsiasi disposizione analoga contenuta in altri accordi tra le parti.
  5. Quattro appendici sono allegate alle Clausole e ne costituiscono parte integrante.
  6. L'Appendice A contiene dettagli sul trattamento dei dati personali, tra cui lo scopo e la natura del trattamento, il tipo di dati personali, le categorie di interessati e la durata del trattamento.
  7. L'Appendice B contiene le condizioni del titolare del trattamento per l'utilizzo di subincaricati da parte del responsabile del trattamento e un elenco di subincaricati autorizzati dal titolare del trattamento.
  8. L'Appendice C contiene le istruzioni del titolare del trattamento per quanto riguarda il trattamento dei dati personali, le misure minime di sicurezza che l'incaricato del trattamento deve attuare e le modalità di verifica dell'incaricato del trattamento e degli eventuali subincaricati.
  9. L'Appendice D contiene disposizioni per altre attività non contemplate dalle Clausole.
  10. Le clausole e le appendici saranno conservate per iscritto, anche in formato elettronico, da entrambe le parti.
  11. Le Clausole non esonerano il responsabile del trattamento dagli obblighi a cui è soggetto ai sensi del Regolamento generale sulla protezione dei dati (GDPR) o di altre leggi.

3. Diritti e obblighi del titolare del trattamento

  1. Il titolare del trattamento è responsabile di garantire che il trattamento dei dati personali avvenga nel rispetto del GDPR (cfr. articolo 24 del GDPR), delle disposizioni applicabili dell'UE o degli Stati membri in materia di protezione dei dati e delle Clausole.
  2. Il titolare del trattamento ha il diritto e l'obbligo di decidere le finalità e i mezzi del trattamento dei dati personali.
  3. Il titolare del trattamento è responsabile, tra l'altro, di garantire che il trattamento dei dati personali, che il responsabile del trattamento è incaricato di eseguire, abbia una base giuridica.

4. L'elaboratore di dati agisce secondo le istruzioni

  1. L'incaricato del trattamento tratterà i dati personali solo su istruzioni documentate del responsabile del trattamento, a meno che non sia obbligato a farlo dal diritto dell'Unione o degli Stati membri a cui è soggetto l'incaricato del trattamento. Tali istruzioni sono specificate nelle appendici A e C. Il responsabile del trattamento può impartire istruzioni successive per tutta la durata del trattamento dei dati personali, ma tali istruzioni devono sempre essere documentate e conservate per iscritto, anche in formato elettronico, in relazione alle Clausole.
  2. L'incaricato del trattamento deve informare immediatamente il responsabile del trattamento se le istruzioni impartite dal responsabile del trattamento, a suo parere, violano il GDPR o le disposizioni applicabili dell'UE o degli Stati membri in materia di protezione dei dati.

5. La riservatezza

  1. L'incaricato del trattamento concede l'accesso ai dati personali trattati per conto del responsabile del trattamento solo alle persone sotto la sua autorità che si sono impegnate alla riservatezza o sono soggette a un obbligo legale di riservatezza e solo in base alla necessità di sapere. L'elenco delle persone a cui è stato concesso l'accesso è sottoposto a revisione periodica. Sulla base di tale revisione, l'accesso ai dati personali può essere revocato, se non è più necessario, e di conseguenza i dati personali non saranno più accessibili a tali persone.
  2. L'incaricato del trattamento deve dimostrare, su richiesta del responsabile del trattamento, che le persone interessate sotto la sua autorità sono soggette alla riservatezza di cui sopra.

6. Sicurezza del trattamento

  1. L'articolo 32 del GDPR stabilisce che, tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento attuano misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio.

    Il titolare del trattamento valuta i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per attenuare tali rischi. A seconda della loro rilevanza, le misure possono includere quanto segue:
  2. Pseudonimizzazione e crittografia dei dati personali;
  3. la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  4. la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico;
  5. un processo di verifica, valutazione e verifica periodica dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
  6. Ai sensi dell'articolo 32 del GDPR, il responsabile del trattamento deve anche - indipendentemente dal titolare del trattamento - valutare i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attuare misure per mitigare tali rischi. A tal fine, il titolare del trattamento fornisce al responsabile del trattamento tutte le informazioni necessarie per identificare e valutare tali rischi.
  7. Inoltre, il responsabile del trattamento assiste il titolare del trattamento nel garantire l'adempimento degli obblighi del titolare del trattamento ai sensi dell'articolo 32 del GDPR, tra l'altro fornendo al titolare del trattamento informazioni sulle misure tecniche e organizzative già attuate dal responsabile del trattamento ai sensi dell'articolo 32 del GDPR e tutte le altre informazioni necessarie al titolare del trattamento per adempiere agli obblighi del titolare del trattamento ai sensi dell'articolo 32 del GDPR.

    Se successivamente - nella valutazione del responsabile del trattamento - la mitigazione dei rischi identificati richiede l'attuazione di ulteriori misure da parte dell'incaricato del trattamento, rispetto a quelle già attuate dall'incaricato del trattamento ai sensi dell'articolo 32 del GDPR, il responsabile del trattamento dovrà specificare tali misure aggiuntive da attuare nell'Appendice C.

7. Utilizzo di subprocessori

  1. Il responsabile del trattamento deve soddisfare i requisiti di cui all'articolo 28, paragrafi 2 e 4, del GDPR per poter incaricare un altro responsabile (un subincaricato).
  2. Il responsabile del trattamento dei dati non potrà quindi incaricare un altro responsabile del trattamento (subincaricato) per l'adempimento delle Clausole senza la preventiva autorizzazione generale scritta del responsabile del trattamento dei dati.
  3. Il responsabile del trattamento dispone dell'autorizzazione generale del titolare del trattamento per l'assunzione di subincaricati. L'incaricato del trattamento deve informare per iscritto il responsabile del trattamento di qualsiasi modifica prevista in merito all'aggiunta o alla sostituzione di subincaricati con almeno 30 giorni di anticipo, dando così al responsabile del trattamento la possibilità di opporsi a tali modifiche prima dell'assunzione dei subincaricati interessati. Periodi più lunghi di preavviso per specifici servizi di subelaborazione possono essere previsti nell'Appendice B. L'elenco dei subincaricati già autorizzati dal titolare del trattamento si trova nell'Appendice B.
  4. Qualora il responsabile del trattamento assuma un subincaricato per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, gli stessi obblighi di protezione dei dati stabiliti nelle Clausole saranno imposti a tale subincaricato mediante un contratto o altro atto giuridico ai sensi del diritto dell'UE o degli Stati membri, in particolare fornendo garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti delle Clausole e del GDPR.

    Il responsabile del trattamento è pertanto tenuto a richiedere che il subincaricato rispetti almeno gli obblighi a cui è soggetto il responsabile del trattamento ai sensi delle Clausole e del GDPR.
  5. Su richiesta del titolare del trattamento, una copia di tale accordo di subprocessamento e delle successive modifiche dovrà essere presentata al titolare del trattamento, dando così al titolare del trattamento l'opportunità di garantire che al subprocessore vengano imposti gli stessi obblighi di protezione dei dati stabiliti nelle Clausole. Le clausole relative a questioni commerciali che non incidono sul contenuto legale di protezione dei dati del contratto di subprocessamento non dovranno essere sottoposte al titolare del trattamento.
  6. L'incaricato del trattamento deve concordare con il subincaricato una clausola di terzo beneficiario in base alla quale, in caso di fallimento dell'incaricato del trattamento, il responsabile del trattamento sarà un terzo beneficiario dell'accordo di subincarico e avrà il diritto di far valere l'accordo nei confronti del subincaricato assunto dall'incaricato del trattamento, ad esempio consentendo al responsabile del trattamento di ordinare al subincaricato di cancellare o restituire i dati personali.
  7. Se il subincaricato non adempie ai propri obblighi in materia di protezione dei dati, il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento per quanto riguarda l'adempimento degli obblighi del subincaricato. Ciò non pregiudica i diritti degli interessati ai sensi del GDPR - in particolare quelli previsti dagli articoli 79 e 82 del GDPR - nei confronti del titolare del trattamento e del responsabile del trattamento, compreso il subincaricato.

8. Trasferimento dei dati a paesi terzi o a organizzazioni internazionali

  1. Qualsiasi trasferimento di dati personali a paesi terzi o organizzazioni internazionali da parte del responsabile del trattamento avverrà solo sulla base di istruzioni documentate del titolare del trattamento e avverrà sempre in conformità al capitolo V del GDPR.
  2. Nel caso in cui il trasferimento verso paesi terzi o organizzazioni internazionali, che il responsabile del trattamento non è stato incaricato di eseguire dal titolare, sia richiesto dalla legislazione dell'UE o degli Stati membri a cui il responsabile del trattamento è soggetto, il responsabile del trattamento informerà il titolare del trattamento di tale requisito legale prima del trattamento, a meno che tale legge non vieti tale informazione per importanti motivi di interesse pubblico.
  3. Senza istruzioni documentate da parte del titolare del trattamento, l'incaricato del trattamento non può quindi rientrare nel quadro delle Clausole:
  4. trasferire i dati personali a un responsabile del trattamento o a un incaricato del trattamento in un paese terzo o in un'organizzazione internazionale
  5. trasferire il trattamento dei dati personali a un sub-incaricato in un paese terzo
  6. che i dati personali siano trattati dal responsabile del trattamento in un paese terzo
  7. Le istruzioni del titolare del trattamento relative al trasferimento dei dati personali a un paese terzo, compreso, se del caso, lo strumento di trasferimento di cui al capitolo V del GDPR su cui si basano, sono riportate nell'appendice C.6.
  8. Le Clausole non devono essere confuse con le clausole standard di protezione dei dati ai sensi dell'articolo 46, paragrafo 2, lettere c) e d), del GDPR, e le Clausole non possono essere invocate dalle parti come strumento di trasferimento ai sensi del capitolo V del GDPR.

9. Assistenza al titolare del trattamento

  1. Tenendo conto della natura del trattamento, il responsabile del trattamento assiste il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell'adempimento degli obblighi del titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell'interessato di cui al capo III del GDPR.

    Ciò comporta che il responsabile del trattamento assiste il titolare del trattamento, nella misura in cui ciò sia possibile, nell'adempimento degli obblighi del titolare del trattamento:
  2. il diritto di essere informati al momento della raccolta dei dati personali dell'interessato
  3. il diritto di essere informati quando i dati personali non sono stati ottenuti dalla persona interessata
  4. il diritto di accesso dell'interessato
  5. il diritto alla rettifica
  6. il diritto alla cancellazione ("diritto all'oblio")
  7. il diritto alla limitazione del trattamento
  8. obbligo di notifica per quanto riguarda la rettifica o la cancellazione dei dati personali o la limitazione del trattamento
  9. il diritto alla portabilità dei dati
  10. il diritto all'obiezione
  11. il diritto di non essere oggetto di una decisione basata esclusivamente sul trattamento automatizzato, compresa la profilazione
  12. Oltre all'obbligo del responsabile del trattamento di assistere il titolare del trattamento ai sensi della clausola 6.3., il responsabile del trattamento dovrà inoltre, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assistere il titolare del trattamento nel garantire il rispetto di:
  13. L'obbligo del titolare del trattamento di notificare la violazione dei dati personali all'autorità di controllo competente, l'Agenzia danese per la protezione dei dati, senza ritardi ingiustificati e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche;
  14. l'obbligo del titolare del trattamento di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, quando la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone fisiche;
  15. l'obbligo del titolare del trattamento di effettuare una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali (una valutazione d'impatto sulla protezione dei dati);
  16. l'obbligo del titolare del trattamento di consultare l'autorità di controllo competente, l'Agenzia danese per la protezione dei dati, prima di procedere al trattamento, qualora la valutazione dell'impatto sulla protezione dei dati indichi che il trattamento comporterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
  17. Le parti definiscono nell'Appendice C le misure tecniche e organizzative appropriate con cui l'incaricato del trattamento è tenuto ad assistere il responsabile del trattamento, nonché l'ambito e la portata dell'assistenza richiesta. Ciò si applica agli obblighi previsti dalla clausola 9.1 e 9.2.

10. Notifica di violazione dei dati personali

  1. In caso di violazione dei dati personali, l'incaricato del trattamento dovrà notificare al responsabile del trattamento la violazione dei dati personali senza ritardi ingiustificati dopo esserne venuto a conoscenza.
  2. La notifica dell'incaricato al responsabile del trattamento deve avvenire, se possibile, entro 36 ore dal momento in cui l'incaricato è venuto a conoscenza della violazione dei dati personali, per consentire al responsabile del trattamento di adempiere all'obbligo di notificare la violazione dei dati personali all'autorità di controllo competente, cfr. articolo 33 del GDPR.
  3. Ai sensi della clausola 9, paragrafo 2, lettera a), il responsabile del trattamento assiste il titolare del trattamento nella notifica della violazione dei dati personali all'autorità di controllo competente, il che significa che il responsabile del trattamento è tenuto a fornire assistenza per ottenere le informazioni elencate di seguito che, ai sensi dell'articolo 33, paragrafo 3, del GDPR, devono essere indicate nella notifica del titolare del trattamento all'autorità di controllo competente:
  4. La natura dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo di soggetti interessati e le categorie e il numero approssimativo di registrazioni di dati personali interessati;
  5. le probabili conseguenze della violazione dei dati personali;
  6. le misure adottate o proposte dal responsabile del trattamento per far fronte alla violazione dei dati personali, comprese, se del caso, le misure per attenuarne i possibili effetti negativi.
  7. Le parti definiscono nell'Appendice C tutti gli elementi che l'incaricato del trattamento deve fornire quando assiste il responsabile del trattamento nella notifica di una violazione dei dati personali all'autorità di controllo competente.

11. Cancellazione e restituzione dei dati

  1. Al termine della fornitura di servizi di trattamento di dati personali, l'incaricato del trattamento ha l'obbligo di cancellare tutti i dati personali trattati per conto del titolare del trattamento e di certificare al titolare del trattamento di averlo fatto, a meno che il diritto dell'Unione o degli Stati membri non imponga la conservazione dei dati personali.

    L'incaricato del trattamento si impegna a trattare esclusivamente i dati personali per le finalità e la durata previste dalla presente legge e alle condizioni rigorosamente applicabili.

12. Audit e ispezioni

  1. L'incaricato del trattamento mette a disposizione del responsabile del trattamento tutte le informazioni necessarie a dimostrare l'adempimento degli obblighi di cui all'articolo 28 e alle clausole e consente e contribuisce alle verifiche, comprese le ispezioni, condotte dal responsabile del trattamento o da un altro revisore incaricato dal responsabile del trattamento.
  2. Le procedure applicabili alle verifiche, comprese le ispezioni, del responsabile del trattamento e dei subincaricati sono specificate nelle appendici C.7 e C.8.
  3. L'incaricato del trattamento è tenuto a fornire alle autorità di controllo che, ai sensi della legislazione applicabile, hanno accesso alle strutture del responsabile del trattamento e dell'incaricato del trattamento, o ai rappresentanti che agiscono per conto di tali autorità di controllo, l'accesso alle strutture fisiche dell'incaricato del trattamento dietro presentazione di un'adeguata identificazione.

13. L'accordo delle parti su altre condizioni

  1. Le parti possono concordare altre clausole relative alla fornitura del servizio di trattamento dei dati personali che specifichino, ad esempio, la responsabilità, purché non contraddicano direttamente o indirettamente le Clausole o pregiudichino i diritti o le libertà fondamentali dell'interessato e la protezione garantita dal GDPR.

14. Inizio e cessazione

  1. Le Clausole entreranno in vigore alla data del primo accesso al servizio da parte dei responsabili del trattamento dei dati.
  2. Entrambe le parti avranno il diritto di richiedere la rinegoziazione delle Clausole qualora modifiche alla legge o l'inopportunità delle stesse dovessero dare luogo a tale rinegoziazione.
  3. Le Clausole si applicano per tutta la durata della fornitura dei servizi di trattamento dei dati personali. Per la durata della fornitura di servizi di trattamento dei dati personali, le Clausole non possono essere risolte a meno che non siano state concordate tra le parti altre Clausole che regolano la fornitura di servizi di trattamento dei dati personali.
  4. Se la fornitura di servizi di trattamento dei dati personali viene interrotta e i dati personali vengono cancellati o restituiti al titolare del trattamento ai sensi della clausola 11.1. e dell'appendice C.4., le clausole possono essere risolte mediante comunicazione scritta da una delle parti.

15. Contatti e punti di contatto del titolare e del responsabile del trattamento dei dati

  1. Le parti possono mettersi in contatto tra loro utilizzando i seguenti recapiti/punti di contatto: support@clerk.io
  2. Le parti hanno l'obbligo di informarsi reciprocamente e in modo continuativo sulle modifiche dei contatti/dei punti di contatto.

Appendice A - Informazioni sul trattamento

A.1. Lo scopo del trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento è:

Quando la Piattaforma di personalizzazione, di proprietà e gestita dal Responsabile del trattamento, viene messa a disposizione del Titolare del trattamento, i dati personali dei clienti e dei potenziali clienti del Titolare del trattamento vengono trattati dal Responsabile del trattamento. Lo scopo di questo trattamento è quello di poter associare i clienti/potenziali clienti del Titolare del trattamento ai prodotti del Titolare del trattamento nell'ambiente online del Titolare del trattamento e di consentire al Titolare del trattamento di ottenere informazioni sui prodotti, sugli interessi di acquisto, ecc.

A.2. Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento deve riguardare principalmente (la natura del trattamento):

Il Responsabile del trattamento riceve dal Titolare del trattamento dati automatizzati sui clienti del Titolare del trattamento nella Piattaforma di personalizzazione I dati vengono analizzati e viene messa a disposizione del Titolare del trattamento un'analisi degli interessi di acquisto dei clienti del Titolare del trattamento. La Piattaforma di personalizzazione è applicabile solo ai negozi del Titolare del trattamento (si applica la stessa definizione dei Termini di servizio "ToS").

A.3. Il trattamento comprende le seguenti tipologie di dati personali degli interessati:

Il Titolare del trattamento può potenzialmente trattare tutti i tipi di dati personali non sensibili degli interessati al Responsabile del trattamento. I dati personali esatti sono determinati dal modo in cui il Titolare del trattamento utilizza il Servizio, negozio per negozio. Il Responsabile del trattamento fornisce uno strumento di approfondimento dei dati personali per identificare i subprocessori e i dati personali utilizzati in un singolo negozio. Si prega di fare riferimento a clerk.io/dpa-details per i dati personali trattati nello specifico negozio del Responsabile del trattamento.‍

A.4. Il trattamento comprende le seguenti categorie di soggetti:

  • Persone che hanno effettuato un acquisto presso il Titolare del Trattamento
  • Clienti potenziali del Titolare del trattamento

A.5. Il trattamento dei dati personali da parte dell'incaricato del trattamento per conto del responsabile del trattamento può essere effettuato quando iniziano le Clausole. Il trattamento ha la seguente durata:

Il Responsabile del trattamento tratterà i dati personali per tutto il tempo in cui saranno in vigore i "ToS" concordati e per tutto il tempo in cui il Titolare del trattamento utilizzerà la Piattaforma di personalizzazione del Responsabile del trattamento.

Appendice B - Subelaboratori autorizzati

B.1. Subprocessori approvati

Con l'entrata in vigore delle Clausole, il titolare del trattamento autorizza l'assunzione dei seguenti subprocessori: Si prega di fare riferimento a clerk.io/dpa-details Iltitolare del trattamento autorizzerà, all'inizio delle Clausole, l'utilizzo dei suddetti subincaricati per il trattamento descritto per quella parte. Il responsabile del trattamento non potrà - senza l'esplicita autorizzazione scritta del titolare del trattamento - incaricare un subprocessore per un trattamento "diverso" da quello concordato o far eseguire il trattamento descritto a un altro subprocessore.

B.2. Avviso preventivo per l'autorizzazione di subelaboratori

Il Responsabile del trattamento dei dati ha l'autorizzazione generale del Titolare del trattamento dei dati per l'assunzione di subprocessori. Si prega di consultare il paragrafo 7.3 del presente Accordo sul trattamento dei dati per informazioni sul preavviso prima di modifiche relative all'aggiunta o alla sostituzione di subprocessori.

Appendice C - Istruzioni relative all'utilizzo dei dati personali

C.1. Oggetto/istruzioni per il trattamento

Il trattamento dei dati personali da parte dell'incaricato del trattamento per conto del responsabile del trattamento è effettuato dall'incaricato del trattamento che esegue quanto segue:

  • analizzare i dati forniti dal Titolare del trattamento al fine di prevedere gli interessi e gli intenti dei clienti del Titolare del trattamento attraverso l'apprendimento automatico. Il risultato dell'elaborazione del Responsabile del trattamento dei dati consentirà al Titolare del trattamento dei dati di fornire ricerche intelligenti, raccomandazioni pertinenti e offerte di prodotti personalizzate via e-mail ai clienti del Titolare del trattamento dei dati e di consentire al Titolare del trattamento dei dati di individuare nuovi clienti rilevanti.

C.2. Sicurezza del trattamento

Il livello di sicurezza deve tenere conto di:

  • Che il Responsabile del trattamento utilizza, ove possibile, la pseudonimizzazione nel trattamento dei dati personali.

Il Responsabile del trattamento avrà il diritto e l'obbligo di decidere le misure di sicurezza tecniche e organizzative da applicare per creare il necessario (e concordato) livello di sicurezza dei dati. Il Responsabile del trattamento dovrà comunque - in ogni caso e come minimo - implementare le seguenti misure concordate con il Titolare del trattamento (sulla base della valutazione del rischio effettuata dal Titolare del trattamento):

  1. Il Responsabile del trattamento dei dati informerà il Titolare del trattamento dei dati senza ritardi ingiustificati e in modo esaustivo di eventuali errori o irregolarità relativi alle disposizioni di legge sul trattamento dei dati personali rilevati durante una verifica dei risultati di tale trattamento.
  2. Il Titolare del trattamento dei dati, al termine o alla scadenza dei ToS e mediante l'invio di un'istruzione, dovrà stabilire, entro un periodo di tempo stabilito dal Responsabile del trattamento dei dati, le misure ragionevoli per restituire i supporti dei dati o per cancellare i dati memorizzati.
  3. Qualsiasi costo aggiuntivo derivante dalla restituzione o dalla cancellazione dei Dati personali dopo la cessazione o la scadenza dei ToS sarà a carico del Titolare del trattamento.

C.3. Assistenza al titolare del trattamento

Il Responsabile del trattamento dovrà, nella misura in cui ciò sia possibile - nell'ambito e nella misura dell'assistenza specificata di seguito - assistere il Responsabile del trattamento in conformità alla clausola 9.1. e 9.2. attuando le seguenti misure tecniche e organizzative: il Responsabile del trattamento ha accesso 24 ore su 24 e 7 giorni su 7 a tutti i dati personali tramite la Piattaforma di personalizzazione. Il Responsabile del trattamento può assistere e supportare il Responsabile del trattamento ogni giorno lavorativo all'interno del normale orario di lavoro.

C.4. Periodo di conservazione/procedure di misurazione

Per tutto il periodo di validità dei ToS e per tutto il periodo in cui il Titolare del trattamento utilizza la piattaforma di personalizzazione del Responsabile del trattamento, i dati personali vengono conservati presso il Responsabile del trattamento fino a quando il Titolare del trattamento non ne richiede la cancellazione o la restituzione. In caso di cessazione dei ToS, i dati personali vengono cancellati entro 30 giorni dalla scadenza del contratto, a meno che motivi legali non richiedano il mantenimento di tali dati personali sul server aziendale.

C.5. Luogo di lavorazione

Il trattamento dei dati personali ai sensi delle Clausole non può essere effettuato in luoghi diversi dai seguenti senza la preventiva autorizzazione scritta del titolare del trattamento: Si prega di fare riferimento a clerk.io/dpa-details per i dati personali trattati nello Store specifico del Titolare del trattamento.‍

C.6. Istruzioni sul trasferimento di dati personali a paesi terzi

Il Responsabile del trattamento è autorizzato a trasferire i dati personali ai subincaricati autorizzati nei paesi terzi elencati al punto C.5. Se i dati personali devono essere trasferiti a paesi terzi in altri casi, il Responsabile del trattamento è tenuto a notificare e richiedere il consenso del Titolare del trattamento per il trasferimento dei dati personali a un paese terzo. Il trasferimento di dati personali a un paese terzo può avvenire solo in base alle norme del Regolamento generale sulla protezione dei dati e il Responsabile del trattamento è tenuto a garantire una base giuridica per il trasferimento.

C.7. Procedure per le verifiche del responsabile del trattamento, comprese le ispezioni, del trattamento dei dati personali effettuato dall'incaricato del trattamento.

Le Parti hanno concordato che possono essere utilizzati i seguenti tipi di rapporti di ispezione: il Titolare del trattamento ha accesso e può controllare tutti i dati personali in qualsiasi momento tramite la Piattaforma di personalizzazione.Una volta all'anno il Titolare del trattamento può richiedere che il Responsabile del trattamento risponda alle domande di un questionario scritto in merito alla conformità del Responsabile del trattamento alle Clausole, e una volta all'anno il Titolare del trattamento o il rappresentante del Titolare del trattamento avrà la possibilità di effettuare un'ispezione fisica dei luoghi in cui viene effettuato il trattamento dei dati personali da parte del Responsabile del trattamento, comprese le strutture fisiche nonché i sistemi utilizzati per il trattamento e ad esso correlati, al fine di accertare la conformità del Responsabile del trattamento al GDPR, alle disposizioni applicabili dell'UE o degli Stati membri in materia di protezione dei dati e alle Clausole.I costi del Titolare del trattamento, se del caso, relativi all'ispezione fisica sono a carico del Titolare del trattamento. Il Responsabile del trattamento è tuttavia tenuto a mettere a disposizione le risorse (principalmente il tempo) necessarie al Titolare del trattamento per poter effettuare l'ispezione.

C.8. Procedure di verifica, comprese le ispezioni, del trattamento dei dati personali effettuato dai subincaricati

Le Parti hanno concordato che possono essere utilizzati i seguenti tipi di rapporti di ispezione: il Titolare del trattamento ha accesso e può controllare tutti i dati personali in qualsiasi momento tramite la Piattaforma di personalizzazione.Una volta all'anno il Titolare del trattamento può richiedere che il Responsabile del trattamento risponda alle domande di un questionario scritto in merito alla conformità del Responsabile del trattamento alle Clausole, e una volta all'anno il Titolare del trattamento o il rappresentante del Titolare del trattamento avrà la possibilità di effettuare un'ispezione fisica dei luoghi in cui viene effettuato il trattamento dei dati personali da parte del Responsabile del trattamento, comprese le strutture fisiche nonché i sistemi utilizzati per il trattamento e ad esso correlati, al fine di accertare la conformità del Responsabile del trattamento al GDPR, alle disposizioni applicabili dell'UE o degli Stati membri in materia di protezione dei dati e alle Clausole.I costi del Titolare del trattamento, se del caso, relativi all'ispezione fisica sono a carico del Titolare del trattamento. Il Responsabile del trattamento è tuttavia tenuto a mettere a disposizione le risorse (principalmente il tempo) necessarie al Titolare del trattamento per poter effettuare l'ispezione.

Appendice D - Termini di accordo delle parti su altri argomenti

Nessun contenuto