DPA/SCC/ADDENDUM

Addendum sul trattamento dei dati e Clausole contrattuali standard

1. RECITAZIONE

Il presente Addendum sul trattamento dei dati [di seguito: "DPA"] è stipulato da e tra Instant EU GDPR Representative LTD, una società a responsabilità limitata, registrata a Dublino, Irlanda, con numero di registro K78 X5P8 e GDPR Local LTD. una società a responsabilità limitata, registrata a Brighton, Inghilterra, con numero di registro 12969035, collettivamente indicate come le "Parti" e singolarmente come la "Parte".

PREMESSO CHE

(a) L'Instant EU GDPR Representative LTD agisce in qualità di Titolare del trattamento dei dati, come definito nella sezione 2 del presente DPA;

(b) GDPR Local LTD agisce in qualità di Responsabile del trattamento dei dati, come definito nella sezione 2 del presente DPA;

(c) Le Parti cercano di attuare un accordo sul trattamento dei dati che sia conforme ai requisiti del quadro giuridico vigente in materia di trattamento dei dati e al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali;

(d) Le Parti desiderano definire i propri diritti e obblighi.

Il presente DPA, compresi i suoi allegati, è integrativo e costituisce parte dell'Accordo scritto [di seguito l '"Accordo"], quando l'Accordo è concluso tra il Titolare del trattamento e un cliente del Titolare del trattamento allo scopo di fornire i Servizi del Titolare del trattamento, come definiti nella clausola 2, come definiti nella clausola 2 del presente DPA.

2. DEFINIZIONI

Le definizioni in maiuscolo non altrimenti definite nel presente documento hanno il significato loro attribuito nel Regolamento generale sulla protezione dei dati (2016/679) del Parlamento europeo e del Consiglio.

Ai fini dell'interpretazione del presente Addendum, i seguenti termini avranno il significato indicato di seguito:

"Legge/e applicabile/i" indica tutte le leggi applicabili in materia di protezione dei dati, privacy e marketing elettronico, tra cui (a seconda dei casi) il GDPR, il Data Protection Act 2018 del Regno Unito e il Privacy and Electronic Communications (EC Directive) Regulations 2003, nonché qualsiasi legge equivalente in qualsiasi parte del mondo, nella misura in cui tali leggi si applichino ai Dati personali che il Responsabile del trattamento deve trattare ai sensi del presente documento;

Per "Titolare del trattamento" si intende il soggetto che determina i mezzi e le finalità del trattamento dei Dati Personali;

"Servizi del Titolare del Trattamento" indica i Servizi di Rappresentanza UE, la Consulenza GDPR e i servizi associati;

"Responsabile del trattamento" indica l'entità che tratta i Dati personali per conto del Titolare del trattamento;

"Servizi di elaborazione dati" indica i Servizi di rappresentanza del Regno Unito;

" GDPR " indica il Regolamento generale sulla protezione dei dati UE 2016/679 del Parlamento europeo e del Consiglio e ogni successiva modifica, sostituzione o integrazione.

" Per " Dati Personali " si intende qualsiasi informazione che identifichi, si riferisca, descriva, sia associabile o possa ragionevolmente essere collegata, direttamente o indirettamente, a o con una persona fisica identificata o identificabile, trattata dal Responsabile del Trattamento per conto del Titolare del Trattamento ai sensi o in relazione ai Servizi del Titolare del Trattamento;

"Servizi di elaborazione" indica qualsiasi servizio fornito dal Responsabile del trattamento al Titolare del trattamento, compresi i servizi di archiviazione, software o piattaforma, ai sensi di un accordo, ordine di acquisto, licenza o abbonamento.

"Servizi" indica collettivamente i Servizi del Titolare e i Servizi del Responsabile del trattamento;

"Clausole contrattuali standard" indica le clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento o sub-processori stabiliti in paesi terzi, come adottate di volta in volta dalla Commissione Europea ai sensi del GDPR, come applicabile, e tutti i relativi allegati e appendici, che insieme formano parte integrante del presente DPA e sono allegati come Allegato 2 (ALLEGATO 2: CLAUSOLE CONTRATTUALI STANDARD ) , come di volta in volta aggiornato;

" Per "subincaricato" si intende qualsiasi terza parte incaricata direttamente dal Responsabile del trattamento dei dati per il trattamento dei dati personali ai sensi o in relazione ai Servizi del Responsabile del trattamento dei dati. Il termine non comprende i dipendenti o gli appaltatori del Responsabile del trattamento;

3. AMBITO DI TRATTAMENTO

3.1. Il Responsabile del trattamento tratterà i Dati Personali come descritto inAllegato 1 ( ALLEGATO 1: DETTAGLI DEL TRATTAMENTO DEI DATI PERSONALI) allegato alla presente;

3.2. Il Responsabile del trattamento tratterà i Dati personali in qualità di Responsabile del trattamento o Subprocessore che agisce per conto del Titolare del trattamento in qualità di Titolare o Responsabile del trattamento di tali Dati personali, a seconda dei casi;

3.3. Il Titolare del trattamento dei dati incarica il Responsabile del trattamento dei dati di trattare i dati personali solo ai fini limitati della fornitura dei servizi del Responsabile del trattamento dei dati e unicamente a beneficio del Titolare del trattamento dei dati;

3.4. Il Responsabile del trattamento tratterà i Dati personali solo in conformità (i) ai termini del presente DPA, (ii) ai termini dell'Accordo tra le Parti, (iii) esclusivamente su istruzioni documentate del Titolare del trattamento, a meno che il trattamento non sia richiesto da Leggi applicabili (nel qual caso, il Responsabile del trattamento deve informare preventivamente il Titolare del trattamento di tale requisito, a meno che non sia vietato dalla legge), e (iv) in conformità a tutte le Leggi applicabili;

3.5. Il Responsabile del trattamento dei dati informerà il Titolare del trattamento dei dati senza indebito ritardo se il Responsabile del trattamento dei dati stabilisce di non poter più soddisfare le istruzioni del Titolare del trattamento dei dati o i suoi obblighi ai sensi del presente DPA.

4. SOTTOPROCESSIONE

4.1. Il Responsabile del trattamento non potrà subappaltare alcun trattamento di Dati personali a terzi aggiuntivi senza il previo consenso scritto del Titolare del trattamento in merito a ciascuna attività di subappalto e a ciascun terzo. In deroga a quanto sopra, il Titolare del trattamento autorizza il Responsabile del trattamento ad avvalersi di subprocessori senza limitazioni per le finalità limitate del trattamento dei Dati personali strettamente necessarie all'adempimento degli obblighi del Responsabile del trattamento ai sensi del Contratto, a condizione che il Responsabile del trattamento:

- fornisca al Titolare del trattamento almeno trenta (30) giorni di preavviso scritto della sua intenzione di assumere o sostituire un Subprocessore. Tale comunicazione sarà inviata al contatto del Titolare del trattamento nominato e dovrà includere almeno: (i) il nome del Subprocessore; (ii) il tipo di Dati personali trattati da tale Subprocessore e per quali finalità; (iii) la descrizione degli interessati i cui Dati personali saranno trattati da tale Subprocessore e (iv) l'ubicazione del Trattamento dei dati effettuato da tale Subprocessore;

- conduce il livello di due diligence necessario a garantire che tale Subprocessore possa soddisfare i requisiti del presente DPA e di qualsiasi Legge Applicabile; e

- garantisce che l'accordo tra il Responsabile del trattamento e il Subincaricato sia disciplinato da un contratto scritto vincolante per il Subincaricato, che (i) richiede al Subincaricato di trattare i Dati personali in conformità alla presente LPD o a standard non meno onerosi della presente LPD; e (ii) includa e si basi sulle Clausole contrattuali standard, che costituiranno parte del contratto tra il Responsabile del trattamento e i suoi Subprocessori e saranno vincolanti sia per il Responsabile del trattamento che per il suo Subprocessore, nella misura in cui i Dati personali possano essere trattati da tale Subprocessore al di fuori del SEE.

4.2. Il Titolare del trattamento può opporsi all'assunzione di un Subprocessore per ragionevoli motivi di privacy, protezione dei dati o sicurezza. In tal caso, il Responsabile del trattamento dei dati dovrà ingaggiare un Subincaricato per la fornitura dei Servizi di trattamento dei dati al Titolare del trattamento dei dati solo dopo aver completato un'adeguata valutazione dei rischi e aver garantito la presenza di controlli tecnici e organizzativi adeguati. Qualora il Titolare del trattamento si opponga all'assunzione del Subincaricato, il Titolare del trattamento potrà risolvere o sospendere il Contratto con il Responsabile del trattamento, con effetto immediato e senza alcuna penale.

4.3. Il Responsabile del trattamento resterà sempre pienamente responsabile nei confronti del Titolare del trattamento per l'adempimento degli obblighi dei suoi Subprocessori e per le sue attività di trattamento dei Dati personali.

5. PERSONALE ADDETTO AL TRATTAMENTO DEI DATI

5.1. Nei limiti consentiti dalla legge applicabile, il Responsabile del trattamento dei dati dovrà condurre un'adeguata indagine sui precedenti di tutti i dipendenti o appaltatori del Responsabile del trattamento dei dati e che potrebbero avere accesso ai Dati personali [di seguito: "Personale del Responsabile del trattamento dei dati"] , prima di consentire loro tale accesso. Se l'indagine sui precedenti rivela che il Personale del Processore non è adatto ad accedere ai Dati personali, il Processore non dovrà fornire al Personale del Processore l'accesso ai Dati personali.

5.2. Il Responsabile del trattamento dei dati dovrà garantire che tutto il personale del Responsabile del trattamento dei dati: (i) abbia accesso solo nella misura necessaria per fornire al Titolare del trattamento dei dati i Servizi del Responsabile del trattamento dei dati e per conformarsi alle Leggi applicabili; (ii) sia contrattualmente vincolato a requisiti di riservatezza non meno onerosi del presente DPA; (iii) riceva un'adeguata formazione in materia di privacy e sicurezza; (iv) sia informato della natura riservata dei Dati personali e sia tenuto a mantenerli riservati; e (v) sia consapevole dei doveri e degli obblighi del Responsabile del trattamento dei dati ai sensi del presente DPA.

6. SICUREZZA

6.1. Il Responsabile del trattamento dichiara e garantisce di aver implementato e di mantenere adeguate misure tecniche, fisiche e organizzative per proteggere i Dati personali da perdita, alterazione, distruzione, divulgazione o accesso accidentali o illeciti e, in particolare, qualora il trattamento comporti la trasmissione di dati in rete, da tutte le forme di trattamento illecito previste.

6.2. Tenuto conto dello stato dell'arte e del costo della loro attuazione, il Responsabile del trattamento dei dati accetta e garantisce che tali misure garantiranno un livello di sicurezza adeguato ai rischi presentati dal trattamento (compresi i rischi di violazione dei dati personali) e alla natura dei dati personali da proteggere, e senza limitarsi a garantire che tali misure includano:

- la pseudonimizzazione e/o la crittografia dei Dati personali, in transito e a riposo;

- la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;

- la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai Dati personali in caso di incidente fisico o tecnico; e

- un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

6.3. Il Responsabile del trattamento dei dati terrà un registro delle attività di trattamento svolte per conto del Titolare del trattamento, che comprenderà almeno:

- i dati del Responsabile del trattamento in qualità di Responsabile del trattamento dei dati personali, di eventuali rappresentanti, subprocessori, responsabili della protezione dei dati e del personale del Responsabile del trattamento che hanno accesso ai dati personali;

- le categorie di attività di trattamento svolte;

- informazioni relative ai trasferimenti transfrontalieri di dati (come ulteriormente specificato nella sezione 11 della presente DPA), se esistenti; e descrizione delle misure di sicurezza tecniche e organizzative implementate in relazione ai Dati personali trattati.

6.4. Senza derogare ai diritti di verifica del Titolare del trattamento ai sensi della Sezione 10(FORNITURA DI INFORMAZIONI E ASSISTENZA), il Titolare del trattamento si riserva il diritto di ispezionare in qualsiasi momento i registri conservati dal Responsabile del trattamento ai sensi della presente Sezione 5 ( PERSONALE DEL TRATTAMENTO).

7. DIRITTI DELL'INTERESSATO

7.1. Il Responsabile del trattamento dei dati assisterà ragionevolmente il Titolare del trattamento dei dati nel rispondere alle richieste di esercizio dei diritti dell'Interessato o dei diritti dei Consumatori (compresi eventuali reclami relativi al trattamento dei Dati personali) ai sensi delle Leggi applicabili, comprese, a titolo esemplificativo, le Leggi dell'UE sulla protezione dei dati (" Richiesta/e dell'Interessato").

7.2. Il Responsabile del trattamento dei dati dovrà:

- comunicare tempestivamente al Titolare del trattamento l'eventuale ricevimento di una Richiesta dell'Interessato in merito ai Dati Personali;

- fornire piena collaborazione e assistenza in relazione a qualsiasi richiesta dell'interessato;

- assicurarsi di non rispondere alle richieste degli interessati se non su istruzioni documentate del Titolare del trattamento o come strettamente richiesto dalle leggi applicabili a cui il Responsabile del trattamento è soggetto; e

- Mantenere le registrazioni elettroniche delle richieste degli interessati (ai sensi delle leggi applicabili).

8. DIVULGAZIONE LEGALE E VIOLAZIONE DEI DATI PERSONALI

8.1. Il Responsabile del trattamento dovrà informare il Titolare del trattamento entro 24 ore dal momento in cui viene a conoscenza di:

- qualsiasi richiesta di divulgazione dei Dati personali da parte di un'Autorità di vigilanza e/o di qualsiasi altra autorità di polizia o tribunale, a meno che non sia vietato da leggi penali che richiedano specificamente al Responsabile del trattamento di preservare la riservatezza di un'indagine di polizia;

8.1.1. qualsiasi violazione dei Dati Personali ragionevolmente sospettata o nota che riguardi i Dati Personali. Il Responsabile del trattamento dei dati fornirà al Titolare del trattamento dei dati informazioni sufficienti per consentire al Titolare del trattamento dei dati di adempiere agli obblighi di segnalazione o di informazione degli interessati o delle autorità di protezione dei dati sulla violazione dei dati personali ai sensi delle leggi applicabili. Oltre a quanto previsto dalla legge, il Responsabile del trattamento non dovrà rilasciare dichiarazioni pubbliche o altre divulgazioni in merito a una violazione dei dati personali senza il previo consenso scritto del Titolare del trattamento, che potrà essere fornito, a discrezione del Titolare del trattamento, caso per caso.

8.2. Il Responsabile del trattamento dovrà fornire al Titolare del trattamento i seguenti dettagli, per quanto possibile:

- La natura della violazione dei dati personali, comprese le categorie di soggetti interessati e le categorie di dati personali e record di dati interessati;

- Le misure proposte o adottate dal Responsabile del trattamento in collaborazione con il Titolare del trattamento per affrontare la violazione dei dati personali; e

- Le misure che il Titolare del trattamento potrebbe adottare per mitigare i possibili effetti negativi della violazione dei dati personali.

8.3. Il Responsabile del trattamento dei dati dovrà intraprendere tutte le azioni necessarie per indagare su qualsiasi violazione dei dati personali, sospetta o effettiva, e mitigare gli eventuali danni correlati.

8.4. Il Responsabile del trattamento dei dati collaborerà pienamente con il Titolare del trattamento dei dati e adotterà le misure richieste dal Titolare del trattamento dei dati per contribuire all'indagine, alla mitigazione e al rimedio di ciascuna violazione dei dati personali.

9. CANCELLAZIONE O RESTITUZIONE DEI DATI PERSONALI

9.1. Alla scadenza o alla cessazione della fornitura dei servizi del Responsabile del trattamento, il Responsabile del trattamento dovrà, a scelta del Titolare del trattamento, cancellare o restituire prontamente tutte le copie dei Dati personali in possesso o sotto il controllo suo e/o dei suoi Subprocessori, ad eccezione di quelle che devono essere conservate in conformità alle Leggi applicabili. In tal caso, il Responsabile del trattamento garantisce che garantirà la riservatezza dei Dati personali e non tratterà più attivamente i Dati personali e garantirà la restituzione e/o la distruzione dei Dati personali come richiesto dal Titolare del trattamento quando l'obbligo legale di non restituire o distruggere le informazioni non sarà più in vigore.

9.2. Su richiesta scritta del Titolare del trattamento, il Chief Privacy Officer del Responsabile del trattamento o un suo equivalente dovrà certificare per iscritto al Titolare del trattamento che il Responsabile del trattamento si è pienamente conformato alla presente sezione.

10. FORNITURA DI INFORMAZIONI E ASSISTENZA

Il Responsabile del trattamento collaborerà e assisterà ragionevolmente il Titolare del trattamento con qualsiasi valutazione d'impatto sulla protezione dei dati, consultazioni preliminari con le autorità competenti in materia di protezione dei dati e qualsiasi altra assistenza relativa al rispetto degli obblighi del Titolare del trattamento ai sensi del GDPR e di altre leggi applicabili. La portata di tale assistenza sarà limitata al trattamento dei Dati Personali da parte del Responsabile del Trattamento.

11. DIRITTI DI AUDIT

11.1.Il Responsabile del trattamento dei dati metterà prontamente a disposizione del Titolare del trattamento dei dati, su richiesta scritta, tutte le informazioni necessarie a dimostrare la conformità al presente DPA e a qualsiasi Legge applicabile, comprese le certificazioni di audit di terzi standard del settore.

11.2.Il Responsabile del trattamento dei dati dovrà consentire e contribuire agli audit, comprese le ispezioni, da parte del Titolare del trattamento dei dati e/o di un revisore incaricato dal Titolare del trattamento dei dati. In ogni caso, un revisore terzo sarà soggetto a obblighi di riservatezza. Il Responsabile del trattamento può opporsi alla selezione di un revisore se ritiene ragionevolmente che quest'ultimo non garantisca la riservatezza e la sicurezza o metta altrimenti a rischio l'attività del Responsabile del trattamento.

12. TRASFERIMENTO TRANSFRONTALIERO DEI DATI

12.1.I dati personali possono essere trasferiti dall'Unione Europea ("UE") a paesi che offrono livelli adeguati di protezione dei dati ai sensi o in conformità alle decisioni di adeguatezza pubblicate dai dati pertinenti dell'UE ("Decisioni di adeguatezza"), a seconda dei casi, senza che sia necessaria alcuna ulteriore salvaguardia;

12.2.Se il trattamento dei dati personali da parte del Responsabile del trattamento include trasferimenti dall'UE ad altri paesi che non sono stati oggetto di una decisione di adeguatezza pertinente, e tali trasferimenti non sono eseguiti attraverso un meccanismo di conformità alternativo riconosciuto che può essere adottato dal Responsabile del trattamento per il trasferimento legittimo dei dati personali come definito nel GDPR, si applicano le Clausole contrattuali standard;

12.3.Qualora il trasferimento dei Dati Personali sia soggetto alle Clausole Contrattuali Standard, queste dovranno essere completate e firmate contemporaneamente all'esecuzione del presente DPA dal Titolare del Trattamento e dal Responsabile del Trattamento. Il Responsabile del trattamento dei dati dovrà garantire che ciascun Subprocessore impegnato nel trattamento di tali Dati personali rispetti gli obblighi dei Responsabili del trattamento dei dati delle SCC e il Titolare del trattamento dei dati dovrà rispettare gli obblighi del Titolare del trattamento dei dati, in ogni caso ai sensi delle Clausole contrattuali standard applicabili. Se richiesto dal Titolare del trattamento, il Responsabile del trattamento si assicurerà e farà in modo che i suoi Subprocessori stipulino direttamente le Clausole contrattuali standard con il Titolare del trattamento;

12.4.Le Clausole Contrattuali Standard non si applicheranno ai Dati Personali che si riferiscono a individui situati al di fuori del Regno Unito e del SEE, o che non sono trasferiti, direttamente o tramite trasferimento successivo, al di fuori del SEE. Per i trasferimenti di dati provenienti da altri paesi al di fuori del Regno Unito e del SEE, il Responsabile del trattamento dei dati dovrà attenersi a tutte le leggi applicabili del territorio di origine dei dati personali;

12.5.Il Responsabile del trattamento fornirà al Titolare del trattamento tutte le informazioni pertinenti per consentire al Titolare del trattamento di adempiere ai propri obblighi in caso di trasferimenti transfrontalieri di Dati personali. Il Titolare del trattamento può opporsi al trasferimento dei Dati personali ai sensi della presente Sezione 11 ( DIRITTI DI AUDIT) per motivi di privacy e sicurezza. In tal caso, il Responsabile del trattamento non effettuerà tale trasferimento di Dati personali o il Titolare del trattamento potrà interrompere o sospendere la fornitura dei Servizi del Responsabile del trattamento con effetto immediato e senza penalità.

13. INDENNIZZO

13.1.Il Responsabile del trattamento dovrà risarcire, nella misura prevista dalle Informazioni di identificazione personale del Responsabile del trattamento [di seguito: "PII"], difendere e tenere indenne il Titolare del trattamento e i suoi rispettivi funzionari, amministratori e dipendenti da e contro reclami e procedimenti e tutte le responsabilità, le perdite, i costi, le multe e le spese (comprese le ragionevoli spese legali) derivanti da (i) Trattamento illegale o non autorizzato, distruzione o danneggiamento di qualsiasi Dato personale; e/o (ii) al mancato rispetto da parte del Responsabile del trattamento dei dati (compreso il personale del Responsabile del trattamento dei dati e i subprocessori del Responsabile del trattamento dei dati) degli obblighi previsti dal presente DPA, dal Contratto in essere o da eventuali ulteriori istruzioni relative a tale Trattamento impartite per iscritto dal Titolare del trattamento dei dati in conformità al presente DPA.

14. VARIE

14.1.Il presente DPA, compreso l'SCC allegato, può essere sottoscritto in contropartite, ognuna delle quali sarà considerata un originale, ma tutte insieme saranno considerate un unico e medesimo accordo. La consegna di una controparte eseguita di una pagina di firma del presente DPA via fax o via e-mail di una copia scannerizzata, o l'esecuzione e la consegna tramite un servizio di firma elettronica (come DocuSign), sarà considerata come la consegna di una controparte originale eseguita del presente DPA.

14.2. Separazione: Qualora una disposizione del presente DPA dovesse essere ritenuta non valida o inapplicabile, la parte restante del presente DPA rimarrà valida e in vigore. La disposizione non valida o inapplicabile dovrà essere (i) modificata come necessario per garantirne la validità e l'applicabilità, preservando il più possibile le intenzioni delle Parti o, se ciò non è possibile, (ii) interpretata come se la parte non valida o inapplicabile non fosse mai stata contenuta.

14.3.Avviso: Tutte le comunicazioni richieste ai sensi della presente DPA devono essere inviate al Titolare del trattamento dei dati tramite e-mail.

14.4.Le comunicazioni al Responsabile del trattamento dovranno essere inviate a: [email protected]

14.5. Ordine di precedenza: In caso di conflitto tra i termini del presente DPA e altri documenti vincolanti per le Parti, i termini di tali documenti saranno interpretati secondo il seguente ordine di precedenza: (i) le Clausole Contrattuali Standard, esclusivamente nella misura in cui siano applicabili ai sensi della Sezione 11 di cui sopra; (ii) il presente DPA; (iii) qualsiasi termine di accordo, ordine di acquisto, licenza o abbonamento, in base al quale vengono forniti i Servizi di Elaborazione Dati.

14.6.Modifiche da parte del Responsabile del trattamento: il Responsabile del trattamento può, con preavviso scritto di almeno quarantacinque (45) giorni di calendario al Titolare del trattamento, richiedere per iscritto eventuali variazioni al presente DPA qualora esse siano necessarie a seguito di modifiche o decisioni di un'autorità competente ai sensi di una qualsiasi legge sulla protezione dei dati, per consentire che il trattamento dei dati personali sia effettuato (o continui ad essere effettuato) senza violare tale legge sulla protezione dei dati. In seguito a tale comunicazione, le Parti discuteranno tempestivamente le variazioni proposte e negozieranno in buona fede al fine di concordare e attuare tali variazioni o variazioni alternative volte a soddisfare i requisiti di legge identificati nella comunicazione del Responsabile del trattamento dei dati, non appena ciò sia ragionevolmente possibile.

14.7.Modifiche da parte del Titolare del Trattamento: il Titolare del Trattamento può, con preavviso scritto di almeno trenta (30) giorni di calendario all'Incaricato, modificare i termini del presente DPA e/o di eventuali Clausole Contrattuali Standard applicabili ai sensi della Sezione 11 del presente DPA, nella misura in cui ciò sia necessario per consentire che il Trattamento dei Dati Personali sia effettuato (o continui ad essere effettuato) senza violare le Leggi applicabili in materia di protezione dei dati, o per tutelare in altro modo gli interessi del Titolare del Trattamento, in ogni caso come ragionevolmente determinato dal Titolare del Trattamento a sua discrezione. Se il Responsabile del trattamento si oppone a tali variazioni entro il periodo di preavviso, le Parti discuteranno prontamente le variazioni proposte e negozieranno in buona fede al fine di concordare e attuare tali variazioni o variazioni alternative volte a soddisfare i requisiti identificati nella comunicazione del Titolare del trattamento non appena ciò sia ragionevolmente possibile. Nel caso in cui le Parti non siano in grado di raggiungere tale accordo entro 30 giorni da tale avviso, il Titolare del trattamento potrà, mediante comunicazione scritta all'altra Parte, con effetto immediato e senza penalità, risolvere l'Accordo nella misura in cui esso si riferisce ai Servizi di elaborazione dati che sono interessati dalle variazioni proposte (o dalla loro mancanza).

IN FEDE DI CHE, il presente DPA viene stipulato e diventa vincolante tra le Parti con effetto dalla prima data sopra indicata.

A nome del Controllore:
Nome completo: Adam Brogden
Posizione: Direttore
Indirizzo: Ufficio 2 12A Lower Main Street, Lucan Co. Dublino K78 X5P8 Irlanda
Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):
Firma: Adam Brogden
Per conto del Responsabile del trattamento:
Nome completo: Zlatko Delev
Posizione: Responsabile del team di conformità
Indirizzo: 1° piano Front Suite, 27-29 North Street, Brighton, Inghilterra BN1 1EB
Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):
Firma: Zlatko Delev

ALLEGATO 1: DETTAGLI SUL TRATTAMENTO DEI DATI PERSONALI

Questo Allegato 1 include alcuni dettagli sul trattamento dei Dati personali.

Descrizione dei servizi dell'importatore di dati: trattamento dei dati personali dell'esportatore di dati al fine di fornire i servizi, come definito nella clausola 2 della presente DPA.

Durata del trattamento: per tutto il tempo in cui vengono forniti i Servizi di Data Importer.

La natura e lo scopo del trattamento: la natura e lo scopo del trattamento è quello di fornire i servizi per il nostro cliente al fine di essere conformi alla legge britannica sulla protezione dei dati, al GDPR e alle relative normative sulla protezione dei dati.

Tipi di dati personali trattati: I dati da trattare comprendono i dati di contatto dell'Esportatore di dati e degli interessati, nonché i dati relativi all'elaborazione di richieste, reclami e altre interazioni derivanti dalla fornitura dei servizi. Ciò include: nome dell'interessato , dettagli di contatto, e-mail, numero di telefono, dettagli di pagamento, indirizzo di fatturazione, e interazioni via e-mail / telefono / posta ecc.....

ALLEGATO 2: CLAUSOLE CONTRATTUALI STANDARD

(Controllore a processori)

Clausola 1: Scopo e ambito di applicazione:

(a) L'Esportatore di Dati e l'Importatore di Dati, come di seguito definito, o in altro accordo o addendum che regoli effettivamente il trattamento dei Dati Personali da parte dell'Importatore di Dati per conto dell'Esportatore di Dati, compresi tutti gli allegati, le appendici e le appendici, ciascuna "Parte"; e collettivamente le "Parti", hanno concordato le seguenti clausole contrattuali ("Clausole") al fine di fornire adeguate garanzie in materia di protezione della privacy e dei diritti e delle libertà fondamentali delle persone per il trasferimento da parte dell'Esportatore di dati all'Importatore di dati dei dati personali specificati nell'Allegato.I.

(b) L'Appendice alle presenti Clausole contenente gli Allegati ivi menzionati costituisce parte integrante delle stesse.

Definizioni

Le definizioni in maiuscolo non altrimenti definite nel presente documento avranno il significato loro attribuito nel GDPR e nel DPA. Fatta eccezione per quanto modificato o integrato di seguito, le definizioni del DPA rimarranno in vigore a tutti gli effetti.

Ai fini delle Clausole:

"Esportatore di dati" indica l'entità, con sede nell'UE/SEE o in un paese terzo, che trasferisce i Dati personali;

Per "importatore di dati" si intende l'entità in un paese terzo che riceve i dati personali dall'esportatore di dati;

"Il Subprocessore" indica qualsiasi incaricato del trattamento assunto dall'Importatore dei dati o da qualsiasi altro Subprocessore dell'Importatore dei dati che accetti di ricevere dall'Importatore dei dati o da qualsiasi altro Subprocessore dell'Importatore dei dati i dati personali destinati esclusivamente alle attività di trattamento da svolgere per conto dell'Esportatore dei dati dopo il trasferimento in conformità alle sue istruzioni, ai termini delle Clausole e ai termini del contratto di subappalto scritto;

"Misure di sicurezza tecniche e organizzative": le misure volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati in rete, e da ogni altra forma illecita di trattamento.

Clausola 2: Effetto e invariabilità delle clausole

(a) Le presenti Clausole stabiliscono adeguate garanzie, tra cui diritti dell'Interessato azionabili e rimedi legali efficaci, ai sensi dell'Articolo 46 (1) e dell'Articolo 46 (2)(c) del GDPR e, per quanto riguarda i trasferimenti di dati dai responsabili del trattamento agli incaricati del trattamento, clausole contrattuali standard ai sensi dell'Articolo 28 (7) del GDPR, a condizione che non vengano modificate. Ciò non impedisce alle Parti di includere le clausole contrattuali standard stabilite nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, a condizione che non siano in contrasto, direttamente o indirettamente, con le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli Interessati.

(b) Le presenti clausole non pregiudicano gli obblighi a cui l'Esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679.

Clausola 3: Terzi beneficiari

(a) Gli interessati possono invocare e far valere le presenti Clausole, in qualità di terzi beneficiari, nei confronti dell'Esportatore e/o dell'Importatore di dati, con le seguenti eccezioni:

(i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;

(ii) Clausola 8.1(b), 16(a), (c), (d) ed (e);

(iii) Clausola 17(a), (c), (d) ed (e);

(iv) Clausola 20(a), (d) e (f);

(v) Clausola 21;

(vi) Clausola 23.1(c), (d) ed (e);

(vii) Clausola 24(e);

(viii) Clausola 26 (a) e (b);

(b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.

Clausola 4: Interpretazione

(a) Le presenti clausole devono essere lette e interpretate alla luce delle disposizioni del GDPR.

(b) Le presenti clausole non devono essere interpretate in modo da entrare in conflitto con i diritti e gli obblighi previsti dal GDPR.

Clausola 5: Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni dei relativi accordi tra le Parti, esistenti al momento in cui le presenti Clausole vengono concordate o stipulate successivamente, prevarranno le presenti Clausole.

Clausola 6: Descrizione del trasferimento

I dettagli del trasferimento, e in particolare le categorie di Dati Personali che vengono trasferiti e lo scopo per cui vengono trasferiti, sono specificati nell'Allegato I.B.

Clausola 7 - Clausola di attracco

(a) Un'entità che non è Parte delle presenti Clausole può, con l'accordo delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia come esportatore che come importatore di dati, compilando l'Appendice e firmando l'Allegato I.A.

(b) Una volta completata l'appendice e firmato l'Allegato I.A, l'entità aderente diventerà Parte delle presenti Clausole e avrà i diritti e gli obblighi di un esportatore o importatore di dati in conformità alla sua designazione nell'Allegato I.A.

(c) L'entità aderente non avrà alcun diritto o obbligo derivante dalle presenti Clausole per il periodo precedente all'adesione.

Clausola 8: Istruzioni

(a) L'Importatore di dati tratterà i dati personali solo su istruzioni documentate dell'Esportatore di dati. L'Esportatore di dati può impartire tali istruzioni per tutta la durata del contratto.

(b) L'importatore di dati informerà immediatamente l'esportatore di dati se non è in grado di seguire tali istruzioni.

Clausola9: Limitazione dello scopo

L'importatore tratterà i dati personali solo per le finalità specifiche del trasferimento, come indicato nell'allegato I.B, salvo ulteriori istruzioni dell'esportatore.

Clausola 10: Trasparenza

Su richiesta, l'Esportatore di dati metterà gratuitamente a disposizione dell'Interessato una copia delle presenti Clausole, compresa l'Appendice compilata dalle Parti. Nella misura in cui ciò sia necessario per proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell'Allegato II e i dati personali, l'Esportatore di dati può riformulare parte del testo dell'Appendice alle presenti Clausole prima di condividerne una copia, ma fornirà una sintesi significativa qualora l'Interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le Parti forniranno all'Interessato i motivi delle riduzioni, per quanto possibile senza rivelare le informazioni ridotte. La presente clausola non pregiudica gli obblighi dell'Esportatore di dati ai sensi degli articoli 13 e 14 del GDPR.

Clausola 11: Precisione

Se l'Importatore di dati si rende conto che i Dati personali ricevuti sono inesatti o sono diventati obsoleti, ne informa l'Esportatore di dati senza indebito ritardo. In tal caso, l'Importatore di dati collaborerà con l'Esportatore di dati per cancellare o rettificare i dati.

Clausola 12: Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell'Importatore di dati avrà luogo solo per la durata specificata nell'Allegato I.B. Al termine della fornitura dei servizi di trattamento, l'Importatore di dati dovrà, a scelta dell'Esportatore di dati, cancellare tutti i dati personali trattati per conto dell'Esportatore di dati e certificare all'Esportatore di dati di averlo fatto, oppure restituire all'Esportatore di dati tutti i dati personali trattati per suo conto e cancellare le copie esistenti. Fino alla cancellazione o alla restituzione dei dati, l'Importatore di dati continuerà a garantire il rispetto delle presenti Clausole. In caso di leggi locali applicabili all'Importatore di dati che vietino la restituzione o la cancellazione dei dati personali, l'Importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e li tratterà solo nella misura e per il tempo richiesti dalla legge locale. Ciò non pregiudica la Clausola 22, in particolare l'obbligo per l'Importatore di dati ai sensi della Clausola 22 (e) di notificare all'Esportatore di dati per tutta la durata del contratto se ha motivo di credere di essere o di essere diventato soggetto a leggi o pratiche non in linea con i requisiti di cui alla Clausola 22 (a).

Clausola 13: Sicurezza del trattamento

(a) L'Importatore di dati e, durante la trasmissione, anche l'Esportatore di dati attuano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso a tali dati [di seguito "violazione dei dati personali"]. Nel valutare il livello di sicurezza adeguato, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento e dei rischi connessi al trattamento per gli Interessati. Le Parti prenderanno in considerazione, in particolare, la possibilità di ricorrere alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere soddisfatta in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l'attribuzione dei dati personali a uno specifico Soggetto interessato rimarranno, ove possibile, sotto il controllo esclusivo dell'Esportatore di dati. Nell'adempiere agli obblighi di cui al presente paragrafo, l'Importatore di dati deve almeno attuare le misure tecniche e organizzative specificate nell'Allegato II. L'Importatore di dati effettuerà controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.

(b) L'importatore di dati concederà l'accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Si assicurerà che le persone autorizzate al trattamento dei Dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo di riservatezza previsto dalla legge.

(c) In caso di violazione dei dati personali trattati dall'Importatore di dati ai sensi delle presenti Clausole, l'Importatore di dati adotterà le misure appropriate per affrontare la violazione, comprese le misure per mitigarne gli effetti negativi. L'Importatore di dati dovrà inoltre informare l'Esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica conterrà gli estremi di un punto di contatto presso il quale ottenere maggiori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registri di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, le misure per attenuarne gli eventuali effetti negativi. Se, e nella misura in cui, non è possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale conterrà le informazioni disponibili in quel momento e le ulteriori informazioni, man mano che si rendono disponibili, saranno fornite successivamente senza indebito ritardo.

(d) L'importatore dei dati collabora e assiste l'esportatore dei dati per consentire a quest'ultimo di adempiere ai propri obblighi ai sensi del GDPR, in particolare di notificare l'autorità di controllo competente e gli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'importatore dei dati.

Clausola 14: Dati sensibili

Qualora il trasferimento riguardi Dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito "dati sensibili"), l'Importatore di dati applicherà le restrizioni specifiche e/o le garanzie aggiuntive descritte nell'Allegato I.B.

Clausola 15: Trasferimenti successivi

L'Importatore di dati divulgherà i Dati personali a terzi solo su istruzioni documentate dell'Esportatore di dati. Inoltre, i dati possono essere divulgati a una terza parte situata al di fuori dell'Unione Europea (nello stesso paese dell'Importatore di dati o in un altro paese terzo, di seguito "trasferimento successivo") solo se la terza parte è o accetta di essere vincolata dalle presenti Clausole, o se:

(i) il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo 45 del GDPR che copre il trasferimento successivo;

(ii) la terza parte garantisce altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del GDPR in relazione al trattamento in questione;

(iii) il trasferimento successivo è necessario per l'accertamento, l'esercizio o la difesa di diritti legali nell'ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure

(iv) il trasferimento successivo è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica.

Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell'importatore dei dati di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.

Clausola 16: Documentazione e conformità

(a) L'Importatore di dati comunicherà tempestivamente all'Esportatore di dati qualsiasi richiesta ricevuta da un Soggetto interessato. L'importatore non risponderà a tale richiesta a meno che non sia stato autorizzato a farlo dall'esportatore di dati.

(b) L'importatore di dati assiste l'esportatore di dati nell'adempimento dei suoi obblighi di risposta alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del GDPR. A tale proposito, le Parti stabiliscono nell'allegato II le misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento, con cui fornire l'assistenza, nonché la portata e l'entità dell'assistenza richiesta.

(c) Nell'adempimento degli obblighi di cui ai paragrafi (a) e (b), l'Importatore di dati si atterrà alle istruzioni dell'Esportatore di dati.

(d) L'importatore di dati consentirà e contribuirà alle verifiche da parte dell'esportatore di dati delle attività di trattamento coperte dalle presenti clausole, a intervalli ragionevoli o qualora vi siano indicazioni di non conformità. Lo stesso vale nel caso in cui l'Esportatore di dati richieda un audit su istruzioni del responsabile del trattamento. Nel decidere un audit, l'Esportatore di dati può prendere in considerazione le certificazioni pertinenti in possesso dell'Importatore di dati.

(e) Se l'audit viene effettuato su istruzioni del responsabile del trattamento, l'esportatore di dati mette i risultati a disposizione del responsabile del trattamento.

(f) L'esportatore di dati può scegliere di condurre l'audit autonomamente o di incaricare un revisore indipendente. Gli audit possono comprendere ispezioni presso i locali o le strutture fisiche dell'Importatore di dati e, se del caso, devono essere effettuati con un ragionevole preavviso.

(g) Le Parti mettono a disposizione dell'autorità di vigilanza competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 17: Utilizzo di subprocessori

(a) L'importatore di dati non potrà subappaltare alcuna attività di trattamento svolta per conto dell'esportatore di dati ai sensi delle presenti clausole a un subincaricato senza la preventiva specifica autorizzazione scritta dell'esportatore di dati. L'importatore di dati dovrà presentare la richiesta di autorizzazione specifica almeno 30 giorni prima dell'assunzione del subincaricato, insieme alle informazioni necessarie per consentire all'esportatore di dati di decidere in merito all'autorizzazione. L'elenco dei subincaricati già autorizzati dall'esportatore di dati è riportato nell'Allegato III. Le Parti mantengono aggiornato l'Allegato III.

(b) Qualora l'Importatore di dati incarichi un subincaricato di svolgere specifiche attività di trattamento (per conto dell'Esportatore di dati), dovrà farlo mediante un contratto scritto che preveda, in sostanza, gli stessi obblighi di protezione dei dati che vincolano l'Importatore di dati ai sensi delle presenti Clausole, anche in termini di diritti di terzi beneficiari per gli interessati. Le Parti convengono che, rispettando la presente Clausola, l'Importatore di dati adempie ai propri obblighi ai sensi della Clausola 15. L'Importatore di dati dovrà garantire che il subincaricato rispetti gli obblighi a cui l'Importatore di dati è soggetto ai sensi delle presenti Clausole.

(c) L'Importatore di dati fornirà, su richiesta dell'Esportatore di dati, una copia di tale accordo di subprocessore e di ogni successiva modifica all'Esportatore di dati. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, compresi i Dati personali, l'Importatore di dati può riformulare il testo dell'accordo prima di condividerne una copia.

(d) L'Importatore di dati rimane pienamente responsabile nei confronti dell'Esportatore di dati per l'adempimento degli obblighi del subincaricato ai sensi del suo contratto con l'Importatore di dati. L'Importatore di dati notificherà all'Esportatore di dati l'eventuale inadempimento da parte del subincaricato degli obblighi previsti da tale contratto.

(e) L'importatore di dati concorderà con il subincaricato una clausola di beneficiario terzo in base alla quale, nel caso in cui l'importatore di dati sia scomparso di fatto, abbia cessato di esistere giuridicamente o sia diventato insolvente, l'esportatore di dati avrà il diritto di risolvere il contratto di subincarico e di ordinare al subincaricato di cancellare o restituire i dati personali.

Clausola 18: Diritti dell'interessato

(a) L'Importatore di dati comunicherà tempestivamente all'Esportatore di dati qualsiasi richiesta ricevuta da un Soggetto interessato. L'importatore non risponderà a tale richiesta a meno che non sia stato autorizzato a farlo dall'esportatore di dati.

(b) (b) L'importatore di dati assiste l'esportatore di dati nell'adempimento dei suoi obblighi di risposta alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del GDPR. A tale proposito, le Parti stabiliscono nell'allegato II le misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento, con cui l'assistenza deve essere fornita, nonché la portata e l'entità dell'assistenza richiesta.

(c) (c) Nell'adempimento degli obblighi di cui ai paragrafi (a) e (b), l'importatore di dati si attiene alle istruzioni dell'esportatore di dati.

Clausola 19: Ricorso

(a) L'importatore di dati informa gli interessati in un formato trasparente e facilmente accessibile, attraverso una comunicazione individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami. L'importatore deve trattare tempestivamente qualsiasi reclamo ricevuto da un interessato.

(b) In caso di controversia tra una persona interessata e una delle Parti per quanto riguarda l'osservanza delle presenti clausole, la Parte in questione farà del suo meglio per risolvere la questione in modo amichevole e tempestivo. Le Parti si tengono reciprocamente informate su tali controversie e, se del caso, collaborano alla loro risoluzione.

(c) Qualora l'interessato invochi un diritto di terzo beneficiario ai sensi della clausola 3, l'importatore di dati accetta la decisione dell'interessato di:

(i) presentare un reclamo all'autorità di vigilanza dello Stato membro in cui risiede abitualmente o lavora, o all'autorità di vigilanza competente ai sensi della clausola 21;

(ii) (ii) deferire la controversia ai tribunali competenti ai sensi della Clausola 26.

(iii) (d) Le Parti accettano che l'interessato possa essere rappresentato da un ente, un'organizzazione o un'associazione senza scopo di lucro alle condizioni di cui all'articolo 80, paragrafo 1, del GDPR.

(iv) L'importatore di dati si atterrà a una decisione vincolante ai sensi del diritto dell'UE o degli Stati membri.

(v) (f) L'importatore di dati accetta che la scelta effettuata dall'interessato non pregiudichi i suoi diritti sostanziali e procedurali di chiedere rimedi in conformità alle leggi applicabili.

Clausola 20: Responsabilità

(a) Ciascuna Parte sarà responsabile nei confronti dell'altra Parte per i danni da essa causati da qualsiasi violazione delle presenti clausole.

(b) L'Importatore di dati sarà responsabile nei confronti dell'Interessato, e l'Interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o morale che l'Importatore di dati o il suo subincaricato causino all'Interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole.

(c) In deroga al paragrafo (b), l'Esportatore di dati sarà responsabile nei confronti dell'Interessato, e l'Interessato avrà diritto a ricevere un risarcimento, per eventuali danni materiali o morali che l'Esportatore di dati o l'Importatore di dati (o il suo subincaricato) causano all'Interessato violando i diritti del terzo beneficiario ai sensi delle presenti Clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati e, qualora l'esportatore di dati sia un incaricato del trattamento che agisce per conto di un responsabile del trattamento, la responsabilità del responsabile del trattamento ai sensi del GDPR o del Regolamento (UE) 2018/1725, a seconda dei casi.

(d) Le Parti convengono che se l'Esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per i danni causati dall'Importatore di dati (o dal suo subelaboratore), avrà il diritto di richiedere all'Importatore di dati la parte del risarcimento corrispondente alla responsabilità dell'Importatore di dati per il danno.

(e) Qualora più di una Parte sia responsabile di qualsiasi danno causato all'Interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno congiuntamente e solidalmente responsabili e l'Interessato avrà il diritto di intentare un'azione legale contro una qualsiasi di queste Parti.

(f) Le Parti convengono che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di richiedere all'altra Parte la parte del risarcimento corrispondente alla sua responsabilità per il danno.

(g) L'Importatore di dati non può invocare la condotta di un subincaricato per evitare la propria responsabilità.

Clausola 21: Supervisione

(a) L'autorità di controllo che ha la responsabilità di garantire la conformità dell'esportatore di dati al GDPR per quanto riguarda il trasferimento dei dati, come indicato nell'allegato I.C, agisce in qualità di autorità di controllo competente.

(b) L'Importatore di dati accetta di sottoporsi alla giurisdizione dell'autorità di vigilanza competente e di collaborare con essa in tutte le procedure volte a garantire il rispetto delle presenti clausole. In particolare, l'Importatore di dati si impegna a rispondere alle richieste di informazioni.

LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 22: Leggi e pratiche locali che incidono sulla conformità alle Clausole

(a) Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei Dati personali da parte dell'Importatore di dati, compresi gli obblighi di divulgazione dei dati personali o le misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'Importatore di dati di adempiere agli obblighi previsti dalle presenti Clausole. Ciò si basa sulla consapevolezza che le leggi e le pratiche che rispettano l'essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell'articolo 23(1) del GDPR, non sono in contraddizione con le presenti Clausole.

(b) Le Parti dichiarano che, nel fornire la garanzia di cui al paragrafo (a), hanno tenuto in debito conto in particolare i seguenti elementi:

(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;

(ii) le leggi e le prassi del paese terzo di destinazione - comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l'accesso da parte di tali autorità - pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili;

(iii) qualsiasi garanzia contrattuale, tecnica o organizzativa messa in atto per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

(c) L'Importatore di dati garantisce che, nell'effettuare la valutazione di cui al paragrafo (b), ha fatto del suo meglio per fornire all'Esportatore di dati le informazioni pertinenti e si impegna a continuare a cooperare con l'Esportatore di dati per garantire il rispetto delle presenti Clausole.

(d) Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell'autorità di vigilanza competente su richiesta.

(e) L'Importatore di dati si impegna a notificare tempestivamente all'Esportatore di dati se, dopo aver accettato le presenti clausole e per tutta la durata del contratto, ha motivo di ritenere di essere o di essere diventato soggetto a leggi o prassi non in linea con i requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un'applicazione pratica di tali leggi non in linea con i requisiti di cui al paragrafo (a).

(f) A seguito di una notifica ai sensi del paragrafo (e), o se l'Esportatore di dati ha altrimenti motivo di ritenere che l'Importatore di dati non possa più adempiere ai propri obblighi ai sensi delle presenti Clausole, l'Esportatore di dati individua prontamente le misure appropriate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l'Esportatore di dati e/o l'Importatore di dati devono adottare per affrontare la situazione. L'Esportatore di dati sospenderà il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento, o se riceve istruzioni in tal senso dall'autorità di controllo competente. In tal caso, l'Esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui esso riguarda il trattamento dei dati personali ai sensi delle presenti Clausole. Se il contratto coinvolge più di due Parti, l'Esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente. In caso di risoluzione del contratto ai sensi della presente Clausola, si applica la Clausola 23 (d) ed (e).

Clausola 23: Obblighi dell'importatore di dati in caso di accesso da parte di autorità pubbliche

23.1 Notifica

(a) L'Importatore di dati si impegna a notificare tempestivamente all'Esportatore di dati e, ove possibile, all'Interessato (se necessario con l'aiuto dell'Esportatore di dati) se:

(i) riceve una richiesta legalmente vincolante da parte di un'autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione, per la divulgazione dei dati personali trasferiti ai sensi delle presenti clausole; tale notifica deve includere informazioni sui dati personali richiesti, sull'autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; oppure

(ii) venga a conoscenza di un accesso diretto da parte delle autorità pubbliche ai Dati personali trasferiti ai sensi delle presenti Clausole in conformità alle leggi del paese di destinazione; tale notifica includerà tutte le informazioni a disposizione dell'Importatore.

(b) Se all'Importatore di dati è vietato notificare l'Esportatore di dati e/o l'Interessato in base alle leggi del paese di destinazione, l'Importatore di dati si impegna a fare del suo meglio per ottenere una deroga al divieto, al fine di comunicare il maggior numero di informazioni possibile, il prima possibile. L'Importatore di dati si impegna a documentare i propri sforzi per poterli dimostrare su richiesta dell'Esportatore di dati.

(c) Laddove consentito dalle leggi del Paese di destinazione, l'Importatore di dati si impegna a fornire all'Esportatore di dati, a intervalli regolari per tutta la durata del contratto, il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità/enti richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.)

(d) L'importatore di dati si impegna a conservare le informazioni di cui ai paragrafi da (a) a (c) per la durata del contratto e a metterle a disposizione dell'autorità di controllo competente su richiesta.

(e) I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'Importatore di dati ai sensi della Clausola 22(e) e della Clausola 24 di informare tempestivamente l'Esportatore di dati qualora non sia in grado di rispettare le presenti Clausole.

23.2 Verifica della legalità e minimizzazione dei dati

(a) L'importatore di dati si impegna a riesaminare la legittimità della richiesta di divulgazione, in particolare se essa rientra nei poteri concessi all'autorità pubblica richiedente, e a contestare la richiesta se, dopo un'attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di comitatologia internazionale. L'importatore di dati deve, alle stesse condizioni, avvalersi delle possibilità di ricorso. Quando impugna una richiesta, l'importatore di dati deve chiedere misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso nel merito. Non divulgherà i dati personali richiesti fino a quando non sarà obbligato a farlo in base alle norme procedurali applicabili. Questi requisiti non pregiudicano gli obblighi dell'importatore di dati ai sensi della clausola 22(e).

(b) L'importatore di dati si impegna a documentare la propria valutazione giuridica e qualsiasi contestazione della richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, a mettere la documentazione a disposizione dell'esportatore di dati. Inoltre, su richiesta, la metterà a disposizione dell'autorità di controllo competente.

(c) L'importatore di dati si impegna a fornire la quantità minima di informazioni consentite quando risponde a una richiesta di divulgazione, sulla base di una ragionevole interpretazione della richiesta.

DISPOSIZIONI FINALI

Clausola 24: Inosservanza delle clausole e rescissione

(a) L'Importatore di dati dovrà informare tempestivamente l'Esportatore di dati se non è in grado di rispettare le presenti clausole, per qualsiasi motivo.

(b) Nel caso in cui l'Importatore di dati violi le presenti Clausole o non sia in grado di rispettarle, l'Esportatore di dati sospenderà il trasferimento dei dati personali all'Importatore di dati fino a quando la conformità non sarà nuovamente garantita o il contratto sarà risolto. Ciò non pregiudica la clausola 21(f).

(c) L'Esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui esso riguarda il trattamento dei dati personali ai sensi delle presenti clausole, qualora:

(i) l'Esportatore di dati ha sospeso il trasferimento dei dati personali all'Importatore di dati ai sensi del paragrafo (b) e il rispetto delle presenti Clausole non viene ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

(ii) l'Importatore di dati è in violazione sostanziale o persistente delle presenti Clausole; oppure

(iii) l'Importatore di dati non si conformi a una decisione vincolante di un tribunale o di un'autorità di vigilanza competente in merito ai suoi obblighi ai sensi delle presenti clausole.

(d) In questi casi, informerà l'autorità di controllo competente di tale inadempienza. Nel caso in cui il contratto coinvolga più di due Parti, l'Esportatore di dati può esercitare questo diritto di risoluzione solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente.

(e) I dati personali che sono stati trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) saranno, a scelta dell'Esportatore di dati, immediatamente restituiti all'Esportatore di dati o cancellati nella loro interezza. Lo stesso vale per eventuali copie dei dati.

(f) L'importatore di dati dovrà certificare la cancellazione dei dati all'esportatore di dati. Fino alla cancellazione o alla restituzione dei dati, l'Importatore di dati continuerà a garantire la conformità alle presenti Clausole. In caso di leggi locali applicabili all'Importatore di dati che vietino la restituzione o la cancellazione dei dati personali trasferiti, l'importatore di dati garantisce che continuerà a garantire la conformità alle presenti Clausole e tratterà i dati solo nella misura e per il tempo richiesti dalla legge locale.

(g) Ciascuna Parte può revocare il proprio accordo ad essere vincolata dalle presenti Clausole qualora (i) la Commissione europea adotti una decisione ai sensi dell'articolo 45(3) del GDPR che riguardi il trasferimento di dati personali a cui si applicano le presenti Clausole; oppure (ii) il GDPR diventi parte del quadro giuridico del paese in cui i dati personali vengono trasferiti. Ciò non pregiudica altri obblighi applicabili al trattamento in questione ai sensi del GDPR.

Clausola 25: Legge applicabile

Le presenti Clausole saranno disciplinate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta i diritti di terzi beneficiari. Le Parti concordano che tale legge sarà quella dell'Irlanda.

Clausola 26: Scelta del foro e della giurisdizione

(a) Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali di uno Stato membro dell'UE.

(b) Le Parti convengono che tali tribunali saranno quelli dell'Irlanda.

(c) L'Interessato può anche intentare un'azione legale contro l'Esportatore e/o l'Importatore di dati davanti ai tribunali dello Stato membro in cui risiede abitualmente.

(d) Le Parti convengono di sottoporsi alla giurisdizione di tali tribunali.

Per conto dell'esportatore di dati:

Nome completo: Adam Brogden
Posizione: Direttore
Indirizzo: Ufficio 2 12A Lower Main Street, Lucan Co. Dublino K78 X5P8 Irlanda
Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):
Firma: Adam Brogden
Per conto dell'importatore di dati:
Nome completo: Zlatko Delev
Posizione: Caposquadra
Indirizzo: 1° piano Front Suite, 27-29 North Street, Brighton, Inghilterra BN1 1EB
Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):
Firma: Zlatko Delev

APPENDICE

ALLEGATO I.

A. Elenco delle parti

1.

Esportatore di dati

Nome: Rappresentante Instant EU GDPR LTD

Indirizzo: Ufficio 2 12A Lower Main Street, Lucan Co. Dublino K78 X5P8 Irlanda

Nome, posizione e recapiti della persona di contatto: ... Adam Brogden, Direttore, [email protected]

Firma e data: ADAM BROGDEN; 13/12/2021

Ruolo: controllore e processore

2. …

Importatore di dati

Nome: GDPR Local LTD

Indirizzo: 1° piano Front Suite, 27-29 North Street, Brighton, Inghilterra

Nome, posizione e recapiti della persona di contatto: Zlatko Delev, Compliance Team Lead, [email protected]

Firma e data: ZLATKO DELEV; 13/12/2021

Ruolo: processore

B. Descrizione del trasferimento

Categorie di soggetti cui vengono trasferiti i dati personali : dipendenti, clienti, loro fornitori e terze parti, autorità di regolamentazione, soggetti che ne fanno richiesta e altre società e agenzie che possono essere coinvolte.

Categorie di dati personali trasferiti: dati di contatto dell'Esportatore di dati e degli interessati, nonché dati relativi all'elaborazione di richieste, reclami e altre interazioni derivanti dalla fornitura dei servizi. Ciò include il nome dell'interessato , i dettagli di contatto, l'e-mail, il numero di telefono, i dettagli di pagamento, l'indirizzo di fatturazione e le interazioni via e-mail / telefono / posta ecc.....

Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive. Non raccogliamo o conserviamo abitualmente dati personali sensibili. Tuttavia, nel caso in cui ciò avvenga, ci assicureremo di adottare le misure appropriate per proteggere tali dati sensibili.

La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuo). I dati vengono trasferiti ad hoc, secondo le necessità.

Natura del trattamento: la natura e lo scopo del trattamento è quello di fornire i servizi per il nostro cliente al fine di essere conformi alla legge britannica sulla protezione dei dati, al GDPR e alle relative normative sulla protezione dei dati.

Finalità del trasferimento e dell'ulteriore trattamento dei dati: fornire servizi di rappresentanza UE/Regno Unito, consulenza GDPR e servizi associati.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: per tutto il tempo in cui vengono forniti i Servizi Data Importer.

Per i trasferimenti a (sub)incaricati del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento: Come richiesto per la fornitura dei servizi.

C. Autorità di vigilanza competente

L'autorità di vigilanza competente è l'Ireland Information Comissioner:

Ufficio del Commissario per l'Informazione,

6 Earlsfort Terrace,

Dublino 2, D02 W773,

Irlanda.

ALLEGATO II:

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Descrizione delle misure di sicurezza tecniche e organizzative attuate dall'importatore dei dati in conformità alle clausole 4(d) e 5(c) (o documento/legislazione allegato):

Tutti i dati sono archiviati in un database Sql Server criptato ospitato in un centro dati Microsoft Azure (Londra). L'accesso ai dati avviene solo attraverso le nostre piattaforme interne che prevedono un'autenticazione basata su ruoli e utenti, con accesso negato per impostazione predefinita e consentito solo ai team della campagna.

Crittografia - I dati memorizzati nei nostri database sono crittografati sia in transito che a riposo. Tutti i computer utilizzati per l'attività sono dotati di dischi rigidi criptati.

Accesso all'hub - 2FA - Il 2FA è disponibile per tutti gli utenti, ma non viene applicato.

Controlli di accesso - Sono stati effettuati controlli di accesso appropriati - funzionali/dati - L'accesso ai dati è limitato dalla struttura organizzativa, così come l'accesso funzionale (per quanto riguarda SodaStream e Hub). Utilizziamo i "Ruoli" per assegnare diversi tipi di permessi a diversi livelli di accesso dei dipendenti.

Sicurezza fisica: abbiamo stabilito controlli appropriati sull'accesso fisico in tutte le sedi, come richiesto per proteggere le risorse di dati. - I datacenter utilizzati sono molto sicuri - i dettagli completi sul livello di sicurezza fisica sono disponibili qui: https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security .

ALLEGATO III - ELENCO DEI SUBPROCESSORI

L'Importatore e l'Esportatore di dati hanno autorizzato l'utilizzo dei seguenti subprocessori:

Nome del subprocessoreServizi eseguitiPosizione del sottoprocessoreScopo del trattamentoDPA in vigore con il subprocessore(sì o no)
Sopro d.o.oSviluppo di software, supporto operativo, supporto amministrativo, sviluppo commerciale, gestione di progetti.Macedonia del NordSviluppo, supporto, funzionamento e consulenza per i nostri servizi GDPR e correlati.SìDPA e SCC
Sopro LtdSviluppo di software, supporto operativo, supporto amministrativo, sviluppo commerciale, gestione di progetti.UKSviluppo aziendaleSìDPA
Sopro HoldingsSviluppo di software, supporto operativo, supporto amministrativo, sviluppo commerciale, gestione di progetti.UKSviluppo e operazioni commerciali.SìDPA