CLAUSOLE CONTRATTUALI DELLA COMMISSIONE DELL'UE (CCS UE) E ADDENDUM DEL Regno Unito

Le presenti clausole contrattuali standard e l’addendum britannico (insieme “SCCs”) si applicano ai trasferimenti di dati personali soggetti al regolamento (UE) 2016/679 (“GDPR”), the UK GDPR, o Swiss Federal Act on Data Protection, proveniente dallo Spazio economico europeo, il Regno Unito o la Svizzera in un paese che non è oggetto di una decisione di adeguatezza da parte dell'autorità competente.

‍

I CSSC si applicano quando tali trasferimenti avvengono in relazione all'uso del nostro software, servizi, sito web o altre interazioni con noi, e dove non è disponibile alcun altro meccanismo di trasferimento valido.

‍

Le CSSC si applicano automaticamente nella misura necessaria a fornire garanzie adeguate per il trasferimento in questione e sono inserite mediante riferimento nei termini giuridici che disciplinano il rapporto o l’interazione applicabile.

‍

Determinazione dei ruoli

‍

Ai fini del CSS:

‍

Ciascuna parte agisce in qualità di responsabile del trattamento quando determina le finalità e i mezzi del trattamento dei dati personali.
Ciascuna parte agisce in qualità di responsabile del trattamento in cui elabora i dati personali su istruzioni documentate di un'altra parte.

‍

Il modulo applicabile del CSSC è determinato dai rispettivi ruoli delle parti in relazione alla specifica attività di trattamento che ha dato luogo al relativo trasferimento.

‍

Quando trattiamo dati personali per conto di un cliente commerciale, il cliente commerciale agisce come esportatore e responsabile del trattamento, e agiamo come l'importatore e il responsabile del trattamento, e il trasferimento è regolato dal modulo 2.

Qualora entrambe le parti determinino in modo indipendente le finalità e le modalità del trattamento, ciascuno agisce in qualità di responsabile del trattamento e il trasferimento è disciplinato dal modulo 1.

‍

Moduli Applicabili

‍

A seconda della natura del rapporto e delle pertinenti attività di trattamento, i trasferimenti di dati personali possono essere disciplinati da:

Modulo 1: Controller to Controller, o
Modulo 2: Controller to Processor,

delle clausole contrattuali tipo adottate dalla Commissione europea a norma della decisione di esecuzione (UE) 2021/914 della Commissione.

‍

Il modulo applicabile si applica solo nella misura necessaria per legittimare il relativo trasferimento, determinato dai ruoli delle parti e dalle circostanze del trattamento.

‍

MODULO 1: CONTROLLER-TO-CONTROLLER

‍

SEZIONE I

Clausola 1

Scopo e campo di applicazione

‍

(a) Scopo di tali clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (1) per il trasferimento di dati personali a un paese terzo.

‍

(b) Le Parti:

(i) la o le persone fisiche o giuridiche, la pubblica autorità/i, l’agenzia/e o altri organismi/i (di seguito «entità/i») che trasferiscono i dati personali, elencati nell’allegato I A (di seguito «esportatore di dati»), e

(ii) l'entità/i in un paese terzo che riceve i dati personali dall'esportatore, direttamente o indirettamente, tramite un altro soggetto, anche parte delle presenti clausole, elencate nell’allegato I A (di seguito «importatore di dati»)

hanno acconsentito a tali clausole contrattuali standard (di seguito «clausole»).

‍

(d) L'appendice delle presenti clausole contenenti gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.

‍

Articolo 2

Effetto e invariabilità delle Clausole

‍

(a) Le presenti Clausole stabiliscono garanzie adeguate, compresi i diritti applicabili degli interessati e i mezzi di ricorso efficaci, a norma dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati dai responsabili del trattamento ai responsabili del trattamento e/o agli incaricati del trattamento, le clausole contrattuali tipo a norma dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare i moduli appropriati o per aggiungere o aggiornare le informazioni nell'appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

‍

(b) Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto l'esportatore di dati in virtù del regolamento (UE) 2016/679.

‍

Articolo 3

Beneficiari di terzi

‍

(a) Gli interessati possono invocare e far rispettare le presenti Clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore di dati, con le seguenti eccezioni:

‍

(i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Punto 7;

‍

(ii) punto 8.5, lettera e) e punto 8.9, lettera b);

‍

(iii) N/A

‍

(iv) Clausola 12, lettere a) e d);

‍

(v) clausola 13;

‍

(vi) clausola 15.1, lettere c), d) ed e);

‍

(vii) Clausola 16, E);

‍

(viii) Clausola 18, lettere a) e b).

‍

(b) Il paragrafo (a) lascia impregiudicati i diritti degli interessati ai sensi del regolamento (UE) 2016/679.

‍

Clausola 4

Interpretazione

‍

(a) Qualora tali clausole utilizzino termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di tale regolamento.

‍

(b) Le presenti clausole devono essere lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.

‍

(c) Le presenti clausole non devono essere interpretate in modo da essere in conflitto con i diritti e gli obblighi di cui al regolamento (UE) 2016/679.

‍

Clausola 5

Hierarchy

‍

In caso di contraddizione tra le presenti clausole e le disposizioni dei relativi accordi tra le parti, esistenti al momento in cui le presenti Clausole sono concordate o stipulate successivamente, le presenti Clausole prevalgono.

‍

Clausola 6

Descrizione del o dei trasferimenti

‍

I dettagli dei trasferimenti, e in particolare le categorie di dati personali che sono trasferiti e le finalità per le quali sono trasferiti, sono specificate nell’allegato I.B.

‍

Clausola 7

Clausola Di Aggancio Opzionale

‍

NON UTILIZZATO

‍

SEZIONE II – OBBLIGHI DELLE PARTI

‍

Clausola 8

Garanzie per la protezione dei dati

‍

L’esportatore di dati garantisce di aver compiuto sforzi ragionevoli per stabilire che l’importatore di dati è in grado, attraverso l'attuazione di misure tecniche e organizzative adeguate, per adempiere agli obblighi che le incombono in virtù delle presenti clausole.

‍

8.1 Limitazione delle finalità

‍

L’importatore di dati tratta i dati personali solo per la finalità o le finalità specifiche del trasferimento, come indicato nell’allegato I.B. Può trattare i dati personali solo per altre finalità:

‍

(i) se ha ottenuto il consenso preliminare dell’interessato;

‍

(ii) se necessario per l'accertamento, l'esercizio o la difesa di azioni legali nell'ambito di procedimenti amministrativi, regolamentari o giudiziari specifici; oppure

‍

(iii) se necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica.

‍

8.2 Trasparenza

‍

(a) Per consentire agli interessati di esercitare efficacemente i loro diritti ai sensi della clausola 10; l’importatore di dati li informa, direttamente o tramite l’esportatore:

‍

(i) della sua identità e dei dati di contatto;

‍

(ii) delle categorie di dati personali trattati;

‍

(iii) del diritto di ottenere una copia delle presenti clausole;

‍

(iv) nel caso in cui intenda trasferire i dati personali a terze parti/i; del destinatario o delle categorie di destinatari (se del caso al fine di fornire informazioni significative), lo scopo di tale trasferimento e il motivo pertanto ai sensi del punto 8.7.

‍

(b) La lettera a) non si applica quando l'interessato dispone già delle informazioni, anche quando tali informazioni sono già state fornite dall'esportatore, o fornire le informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per l’importatore di dati. In quest'ultimo caso, l'importatore di dati mette le informazioni a disposizione del pubblico, nella misura del possibile.

‍

(c) Su richiesta, le parti fanno una copia delle presenti clausole, compresa l’appendice compilata dalla stessa, a disposizione dell’interessato a titolo gratuito. Nella misura necessaria per proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono redigere parte del testo dell'appendice prima di condividere una copia, ma fornisce una sintesi significativa se l’interessato non sarebbe altrimenti in grado di comprenderne il contenuto o di esercitare i suoi diritti. Su richiesta, le parti forniscono all'interessato i motivi delle redazioni, per quanto possibile, senza rivelare le informazioni redatte.

‍

(d) I paragrafi da a) a c) lasciano impregiudicati gli obblighi dell'esportatore di dati a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.

‍

8.3 Precisione e minimizzazione dei dati

‍

(a) Ciascuna parte provvede affinché i dati personali siano esatti e, se necessario, aggiornati. L’importatore di dati prende tutte le misure ragionevoli per garantire che i dati personali siano inesatti, tenuto conto della finalità o delle finalità del trattamento, è cancellata o rettificata senza indugio.

‍

(b) Se una delle Parti viene a conoscenza che i dati personali che ha trasferito o ricevuto sono inesatti, o è divenuto obsoleto, ne informa senza indebito ritardo l’altra parte.

‍

(c) L'importatore di dati garantisce che i dati personali siano adeguati, pertinenti e limitate a quanto necessario in relazione allo scopo o agli scopi del trattamento.

‍

8.4 Limitazione dello stoccaggio

‍

L’importatore conserva i dati personali per un periodo non superiore a quello necessario per la finalità o gli scopi per i quali sono trattati. Essa adotta misure tecniche o organizzative adeguate per garantire il rispetto di tale obbligo, inclusa la cancellazione o l'anonimizzazione (2) dei dati e di tutti i backup alla fine del periodo di conservazione.

‍

8.5 Sicurezza del trattamento

‍

(a) L'importatore di dati e, durante la trasmissione, anche l'esportatore di dati attuano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, compresa la protezione contro una violazione della sicurezza che porti a distruzione, perdita, alterazione, divulgazione o accesso non autorizzati accidentali o illeciti (di seguito «violazione dei dati personali»). Nel valutare il livello appropriato di sicurezza, essi tengono debitamente conto dello stato dell'arte, dei costi di attuazione, la natura, la portata, il contesto e le finalità del trattamento e i rischi connessi al trattamento dell’interessato. Le parti prendono in considerazione in particolare il ricorso alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, se lo scopo del trattamento può essere soddisfatto in questo modo.

‍

(b) Le parti hanno concordato le misure tecniche e organizzative di cui all'allegato II. L'importatore di dati effettua controlli regolari per garantire che tali misure continuino a garantire un livello adeguato di sicurezza.

‍

(c) L'importatore di dati garantisce che le persone autorizzate a trattare i dati personali si siano impegnate a rispettare la riservatezza o siano soggette ad un adeguato obbligo legale di riservatezza.

‍

(d) In caso di violazione di dati personali relativi a dati personali trattati dall'importatore ai sensi delle presenti Clausole, l’importatore di dati adotta le misure appropriate per affrontare la violazione dei dati personali, comprese le misure per attenuarne i possibili effetti negativi.

‍

(e) In caso di violazione di dati personali che può comportare un rischio per i diritti e le libertà delle persone fisiche, l’importatore di dati notifica senza indebito ritardo sia l’esportatore di dati che l’autorità di controllo competente ai sensi della clausola 13. Tale notifica contiene i) una descrizione della natura della violazione (compresa, se possibile, categorie e numero approssimativo di interessati e dati personali interessati), ii) le sue probabili conseguenze, iii) le misure adottate o proposte per affrontare la violazione, e iv) i dettagli di un punto di contatto presso il quale si possono ottenere maggiori informazioni. Nella misura in cui non è possibile per l'importatore di dati fornire contemporaneamente tutte le informazioni, può farlo in fasi successive senza ulteriori inutili ritardi.

‍

(f) In caso di violazione di dati personali che può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, l’importatore di dati comunica inoltre senza indebito ritardo agli interessati la violazione dei dati personali e la loro natura, se necessario in collaborazione con l’esportatore di dati, unitamente alle informazioni di cui alla lettera e), punti da ii) a iv), a meno che l'importatore di dati non abbia attuato misure volte a ridurre significativamente il rischio per i diritti o le libertà delle persone fisiche, o la notifica comporterebbe sforzi sproporzionati. In quest'ultimo caso, l’importatore di dati emette invece una comunicazione pubblica o adotta una misura analoga per informare il pubblico della violazione di dati personali.

‍

(g) L'importatore di dati documenta tutti i fatti pertinenti relativi alla violazione di dati personali, compresi i suoi effetti e le eventuali misure correttive adottate, e conservarne una registrazione.

‍

8.6 Dati sensibili

‍

Se il trasferimento riguarda dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici o i dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona o dati relativi a condanne o reati penali (di seguito «dati sensibili»), l’importatore di dati applica restrizioni specifiche e/o salvaguardie supplementari adeguate alla natura specifica dei dati e ai rischi connessi. Ciò può comprendere la limitazione del personale autorizzato ad accedere ai dati personali, ulteriori misure di sicurezza (come pseudonimizzazione) e/o ulteriori restrizioni per quanto riguarda l'ulteriore divulgazione.

‍

8.7 Trasferimenti successivi

‍

L’importatore di dati non comunica i dati personali a terzi situati al di fuori dell’Unione europea (3) (nello stesso paese dell’importatore di dati o in un altro paese terzo, di seguito «trasferimento successivo») a meno che il terzo non sia o non accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato. In caso contrario, l’importatore può procedere a un successivo trasferimento solo se:

‍

(i) è un paese che beneficia di una decisione di adeguatezza a norma dell'articolo 45 del regolamento (UE) 2016/679 che riguarda il trasferimento successivo;

‍

(ii) il terzo garantisce altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del regolamento (UE) 2016/679 per quanto riguarda il trattamento in questione;

‍

(iii) il terzo entra in uno strumento vincolante con l'importatore di dati che garantisce lo stesso livello di protezione dei dati previsto dalle presenti clausole, e l’importatore di dati fornisce una copia di tali garanzie all’esportatore di dati;

‍

(iv) è necessario per l'istituzione, l'esercizio o la difesa di azioni legali nell'ambito di procedimenti amministrativi, regolamentari o giudiziari specifici;

‍

(v) è necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica; oppure

‍

(vi) se non si applicano altre condizioni, l’importatore di dati ha ottenuto il consenso esplicito dell’interessato per un successivo trasferimento in una situazione specifica, dopo averlo informato dei suoi scopi; l'identità del destinatario e i possibili rischi di tale trasferimento a lui a causa della mancanza di adeguate garanzie di protezione dei dati. In tal caso, l’importatore di dati informa l’esportatore di dati e, su richiesta di quest’ultimo, le trasmette una copia delle informazioni fornite all’interessato.

‍

Qualsiasi trasferimento successivo è subordinato al rispetto da parte dell'importatore di dati di tutte le altre misure di salvaguardia previste dalle presenti clausole, in particolare la limitazione delle finalità.

‍

8.8 Trattamento sotto l'autorità dell'importatore di dati

‍

L'importatore di dati garantisce che chiunque agisca sotto la sua autorità, compreso il responsabile del trattamento, elabori i dati solo su istruzione di quest'ultimo.

‍

8.9 Documentazione e conformità

‍

(a) Ciascuna parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono in virtù delle presenti clausole. In particolare, l’importatore conserva l’opportuna documentazione delle attività di trattamento svolte sotto la sua responsabilità.

‍

(b) L'importatore di dati mette tale documentazione a disposizione dell'autorità di controllo competente su richiesta.

‍

Articolo 9

Uso dei sottoprocessori

‍

Non pertinente

‍

Clausola 10

Diritti degli interessati

‍

(a) L'importatore di dati, se del caso con l'assistenza dell'esportatore di dati, tratta senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta e delle richieste di informazioni ricevute da un interessato in relazione al trattamento dei suoi dati personali e all'esercizio dei suoi diritti ai sensi delle presenti clausole. (4) L'importatore di dati adotta le misure appropriate per facilitare tali indagini, richieste e l'esercizio dei diritti dell'interessato. Le informazioni fornite all’interessato sono in forma comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e chiaro.

‍

(b) In particolare, su richiesta dell'interessato, l'importatore di dati deve:

‍

(i) fornire all'interessato la conferma dell'eventuale trattamento dei dati personali che lo riguardano, e in tal caso, una copia dei dati che lo riguardano e delle informazioni di cui all’allegato I; se i dati personali sono stati o saranno successivamente trasferiti, fornire informazioni sui destinatari o sulle categorie di destinatari (se del caso al fine di fornire informazioni significative) ai quali i dati personali sono stati o saranno successivamente trasferiti; lo scopo di tali trasferimenti e il loro motivo ai sensi della clausola 8. ; e fornire informazioni sul diritto di presentare un reclamo a un'autorità di controllo conformemente alla clausola 12, lettera c), punto i);

‍

(ii) rettificare i dati inesatti o incompleti riguardanti l'interessato;

‍

(iii) cancellare i dati personali relativi all'interessato se tali dati sono in corso o sono stati trattati in violazione di una di queste Clausole che garantiscono i diritti dei terzi beneficiari, o se l’interessato ritira il consenso su cui si basa il trattamento.

‍

(c) Quando l'importatore tratta i dati personali a fini di marketing diretto, cessa il trattamento per tali finalità se l’interessato vi si oppone.

‍

(d) L'importatore di dati non prende una decisione basata esclusivamente sul trattamento automatizzato dei dati personali trasferiti (di seguito «decisione automatizzata»), che produrrebbero effetti giuridici sulla persona interessata o che lo riguarderebbero in modo analogo, a meno che l’interessato non abbia espresso il suo consenso esplicito o sia autorizzato a farlo in base alla legislazione del paese di destinazione, purché tali leggi prevedano misure adeguate per salvaguardare i diritti e gli interessi legittimi dell’interessato. In tal caso, l'importatore di dati, se necessario in collaborazione con l'esportatore:

‍

(i) informare l'interessato in merito alla decisione automatizzata prevista, alle conseguenze previste e alla logica interessata; e

‍

(ii) attuare misure di salvaguardia adeguate, almeno consentendo all'interessato di contestare la decisione, esprimere il proprio punto di vista e ottenere la revisione da parte di un essere umano.

‍

(e) Qualora le richieste di un interessato siano eccessive, in particolare a causa del loro carattere ripetitivo, l’importatore di dati può applicare una tariffa ragionevole tenendo conto delle spese amministrative sostenute per la presentazione della richiesta o rifiutare di dare seguito alla richiesta.

‍

(f) L'importatore di dati può rifiutare la richiesta dell'interessato se tale rifiuto è consentito dalla legislazione del paese di destinazione ed è necessario e proporzionato in una società democratica per proteggere uno degli obiettivi di cui all'articolo 23, paragrafo 1, del regolamento (UE) 2016/679.

‍

(g) Se l’importatore intende rifiutare la richiesta dell’interessato, informa l’interessato dei motivi del rifiuto e della possibilità di presentare un reclamo all’autorità di controllo competente e/o di chiedere un ricorso giurisdizionale.

‍

Clausola 11

Redress

‍

(a) L'importatore di dati informa gli interessati in un formato trasparente e facilmente accessibile, tramite notifica individuale o sul suo sito web, di un punto di contatto autorizzato a trattare reclami. Essa tratta tempestivamente i reclami che riceve da un interessato.

‍

(b) In caso di controversia tra una persona interessata e una delle parti per quanto riguarda il rispetto delle presenti clausole, Tale parte si adopera al massimo per risolvere la questione in modo amichevole e tempestivo. Le parti si tengono reciprocamente informate in merito a tali controversie e, se del caso, cooperano per risolverle.

‍

(c) Se l'interessato invoca un diritto di terzo beneficiario ai sensi della clausola 3, l’importatore accetta la decisione dell’interessato di:

‍

(i) presenta un reclamo all'autorità di controllo dello Stato membro della sua residenza abituale o del suo luogo di lavoro, o l’autorità di vigilanza competente ai sensi della clausola 13;

‍

(ii) deferire la controversia ai tribunali competenti ai sensi della clausola 18.

‍

(d) Le Parti accettano che l'interessato possa essere rappresentato da un organismo senza scopo di lucro, organizzazione o associazione alle condizioni di cui all'articolo 80, paragrafo 1, del regolamento (UE) 2016/679.

‍

(e) L'importatore di dati rispetta una decisione vincolante ai sensi della normativa applicabile dell'UE o dello Stato membro.

‍

(f) L'importatore di dati conviene che la scelta fatta dall'interessato non pregiudicherà i suoi diritti sostanziali e procedurali di proporre ricorso conformemente alle leggi applicabili.

‍

Clausola 12

Responsabilità

‍

(a) Ciascuna Parte è responsabile nei confronti dell'altra Parte per i danni che essa provoca all'altra Parte per violazione delle presenti Clausole.

‍

(b) Ciascuna Parte è responsabile nei confronti dell'interessato e l'interessato ha diritto a ricevere un risarcimento, per eventuali danni materiali o non materiali che la Parte causa l'interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati a norma del regolamento (UE) 2016/679.

‍

(c) Qualora più parti siano responsabili di eventuali danni causati all'interessato in seguito alla violazione delle presenti clausole, tutte le Parti responsabili sono responsabili in solido e l'interessato ha il diritto di adire un tribunale nei confronti di una di queste Parti.

‍

(d) Le Parti convengono che se una Parte è ritenuta responsabile ai sensi della lettera c), Il presente accordo entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

‍

(e) L'importatore di dati non può invocare il comportamento di un responsabile del trattamento o di un subincaricato per evitare la propria responsabilità.

‍

Clausola 13

Vigilanza

‍

(a)L'autorità di controllo di uno degli Stati membri in cui gli interessati i cui dati personali sono trasferiti ai sensi delle presenti clausole in relazione all'offerta di beni o servizi ad essi destinata, o il cui comportamento è monitorato, sono situati, come indicato nell’allegato I. , funge da autorità di vigilanza competente.

‍

(b) L'importatore di dati si impegna a sottoporsi alla giurisdizione dell'autorità di controllo competente e a cooperare con quest'ultima in tutte le procedure volte a garantire il rispetto delle presenti clausole. In particolare, l'importatore di dati accetta di rispondere a domande, sottoporre a audit e conformarsi alle misure adottate dall’autorità di controllo, comprese misure correttive e compensative. Esso conferma per iscritto all’autorità di controllo che sono state adottate le misure necessarie.

‍

SEZIONE III – LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

‍

Clausola 14

Legislazione e pratiche locali che incidono sul rispetto delle clausole

‍

(a) Le parti garantiscono di non avere motivo di ritenere che le leggi e le pratiche nel paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore, compresi gli obblighi di divulgazione di dati personali o le misure che autorizzano l’accesso delle autorità pubbliche, impediscono all’importatore di adempiere agli obblighi che le incombono in virtù delle presenti clausole. Ciò si basa sull'intesa che le leggi e le pratiche che rispettano l'essenza dei diritti e delle libertà fondamentali e non eccedono quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all'articolo 23, paragrafo 1, del regolamento (UE) 2016/679, non sono in contraddizione con queste clausole.

‍

(b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto in particolare dei seguenti elementi:

‍

(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trasformazione, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi; il tipo di destinatario; lo scopo del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; l'ubicazione dei dati trasferiti;

‍

(ii) le leggi e le prassi del paese terzo di destinazione, comprese quelle che richiedono la divulgazione di dati alle autorità pubbliche o che autorizzano l’accesso da parte di tali autorità, pertinenti alla luce delle circostanze specifiche del trasferimento, e le limitazioni e le salvaguardie applicabili (5)

‍

(iii) le eventuali garanzie contrattuali, tecniche o organizzative previste per integrare le garanzie previste dalle presenti clausole, comprese le misure applicate durante la trasmissione e al trattamento dei dati personali nel paese di destinazione.

‍

(c) L'importatore di dati garantisce che, nell'effettuare la valutazione di cui alla lettera b), ha fatto il possibile per fornire all’esportatore informazioni pertinenti e conviene che continuerà a cooperare con l’esportatore di dati per garantire il rispetto delle presenti clausole.

‍

(d) Le parti convengono di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell'autorità di vigilanza competente su richiesta.

‍

(e) L'importatore di dati accetta di notificare tempestivamente all'esportatore di dati se, dopo aver acconsentito alle presenti clausole e per la durata del contratto, ha motivo di ritenere che esso sia o sia divenuto soggetto a leggi o pratiche non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (come una richiesta di informazione) che indichi un’applicazione pratica di tali leggi che non è conforme ai requisiti di cui alla lettera a).

‍

(f) A seguito di una notifica ai sensi della lettera e), o se l’esportatore di dati ha altrimenti motivo di ritenere che l’importatore di dati non possa più adempiere ai suoi obblighi ai sensi delle presenti clausole, l’esportatore di dati identifica prontamente le misure appropriate (e. . misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l’esportatore di dati e/o l’importatore di dati devono adottare per affrontare la situazione. L’esportatore di dati sospende il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento, o su istruzione dell’autorità di vigilanza competente a farlo. In tal caso, l'esportatore di dati ha il diritto di recedere dal contratto, per quanto riguarda il trattamento dei dati personali ai sensi delle presenti clausole. Se il contratto coinvolge più di due parti, L'esportatore di dati può esercitare tale diritto di recesso solo nei confronti della parte interessata, a meno che le parti non abbiano convenuto altrimenti. In caso di risoluzione del contratto ai sensi della presente clausola, si applica la clausola 16, lettere d) ed e).

‍

Clausola 15

Obblighi dell'importatore di dati in caso di accesso da parte delle autorità pubbliche

‍

15.1 Notifica

‍

(a) L'importatore di dati accetta di notificare l'esportatore e, ove possibile, la persona interessata prontamente (se necessario con l’aiuto dell’esportatore) se:

‍

(i) riceve una richiesta giuridicamente vincolante da un'autorità pubblica, comprese le autorità giudiziarie, secondo le leggi del paese di destinazione per la divulgazione dei dati personali trasferiti ai sensi delle presenti Clausole; tale notifica include informazioni sui dati personali richiesti, l’autorità richiedente, la base giuridica della richiesta e la risposta fornita; oppure

‍

(ii) viene a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità delle leggi del paese di destinazione; tale notifica include tutte le informazioni di cui dispone l'importatore.

‍

(b) Se all’importatore di dati è vietato notificare all’esportatore di dati e/o all’interessato la legislazione del paese di destinazione, l'importatore di dati accetta di adoperarsi al massimo per ottenere una deroga al divieto, al fine di comunicare al più presto il maggior numero di informazioni possibile. L’importatore di dati accetta di documentare i suoi sforzi al fine di poterli dimostrare su richiesta dell’esportatore di dati.

‍

(c) Ove consentito dalla legislazione del paese di destinazione, l'importatore di dati accetta di fornire l'esportatore di dati, a intervalli regolari per la durata del contratto, con il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare il numero di domande, tipo di dati richiesti, autorità richiedente/i, se le richieste sono state contestate e l’esito di tali sfide, ecc. .

‍

(d) L'importatore di dati accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell'autorità di controllo competente su richiesta.

‍

(e) I paragrafi da a) a c) non pregiudicano l'obbligo dell'importatore di dati ai sensi della clausola 14, lettera e) e della clausola 16 di informare prontamente l'esportatore di dati qualora non sia in grado di rispettare le presenti clausole.

‍

15.2 Revisione della legalità e minimizzazione dei dati

‍

(a) L'importatore di dati accetta di riesaminare la legittimità della richiesta di divulgazione, in particolare se rientra nei poteri conferiti all'autorità pubblica richiedente e contestare la richiesta se, dopo un'attenta valutazione, conclude che esistono fondati motivi per ritenere che la richiesta sia illegale ai sensi della legislazione del paese di destinazione, gli obblighi applicabili ai sensi del diritto internazionale e i principi di comità internazionale. L’importatore di dati persegue, alle stesse condizioni, la possibilità di presentare ricorso. Quando contesti una richiesta, l’importatore di dati chiede misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l’autorità giudiziaria competente non abbia deciso sul suo merito. Essa non divulga i dati personali richiesti fino a quando non lo richieda ai sensi delle norme procedurali applicabili. Tali prescrizioni non pregiudicano gli obblighi dell’importatore di dati di cui alla clausola 14, lettera e).

‍

(b) L'importatore di dati accetta di documentare la sua valutazione legale e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalla legislazione del paese di destinazione, mettere la documentazione a disposizione dell’esportatore di dati. Essa lo mette inoltre a disposizione dell’autorità di vigilanza competente su richiesta.

‍

(c) L'importatore di dati si impegna a fornire la quantità minima di informazioni consentite quando risponde a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta.

‍

SEZIONE IV – DISPOSIZIONI FINALI

‍

Clausola 16

Inosservanza delle clausole e risoluzione

‍

(a) L'importatore di dati informa tempestivamente l'esportatore di dati se non è in grado di rispettare le presenti clausole per qualsiasi motivo.

‍

(b) Nel caso in cui l'importatore di dati violi le presenti Clausole o non sia in grado di rispettare le presenti Clausole, l’esportatore di dati sospende il trasferimento di dati personali all’importatore di dati fino a quando non sia nuovamente garantita la conformità o la risoluzione del contratto. Ciò non pregiudica la clausola 14, lettera f).

‍

(c) L'esportatore di dati ha il diritto di recedere dal contratto, per quanto riguarda il trattamento dei dati personali ai sensi delle presenti Clausole, qualora:

‍

(i) l'esportatore di dati ha sospeso il trasferimento di dati personali all'importatore di dati a norma della lettera b) e il rispetto delle presenti clausole non è ripristinato entro un termine ragionevole e comunque entro un mese dalla sospensione;

‍

(ii) l'importatore di dati viola in modo sostanziale o persistente le presenti clausole; oppure

‍

(iii) l'importatore di dati non rispetta una decisione vincolante di un'autorità giudiziaria o di controllo competente in merito agli obblighi che gli incombono in virtù delle presenti clausole.

‍

In questi casi informa l'autorità di vigilanza competente di tale inosservanza. Se il contratto coinvolge più di due parti, L'esportatore di dati può esercitare tale diritto di recesso solo nei confronti della parte interessata, a meno che le parti non abbiano convenuto altrimenti.

‍

(d) I dati personali che sono stati trasferiti prima della risoluzione del contratto ai sensi della lettera c) sono immediatamente restituiti, a scelta dell'esportatore o cancellati nella sua interezza. Lo stesso vale per qualsiasi copia dei dati. L’importatore di dati certifica la cancellazione dei dati all’esportatore di dati. Fino a quando i dati non saranno cancellati o restituiti, l'importatore continua a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all’importatore di dati che vietano la restituzione o la cancellazione dei dati personali trasferiti, l’importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e tratterà i dati solo nella misura e per il tempo prescritti dalla normativa locale.

‍

(e) Ciascuna parte può revocare il suo accordo di essere vincolata dalle presenti Clausole qualora i) la Commissione europea adotti una decisione a norma dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 relativa al trasferimento di dati personali ai quali si applicano le presenti Clausole; o ii) il regolamento (UE) 2016/679 entra a far parte del quadro giuridico del paese in cui i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.

‍

Clausola 17

Legge applicabile

‍

Le presenti clausole sono disciplinate dal diritto di uno degli Stati membri dell'UE, a condizione che tale diritto preveda diritti dei terzi beneficiari. Le parti convengono che si tratta della legge irlandese.

‍

Clausola 18

Scelta del foro e giurisdizione

‍

(a) Qualsiasi controversia derivante dalle presenti Clausole deve essere risolta dai giudici di uno Stato membro dell'UE.

‍

(b) Le parti convengono che questi siano i tribunali dell'Irlanda.

‍

(c) Una persona interessata può anche intentare un'azione legale contro l'esportatore di dati e/o l'importatore di dati dinanzi ai giudici dello Stato membro in cui risiede abitualmente.

‍

(d) Le parti convengono di sottoporsi alla giurisdizione di tali tribunali.

‍

APPENDICE

ANNEX I
‍

A. ELENCO DELLE PARTI

Esportatore/i di dati: [Identità e coordinate dell'esportatore/i di dati e se del caso, del suo responsabile della protezione dei dati e/o del suo rappresentante nell'Unione europea]

‍

Nome: Cfr. parte 1 dello schema 1.

‍

Indirizzo: Cfr. parte 1 dello schema 1

Nome, posizione e recapito della persona di contatto: cfr. parte 1 dello schema 1

‍

Attività relative ai dati trasferiti ai sensi delle presenti clausole: cfr. parte 1 dello schema 1

Firma e data: le parti convengono che l'esecuzione del pertinente accordo costituisce l'esecuzione di tali CNC da parte di entrambe le parti in cui non è disponibile alcun altro meccanismo di trasferimento valido.

Ruolo (controllore/processore): cfr. parte 1 dello schema 1

‍

Importatore/i di dati: [Identità e dati di contatto dello/degli importatore/i di dati, compresi eventuali referenti responsabili della protezione dei dati]

Nome: Cfr. parte 1 dello schema 1

Indirizzo: Cfr. parte 1 dello schema 1

Nome, posizione e recapito della persona di contatto: cfr. parte 1 dello schema 1

Attività relative ai dati trasferiti ai sensi delle presenti clausole: cfr. parte 1 dello schema 1

Ruolo (controllore/processore): cfr. parte 1 dello schema 1

‍

B. DESCRIZIONE DEL TRASFERIMENTO

‍

Categorie di interessati i cui dati personali sono trasferiti

Cfr. la parte 2 dello schema 1.

‍

Categorie di dati personali trasferiti

Cfr. la parte 2 dello schema 1.

‍

Dati sensibili trasferiti (se del caso) e applicati restrizioni o garanzie che tengano pienamente conto della natura dei dati e dei rischi connessi, ad esempio la limitazione rigorosa delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), tenere un registro dell’accesso ai dati, delle restrizioni per i trasferimenti successivi o delle misure di sicurezza supplementari.

Cfr. la parte 2 dello schema 1.

‍

Frequenza del trasferimento (ad esempio, se i dati sono trasferiti su base una tantum o continua).

Cfr. la parte 2 dello schema 1.

‍

Natura del trattamento

Cfr. la parte 2 dello schema 1.

‍

Finalità del trasferimento e ulteriore trattamento dei dati

Cfr. la parte 2 dello schema 1.

‍

Il periodo per il quale i dati personali saranno conservati o, qualora ciò non sia possibile, i criteri utilizzati per determinare tale periodo

Cfr. la parte 2 dello schema 1.

‍

Per i trasferimenti al (sotto) trasformatore, specificare anche l'oggetto, la natura e la durata del trattamento

Cfr. la parte 5 dello schema 1.

‍

C. AUTORITÀ COMPETENTE DI VIGILANZA

‍

Identificare l’autorità o le autorità di vigilanza competenti conformemente alla clausola 13.

Cfr. la parte 3 dello schema 1.

‍

ANNEX II

MISURE TECNICHE E ORGANIZZATIVE COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARA LA SICUREZZA DEI DATI

‍

Cfr. la parte 4 dello schema 1.

‍

MODULO 2: CONTROLLER-TO-PROCESSORE

‍

SEZIONE I

‍

Articolo 1

Scopo e campo di applicazione

‍

(a) Scopo di tali clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (6) per il trasferimento dei dati verso un paese terzo.

‍

(b) Le Parti:

‍

(i) le persone fisiche o giuridiche, le autorità pubbliche, le agenzie/i o altri organismi/i (di seguito «entità/i») che trasferiscono i dati personali elencati nell’allegato I. (di seguito «esportatore di dati»), e

‍

(ii) l'entità/i in un paese terzo che riceve i dati personali dall'esportatore, direttamente o indirettamente attraverso un'altra entità anche Parte delle presenti clausole, elencate nell'allegato I. (di seguito «importatore di dati»)

‍

hanno acconsentito a tali clausole contrattuali standard (di seguito «clausole»).

‍

(d) L'appendice delle presenti clausole contenenti gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.

‍

Articolo 2

Effetto e invariabilità delle Clausole

‍

(b) Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto l'esportatore di dati in virtù del regolamento (UE) 2016/679.

‍

Articolo 3

Beneficiari di terzi

‍

(a) Gli interessati possono invocare e far rispettare le presenti Clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore di dati, con le seguenti eccezioni:

‍

(i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Punto 7;

‍

(ii) clausola 8.1(b), 8.9(a), (c), (d) and (e);

‍

(iii) Clausola 9, lettere a), c), d) ed e);

‍

(iv) Clausola 12, lettere a), d) e f);

‍

(v) clausola 13;

‍

(vi) clausola 15.1, lettere c), d) ed e);

‍

(vii) Clausola 16, E);

‍

(viii) Clausola 18, lettere a) e b).

‍

(b) Il paragrafo (a) lascia impregiudicati i diritti degli interessati ai sensi del regolamento (UE) 2016/679.

‍

Articolo 4

Interpretazione

‍

(a) Qualora tali clausole utilizzino termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di tale regolamento.

‍

(b) Le presenti clausole devono essere lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.

‍

(c) Le presenti clausole non devono essere interpretate in modo da essere in conflitto con i diritti e gli obblighi di cui al regolamento (UE) 2016/679.

‍

Articolo 5

Hierarchy

‍

Clausola 6

Descrizione del o dei trasferimenti

‍

I dettagli dei trasferimenti, e in particolare le categorie di dati personali che sono trasferiti e le finalità per le quali sono trasferiti, sono specificate nell’allegato I.B.

‍

Clausola 7

Clausola di aggancio facoltativa

‍

NON UTILIZZATO

‍

SEZIONE II – OBBLIGHI DELLE PARTI

‍

Clausola 8

Garanzie per la protezione dei dati

‍

8.1 Istruzioni

‍

(a) L'importatore di dati tratta i dati personali solo su istruzioni documentate dell'esportatore. L’esportatore può impartire tali istruzioni per tutta la durata del contratto.

‍

(b) L'importatore di dati informa immediatamente l'esportatore di dati se non è in grado di seguire tali istruzioni.

‍

8.2 Limitazione delle finalità

‍

L’importatore di dati tratta i dati personali solo per la finalità o le finalità specifiche del trasferimento, come indicato nell’allegato I. , a meno che su ulteriori istruzioni da parte dell'esportatore di dati.

‍

8.3 Trasparenza

‍

Su richiesta, l’esportatore di dati fa una copia delle presenti clausole, che include l’appendice compilata dalle parti, a disposizione dell’interessato gratuitamente. Nella misura necessaria per proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell’allegato II e i dati personali, l'esportatore di dati può modificare parte del testo dell'appendice delle presenti clausole prima di condividere una copia, ma fornisce una sintesi significativa se l’interessato non sarebbe altrimenti in grado di comprenderne il contenuto o di esercitare i suoi diritti. Su richiesta, le parti forniscono all'interessato i motivi delle redazioni, per quanto possibile, senza rivelare le informazioni redatte. La presente clausola lascia impregiudicati gli obblighi dell'esportatore di dati a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.

‍

8.4 Precisione

‍

Se l'importatore di dati si rende conto che i dati personali ricevuti sono inesatti, o è divenuto obsoleto, ne informa senza indebito ritardo l’esportatore. In tal caso, l’importatore di dati coopera con l’esportatore di dati per cancellare o rettificare i dati.

‍

8.5 Durata del trattamento e cancellazione o restituzione dei dati

‍

Il trattamento da parte dell’importatore di dati ha luogo solo per la durata specificata nell’allegato I.B. Dopo la fine della prestazione dei servizi di trattamento, l'importatore di dati, a scelta dell'esportatore, cancellare tutti i dati personali trattati per conto dell’esportatore di dati e certificare all’esportatore di aver provveduto in tal senso, o restituire all'esportatore tutti i dati personali trattati per suo conto e cancellare le copie esistenti. Fino a quando i dati non saranno cancellati o restituiti, l'importatore continua a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all’importatore di dati che vietano la restituzione o la cancellazione dei dati personali, l’importatore di dati garantisce che continuerà a garantire il rispetto delle presenti clausole e le tratterà solo nella misura e per il tempo prescritti dalla normativa locale. Ciò non pregiudica la clausola 14, in particolare l’obbligo per l’importatore di dati di cui alla clausola 14, lettera e), di notificare all’esportatore di dati per tutta la durata del contratto se ha motivo di ritenere che sia o sia stato soggetto a leggi o prassi non conformi ai requisiti di cui alla clausola 14, lettera a).

‍

8.6 Sicurezza del trattamento

‍

(a) L'importatore di dati e, durante la trasmissione, anche l'esportatore di dati attuano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, alterazione, divulgazione non autorizzata o accesso a tali dati (di seguito «violazione dei dati personali»). Nel valutare il livello di sicurezza appropriato, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, la natura, la portata, il contesto e le finalità del trattamento e i rischi connessi al trattamento per gli interessati. Le parti prendono in considerazione in particolare il ricorso alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, se lo scopo del trattamento può essere soddisfatto in questo modo. In caso di pseudonimizzazione, le informazioni supplementari per l'attribuzione dei dati personali a uno specifico interessato, se possibile, restano sotto il controllo esclusivo dell'esportatore di dati. Nell'ottemperare agli obblighi di cui al presente paragrafo, l'importatore di dati attua almeno le misure tecniche e organizzative specificate nell'allegato II. L'importatore di dati effettua controlli regolari per garantire che tali misure continuino a garantire un livello adeguato di sicurezza.

‍

(b) L'importatore di dati concede l'accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l'attuazione, gestione e controllo del contratto. Essa garantisce che le persone autorizzate a trattare i dati personali si siano impegnate a rispettare la riservatezza o siano soggette ad un adeguato obbligo legale di riservatezza.

‍

(c) In caso di violazione di dati personali relativi a dati personali trattati dall'importatore ai sensi delle presenti Clausole, l'importatore dei dati adotta le misure appropriate per affrontare la violazione, comprese le misure per attenuarne gli effetti negativi. L’importatore di dati informa inoltre l’esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica contiene i dettagli di un punto di contatto in cui è possibile ottenere maggiori informazioni, una descrizione della natura della violazione (compresa, se possibile, categorie e numero approssimativo di interessati e dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, misure per attenuarne i possibili effetti negativi. Dove e nella misura in cui non è possibile fornire tutte le informazioni allo stesso tempo, la notifica iniziale contiene le informazioni allora disponibili e ulteriori informazioni sono successivamente fornite senza indebiti ritardi.

‍

(d) L'importatore di dati collabora e assiste l'esportatore di dati per consentire all'esportatore di ottemperare agli obblighi che gli incombono a norma del regolamento (UE) 2016/679, in particolare per notificare all’autorità di controllo competente e agli interessati interessati, tenendo conto della natura del trattamento e delle informazioni di cui dispone l’importatore.

‍

8.7 Dati sensibili

‍

8.8 Trasferimenti successivi

‍

L’importatore di dati comunica i dati personali a terzi solo su istruzioni documentate dell’esportatore. Inoltre, i dati possono essere comunicati solo a terzi situati al di fuori dell'Unione europea (7) (nello stesso paese dell'importatore di dati o in un altro paese terzo, di seguito «trasferimento successivo») se il terzo è o accetta di essere vincolato dalle presenti clausole, secondo il modulo appropriato, o se:

(i) il trasferimento successivo è effettuato in un paese che beneficia di una decisione di adeguatezza a norma dell'articolo 45 del regolamento (UE) 2016/679 relativa al trasferimento successivo;

(ii) il terzo garantisce altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del regolamento (UE) 2016/679 per quanto riguarda il trattamento in questione;

(iii) il trasferimento successivo è necessario per lo stabilimento, l’esercizio o la difesa di azioni legali nel contesto di procedimenti amministrativi, regolamentari o giudiziari specifici; o

(iv) il trasferimento successivo è necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica.
‍

‍

8.9 Documentazione e conformità

‍

(a) L'importatore di dati tratta tempestivamente e adeguatamente le richieste dell'esportatore di dati relative al trattamento ai sensi delle presenti clausole.

(b) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. In particolare, l’importatore conserva l’opportuna documentazione sulle attività di trattamento svolte per conto dell’esportatore di dati.

(c) L’importatore di dati mette a disposizione dell’esportatore di dati tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alle presenti clausole e su richiesta dell’esportatore, consentire e contribuire agli audit delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di non conformità. Nel decidere in merito a un riesame o a un audit, l’esportatore può tenere conto delle pertinenti certificazioni detenute dall’importatore di dati.

(d) L'esportatore di dati può scegliere di effettuare direttamente la revisione o di incaricare un revisore indipendente. Gli audit possono comprendere ispezioni nei locali o negli impianti fisici dell’importatore di dati e, se del caso, sono effettuati con ragionevole preavviso.

(e) Le parti comunicano le informazioni di cui alle lettere b) e c), inclusi, su richiesta, i risultati di eventuali revisioni contabili a disposizione dell’autorità di vigilanza competente.
‍

‍

Articolo 9

Uso di subprocessori

‍

(a) L'importatore di dati ha l'autorizzazione generale dell'esportatore per l'incarico di un subincaricato da un elenco concordato. L’importatore informa specificamente per iscritto l’esportatore di dati di tutte le modifiche che intende apportare a tale elenco mediante l’aggiunta o la sostituzione di subtrasformatori con almeno trenta (30) giorni di anticipo, accordando così all’esportatore il tempo sufficiente per opporsi a tali modifiche prima dell’impegno del subincaricato/dei subincaricato/i. L’importatore fornisce all’esportatore le informazioni necessarie per consentire all’esportatore di esercitare il suo diritto di opposizione.

‍

(b) Qualora l'importatore di dati si avvalga di un subincaricato per svolgere specifiche attività di trattamento (per conto dell'esportatore), lo fa mediante contratto scritto che prevede, in sostanza, gli stessi obblighi in materia di protezione dei dati che vincolano l’importatore di dati ai sensi delle presenti clausole, anche in termini di diritti dei terzi beneficiari per gli interessati. (8) Le parti convengono che, ottemperando alla presente clausola, l'importatore di dati ottempera ai propri obblighi ai sensi della clausola 8.8. L'importatore garantisce che il subincaricato rispetti gli obblighi cui è soggetto l'importatore in virtù delle presenti clausole.

‍

(c) L'importatore di dati fornisce, su richiesta dell'esportatore, una copia di tale accordo di subincaricato e le successive modifiche all’esportatore. Nella misura necessaria per proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l'importatore può redigere il testo dell'accordo prima di condividere una copia.

(d) L'importatore di dati resta pienamente responsabile nei confronti dell'esportatore di dati dell'adempimento degli obblighi del subincaricato in virtù del contratto con l'importatore di dati. L’importatore comunica all’esportatore di dati qualsiasi inadempimento da parte del subincaricato degli obblighi derivanti da tale contratto.

‍

(e) L'importatore di dati concorda con il subincaricato una clausola di terzo beneficiario in base alla quale, nel caso in cui l'importatore di dati sia scomparso di fatto, cessato di esistere in diritto o è diventato insolvente – l’esportatore ha il diritto di risolvere il contratto del subincaricato e di ordinare al subincaricato di cancellare o restituire i dati personali.

‍

Articolo 10

Diritti degli interessati

‍

(a) L'importatore di dati comunica prontamente all'esportatore di dati qualsiasi richiesta ricevuta da un interessato. Essa non risponde a tale richiesta se non è stata autorizzata dall'esportatore di dati.

‍

(b) L'importatore di dati assiste l'esportatore di dati nell'adempimento dei suoi obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del regolamento (UE) 2016/679. A tale riguardo, le parti stabiliscono nell'allegato II le opportune misure tecniche e organizzative, tenendo conto della natura della trasformazione, mediante la quale è fornita l’assistenza, nonché la portata e la portata dell'assistenza necessaria.

‍

(c) Nell'adempimento degli obblighi di cui alle lettere a) e b), l'importatore di dati rispetta le istruzioni dell'esportatore di dati.

‍

Clausola 11

Redress

‍

l'importatore accetta la decisione dell'interessato di:

‍

(i) presenta un reclamo all'autorità di controllo dello Stato membro della sua residenza abituale o del suo luogo di lavoro, o l’autorità di vigilanza competente ai sensi della clausola 13;

‍

(ii) deferire la controversia ai tribunali competenti ai sensi della clausola 18.

‍

(e) L'importatore di dati rispetta una decisione vincolante ai sensi della normativa applicabile dell'UE o dello Stato membro.

‍

(f) L'importatore di dati conviene che la scelta fatta dall'interessato non pregiudicherà i suoi diritti sostanziali e procedurali di proporre ricorso conformemente alle leggi applicabili.

‍

Clausola 12

Responsabilità

‍

(a) Ciascuna Parte è responsabile nei confronti dell'altra Parte per i danni che essa provoca all'altra Parte per violazione delle presenti Clausole.

‍

(b) L'importatore di dati è responsabile nei confronti dell'interessato e l'interessato ha diritto a ricevere un risarcimento, in caso di danni materiali o non materiali, l’importatore o il suo subincaricato causano l’interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole.

‍

(c) In deroga alla lettera b), l'esportatore di dati è responsabile nei confronti dell'interessato e l'interessato ha diritto a ricevere un risarcimento, per qualsiasi danno materiale o non materiale, l'esportatore o l'importatore (o il suo subprocessore) provoca l'interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole. Ciò non pregiudica la responsabilità dell’esportatore di dati e, se l’esportatore di dati è un incaricato del trattamento che agisce per conto di un responsabile del trattamento, alla responsabilità del responsabile del trattamento a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda dei casi.

‍

(d) Le parti convengono che se l'esportatore dei dati è ritenuto responsabile ai sensi della lettera c) per i danni causati dall'importatore (o dal suo subtrasformatore), ha diritto di chiedere all’importatore di dati che parte del risarcimento corrispondente alla responsabilità dell’importatore di dati per il danno.

‍

(e) Qualora più parti siano responsabili di eventuali danni causati all'interessato in seguito alla violazione delle presenti clausole, tutte le Parti responsabili sono responsabili in solido e l'interessato ha il diritto di adire un tribunale nei confronti di una di queste Parti.

‍

(f) Le Parti convengono che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), Il presente accordo entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

‍

(g) L'importatore di dati non può invocare il comportamento di un subincaricato per evitare la propria responsabilità.

‍

Clausola 13

Vigilanza

‍

(a) L'autorità di controllo di uno degli Stati membri in cui gli interessati i cui dati personali sono trasferiti ai sensi delle presenti clausole in relazione all'offerta di beni o servizi ad essi destinata, o il cui comportamento è monitorato, sono situati, come indicato nell’allegato I. , funge da autorità di vigilanza competente.
‍

‍

SEZIONE III – LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

‍

Clausola 14

Legislazione e pratiche locali che incidono sul rispetto delle clausole

‍

(b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto in particolare dei seguenti elementi:

‍

(d) Le parti convengono di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell'autorità di vigilanza competente su richiesta.

‍

Clausola 15

Obblighi dell'importatore di dati in caso di accesso da parte delle autorità pubbliche

‍

15.1 Notifica

‍

(a) L'importatore di dati accetta di notificare l'esportatore e, ove possibile, la persona interessata prontamente (se necessario con l’aiuto dell’esportatore) se:

‍

15.2 Revisione della legalità e minimizzazione dei dati

‍

SEZIONE IV – DISPOSIZIONI FINALI

‍

Clausola 16

Inosservanza delle clausole e risoluzione

‍

(a) L'importatore di dati informa tempestivamente l'esportatore di dati se non è in grado di rispettare le presenti clausole per qualsiasi motivo.

‍

(c) L'esportatore di dati ha il diritto di recedere dal contratto, per quanto riguarda il trattamento dei dati personali ai sensi delle presenti Clausole, qualora:

‍

(ii) l'importatore di dati viola in modo sostanziale o persistente le presenti clausole; oppure

‍

(iii) l'importatore di dati non rispetta una decisione vincolante di un'autorità giudiziaria o di controllo competente in merito agli obblighi che gli incombono in virtù delle presenti clausole.

‍

Clausola 17

Legge applicabile

‍

Clausola 18

Scelta del foro e giurisdizione

‍

(a) Qualsiasi controversia derivante dalle presenti Clausole deve essere risolta dai giudici di uno Stato membro dell'UE.

‍

(b) Le parti convengono che questi siano i tribunali dell'Irlanda.

‍

(c) Una persona interessata può anche intentare un'azione legale contro l'esportatore e/o l'importatore di dati dinanzi ai giudici dello Stato membro in cui ha la residenza abituale.

‍

(d) Le parti convengono di sottoporsi alla giurisdizione di tali tribunali.

‍

APPENDICE

ANNEX I

‍

A. ELENCO DELLE PARTI

‍

Esportatore/i di dati: [Identità e coordinate dell'esportatore/i di dati e se del caso, del suo responsabile della protezione dei dati e/o del suo rappresentante nell'Unione europea]

Nome: Cfr. parte 1 dello schema 1.

Indirizzo: Cfr. parte 1 dello schema 1

Nome, posizione e recapito della persona di contatto: cfr. parte 1 dello schema 1

Attività relative ai dati trasferiti ai sensi delle presenti clausole: cfr. parte 1 dello schema 1

Ruolo (controllore/processore): cfr. parte 1 dello schema 1

‍

Importatore/i di dati: [Identità e dati di contatto dello/degli importatore/i di dati, compresi eventuali referenti responsabili della protezione dei dati]

Nome: Cfr. parte 1 dello schema 1

Indirizzo: Cfr. parte 1 dello schema 1

Nome, posizione e recapito della persona di contatto: cfr. parte 1 dello schema 1

Attività relative ai dati trasferiti ai sensi delle presenti clausole: cfr. parte 1 dello schema 1

Ruolo (controllore/processore): cfr. parte 1 dello schema 1

‍

B. DESCRIZIONE DEL TRASFERIMENTO

‍

Categorie di interessati i cui dati personali sono trasferiti

Cfr. la parte 2 dello schema 1.

‍

Categorie di dati personali trasferiti

Cfr. la parte 2 dello schema 1.

‍

Cfr. la parte 2 dello schema 1.

‍

Frequenza del trasferimento (ad esempio, se i dati sono trasferiti su base una tantum o continua).

Cfr. la parte 2 dello schema 1.

‍

Natura del trattamento

Cfr. la parte 2 dello schema 1.

‍

Finalità del trasferimento e ulteriore trattamento dei dati

Cfr. la parte 2 dello schema 1.

‍

Il periodo per il quale i dati personali saranno conservati o, qualora ciò non sia possibile, i criteri utilizzati per determinare tale periodo

Cfr. la parte 2 dello schema 1.

‍

Per i trasferimenti al (sotto) trasformatore, specificare anche l'oggetto, la natura e la durata del trattamento

Cfr. la parte 5 dello schema 1.

‍

C. AUTORITÀ COMPETENTE DI VIGILANZA

‍

Identificare l’autorità o le autorità di vigilanza competenti conformemente alla clausola 13.

Cfr. la parte 3 dello schema 1.

‍

ANNEX II

MISURE TECNICHE E ORGANIZZATIVE COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARA LA SICUREZZA DEI DATI

‍

Cfr. la parte 4 dello schema 1.

‍

ANNEX III

‍

ELENCO DEI SUB PROCESSORI

‍

Cfr. la parte 5 dello schema 1.

‍

UK International Data Transfer Addendum ai CSSC dell'UE

‍

Il presente addendum è stato pubblicato dal Commissario per l'informazione per le parti che effettuano trasferimenti limitati. Il Commissario responsabile dell'informazione ritiene che fornisca adeguate salvaguardie per i trasferimenti ristretti quando è stipulato come contratto giuridicamente vincolante.

Parte 1: Tabelle

‍

Tabella 1: Parti

Start date	The date shall be the same as the date of the relevant agreement.
The Parties	Exporter (who sends the Restricted Transfer)	Importer (who receives the Restricted Transfer)
Parties’ details	See Part 1 of Schedule 1	See Part 1 of Schedule 1
Key Contact	See Part 1 of Schedule 1	See Part 1 of Schedule 1

‍

Tabella 2: SCC, moduli selezionati e clausole selezionate

Addendum EU SCCs	☒ The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information: Date: The date shall be the same as the date of the relevant agreement Reference (if any): Module 1: Controller-to-Controller and Module 2: Controller-to-Processor Other identifier (if any): Not used

‍

Tabella 3: Informazioni Sull'Appendice

“Appendice informazioni” le informazioni che devono essere fornite per i moduli selezionati come indicato nell’appendice dei CSC UE approvati (diverse dalle Parti), e che per il presente addendum è indicato:

Annex 1A: List of Parties: Part 1 of Schedule 1
Annex 1B: Description of Transfer: Part 2 of Schedule 1
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: Part 4 of Schedule 1

‍

Tabella 4: Fine del presente addendum quando l’addendum approvato è modificato

Ending this Addendum when the Approved Addendum changes	Which Parties may end this Addendum as set out in Section ‎19: ☒ Importer ☒ Exporter ☐ neither Party

‍

Parte 2: Clausole Obbligatorie

Mandatory Clauses	Part 2: Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 28 January 2022, as it is revised under Section ‎‎18 of those Mandatory Clauses.

‍

SCHEDA 1

‍

DESCRIZIONE DEL TRASFERIMENTO

‍

La parte 1, la parte 2, la parte 3 e la parte 4 del presente schema fanno parte dei CSSC dell'UE (modulo 1 e modulo 2)

‍

La parte 1, la parte 2, la parte 3 e la parte 4 della presente tabella fanno parte dei CCS del Regno Unito

‍

PARTE 1

‍

ESPORTATORI DI DATI E IMPORTATORI DI DATI

‍

ESPORTATORI DI DATI

‍

Gli esportatori di dati sono:

‍

Tutti i titolari e i responsabili del trattamento stabiliti nel SEE e/o nel Regno Unito che trasferiscono i dati personali a un destinatario stabilito al di fuori del SEE, il Regno Unito o un paese adeguato, come specificato nel pertinente accordo, tra cui GVE Global Vision Inc. con sede legale in 16800 Rte Transcanadienne, Kirkland, Quebec, H9H 4M7, Canada.

Ruolo (controllore/processore):

(1) Modulo 1: Controller-to-Controller
Controller

(2) Modulo 2: Controller-to-Processor
Controllore o Processore

‍

IMPORTATORI DI DATI

‍

I dati importatori sono:

‍

Tutti i titolari e i responsabili del trattamento stabiliti al di fuori del SEE e/o del Regno Unito ai quali i dati personali sono trasferiti dai titolari e dai responsabili del trattamento stabiliti nel SEE, il Regno Unito o che accedono ai dati personali provenienti da paesi terzi del SEE, del Regno Unito o di un paese adeguato, come specificato nel pertinente accordo, tra cui GVE Global Vision Inc. con sede legale in 16800 Rte Transcanadienne, Kirkland, Quebec, H9H 4M7, Canada.

‍

Ruolo (controllore/processore):

‍

1) Modulo 1: Controller-to-Controller

Controllore

‍

(2) Modulo 2: Controller-to-Processor

Controllore o processore

‍

ATTIVITÀ RILEVANTE AL TRASFERIMENTO

‍

Il funzionamento dell'attività di GVE Global Vision Inc. richiede il trasferimento transfrontaliero o i dati personali tra gli esportatori di dati e gli importatori di dati.

‍

PUNTO DI CONTATTO PER LE QUESTIONI DI PROTEZIONE DEI DATI

‍

GVE Global Vision Inc.

Via email: privacy@globalvision.co

Via posta GVE Global Vision Inc.

Attn: Dipartimento Di Conformità

16800 Route Trans-Canada

Kirkland, Quebec, H9H 4M7

Canada

‍

Il nostro responsabile della protezione dei dati, o responsabile della privacy, che è il Direttore della Governance, Il rischio e la conformità possono essere contattati all’indirizzo di posta elettronica o postale sopra indicato.

‍

PARTE 2

DESCRIZIONE DEL TRASFORMAZIONE E DEL TRASFERIMENTO

‍

Categorie di interessati i cui dati personali sono trasferiti

I dati personali trattati e trasferiti riguardano le categorie di soggetti interessati del follo:

Clienti commerciali e i loro utenti autorizzati
Visitatori del sito

‍

Categorie di dati personali trasferiti

I dati personali trattati e trasferiti riguardano le seguenti categorie di dati:

Identificazione e informazioni di contatto
Account e dati di autenticazione
Utilizzo, dispositivo e dati tecnici

‍

Sensitive dati trasferiti (se del caso) e applicati restrizioni o salvaguardie che tengono pienamente conto della natura dei dati e dei rischi connessi, ad esempio la limitazione rigorosa delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), tenere un registro dell’accesso ai dati, delle restrizioni per i trasferimenti successivi o delle misure di sicurezza supplementari.

Non intenzionalmente elaborato.

‍

Le misure tecniche e organizzative relative ai dati sensibili figurano nella parte 4 dello schema 1.

‍

Frequenza del trasferimento (ad esempio, se i dati sono trasferiti su base una tantum o continua).

La frequenza dei trasferimenti di dati personali tra l'esportatore di dati e l'importatore di dati sarà in corso per la durata dell'accordo tra l'esportatore di dati e l'importatore di dati o su base occasionale per i visitatori di siti web.

‍

Natura del trattamento

La natura del trattamento comprende (in ogni caso, se necessario ai fini indicati di seguito):

Raccogliere, ricevere, pettinare, accedere, rivedere, organizzare, strutturare, alterare, adattare, analizzare e utilizzare i dati personali
Registrazione, conservazione, archiviazione e cancellazione dei dati personali
Comunicazione, trasferimento e condivisione di dati personali (anche con gli importatori di dati, i loro partner e il loro personale; fornitori di servizi terzi degli importatori di dati e del personale di tali fornitori di servizi terzi; organi giuridici e di regolamentazione, tribunali, agenzie governative e autorità di contrasto; consulenti professionali, revisori e consulenti finanziari; organizzazioni e consulenti finanziari
Come altrimenti richiesto per le finalità indicate di seguito.

‍

Finalità del trasferimento e ulteriore trattamento dei dati

Il trattamento e il trasferimento dei dati personali sono effettuati per le seguenti finalità:

Fornire i nostri prodotti e fornire i nostri servizi
Fornire assistenza clienti
Migliorare i nostri prodotti e servizi
Analisi di adozione dell'utente
Monitoraggio sovradosaggio
Invio di comunicazioni di marketing
Organizzare eventi
Mantenere la sicurezza dei nostri prodotti e servizi
Rispettare i nostri obblighi legali

‍

Il periodo per il quale i dati personali saranno conservati o, qualora ciò non sia possibile, i criteri utilizzati per determinare tale periodo

I termini per la conservazione dei dati personali saranno determinati tenendo conto dei requisiti della legge applicabile e delle finalità per le quali i dati personali sono trattati, tenendo conto degli obblighi giuridici e regolamentari, dei termini di prescrizione per intraprendere azioni legali, delle buone pratiche e di GVE Global Vision Inc. s scopi commerciali.

‍

Per i trasferimenti al (sotto) trasformatore, specificare anche l'oggetto, la natura e la durata del trattamento.

‍

Modulo 1: Controller-to-Controller

Non pertinente

‍

Modulo 2: Controller-to-Processor

Lo scopo, la natura e la durata dei trasferimenti ai responsabili del trattamento e ai subprocessori sono come descritto in precedenza, nel rispetto dei requisiti del modulo 2: CCS responsabili del trattamento dei dati.

‍

PARTE 3

‍

AUTORITÀ COMPETENTE DI VIGILANZA (CCS UE)

‍

Ai fini della clausola 13 del CSS, l’autorità di vigilanza competente e la legge applicabile e la giurisdizione per le CNC dell’UE sono considerate come quella dell’Irlanda.

‍

PARTE 4

‍

MISURE TECNICHE E ORGANIZZATIVE COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARA LA SICUREZZA DEI DATI

‍

GVE Global Vision Inc. ha implementato le seguenti misure tecniche e organizzative per garantire la sicurezza dei dati personali:

‍

Misure di cifratura dei dati personali

GVE Global Vision Inc. protegge i dati personali attraverso una combinazione di crittografia forte (a riposo e in transito), controlli dell'accesso, e politiche organizzative, in linea con gli standard del settore e le normative sulla privacy.

‍

Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

GVE Global Vision Inc. garantisce una costante riservatezza, integrità, disponibilità e resilienza dei suoi sistemi e servizi di trattamento attraverso un approccio a più livelli di tecnico, controlli organizzativi, e procedurali, in linea con le migliori pratiche e regolarmente rivisti per l'efficacia.

‍

Misure volte a garantire la capacità di ripristinare la disponibilità e l’accesso tempestivo ai dati personali in caso di incidente fisico o tecnico

GVE Global Vision Inc. ha stabilito gli obiettivi di RTO e RPO. Sulla base di questi obiettivi, la protezione e il ripristino dell'accesso e dei dati personali provengono dai backup. Questi backup fanno parte di un piano olistico di continuità aziendale. Questo piano è testato ad intervalli regolari.

‍

Processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

GVE Global Vision Inc. garantisce la costante efficacia delle sue misure di sicurezza tecniche e organizzative attraverso un programma strutturato di audit, valutazioni di vulnerabilità, test di penetrazione, revisioni delle politiche, sessioni tabletop, formazione dei dipendenti e relazioni periodiche di gestione. Questi processi sono documentati, regolarmente aggiornati e allineati agli standard internazionali. GVE Global Vision Inc. è certificata ISO 27001 e ISO 9001.

‍

Misure di identificazione e autorizzazione degli utenti

GVE Global Vision Inc. garantisce l'identificazione e l'autorizzazione sicura dell'utente attraverso ID utente univochi, gestione centralizzata dell'identità, RBAC, autenticazione forte (inclusa MFA), revisioni periodiche degli accessi e monitoraggio completo. Tali misure sono disciplinate da politiche documentate e da una formazione regolare.

‍

Misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati

GVE Global Vision Inc. garantisce la sicurezza fisica delle sedi di trattamento dei dati personali mediante accesso ristretto, controlli elettronici di ingresso; sorveglianza, tutela ambientale, gestione sicura delle attrezzature, audit periodici e formazione dei dipendenti. Tali misure sono disciplinate da politiche formali e sono conformi alle norme internazionali. Global Vision è certificato ISO 27001 e ISO 9001.

‍

Misure per garantire la registrazione degli eventi

GVE Global Vision Inc. assicura che i sistemi siano monitorati attraverso diversi sottoinsiemi di strumenti. I registri sono memorizzati e mantenuti in base alla politica di conservazione dei dati di Global Vision.

‍

Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita

GVE Global Vision Inc. assicura la configurazione sicura del sistema imponendo basi rinforzate, rivedendo e aggiornando le impostazioni predefinite, utilizzando strumenti di configurazione automatizzata e di gestione delle patch, applicare le politiche di controllo dell'accesso, condurre audit e mantenere una documentazione completa e una formazione del personale.

‍

Misure di governance e gestione interna della sicurezza informatica e informatica

GVE Global Vision Inc. s la governance interna in materia di sicurezza informatica e informatica si basa su ruoli chiari, politiche, gestione del rischio, conformità con gli standard, monitoraggio continuo, gestione formale del cambiamento, formazione regolare, gestione del fornitore e audit e miglioramenti continui.

‍

Misure di certificazione/garanzia dei processi e dei prodotti

GVE Global Vision Inc. garantisce la certificazione e la garanzia dei suoi processi e prodotti attraverso l'allineamento con gli standard internazionali come ISO 27001 (sicurezza dell'informazione) e ISO 9001 (gestione della qualità), audit interni ed esterni regolari, valutazioni indipendenti di terzi, pratiche sicure di sviluppo e di QA, politiche formali e un impegno a migliorare costantemente.

‍

Misure per garantire la qualità dei dati

GVE Global Vision Inc. garantisce la qualità dei dati attraverso controlli di convalida, revisioni periodiche, meccanismi di correzione, restrizioni di accesso, percorsi di audit, formazione del personale e politiche formali.

‍

Misure per garantire la conservazione limitata dei dati

I dati vengono cancellati su richiesta scritta del cliente in qualsiasi momento.

‍

Misure per garantire la responsabilità

GVE Global Vision Inc. garantisce la responsabilità attraverso controlli di accesso (RBAC, autenticazione, revisioni degli accessi, percorsi di audit, separazione dei compiti), una governance chiara, politiche globali, formazione obbligatoria, documentazione approfondita, valutazioni dei rischi e audit regolari, segnalazione di incidenti, miglioramento continuo e rigorosa gestione di terze parti.

‍

PARTE 5

‍

SUB-PROCESSORI

‍

È possibile accedere a un elenco dei sub-processori di GVE Global Vision Inc. tramite il seguente link: https://trust.globalvision.co/subprocessors

‍

¹ Se l'esportatore di dati è un incaricato del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un'istituzione o di un organismo dell'Unione in qualità di responsabile del trattamento, L'affidamento alle presenti Clausole nel ricorrere a un altro incaricato del trattamento (trattamento secondario) non soggetto al regolamento (UE) 2016/679 garantisce inoltre il rispetto dell'articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni dell'Unione, organismi, uffici e agenzie e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21. 1.2018, pag. 39), nella misura in cui tali clausole e gli obblighi in materia di protezione dei dati di cui al contratto o ad altro atto giuridico tra il responsabile del trattamento e il responsabile del trattamento a norma dell'articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 sono allineati. Ciò avverrà in particolare nel caso in cui il responsabile del trattamento e l’incaricato del trattamento si basino sulle clausole contrattuali tipo di cui alla decisione 2021/915.

² Questo richiede di rendere i dati anonimi in modo che l'individuo non sia più identificabile da nessuno, in linea con il considerando 26 del regolamento (UE) 2016/679 e che tale processo è irreversibile.

³ L'accordo sullo Spazio economico europeo (accordo SEE) prevede l'estensione del mercato interno dell'Unione europea ai tre Stati SEE Islanda, Liechtenstein e Norvegia. La normativa dell'Unione in materia di protezione dei dati, compreso il regolamento (UE) 2016/679, è disciplinata dall'accordo SEE ed è stata integrata nell'allegato XI. Pertanto, qualsiasi comunicazione da parte dell’importatore di dati a un terzo situato nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole.

⁴ Tale periodo può essere prorogato di un massimo di altri due mesi, nella misura necessaria, tenendo conto della complessità e del numero di richieste. L’importatore di dati informa debitamente e prontamente l’interessato di tale proroga.

⁵ Per quanto riguarda l'impatto di tali leggi e pratiche sul rispetto delle presenti clausole, elementi diversi possono essere considerati parte di una valutazione globale. Tali elementi possono comprendere un’esperienza pratica pertinente e documentata con precedenti istanze di richieste di divulgazione da parte delle autorità pubbliche, l’assenza di tali richieste, che coprano un lasso di tempo sufficientemente rappresentativo. Ciò si riferisce in particolare ai registri interni o ad altra documentazione, redatta su base continuativa conformemente alla dovuta diligenza e certificata a livello di alta dirigenza, purché tali informazioni possano essere legittimamente condivise con terzi. Quando si fa affidamento su questa esperienza pratica per concludere che all’importatore di dati non sarà impedito di rispettare le presenti clausole, deve essere sostenuta da altri elementi pertinenti e oggettivi, e spetta alle parti valutare attentamente se questi elementi insieme abbiano un peso sufficiente, in termini di affidabilità e rappresentatività, a sostegno di questa conclusione. In particolare, le parti devono tener conto del fatto che la loro esperienza pratica è confermata e non è contraddetta da informazioni accessibili al pubblico o comunque accessibili, informazioni affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legge, ad esempio giurisprudenza e relazioni di organi di controllo indipendenti.

⁶ Se l'esportatore di dati è un incaricato del trattamento soggetto al regolamento (UE) 2016/679 che agisce per conto di un'istituzione o di un organismo dell'Unione in qualità di responsabile del trattamento, L'affidamento alle presenti Clausole nel ricorrere a un altro incaricato del trattamento (trattamento secondario) non soggetto al regolamento (UE) 2016/679 garantisce inoltre il rispetto dell'articolo 29, paragrafo 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni dell'Unione, organismi, uffici e agenzie e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21. 1.2018, pag. 39), nella misura in cui tali clausole e gli obblighi in materia di protezione dei dati di cui al contratto o ad altro atto giuridico tra il responsabile del trattamento e il responsabile del trattamento a norma dell'articolo 29, paragrafo 3, del regolamento (UE) 2018/1725 sono allineati. Ciò avverrà in particolare nel caso in cui il responsabile del trattamento e l’incaricato del trattamento si basino sulle clausole contrattuali tipo di cui alla decisione 2021/915.

⁷ L'accordo sullo Spazio economico europeo (accordo SEE) prevede l'estensione del mercato interno dell'Unione europea ai tre Stati SEE Islanda, Liechtenstein e Norvegia. La normativa dell'Unione in materia di protezione dei dati, compreso il regolamento (UE) 2016/679, è disciplinata dall'accordo SEE ed è stata integrata nell'allegato XI. Pertanto, qualsiasi comunicazione da parte dell’importatore di dati a un terzo situato nel SEE non può essere considerata un trasferimento successivo ai fini delle presenti clausole. affittare rimuovere la nota a piè di pagina aggiunta al punto 8.9 del modulo 2

⁸ Questo requisito può essere soddisfatto dal subprocessore che aderisce alle presenti Clausole nel modulo appropriato, in conformità della clausola 7.

⁹ Per quanto riguarda l'impatto di tali leggi e pratiche sul rispetto delle presenti clausole, elementi diversi possono essere considerati parte di una valutazione globale. Tali elementi possono comprendere un’esperienza pratica pertinente e documentata con precedenti istanze di richieste di divulgazione da parte delle autorità pubbliche, l’assenza di tali richieste, che coprano un lasso di tempo sufficientemente rappresentativo. Ciò si riferisce in particolare ai registri interni o ad altra documentazione, redatta su base continuativa conformemente alla dovuta diligenza e certificata a livello di alta dirigenza, purché tali informazioni possano essere legittimamente condivise con terzi. Quando si fa affidamento su questa esperienza pratica per concludere che all’importatore di dati non sarà impedito di rispettare le presenti clausole, deve essere sostenuta da altri elementi pertinenti e oggettivi, e spetta alle parti valutare attentamente se questi elementi insieme abbiano un peso sufficiente, in termini di affidabilità e rappresentatività, a sostegno di questa conclusione. In particolare, le parti devono tener conto del fatto che la loro esperienza pratica è confermata e non è contraddetta da informazioni accessibili al pubblico o comunque accessibili, informazioni affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legge, ad esempio giurisprudenza e relazioni di organi di controllo indipendenti.

CLAUSOLE CONTRATTUALI DELLA COMMISSIONE DELL'UE (CCS UE) E ADDENDUM DEL Regno Unito

MODULO 1: CONTROLLER-TO-CONTROLLER

SEZIONE I

Clausola 1

Articolo 2

Articolo 3

Clausola 4

Clausola 5

Clausola 6

Clausola 7

SEZIONE II – OBBLIGHI DELLE PARTI

Clausola 8

8.1 Limitazione delle finalità

8.2 Trasparenza

8.3 Precisione e minimizzazione dei dati

8.4 Limitazione dello stoccaggio

8.5 Sicurezza del trattamento

8.6 Dati sensibili

8.7 Trasferimenti successivi

8.8 Trattamento sotto l'autorità dell'importatore di dati

8.9 Documentazione e conformità

Articolo 9

Clausola 10

Clausola 11

Clausola 12

Clausola 13

SEZIONE III – LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14

Clausola 15

15.1 Notifica

15.2 Revisione della legalità e minimizzazione dei dati

SEZIONE IV – DISPOSIZIONI FINALI

Clausola 16

Clausola 17

Clausola 18

APPENDICE

ANNEX I‍

ANNEX II

MODULO 2: CONTROLLER-TO-PROCESSORE

SEZIONE I

Articolo 1

Articolo 2

Articolo 3

Articolo 4

Articolo 5

Clausola 6

Clausola 7

SEZIONE II – OBBLIGHI DELLE PARTI

Clausola 8

8.1 Istruzioni

8.2 Limitazione delle finalità

8.3 Trasparenza

8.4 Precisione

8.5 Durata del trattamento e cancellazione o restituzione dei dati

8.6 Sicurezza del trattamento

8.7 Dati sensibili

8.8 Trasferimenti successivi

8.9 Documentazione e conformità

Articolo 9

Articolo 10

Clausola 11

Clausola 12

Clausola 13

SEZIONE III – LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14

Clausola 15

15.1 Notifica

SEZIONE IV – DISPOSIZIONI FINALI

Clausola 16

Clausola 17

Clausola 18

APPENDICE

ANNEX I

ANNEX II

MISURE TECNICHE E ORGANIZZATIVE COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARA LA SICUREZZA DEI DATI

‍

ANNEX III

ELENCO DEI SUB PROCESSORI

UK International Data Transfer Addendum ai CSSC dell'UE

SCHEDA 1

ANNEX I
‍