Accordo sul trattamento dei dati
Nel rispetto dei requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla Protezione delle persone fisiche in merito al trattamento dei dati personali e del libero movimento di tali dati, abrogando la Direttiva 95/46/CE (qui nel prosieguo denominato “GDPR”), il Fornitre (qui nel prosieguo denominato “Responsabile”) e l’Utente (qui nel prosieguo denominato “Titolare”) sottoscrivono un rapporto contrattuale sul trattamento dei dati allo scopo di definire i termini e le condizioni per il trattamento dei dati personali, le modalità di protezione degli stessi, nonché altri diritti e obblighi di entrambe le parti nel trattamento dei dati personali dei soggetti dei dati per conto del Titolare durante l’esecuzione della materia oggetto dei presenti Termini come contratto principale.
1. Dati Personali Elaborazione. I servizi erogati in conformità dei presenti Termini includono l’elaborazione di informazioni relative a una persona fisica identificata o identificabile indicata nell’Informativa sulla privacy (qui nel prosieguo denominati “Dati personali”).
2. Autorizzazione. Il Titolare del trattamento dei dati autorizza il Responsabile del trattamento a elaborare i Dati personali, attenendosi alle seguenti istruzioni:
(i) con il termine “Finalità del trattamento” si intende l’erogazione di servizi in conformità ai presenti Termini. Il Responsabile del trattamento è autorizzato a elaborare esclusivamente i Dati personali per conto del Titolare del trattamento dei dati relativamente all’erogazione dei servizi richiesti da quest’ultimo. Tutte le informazioni raccolte per ulteriori scopi vengono elaborate al di fuori della relazione contrattuale Titolare del trattamento dei dati-Responsabile del trattamento.
(ii) per periodo del trattamento si intende il periodo a partire dall’inizio della collaborazione nel rispetto dei presenti Termini fino alla cessazione dei servizi,
(iii) Ambito e Categorie di Dati personali. I Servizi sono concepiti esclusivamente ai fini dell’elaborazione di dati personali di carattere generale. Tuttavia, il Titolare del trattamento dei dati è il solo responsabile della determinazione dell’ambito dei dati personali.
(iv) con “Soggetto dei dati” si intende una persona fisica come utente autorizzato dei dispositivi del Titolare,
(v) per “Attività di trattamento” si intende qualsiasi operazione necessaria ai fini del trattamento,
(vi) per “Istruzioni documentate” si intendono le istruzioni descritte nei presenti Termini, i relativi Allegati, l’Informativa sulla privacy e la documentazione del servizio. Il Titolare del trattamento dei dati è responsabile in merito all’ammissibilità giuridica dell’elaborazione dei Dati personali da parte del Responsabile del trattamento in relazione alle rispettive disposizioni applicabili previste dalla legge sulla protezione dei dati.
3. Obblighi del Responsabile. Il Responsabile sarà obbligato a:
(i) elaborare i Dati personali esclusivamente sulla base delle Istruzioni documentate e per le finalità definite nei Termini, nei relativi Allegati, nell’Informativa sulla privacy e nella documentazione del servizio,
(ii) fornire alle persone autorizzate all’elaborazione dei Dati personali (qui nel prosieguo denominate “Persone autorizzate”) informazioni sui rispettivi diritti e obblighi ai sensi del GDPR e sulla loro responsabilità in caso di violazione, e garantire che le Persone autorizzate siano vincolate alla riservatezza e al rispetto delle Istruzioni documentate,
(iii) attuare e attenersi alle misure descritte nei Termini, nei relativi Allegati, nell’Informativa sulla privacy e nella documentazione del servizio,
(iv) assistere il Titolare del trattamento dei dati nel rispondere alle richieste presentate dagli Interessati correlate ai rispettivi diritti. Il Responsabile del trattamento non deve correggere, rimuovere o limitare l’elaborazione dei Dati personali senza fare riferimento alle istruzioni fornite dal Titolare del trattamento dei dati. Tutte le richieste presentate dall’Interessato in relazione ai Dati personali elaborati per conto del Titolare del trattamento dei dati saranno inoltrate senza ritardi a quest’ultimo.
(v) assistere il Titolare del trattamento dei dati nella notifica di violazione dei dati personali all’autorità di supervisione e all’Interessato, Il Responsabile del trattamento comunicherà al Titolare del trattamento dei dati qualsiasi violazione del trattamento dei dati personali o della sicurezza dei dati personali subito dopo il rilevamento. Il Responsabile del trattamento dovrà collaborare in misura ragionevole nell’ambito di un’indagine e nella correzione di tale violazione e dovrà adottare misure ragionevoli per limitare ulteriori conseguenze negative.
(vi) a discrezione del Titolare del trattamento dei dati, rimuovere o restituire tutti i Dati personali al Titolare del trattamento dei dati al termine del Periodo di elaborazione. Il Titolare del trattamento dei dati si impegna a informare il Responsabile del trattamento in merito alla propria decisione entro dieci (10) giorni dalla fine del Periodo di trattamento. La presente disposizione non avrà alcun effetto sul diritto del Responsabile del trattamento di conservare i Dati personali nella misura necessaria ai fini dell’archiviazione nell’interesse pubblico, per scopi di ricerca in campo scientifico, per scopi statistici o ai fini della costituzione, dell’esercizio o della difesa di richieste legali.
(vii) mantenere un registro aggiornato di tutte le categorie delle attività di trattamento dei dati che ha eseguito per conto del Titolare,
(viii) rendere disponibili al Titolare del trattamento dei dati tutte le informazioni necessarie a dimostrare la conformità nell’ambito dei Termini, dei relativi Allegati, dell’Informativa sulla privacy e della documentazione del servizio. In caso di audit o di controllo del Trattamento dei dati personali da parte del Titolare del trattamento dei dati, il Titolare del trattamento dei dati è tenuto a informare per iscritto il Responsabile del trattamento almeno dieci (30) giorni prima dell’audit o del controllo pianificato.
4. Incarico di un altro responsabile del trattamento dei dati. Il Responsabile del trattamento ha diritto a incaricare un altro responsabile per l’esecuzione di specifiche attività di elaborazione dei dati, quali la fornitura di spazi di archiviazione sul cloud e infrastrutture per il servizio in conformità dei presenti Termini, dei relativi Allegati, dell’Informativa sulla privacy e della documentazione del servizio. Attualmente, Microsoft offre l’archiviazione sul cloud e l’infrastruttura nell’ambito del servizio cloud Azure. Anche in questo caso, il Responsabile rimarrà l’unico punto di contatto e la parte responsabile della conformità. Il Responsabile del trattamento dei dati ivi si impegna a informare il Titolare del trattamento dei dati in caso di aggiunta o di sostituzione di un altro Responsabile del trattamento per le finalità correlate alla possibilità di obiettare in merito a tale modifica.
5. Territorio del trattamento. Il Responsabile assicura che il trattamento avviene nell’Area Economica Europea o in un Paese designato come sicuro per decisione della Commissione Europea sulla base della decisione del Titolare. In caso di trasferimenti e di elaborazione dei dati al di fuori dello Spazio Economico Europeo o di un Paese designato come sicuro per decisione della Commissione europea saranno applicabili le Clausole contrattuali standard su richiesta del Titolare del trattamento dei dati.
6. Protezione. Il Responsabile è certificato ISO 27001:2013 e utilizza la struttura ISO 27001 per implementare una strategia di protezione con difesa a strati nell’applicazione dei controlli di sicurezza a livello della rete, dei sistemi operativi, dei database, delle applicazioni, del personale e dei processi operativi. La conformità ai requisiti normativi e contrattuali viene periodicamente valutata e revisionata analogamente ad altre infrastrutture e operazioni del Responsabile e vengono adottate misure necessarie a garantire la conformità su base continuativa. Il Responsabile del trattamento ha organizzato la protezione dei dati utilizzando il sistema ISMS in base allo standard ISO 27001. La documentazione sulla protezione include principalmente documenti sulle politiche per la protezione delle informazioni, la sicurezza fisica e quella delle apparecchiature, la gestione degli incidenti, la gestione della perdita dei dati e degli incidenti di sicurezza e cosi via.
7. Misure tecniche e organizzative. Il Responsabile del trattamento dei dati proteggerà i Dati personali da danni e distruzioni casuali e illegali, perdite casuali, modifiche, accessi e divulgazioni non autorizzati. A tal fine, il Responsabile del trattamento adotterà adeguate misure tecniche e organizzative corrispondenti alla modalità di trattamento dei dati e al rischio presentato dal trattamento in termini di diritti degli Interessati in conformità dei requisiti del GDPR. Una descrizione dettagliata delle misure tecniche e organizzative è indicata nel “Criterio di sicurezza”.
8. Informazioni di contatto del Responsabile. Tutte le notifiche, richieste e altre comunicazioni riguardanti la protezione dei dati personali dovranno essere inviate a ESET, spol. s.r.o., all’attenzione di: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.