Get in Touch
Application
WELL Certification Achieve WELL Certification Meet WELL's requirements and earn up to 9 points with Kaiterra workplace Enhance Workplace Experience Deliver elevated workplace experiences with better air High performance buildings Improve HVAC & Building Performance Make data-driven decisions in building design and operations
Certification Projects
LEED Projects RESET Projects Fitwel Projects
Hardware
Wireless Solutions 🆕
Wired Solutions
Compare Hardware
Software
Kaiterra Data Platform
Pricing
blog Better Building Blog Insights and perspectives on healthy buildings and IAQ Downloads Technical Downloads Download technical documentation for Kaiterra products support Support Knowledge base, how-to articles and troubleshooting Security Icon Security Security measures we've put in place to keep your data safe resources Learning Center Educational resources crafted by air quality experts compare Events Upcoming and on-demand Kaiterra events
WELL Compliance Report - Menu
DASHBOARD FEATURE WELL Compliance Report Learn More
ebook - Business Case for IAQ
eBook The Business Case for
Indoor Air Quality Download
about About Learn how we help companies decarbonize their buildings and address climate change. career Careers Ready to make an impact? Explore our open positions. contact@2x Contact Get in touch to discuss a project, a partnership, or get fast and dedicated support.

Accordo per l'elaborazione dei dati

Ultimo aggiornamento 13 agosto 2022

KAITERRA

ACCORDO SUL TRATTAMENTO DEI DATI

Il presente Accordo per il Trattamento dei Dati ("DPA"), che include le Clausole Contrattuali Standard adottate dalla Commissione Europea per l'uso nell'Unione Europea ("SCC UE") ai sensi del trasferimento di dati personali verso paesi terzi ai sensi del Regolamento Generale sulla Protezione dei Dati ("GDPR"), nonché le Clausole Contrattuali Standard approvate dall'Information Commissioner's Office del Regno Unito ("UK") per soddisfare i requisiti per i trasferimenti internazionali limitati di dati dal Regno Unito ai sensi del GDPR ("SCC UK"), a seconda dei casi, riflette l'accordo delle parti in merito ai termini che regolano il Trattamento dei Dati Personali ai sensi del Contratto di Abbonamento Master Kaiterra, dei Termini di Servizio Kaiterra, dei Termini di Acquisto Kaiterra o di altro accordo scritto che faccia riferimento al presente DPA (il "Contratto") tra Origins Technology Ltd. ("Kaiterra") e Origins Technology Ltd. ("Kaiterra"). ("Kaiterra") e il cliente che è parte del Contratto ("Cliente"). Il presente DPA è incorporato nel Contratto e ne costituisce parte integrante. Se avete bisogno di una copia firmata del presente DPA per i vostri archivi, contattateci all'indirizzo privacy@kaiterra.com.

Il presente DPA viene aggiornato periodicamente. Se avete un abbonamento attivo a Kaiterra, vi informeremo di tali aggiornamenti tramite un'e-mail o una notifica in-app.

La durata del presente DPA seguirà la durata del Contratto. I termini non altrimenti definiti nel presente documento avranno il significato stabilito nel Contratto.

IL PRESENTE DPA INCLUDE:

(i) le SCC dell'UE, allegate al presente documento come Allegato 1.

(a) l'allegato 1 alle comunicazioni commerciali dell'UE, che include specifiche sui dati personali trasferiti dall'esportatore di dati all'importatore di dati.

(b) l'allegato 2 delle SCC dell'UE, che comprende una descrizione delle misure di sicurezza tecniche e organizzative attuate dall'importatore dei dati come indicato.

(ii) L'elenco degli attuali Subprocessori di Kaiterra, allegato al presente documento come Allegato 3.

(ii) Le SCC del Regno Unito, allegate al presente documento come Allegato 2.

(a) L'Appendice 1 delle SCC del Regno Unito, che include specifiche sui Dati personali trasferiti dall'esportatore di dati all'importatore di dati.

(b) l'Appendice 2 alle SCC del Regno Unito, che include una descrizione delle misure di sicurezza tecniche e organizzative implementate dall'importatore di dati come indicato.

1. Definizioni

Per "Titolare del trattamento" si intende la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, da solo o congiuntamente ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

Per "Legge sulla protezione dei dati" si intende tutta la legislazione applicabile in materia di protezione dei dati e della privacy, incluso, a titolo esemplificativo, il GDPR e tutte le leggi e i regolamenti locali che modificano o sostituiscono uno qualsiasi di essi, insieme a qualsiasi legge nazionale di attuazione in qualsiasi Stato membro dell'Unione europea o, nella misura in cui è applicabile, in qualsiasi altro paese, come modificato, abrogato, consolidato o sostituito di volta in volta. I termini "processo", "processi" e "elaborati" saranno interpretati di conseguenza.

Per "Soggetto interessato" si intende la persona fisica a cui si riferiscono i Dati personali.

"Prodotti Kaiterra" indica l'hardware Kaiterra e i servizi associati forniti da Kaiterra al Cliente ai sensi del Contratto.

"GDPR" indica il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, o analoghe implementazioni del GDPR al di fuori dell'Unione Europea, incluso, a titolo esemplificativo, il GDPR del Regno Unito.

"Istruzione" indica l'istruzione scritta e documentata, impartita dal Titolare del trattamento al Responsabile del trattamento, con la quale si ordina a quest'ultimo di eseguire un'azione specifica in relazione ai Dati personali (tra cui, a titolo esemplificativo e non esaustivo, la spersonalizzazione, il blocco, la cancellazione, la messa a disposizione).

Per "Dati personali" si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile, laddove tali informazioni siano contenute nei Dati del cliente e siano protette in modo analogo ai dati personali o alle informazioni di identificazione personale ai sensi della legge sulla protezione dei dati.

Per "violazione dei dati personali" si intende una violazione della sicurezza che comporta la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o altrimenti elaborati.

Per "Processo" o "Trattamento" si intende qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, comprendenti la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la restrizione o la cancellazione dei Dati personali.

Per "Responsabile del trattamento" si intende una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che tratta i Dati personali per conto del Titolare del trattamento.

"Clausole contrattuali standard" indica le clausole allegate al presente documento come Allegato 1 e Allegato 2 ai sensi della decisione della Commissione europea (UE) 2021/914 del 4 giugno 2021 e (C(2010)593) del 5 febbraio 2010 sulle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati.

Per "Subincaricato" si intende un Incaricato del trattamento incaricato da Kaiterra di elaborare i Dati personali.

2. Responsabilità del cliente

Le parti riconoscono e concordano che il Cliente è il Titolare dei Dati personali e Kaiterra è il Responsabile del trattamento dei Dati personali. Nell'ambito del Contratto e nell'utilizzo dei Prodotti Kaiterra, il Titolare è l'unico responsabile del rispetto dei requisiti di legge in materia di protezione dei dati e della privacy, in particolare per quanto riguarda la divulgazione e il trasferimento dei Dati personali al Responsabile del trattamento e l'elaborazione dei Dati personali. Il Titolare dovrà informare il Responsabile del trattamento in modo esaustivo e senza ritardi ingiustificati di eventuali errori o irregolarità relativi alle disposizioni di legge sul trattamento dei dati personali.

3. Obblighi del Responsabile del trattamento

a. Rispetto delle istruzioni. Il Responsabile del trattamento raccoglierà, elaborerà e utilizzerà i Dati personali solo nell'ambito delle istruzioni del Titolare. Le istruzioni del Titolare sono documentate nel presente DPA, nel Contratto e in qualsiasi Modulo d'ordine applicabile. Il Titolare del trattamento può ragionevolmente impartire ulteriori istruzioni, se necessario, per conformarsi alla legge sulla protezione dei dati. Il Responsabile del trattamento può addebitare un costo ragionevole per l'adempimento di eventuali istruzioni aggiuntive.

Qualora l'Incaricato ritenga che un'istruzione del Titolare del trattamento violi la Legge sulla protezione dei dati, dovrà informare tempestivamente e senza indugio il Titolare del trattamento. A meno che non sia vietato dalla legge, il Processore informerà il Titolare del trattamento qualora sia soggetto a un obbligo legale che richieda al Processore di trattare i Dati personali del Titolare del trattamento in violazione delle istruzioni; e (ii) potrà cessare ogni trattamento (oltre alla mera conservazione e al mantenimento della sicurezza dei Dati personali interessati) fino a quando il Titolare del trattamento non emetterà nuove istruzioni alle quali il Processore sia in grado di conformarsi. In caso di ricorso a tale disposizione, l'Incaricato non sarà responsabile nei confronti del Titolare del trattamento ai sensi del Contratto per l'eventuale mancata esecuzione dei Prodotti Kaiterra applicabili fino al momento in cui il Titolare del trattamento non impartisca nuove istruzioni in merito al trattamento.

b.Sicurezza. Il Processore adotterà le opportune misure tecniche e organizzative per proteggere adeguatamente i Dati personali contro la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali, come descritto nell'Allegato 2 alle CSU e nell'Appendice 2 alle CSU del Regno Unito. Su richiesta del Titolare del trattamento, il Responsabile del trattamento fornirà un programma di protezione e sicurezza dei dati personali aggiornato in relazione al trattamento di cui al presente documento.

Il Responsabile del trattamento assisterà il Titolare del trattamento nell'adempimento dell'obbligo del Titolare del trattamento di implementare misure di sicurezza in relazione ai Dati personali (compresi, se del caso, gli obblighi del Titolare del trattamento ai sensi degli articoli da 32 a 34 (inclusi) del GDPR), (i) implementando e mantenendo le misure di sicurezza descritte nell'Appendice 2, (ii) rispettando i termini della Clausola 4(d) delle CSU del Regno Unito e della Clausola 8(a) delle CSU dell'UE.6(a) delle CSU (violazioni dei dati personali); e (iii) fornendo al Titolare del trattamento informazioni in relazione al trattamento in conformità alla clausola 5 delle CSU del Regno Unito e alla clausola 8.9 delle CSU (audit).

c. Riservatezza. Il Processore dovrà garantire che il personale che il Processore autorizza a trattare i Dati personali per suo conto sia soggetto a obblighi di riservatezza in relazione a tali Dati personali. L'impegno alla riservatezza continuerà anche dopo la cessazione delle attività di cui sopra.

d. Violazioni dei dati personali. Il Responsabile del trattamento informerà il Titolare del trattamento non appena ragionevolmente possibile dopo essere venuto a conoscenza di una violazione dei dati personali che riguardi i dati personali. Su richiesta del Titolare del trattamento, il Responsabile del trattamento fornirà al Titolare del trattamento tutta l'assistenza ragionevolmente necessaria per consentire al Titolare del trattamento di notificare le violazioni dei dati personali alle autorità competenti e/o agli interessati, qualora il Titolare del trattamento sia tenuto a farlo ai sensi della legge sulla protezione dei dati.

e. Richieste dell'interessato. Il Responsabile del trattamento fornirà un'assistenza ragionevole, anche attraverso misure tecniche e organizzative adeguate e tenendo conto della natura del trattamento, per consentire al Titolare del trattamento di rispondere a qualsiasi richiesta di soggetti interessati che intendano esercitare i propri diritti ai sensi della Legge sulla protezione dei dati in relazione ai dati personali (compresi l'accesso, la rettifica, la limitazione, la cancellazione o la portabilità dei dati personali, a seconda dei casi), nella misura consentita dalla legge. Se tale richiesta viene presentata direttamente al Responsabile del trattamento, il Responsabile del trattamento informerà il Titolare del trattamento e consiglierà agli interessati di presentare la loro richiesta al Titolare del trattamento. Il Titolare del trattamento sarà l'unico responsabile della risposta alle richieste degli interessati.

Nella misura in cui il Titolare del trattamento non sia in grado di rispondere a una richiesta dell'Interessato, su richiesta del Titolare del trattamento il Responsabile del trattamento fornirà un'assistenza ragionevole al Titolare del trattamento per agevolare tale richiesta dell'Interessato, nella misura in cui ciò sia possibile e solo come richiesto dalla legge applicabile in materia di protezione dei dati. Il Titolare del trattamento rimborserà al Responsabile del trattamento i costi commercialmente ragionevoli derivanti da tale assistenza.

f. Cancellazione o recupero dei dati personali. Salvo quanto richiesto dalla legge sulla protezione dei dati, in seguito alla risoluzione o alla scadenza del Contratto, il Responsabile del trattamento cancellerà o restituirà tutti i Dati personali (comprese le relative copie) trattati ai sensi del presente DPA. Qualora il Processore non sia in grado di cancellare i Dati personali per motivi tecnici o di altra natura, il Processore applicherà misure per garantire che i Dati personali siano bloccati da qualsiasi ulteriore trattamento.

Il Titolare del trattamento, al momento della risoluzione o della scadenza del Contratto e mediante l'emissione di un'Istruzione, dovrà stabilire, entro un periodo di tempo stabilito dal Responsabile del trattamento, le misure ragionevoli per la restituzione dei dati o per la cancellazione dei dati memorizzati. Qualsiasi costo aggiuntivo derivante dalla restituzione o dalla cancellazione dei Dati personali dopo la risoluzione o la scadenza del Contratto sarà a carico del Titolare.

g. Valutazioni d'impatto sulla protezione dei dati e consultazione con le autorità di protezione dei dati. Nella misura in cui le informazioni richieste siano disponibili al Responsabile del trattamento e il Titolare del trattamento non abbia altrimenti accesso alle informazioni richieste, il Responsabile del trattamento fornirà un'assistenza ragionevole al Titolare del trattamento per qualsiasi valutazione dell'impatto sulla protezione dei dati e per le consultazioni preliminari con le autorità preposte alla protezione dei dati, che il Titolare del trattamento ritenga ragionevolmente necessarie ai sensi degli articoli 35 o 36 del GDPR o di disposizioni equivalenti di qualsiasi altra legge sulla protezione dei dati, in ogni caso esclusivamente in relazione al trattamento dei Dati personali.

4. Verifiche

Il Responsabile del trattamento, in conformità con le leggi sulla protezione dei dati e in risposta a una ragionevole richiesta scritta del Titolare del trattamento, metterà a disposizione del Titolare del trattamento le informazioni in possesso del Responsabile del trattamento o in suo controllo relative al rispetto da parte del Responsabile del trattamento degli obblighi previsti dalla legge sulla protezione dei dati in relazione al trattamento dei dati personali.

Il Titolare può, su richiesta scritta e con un preavviso di almeno 30 giorni al Processore, durante il normale orario di lavoro e senza interrompere l'attività del Processore, condurre un'ispezione dell'attività del Processore o farla condurre da un revisore terzo qualificato, previa approvazione del Processore, che non sarà irragionevolmente negata.

Il Processore, su richiesta scritta del Controllore e con un preavviso di almeno 30 giorni, fornirà al Controllore tutte le informazioni necessarie per tale verifica, nella misura in cui tali informazioni siano sotto il controllo del Processore e il Processore non sia impossibilitato a divulgarle in base alla legge vigente, all'obbligo di riservatezza o a qualsiasi altro obbligo dovuto a terzi.

5. Subprocessori

Il Titolare del trattamento autorizza il Processore ad avvalersi di Subprocessori. L'elenco degli attuali Subprocessori del Processore è riportato nell'Allegato 3. A scanso di equivoci, l'autorizzazione di cui sopra costituisce il previo consenso scritto del Titolare del trattamento al sub-trattamento da parte del Responsabile del trattamento ai fini della clausola 11 degli accordi SCC britannici e della clausola 9 degli accordi SCC dell'UE. Il Responsabile del trattamento stipulerà un accordo scritto con i Subprocessori che imponga a questi ultimi obblighi di protezione dei dati secondo gli standard richiesti dalla legge sulla protezione dei dati, compreso il rispetto dei termini del presente DPA. Il Responsabile del trattamento informerà il Titolare del trattamento prima di qualsiasi cambiamento previsto per i Subprocessori. Il Titolare può opporsi all'aggiunta di un Subprocessore sulla base di ragionevoli motivi relativi a una violazione potenziale o effettiva della Legge sulla protezione dei dati, fornendo una comunicazione scritta che specifichi i motivi di tale obiezione entro trenta (30) giorni dalla notifica del Processore della modifica prevista. Il Titolare e l'Incaricato del trattamento collaboreranno in buona fede per risolvere l'obiezione del Titolare. Se il Responsabile del trattamento sceglie di mantenere il Subprocessore nonostante l'obiezione del Titolare, il Responsabile del trattamento informerà il Titolare almeno trenta (30) giorni prima di autorizzare il Subprocessore a trattare i Dati personali e il Titolare potrà interrompere immediatamente l'utilizzo delle parti pertinenti dei Prodotti Kaiterra e potrà terminare le parti pertinenti dei Prodotti Kaiterra entro trenta (30) giorni.

6. Trasferimenti di dati

Il Controllore riconosce e accetta che, in relazione all'esecuzione dei Prodotti Kaiterra ai sensi dell'Accordo, i Dati personali saranno trasferiti a Kaiterra negli Stati Uniti. Le SCC dell'UE allegate al presente documento come Allegato 1 si applicheranno ai Dati personali trasferiti al di fuori del SEE, direttamente o tramite trasferimento successivo, negli Stati Uniti o in qualsiasi altro paese che non sia stato riconosciuto dalla Commissione europea come fornitore di un livello adeguato di protezione dei dati personali (come descritto nella Legge sulla protezione dei dati). Le SCC del Regno Unito allegate al presente documento come Allegato 2 si applicheranno in relazione ai Dati personali trasferiti al di fuori del Regno Unito, direttamente o tramite trasferimento successivo, agli Stati Uniti o a qualsiasi altro paese non coperto da regolamenti di adeguatezza ai sensi della sezione 17A del Data Protection Act 2018.

7. Disposizioni generali

Per quanto riguarda gli aggiornamenti e le modifiche al presente DPA, si applicheranno i termini che si applicano nelle sottosezioni "Modifiche al Contratto" e "Generale" del Contratto. Qualora singole disposizioni del presente DPA siano invalide o inapplicabili, la validità e l'applicabilità delle altre disposizioni del presente DPA non saranno pregiudicate.

Con l'incorporazione del presente DPA nel Contratto, le parti del presente DPA accettano le Clausole contrattuali standard (se e in quanto applicabili) e tutte le appendici ad esse allegate. In caso di conflitto o incongruenza tra il presente DPA e le Clausole contrattuali standard, prevarranno le Clausole contrattuali standard, a condizione che: (a) il Titolare del trattamento possa esercitare il diritto di revisione ai sensi della Clausola 5(f) delle CSU del Regno Unito e della Clausola 8.9 delle CSU dell'Unione Europea, come stabilito nella Sezione 5 del presente DPA e nel rispetto dei requisiti in essa contenuti; e (b) il Responsabile del trattamento possa nominare Subprocessori come stabilito nella Sezione 6 del presente DPA e nel rispetto dei requisiti in essa contenuti.

ESPOSTO 1

CLAUSOLE CONTRATTUALI STANDARD

Dal controllore al responsabile del trattamento

SEZIONE I

Clausola 1

Scopo e ambito di applicazione

(a) Lo scopo delle presenti clausole contrattuali standard è quello di garantire la conformità ai requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) per il trasferimento di dati personali verso un paese terzo.

(b) Le Parti:

(i) la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo (di seguito "entità") che trasferisce i dati personali, elencati nell'allegato I.A (di seguito ciascun "esportatore di dati"), e

(ii) l'ente/gli enti di un paese terzo che riceve/ricevono i dati personali dall'esportatore, direttamente o indirettamente tramite un altro ente, anch'esso parte delle presenti clausole, come elencato nell'allegato I.A (di seguito "importatore di dati").

hanno accettato le presenti clausole contrattuali standard (di seguito: "clausole").

(c) Le presenti clausole si applicano al trasferimento di dati personali come specificato nell'Allegato I.B.

(d) L'Appendice alle presenti Clausole, contenente gli allegati ivi menzionati, costituisce parte integrante delle stesse.

Clausola 2

Effetti e invariabilità delle Clausole

(a) Le presenti Clausole stabiliscono garanzie adeguate, tra cui diritti dell'interessato azionabili e rimedi giuridici efficaci, ai sensi dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del Regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da responsabili del trattamento a incaricati del trattamento e/o da incaricati del trattamento a incaricati del trattamento, clausole contrattuali standard ai sensi dell'articolo 28, paragrafo 7, del Regolamento (UE) 2016/679, a condizione che non vengano modificate, se non per selezionare il Modulo o i Moduli appropriati o per aggiungere o aggiornare le informazioni nell'Appendice. Ciò non impedisce alle Parti di includere le clausole contrattuali standard stabilite nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, a condizione che non contraddicano, direttamente o indirettamente, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

(b) Le presenti Clausole non pregiudicano gli obblighi a cui l'esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679.

Clausola 3

Terzi beneficiari

(a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore di dati, con le seguenti eccezioni:

(i) clausola 1, clausola 2, clausola 3, clausola 6, clausola 7;

(ii) Clausola 8 - Modulo Uno: Clausola 8.5 (e) e Clausola 8.9 (b); Modulo Due: Clausola 8.1 (b), 8.9 (a), (c), (d) ed (e); Modulo Tre: Clausola 8.1(a), (c) e (d) e Clausola 8.9(a), (c), (d), (e), (f) e (g); Modulo 4: Clausola 8.1 (b) e Clausola 8.3 (b);

(iii) Clausola 9 - Modulo 2: Clausola 9(a), (c), (d) ed (e); Modulo 3: Clausola 9(a), (c), (d) ed (e);

(iv) Clausola 12 - Modulo Uno: Clausola 12(a) e (d); Moduli Due e Tre: Clausola 12(a), (d) e (f);

(v) Clausola 13;

(vi) Clausola 15.1(c), (d) ed (e);

(vii) Clausola 16 (e);

(viii) Clausola 18 - Moduli Uno, Due e Tre: Clausola 18(a) e (b); Modulo Quattro: Clausola 18.

(b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.

Clausola 4

Interpretazione

(a) Laddove le presenti Clausole utilizzino termini definiti nel Regolamento (UE) 2016/679, tali termini avranno lo stesso significato di cui al suddetto Regolamento.

(b) Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

(c) Le presenti Clausole non devono essere interpretate in modo da entrare in conflitto con i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5

Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento in cui le presenti Clausole vengono concordate o stipulate successivamente, prevarranno le presenti Clausole.

Clausola 6

Descrizione del/i trasferimento/i

I dettagli del/i trasferimento/i, e in particolare le categorie di dati personali trasferiti e le finalità per cui sono trasferiti, sono specificati nell'Allegato I.B.

Clausola 7

Clausola di attracco

(a) Un'entità che non è Parte delle presenti Clausole può, con l'accordo delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia come esportatore di dati che come importatore di dati, compilando l'Appendice e firmando l'Allegato I.A.

(b) Una volta compilata l'Appendice e firmato l'Allegato I.A, l'entità aderente diventerà Parte delle presenti Clausole e avrà i diritti e gli obblighi di un esportatore o di un importatore di dati in conformità alla sua designazione nell'Allegato I.A.

(c) L'entità aderente non avrà alcun diritto o obbligo derivante dalle presenti Clausole per il periodo precedente all'adesione.

SEZIONE II - OBBLIGHI DELLE PARTI

Clausola 8

Salvaguardia della protezione dei dati

L'esportatore di dati garantisce di aver compiuto sforzi ragionevoli per determinare che l'importatore di dati sia in grado, attraverso l'implementazione di misure tecniche e organizzative adeguate, di soddisfare i propri obblighi ai sensi delle presenti Clausole.

8.1 Istruzioni

(a) L'importatore tratterà i dati personali solo su istruzioni documentate dell'esportatore. L'esportatore può impartire tali istruzioni per tutta la durata del contratto.

(b) L'importatore di dati informerà immediatamente l'esportatore se non è in grado di seguire tali istruzioni.

8.2 Limitazione delle finalità

L'importatore tratterà i dati personali solo per le finalità specifiche del trasferimento, come indicato nell'allegato I.B, salvo ulteriori istruzioni dell'esportatore.

8.3 Trasparenza

Su richiesta, l'esportatore mette gratuitamente a disposizione dell'interessato una copia delle presenti clausole, compresa l'appendice compilata dalle Parti. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell'Allegato II e i dati personali, l'esportatore di dati può riformulare parte del testo dell'Appendice alle presenti Clausole prima di condividerne una copia, ma deve fornire una sintesi significativa qualora l'interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le Parti forniscono all'interessato i motivi delle riduzioni, per quanto possibile senza rivelare le informazioni ridotte. La presente clausola non pregiudica gli obblighi dell'esportatore di dati ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679.

8.4 Accuratezza

Se l'importatore dei dati si rende conto che i dati personali ricevuti sono inesatti o sono diventati obsoleti, deve informare l'esportatore dei dati senza indebito ritardo. In tal caso, l'importatore collaborerà con l'esportatore per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell'importatore di dati avrà luogo solo per la durata specificata nell'Allegato I.B. Al termine della fornitura dei servizi di trattamento, l'importatore di dati dovrà, a scelta dell'esportatore di dati, cancellare tutti i dati personali trattati per conto dell'esportatore di dati e certificare all'esportatore di dati di averlo fatto, oppure restituire all'esportatore di dati tutti i dati personali trattati per suo conto e cancellare le copie esistenti. Fino a quando i dati non saranno cancellati o restituiti, l'importatore di dati continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all'importatore di dati che vietino la restituzione o la cancellazione dei dati personali, l'importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e li tratterà solo nella misura e per il tempo richiesti dalla legge locale. Ciò non pregiudica la Clausola 14, in particolare l'obbligo per l'importatore di dati ai sensi della Clausola 14(e) di notificare all'esportatore di dati per tutta la durata del contratto se ha motivo di credere che sia o sia diventato soggetto a leggi o pratiche non in linea con i requisiti di cui alla Clausola 14(a).

8.6 Sicurezza del trattamento

(a) L'importatore dei dati e, durante la trasmissione, anche l'esportatore dei dati dovranno attuare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nel valutare il livello di sicurezza adeguato, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi che il trattamento comporta per gli interessati. Le Parti prendono in considerazione, in particolare, la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere soddisfatta in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l'attribuzione dei dati personali a un soggetto specifico devono, ove possibile, rimanere sotto il controllo esclusivo dell'esportatore di dati. Nell'adempimento degli obblighi di cui al presente paragrafo, l'importatore di dati attua almeno le misure tecniche e organizzative specificate nell'allegato II. L'importatore di dati effettua controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.

(b) L'importatore di dati concede l'accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Si assicura che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo di riservatezza previsto dalla legge.

(c) In caso di violazione dei dati personali trattati dall'importatore ai sensi delle presenti clausole, l'importatore adotterà le misure appropriate per affrontare la violazione, comprese le misure per attenuarne gli effetti negativi. L'importatore di dati dovrà inoltre informare l'esportatore di dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica conterrà gli estremi di un punto di contatto presso il quale ottenere maggiori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, le misure per attenuarne gli eventuali effetti negativi. Se, e nella misura in cui, non è possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale conterrà le informazioni disponibili in quel momento e le ulteriori informazioni, man mano che si rendono disponibili, saranno fornite successivamente senza indebito ritardo.

(d) L'importatore collabora con l'esportatore e lo assiste per consentirgli di adempiere agli obblighi previsti dal Regolamento (UE) 2016/679, in particolare di notificare l'autorità di controllo competente e gli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'importatore.

8.7 Dati sensibili

Qualora il trasferimento riguardi dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito "dati sensibili"), l'importatore dei dati applicherà le restrizioni specifiche e/o le garanzie supplementari descritte nell'Allegato I.B.

8.8 Trasferimenti successivi

L'importatore dei dati comunicherà i dati personali a terzi solo su istruzioni documentate dell'esportatore dei dati. Inoltre, i dati possono essere divulgati a terzi situati al di fuori dell'Unione europea (nello stesso paese dell'importatore o in un altro paese terzo, di seguito "trasferimento successivo") solo se il terzo è o accetta di essere vincolato dalle presenti clausole, in base al modulo appropriato, o se:

(i) il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo 45 del Regolamento (UE) 2016/679 che copre il trasferimento successivo;

(ii) la terza parte assicura altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del Regolamento (UE) 2016/679 in relazione al trattamento in questione;

(iii) il trasferimento successivo è necessario per l'accertamento, l'esercizio o la difesa di diritti legali nel contesto di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure

(iv) il trasferimento successivo è necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica.

Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell'importatore dei dati di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.

8.9 Documentazione e conformità

(a) L'importatore di dati dovrà trattare prontamente e adeguatamente le richieste dell'esportatore di dati relative al trattamento ai sensi delle presenti clausole.

(b) Le Parti devono essere in grado di dimostrare la conformità alle presenti clausole. In particolare, l'importatore di dati deve conservare una documentazione adeguata sulle attività di trattamento svolte per conto dell'esportatore di dati.

(c) L'importatore di dati metterà a disposizione dell'esportatore tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e, su richiesta dell'esportatore, consentirà e contribuirà a verifiche delle attività di trattamento contemplate dalle presenti clausole, a intervalli ragionevoli o in caso di indizi di non conformità. Nel decidere una revisione o un audit, l'esportatore di dati può tenere conto delle certificazioni pertinenti in possesso dell'importatore di dati.

(d) L'esportatore di dati può scegliere di condurre l'audit autonomamente o di incaricare un revisore indipendente. Le verifiche possono comprendere ispezioni presso i locali o le strutture fisiche dell'importatore di dati e, se del caso, devono essere effettuate con un ragionevole preavviso.

(e) Le Parti mettono a disposizione dell'autorità di controllo competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9

Utilizzo di subprocessori

(a) L'importatore di dati dispone dell'autorizzazione generale dell'esportatore per l'assunzione di subincaricati da un elenco concordato. L'importatore di dati informerà specificamente per iscritto l'esportatore di qualsiasi modifica che intenda apportare a tale elenco attraverso l'aggiunta o la sostituzione di subincaricati con almeno quattordici giorni di anticipo, dando così all'esportatore di dati il tempo sufficiente per potersi opporre a tali modifiche prima dell'assunzione dei subincaricati. L'importatore di dati fornirà all'esportatore le informazioni necessarie per consentirgli di esercitare il proprio diritto di opposizione.

(b) Qualora l'importatore di dati incarichi un subincaricato di svolgere specifiche attività di trattamento (per conto dell'esportatore di dati), dovrà farlo mediante un contratto scritto che preveda, in sostanza, gli stessi obblighi di protezione dei dati che vincolano l'importatore di dati ai sensi delle presenti clausole, anche in termini di diritti di terzi beneficiari per gli interessati. Le Parti convengono che, rispettando la presente clausola, l'importatore di dati adempie agli obblighi di cui alla clausola 8.8. L'importatore di dati dovrà garantire che il subincaricato rispetti gli obblighi a cui è soggetto l'importatore di dati ai sensi delle presenti Clausole.

(c) L'importatore di dati fornirà all'esportatore, su richiesta di quest'ultimo, una copia di tale accordo di subprocessamento e di ogni successiva modifica. Nella misura in cui ciò sia necessario per proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l'importatore di dati può riformulare il testo dell'accordo prima di condividerne una copia.

(d) L'importatore di dati rimane pienamente responsabile nei confronti dell'esportatore per l'adempimento degli obblighi del subincaricato ai sensi del contratto con l'importatore di dati. L'importatore di dati dovrà notificare all'esportatore qualsiasi inadempimento da parte del subincaricato degli obblighi previsti dal contratto.

(e) L'importatore di dati concorderà con il subincaricato una clausola di beneficiario terzo in base alla quale, nel caso in cui l'importatore di dati sia scomparso di fatto, abbia cessato di esistere giuridicamente o sia diventato insolvente, l'esportatore di dati avrà il diritto di risolvere il contratto con il subincaricato e di ordinare al subincaricato di cancellare o restituire i dati personali.

Clausola 10

Diritti dell'interessato

(a) L'importatore di dati deve notificare tempestivamente all'esportatore qualsiasi richiesta ricevuta da un interessato. L'importatore non risponderà direttamente a tale richiesta, a meno che non sia stato autorizzato dall'esportatore.

(b) L'importatore dei dati assiste l'esportatore nell'adempimento dei suoi obblighi di risposta alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del Regolamento (UE) 2016/679. A tale proposito, le Parti stabiliscono nell'allegato II le misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento, con cui fornire l'assistenza, nonché la portata e l'entità dell'assistenza richiesta.

(c) Nell'adempimento degli obblighi di cui alle lettere a) e b), l'importatore di dati si attiene alle istruzioni dell'esportatore di dati.

Clausola 11

Ricorso

(a) L'importatore di dati informerà gli interessati in un formato trasparente e facilmente accessibile, attraverso una comunicazione individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami. L'importatore si occuperà tempestivamente di qualsiasi reclamo ricevuto da un interessato.

(b) In caso di controversia tra una persona interessata e una delle Parti per quanto riguarda l'osservanza delle presenti clausole, la Parte si impegna a fare del suo meglio per risolvere la questione in modo amichevole e tempestivo. Le Parti si tengono reciprocamente informate su tali controversie e, se del caso, collaborano alla loro risoluzione.

(c) Qualora l'interessato invochi un diritto di terzo beneficiario ai sensi della clausola 3, l'importatore di dati accetta la decisione dell'interessato di:

(i) presentare un reclamo all'autorità di controllo dello Stato membro in cui l'interessato risiede abitualmente o lavora, oppure all'autorità di controllo competente ai sensi della clausola 13;

(ii) adire i tribunali competenti ai sensi della clausola 18.

(d) Le Parti accettano che l'interessato possa essere rappresentato da un ente, un'organizzazione o un'associazione senza scopo di lucro alle condizioni di cui all'articolo 80, paragrafo 1, del Regolamento (UE) 2016/679.

(e) L'importatore di dati si atterrà a una decisione vincolante ai sensi del diritto dell'UE o degli Stati membri applicabile.

(f) L'importatore di dati accetta che la scelta effettuata dall'interessato non pregiudichi i suoi diritti sostanziali e procedurali di ricorso in conformità alle leggi applicabili.

Clausola 12

Responsabilità

(a) Ciascuna Parte sarà responsabile nei confronti dell'altra Parte per qualsiasi danno causato all'altra Parte da qualsiasi violazione delle presenti Clausole.

(b) L'importatore di dati sarà responsabile nei confronti dell'interessato, e l'interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che l'importatore di dati o il suo subincaricato causano all'interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole.

(c) In deroga al paragrafo (b), l'esportatore di dati sarà responsabile nei confronti dell'interessato, e l'interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che l'esportatore di dati o l'importatore di dati (o il suo subincaricato) causano all'interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati e, qualora l'esportatore di dati sia un incaricato del trattamento che agisce per conto di un responsabile del trattamento, la responsabilità del responsabile del trattamento ai sensi del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725, a seconda dei casi.

(d) Le Parti convengono che se l'esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per i danni causati dall'importatore di dati (o dal suo subincaricato), avrà il diritto di richiedere all'importatore di dati la parte del risarcimento corrispondente alla responsabilità dell'importatore di dati per il danno.

(e) Nel caso in cui più di una Parte sia responsabile di un danno causato all'interessato in seguito a una violazione delle presenti Clausole, tutte le Parti responsabili saranno responsabili in solido e l'interessato avrà il diritto di intentare un'azione legale contro una qualsiasi di queste Parti.

(f) Le Parti convengono che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di richiedere all'altra Parte/alle altre Parti la parte del risarcimento corrispondente alla sua responsabilità per il danno.

(g) L'importatore di dati non può invocare il comportamento di un subincaricato per evitare la propria responsabilità.

Clausola 13

Vigilanza

(a) Se l'esportatore di dati è stabilito in uno Stato membro dell'UE, l'autorità di controllo responsabile di garantire il rispetto da parte dell'esportatore del Regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, come indicato nell'Allegato I.C, agisce in qualità di autorità di controllo competente.

Se l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell'ambito territoriale di applicazione del Regolamento (UE) 2016/679 ai sensi del suo articolo 3, paragrafo 2, e ha nominato un rappresentante ai sensi dell'articolo 27, paragrafo 1, del Regolamento (UE) 2016/679, l'autorità di controllo dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27, paragrafo 1, del Regolamento (UE) 2016/679, come indicato nell'Allegato I.C, agisce come autorità di controllo competente.

Qualora l'esportatore di dati non sia stabilito in uno Stato membro dell'UE, ma rientri nell'ambito territoriale di applicazione del Regolamento (UE) 2016/679 ai sensi del suo articolo 3, paragrafo 2, senza tuttavia dover nominare un rappresentante ai sensi dell'articolo 27, paragrafo 2, del Regolamento (UE) 2016/679, l'autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all'offerta di beni o servizi agli stessi, o il cui comportamento è monitorato, come indicato nell'Allegato I.C, agisce come autorità di controllo competente.

(b) L'importatore di dati accetta di sottoporsi alla giurisdizione dell'autorità di controllo competente e di collaborare con essa in tutte le procedure volte a garantire il rispetto delle presenti clausole. In particolare, l'importatore di dati si impegna a rispondere alle richieste di informazioni, a sottoporsi a verifiche e a rispettare le misure adottate dall'autorità di controllo, comprese le misure correttive e compensative. L'importatore fornirà all'autorità di controllo una conferma scritta dell'adozione delle misure necessarie.

SEZIONE III - LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14

Leggi e pratiche locali che incidono sulla conformità alle Clausole

(a) Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore, compresi gli obblighi di divulgazione dei dati personali o le misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'importatore di adempiere agli obblighi previsti dalle presenti clausole. Ciò si basa sulla consapevolezza che le leggi e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati all'articolo 23, paragrafo 1, del Regolamento (UE) 2016/679, non sono in contraddizione con le presenti Clausole.

(b) Le Parti dichiarano che nel fornire la garanzia di cui al paragrafo (a), hanno tenuto in debito conto in particolare i seguenti elementi:

(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;

(ii) le leggi e le prassi del paese terzo di destinazione - comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l'accesso da parte di tali autorità - pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili;

(iii) eventuali garanzie contrattuali, tecniche o organizzative messe in atto per integrare le garanzie previste dalle presenti Clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

(c) L'importatore di dati garantisce che, nell'effettuare la valutazione di cui al paragrafo (b), ha fatto del suo meglio per fornire all'esportatore di dati le informazioni pertinenti e si impegna a continuare a cooperare con l'esportatore di dati per garantire il rispetto delle presenti Clausole.

(d) Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell'autorità di controllo competente su richiesta.

(e) L'importatore di dati si impegna a notificare tempestivamente all'esportatore se, dopo aver accettato le presenti clausole e per tutta la durata del contratto, ha motivo di ritenere di essere o di essere diventato soggetto a leggi o prassi non in linea con i requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un'applicazione pratica di tali leggi non in linea con i requisiti di cui al paragrafo (a).

(f) A seguito di una notifica ai sensi del paragrafo (e), o se l'esportatore di dati ha altrimenti motivo di ritenere che l'importatore di dati non possa più adempiere agli obblighi previsti dalle presenti clausole, l'esportatore di dati individua prontamente le misure appropriate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l'esportatore di dati e/o l'importatore di dati devono adottare per affrontare la situazione. L'esportatore di dati sospenderà il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento, o se riceve istruzioni in tal senso dall'autorità di controllo competente. In tal caso, l'esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui esso riguarda il trattamento dei dati personali ai sensi delle presenti clausole. Se il contratto coinvolge più di due parti, l'esportatore può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, a meno che le parti non abbiano concordato diversamente. In caso di risoluzione del contratto ai sensi della presente Clausola, si applica la Clausola 16 (d) ed (e).

Clausola 15

Obblighi dell'importatore di dati in caso di accesso da parte di autorità pubbliche

15.1 Notifica

(a) L'importatore di dati si impegna a notificare tempestivamente all'esportatore e, ove possibile, all'interessato (se necessario con l'aiuto dell'esportatore) se:

(i) riceve una richiesta legalmente vincolante da parte di un'autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione, per la divulgazione dei dati personali trasferiti ai sensi delle presenti clausole; tale notifica deve includere informazioni sui dati personali richiesti, sull'autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; oppure

(ii) venga a conoscenza di un accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità alle leggi del paese di destinazione; tale notifica dovrà includere tutte le informazioni a disposizione dell'importatore.

(b) Se all'importatore di dati è vietato notificare l'esportatore e/o l'interessato in base alle leggi del paese di destinazione, l'importatore di dati si impegna a fare del suo meglio per ottenere una deroga al divieto, al fine di comunicare il maggior numero di informazioni possibile, il prima possibile. L'importatore di dati si impegna a documentare i propri sforzi per poterli dimostrare su richiesta dell'esportatore di dati.

(c) Se consentito dalle leggi del Paese di destinazione, l'importatore di dati si impegna a fornire all'esportatore di dati, a intervalli regolari per tutta la durata del contratto, il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, le autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.)

(d) L'importatore di dati si impegna a conservare le informazioni di cui ai paragrafi da (a) a (c) per la durata del contratto e a metterle a disposizione dell'autorità di controllo competente su richiesta.

(e) I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'importatore di dati ai sensi della Clausola 14(e) e della Clausola 16 di informare tempestivamente l'esportatore di dati qualora non sia in grado di rispettare tali Clausole.

15.2 Revisione della legalità e minimizzazione dei dati

(a) L'importatore di dati si impegna a riesaminare la legittimità della richiesta di divulgazione, in particolare se essa rientra nei poteri concessi all'autorità pubblica richiedente, e a contestare la richiesta se, dopo un'attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di comitatologia internazionale. L'importatore di dati deve, alle stesse condizioni, avvalersi delle possibilità di ricorso. Quando impugna una richiesta, l'importatore di dati deve chiedere misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso nel merito. Non divulgherà i dati personali richiesti fino a quando non sarà obbligato a farlo in base alle norme procedurali applicabili. Questi requisiti non pregiudicano gli obblighi dell'importatore di dati ai sensi della clausola 14, lettera e).

(b) L'importatore di dati si impegna a documentare la propria valutazione giuridica e qualsiasi contestazione della richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, a mettere la documentazione a disposizione dell'esportatore di dati. Inoltre, su richiesta, la metterà a disposizione dell'autorità di controllo competente.

(c) L'importatore di dati si impegna a fornire la quantità minima di informazioni consentite quando risponde a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta.

SEZIONE IV - DISPOSIZIONI FINALI

Clausola 16

Mancato rispetto delle clausole e risoluzione

(a) L'importatore di dati dovrà informare tempestivamente l'esportatore se non è in grado di rispettare le presenti clausole, per qualsiasi motivo.

(b) Nel caso in cui l'importatore di dati violi le presenti Clausole o non sia in grado di rispettarle, l'esportatore di dati sospenderà il trasferimento di dati personali all'importatore di dati fino a quando non sarà garantita la conformità o il contratto sarà risolto. Ciò non pregiudica la clausola 14(f).

(c) L'esportatore di dati ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole, se:

(i) l'esportatore abbia sospeso il trasferimento dei dati personali all'importatore ai sensi del paragrafo (b) e il rispetto delle presenti clausole non venga ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

(ii) l'importatore di dati viola in modo sostanziale o persistente le presenti clausole; oppure

(iii) l'importatore di dati non si conformi a una decisione vincolante di un tribunale o di un'autorità di vigilanza competente in merito ai suoi obblighi ai sensi delle presenti Clausole.

In questi casi, dovrà informare l'autorità di controllo competente di tale inadempienza. Qualora il contratto coinvolga più di due Parti, l'esportatore di dati può esercitare il diritto di recesso solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente.

(d) I dati personali trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) saranno, a scelta dell'esportatore, immediatamente restituiti all'esportatore o cancellati nella loro interezza. Lo stesso vale per eventuali copie dei dati. L'importatore dei dati dovrà certificare la cancellazione dei dati all'esportatore. Fino alla cancellazione o alla restituzione dei dati, l'importatore di dati continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all'importatore di dati che vietino la restituzione o la cancellazione dei dati personali trasferiti, l'importatore di dati garantisce che continuerà a garantire la conformità alle presenti Clausole e tratterà i dati solo nella misura e per il tempo richiesti dalla legge locale.

(e) Ciascuna Parte può revocare il proprio accordo ad essere vincolata dalle presenti Clausole qualora (i) la Commissione europea adotti una decisione ai sensi dell'articolo 45, paragrafo 3, del Regolamento (UE) 2016/679 che riguardi il trasferimento di dati personali a cui si applicano le presenti Clausole; oppure (ii) il Regolamento (UE) 2016/679 diventi parte del quadro giuridico del Paese in cui i dati personali sono trasferiti. Ciò non pregiudica altri obblighi applicabili al trattamento in questione ai sensi del Regolamento (UE) 2016/679.

Clausola 17

Legge applicabile

Le presenti Clausole saranno disciplinate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta i diritti di terzi beneficiari. Le Parti concordano che tale legge sarà quella dell'Irlanda.

Clausola 18

Scelta del foro e della giurisdizione

(a) Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali di uno Stato membro dell'UE.

(b) Le Parti concordano che tali tribunali saranno quelli dell'Irlanda.

(c) Una persona interessata può anche intentare un'azione legale contro l'esportatore e/o l'importatore di dati davanti ai tribunali dello Stato membro in cui ha la residenza abituale.

(d) Le Parti convengono di sottoporsi alla giurisdizione di tali tribunali.

ALLEGATO I

A. ELENCO DELLE PARTI

Esportatore/i di dati:

1.

Nome: ...

Indirizzo: ...

Nome, posizione e recapiti della persona di contatto: ...

Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: ...

Firma e data: ...

Ruolo (responsabile del trattamento/incaricato del trattamento): ...responsabile del trattamento

Importatore/i di dati:

1.

Nome: ...Origins Technology Ltd.

Indirizzo: ...

Nome, posizione e recapiti della persona di contatto: ...

Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: Fornitura di informazioni sulla soluzione a utenti accreditati.

Firma e data: ...

Ruolo (responsabile del trattamento/incaricato del trattamento): ...processore

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di soggetti i cui dati personali vengono trasferiti

Contatti del Cliente e altri utenti finali autorizzati dal Cliente a utilizzare i Prodotti Kaiterra, compresi i dipendenti e gli appaltatori del Cliente, nonché i dipendenti e i visitatori degli uffici del Cliente.

Categorie di dati personali trasferiti

Dati di identificazione e contatto (nome, e-mail, titolo, informazioni di contatto, ecc.); dati relativi all'impiego (datore di lavoro, ID del dipendente, mansione, reparto, ecc.); dati relativi all'utilizzo dei Prodotti Kaiterra e dei sistemi utilizzati per fornire e supportare i Prodotti Kaiterra; altri dati elettronici inviati, memorizzati, inviati o ricevuti dai Prodotti Kaiterra.

Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione dello scopo, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.

Nessuna.

La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuativo).

Natura del trattamento

...

Finalità del trasferimento dei dati e dell'ulteriore elaborazione

I dati personali saranno trattati ai fini della fornitura dei Prodotti Kaiterra indicati e altrimenti concordati nel Contratto e in qualsiasi Modulo d'ordine o Dichiarazione di lavoro applicabile.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo.

...

Per i trasferimenti a (sub)incaricati del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento.

...

C. AUTORITÀ DI CONTROLLO COMPETENTE

Commissario irlandese per la protezione dei dati.

ALLEGATO II

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Kaiterra osserva attualmente le pratiche di sicurezza descritte nel presente Allegato 2. Nonostante qualsiasi disposizione contraria altrimenti concordata dall'esportatore di dati, Kaiterra può modificare o aggiornare tali pratiche a sua discrezione, a condizione che tali modifiche e aggiornamenti non comportino una riduzione sostanziale della protezione offerta da tali pratiche. Tutti i termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato stabilito nei Termini di servizio di Kaiterra.

Kaiterra implementerà i seguenti tipi di misure di sicurezza:

1. Controllo degli accessi fisici

Le misure tecniche e organizzative volte a impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati disponibili nei locali e nelle strutture (compresi i database, i server applicativi e il relativo hardware), in cui vengono elaborati i Dati personali, comprendono:

  • la creazione di aree di sicurezza, la restrizione dei percorsi di accesso;
  • Stabilire le autorizzazioni di accesso per i dipendenti e per i terzi;
  • Sistema di controllo degli accessi (lettori di badge);
  • Gestione delle chiavi, procedure per le chiavi elettroniche;
  • Chiusura delle porte (apriporta elettrici, ecc.);
  • Personale di sicurezza, inservienti;
  • Impianti di sorveglianza, monitor video/CCTV, sistema di allarme;
  • Protezione delle apparecchiature di elaborazione dati e dei personal computer decentralizzati;
  • Rispetto dei principi del minor privilegio e dell'accesso limitato nel tempo per il personale autorizzato;
  • Politica di Clean Desk; e
  • Politiche di accesso WiFi e LAN.



2. Controllo degli accessi virtuali

Le misure tecniche e organizzative per impedire l'utilizzo dei sistemi di elaborazione dati da parte di persone non autorizzate comprendono:

  • Procedure di identificazione e autenticazione degli utenti;
  • Procedure di sicurezza per ID/password (caratteri speciali, lunghezza minima, rotazione delle password);
  • 2FA e/o equivalente per i sistemi sicuri;
  • scadenza delle sessioni di breve durata;
  • Monitoraggio dei tentativi di intrusione e blocco automatico degli account utente dopo diversi tentativi di accesso errati; e
  • Crittografia dei supporti di dati archiviati.

3. Controllo dell'accesso ai dati

Le misure tecniche e organizzative volte a garantire che le persone autorizzate a utilizzare un sistema di elaborazione dei dati accedano solo a tali dati personali in conformità con i loro diritti di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione comprendono:

  • Politiche e procedure interne;
  • schemi di autorizzazione di controllo;
  • Diritti di accesso differenziati (profili, ruoli, transazioni e oggetti);
  • monitoraggio e registrazione degli accessi;
  • Azioni disciplinari contro i dipendenti che accedono ai Dati personali senza autorizzazione;
  • Segnalazioni di accesso;
  • Procedura di accesso;
  • Procedura di modifica;
  • procedura di cancellazione; e
  • Crittografia.

4. Controllo della divulgazione

Le misure tecniche e organizzative volte a garantire che i Dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione durante la trasmissione elettronica, il trasporto o la memorizzazione su supporti di memorizzazione (manuali o elettronici), e che sia possibile verificare a quali società o altre entità giuridiche i Dati personali sono stati divulgati, includono:

  • Accesso limitato alle chiavi di decodifica;
  • Crittografia / tunneling;
  • registrazione/verifica periodica; e
  • sicurezza del trasporto.


5. Controllo dell'ingresso

Le misure tecniche e organizzative per monitorare se i Dati personali sono stati inseriti, modificati o rimossi (cancellati), e da chi, dai sistemi di elaborazione dei dati, includono:

  • sistemi di registrazione e reporting; e
  • tracce di controllo e documentazione.

6. Controllo delle istruzioni

Le misure tecniche e organizzative per garantire che i Dati personali siano trattati esclusivamente in conformità alle istruzioni del responsabile del trattamento includono:

  • Formulazione inequivocabile del contratto:
  • Incarico formale; e
  • Criteri di selezione degli incaricati del trattamento.


7. Controllo della disponibilità

Le misure tecniche e organizzative per garantire che i Dati personali siano protetti da distruzione o perdita accidentale (fisica/logica) comprendono:

  • Procedure di backup;
  • gruppi di continuità (UPS);
  • Archiviazione remota;
  • Disponibilità multiregionale;
  • Sistemi antivirus / firewall; e
  • Piano di ripristino di emergenza.


8. Controllo della separazione

Le misure tecniche e organizzative per garantire che i Dati personali raccolti per scopi diversi possano essere trattati separatamente includono:

  • Separazione delle banche dati;
  • Segregazione delle funzioni (produzione/test); e
  • procedure per l'archiviazione, la modifica, la cancellazione e la trasmissione dei dati per scopi diversi.

ALLEGATO III

Subprocessori

  • Servizi Web Amazon
  • Google Analytics
  • Google BigQuery
  • Mixpanel
  • Hubspot
  • Catalizzatore

ESPOSIZIONE 2

SCC del Regno Unito Da controllore a processore

Parti:

Nome dell'organizzazione che esporta i dati: .....................

Indirizzo: ............................................................

Paese: ............................................................

Telefono: .........................................................

Fax: ..................................................................

Email: ...............................................................

Altre informazioni necessarie per identificare l'organizzazione

(l'"esportatore di dati")

E

Nome dell'organizzazione che importa i dati: .........Origins Technology Ltd..........

Indirizzo: ......603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

..............................................

Paese: ............Hong Kong..............................................

Telefono: .......................................................

Fax: ...............................................................

Email: ............................................................

Altre informazioni necessarie per identificare l'organizzazione

(l'"importatore di dati")

Clausola 1. Definizioni

Ai fini delle Clausole:

(a) "dati personali", "categorie particolari di dati", "processo/elaborazione", "responsabile del trattamento", "incaricato del trattamento", "soggetto interessato" e "commissario" hanno lo stesso significato di cui al GDPR del Regno Unito;

(b) per "esportatore di dati" si intende il responsabile del trattamento che trasferisce i dati personali;

(c ) "l'importatore di dati" indica l'incaricato del trattamento che accetta di ricevere dall'esportatore di dati i dati personali destinati al trattamento per suo conto dopo il trasferimento in conformità alle sue istruzioni e ai termini delle Clausole e che non è soggetto a un sistema di un paese terzo coperto da regolamenti di adeguatezza del Regno Unito emessi ai sensi dell'articolo 17A del Data Protection Act 2018 o dei paragrafi 4 e 5 dell'Allegato 21 del Data Protection Act 2018;

(d) per "subincaricato" si intende qualsiasi incaricato del trattamento incaricato dall'importatore di dati o da qualsiasi altro subincaricato dell'importatore di dati che accetti di ricevere dall'importatore di dati o da qualsiasi altro subincaricato dell'importatore di dati i dati personali destinati esclusivamente alle attività di trattamento da svolgere per conto dell'esportatore di dati dopo il trasferimento in conformità alle sue istruzioni, ai termini delle Clausole e ai termini del subcontratto scritto;

(e) per "legge applicabile in materia di protezione dei dati" si intende la legislazione che tutela i diritti e le libertà fondamentali delle persone e, in particolare, il loro diritto alla privacy in relazione al trattamento dei dati personali applicabile a un responsabile del trattamento dei dati nel Regno Unito;

(f) "misure di sicurezza tecniche e organizzative": le misure volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati in rete, e da ogni altra forma illecita di trattamento.

Clausola 2. Dettagli del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove applicabili, sono specificati nell'Appendice 1 che costituisce parte integrante delle Clausole.

Clausola 3. Clausola del terzo beneficiario

(1) L'interessato può far valere nei confronti dell'esportatore la presente Clausola, la Clausola 4(b) - (i), la Clausola 5(a) - (e) e (g) - (j), la Clausola 6(1) e (2), la Clausola 7, la Clausola 8(2) e le Clausole da 9 a 12 in qualità di terzo beneficiario.

(2) L'interessato può far valere nei confronti dell'importatore dei dati la presente clausola, la clausola 5, lettere da a) a e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12, nei casi in cui l'esportatore dei dati sia scomparso di fatto o abbia cessato di esistere giuridicamente, a meno che un'entità subentrante non abbia assunto tutti gli obblighi giuridici dell'esportatore dei dati per contratto o per effetto di legge, con conseguente assunzione dei diritti e degli obblighi dell'esportatore dei dati, nel qual caso l'interessato può farli valere nei confronti di tale entità.

(3) L'interessato può far valere nei confronti del subincaricato la presente Clausola, la Clausola 5 (da a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12, nei casi in cui sia l'esportatore che l'importatore dei dati siano di fatto scomparsi o abbiano cessato di esistere giuridicamente o siano divenuti insolventi, a meno che un soggetto subentrante non abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto di legge, assumendo così i diritti e gli obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale soggetto. Tale responsabilità di terzi del subincaricato sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

(4) Le parti non si oppongono al fatto che l'interessato sia rappresentato da un'associazione o da un altro organismo, se l'interessato lo desidera espressamente e se consentito dalla legge nazionale.

Clausola 4. Obblighi dell'esportatore di dati

L'esportatore di dati accetta e garantisce che:

(a) che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà a essere effettuato in conformità alle disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, se del caso, è stato notificato al Commissario) e non viola la legge sulla protezione dei dati applicabile;

(b) di aver dato istruzioni e che per tutta la durata dei servizi di trattamento dei dati personali darà istruzioni all'importatore di trattare i dati personali trasferiti solo per conto dell'esportatore e in conformità alla legge sulla protezione dei dati applicabile e alle Clausole;

(c) che l'importatore di dati fornirà garanzie sufficienti in merito alle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 del presente contratto;

(d) che, dopo aver valutato i requisiti della legge applicabile in materia di protezione dei dati, le misure di sicurezza sono adeguate a proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati in rete, e da tutte le altre forme illecite di trattamento, e che tali misure garantiscono un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere, tenendo conto dello stato dell'arte e del costo della loro attuazione;

(e) che garantirà il rispetto delle misure di sicurezza;

(f) che, se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima, o il più presto possibile dopo, il trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo non coperto da regolamenti di adeguatezza emessi ai sensi dell'articolo 17A del Data Protection Act 2018 o dei paragrafi 4 e 5 dell'Allegato 21 del Data Protection Act 2018;

(g) inoltrare al Commissario qualsiasi notifica ricevuta dall'importatore dei dati o da qualsiasi subincaricato ai sensi della clausola 5(b) e della clausola 8(3) se l'esportatore dei dati decide di continuare il trasferimento o di revocare la sospensione;

(h) mettere a disposizione degli interessati, su richiesta, una copia delle Clausole, ad eccezione dell'Appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di subelaborazione che debba essere stipulato in conformità alle Clausole, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;

(i) che, in caso di subelaborazione, l'attività di trattamento sia svolta in conformità alla Clausola 11 da un subincaricato che garantisca almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato rispetto all'importatore dei dati ai sensi delle Clausole;

(j) di garantire il rispetto della clausola 4, lettere da a) a i).

Clausola 5. Obblighi dell'importatore di dati

L'importatore di dati accetta e garantisce:

(a) di trattare i dati personali solo per conto dell'esportatore e in conformità alle istruzioni di quest'ultimo e alle Clausole; se non è in grado di fornire tale conformità per qualsiasi motivo, si impegna a informare tempestivamente l'esportatore della sua incapacità di conformarsi, nel qual caso l'esportatore ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;

(b) che non ha motivo di ritenere che la legislazione ad esso applicabile gli impedisca di adempiere alle istruzioni ricevute dall'esportatore di dati e ai suoi obblighi ai sensi del contratto e che, in caso di modifica di tale legislazione che possa avere un effetto negativo sostanziale sulle garanzie e sugli obblighi previsti dalle Clausole, notificherà tempestivamente la modifica all'esportatore di dati non appena ne sarà a conoscenza, nel qual caso l'esportatore di dati avrà il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;

(c) di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima di trattare i dati personali trasferiti;

(d) che comunicherà tempestivamente all'esportatore i casi di:

(i) qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte di un'autorità preposta all'applicazione della legge, a meno che non sia altrimenti vietato, come ad esempio un divieto previsto dal diritto penale per preservare la riservatezza di un'indagine delle forze dell'ordine;

(ii) qualsiasi accesso accidentale o non autorizzato; e

(iii) qualsiasi richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, a meno che non sia stato altrimenti autorizzato a farlo;

(e) trattare prontamente e correttamente tutte le richieste dell'esportatore di dati relative al suo trattamento dei dati personali oggetto del trasferimento e attenersi al parere del Commissario in merito al trattamento dei dati trasferiti;

(f) su richiesta dell'esportatore, sottoporre le proprie strutture di trattamento dei dati a una verifica delle attività di trattamento contemplate dalle clausole, che sarà effettuata dall'esportatore o da un organismo di controllo composto da membri indipendenti e in possesso delle necessarie qualifiche professionali, vincolati da un obbligo di riservatezza, scelti dall'esportatore, se del caso, in accordo con il Commissario;

(g) mettere a disposizione dell'interessato, su richiesta, una copia delle clausole o di qualsiasi contratto di subelaborazione esistente, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell'appendice 2 che sarà sostituita da una descrizione sintetica delle misure di sicurezza nei casi in cui l'interessato non sia in grado di ottenerne una copia dall'esportatore di dati;

(h) che, in caso di subelaborazione, abbia preventivamente informato l'esportatore di dati e ottenuto il suo consenso scritto;

(i) che i servizi di elaborazione da parte del subincaricato saranno eseguiti in conformità alla clausola 11;

(j) inviare tempestivamente all'esportatore una copia di qualsiasi accordo di subprocessamento concluso ai sensi delle Clausole.

Clausola 6. Responsabilità

(1) Le parti convengono che qualsiasi soggetto interessato che abbia subito un danno a causa di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da parte di una parte o di un subincaricato ha il diritto di ricevere un risarcimento dall'esportatore di dati per il danno subito.

(2) Se l'interessato non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 nei confronti dell'esportatore di dati, a causa della violazione da parte dell'importatore di dati o del suo subincaricato di uno degli obblighi di cui alla clausola 3 o alla clausola 11, perché l'esportatore di dati è scomparso di fatto o ha cessato di esistere giuridicamente o è diventato insolvente, l'importatore di dati accetta che l'interessato possa avanzare una richiesta di risarcimento nei confronti dell'importatore di dati come se fosse l'esportatore di dati, a meno che un'entità successiva non abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto di legge, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale entità. L'importatore di dati non può invocare la violazione dei propri obblighi da parte di un subincaricato per evitare le proprie responsabilità.

(3) Se l'interessato non è in grado di far valere i propri diritti nei confronti dell'esportatore o dell'importatore di cui ai paragrafi 1 e 2, a causa della violazione da parte del subincaricato di uno qualsiasi degli obblighi di cui alla Clausola 3 o alla Clausola 11, perché sia l'esportatore che l'importatore sono di fatto scomparsi o hanno cessato di esistere giuridicamente o sono diventati insolventi, il subincaricato accetta che l'interessato possa far valere i propri diritti nei confronti del subincaricato in relazione alle proprie operazioni di trattamento ai sensi delle Clausole, come se si trattasse dell'esportatore o dell'importatore dei dati, a meno che un soggetto subentrante non abbia assunto tutti gli obblighi giuridici dell'esportatore o dell'importatore dei dati per contratto o per effetto di legge, nel qual caso l'interessato potrà far valere i propri diritti nei confronti di tale soggetto. La responsabilità del subincaricato sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

Clausola 7. Mediazione e giurisdizione

(1) L'importatore di dati accetta che, qualora l'interessato invochi nei suoi confronti diritti di terzi beneficiari e/o richieda un risarcimento danni ai sensi delle Clausole, l'importatore di dati accetterà la decisione dell'interessato:

(a) di sottoporre la controversia alla mediazione di una persona indipendente o, se del caso, del Commissario;

(b) di deferire la controversia ai tribunali del Regno Unito.

(2) Le parti concordano che la scelta effettuata dall'interessato non pregiudicherà i suoi diritti sostanziali o procedurali di chiedere rimedi in conformità ad altre disposizioni del diritto nazionale o internazionale.

Clausola 8. Cooperazione con le autorità di controllo

(1) L'esportatore di dati si impegna a depositare una copia del presente contratto presso l'autorità di vigilanza, qualora quest'ultima lo richieda o qualora tale deposito sia richiesto dalla legge applicabile in materia di protezione dei dati.

(2) Le parti convengono che il Commissario ha il diritto di condurre un audit dell'importatore di dati, e di qualsiasi subprocessore, che ha la stessa portata ed è soggetto alle stesse condizioni che si applicherebbero a un audit dell'esportatore di dati ai sensi della legge sulla protezione dei dati applicabile.

(3) L'importatore di dati informa tempestivamente l'esportatore dell'esistenza di una legislazione applicabile all'importatore o a un eventuale subincaricato che impedisca lo svolgimento di una verifica dell'importatore di dati o di un eventuale subincaricato ai sensi del paragrafo 2. In tal caso, l'esportatore di dati informa l'esportatore dell'esistenza di una legislazione applicabile all'importatore o a un eventuale subincaricato. In tal caso, l'esportatore di dati avrà il diritto di adottare le misure previste dalla clausola 5(b).

Clausola 9. Legge applicabile

Le Clausole sono disciplinate dalla legge del paese del Regno Unito in cui ha sede l'esportatore dei dati.

Clausola 10. Variazione del contratto

Le parti si impegnano a non variare o modificare le Clausole. Ciò non preclude alle parti la possibilità di (i) apportare modifiche consentite dal Paragrafo 7(3) e (4) dell'Allegato 21 del Data Protection Act 2018; o (ii) aggiungere clausole su questioni relative all'attività commerciale, ove necessario, a condizione che non siano in contrasto con la Clausola.

Clausola 11. Subelaborazione

(1) L'importatore di dati non potrà subappaltare alcuna operazione di trattamento eseguita per conto dell'esportatore di dati ai sensi delle Clausole senza il previo consenso scritto dell'esportatore di dati. Qualora l'importatore subappalti i propri obblighi ai sensi delle Clausole, con il consenso dell'esportatore, lo farà solo tramite un accordo scritto con il subincaricato che imponga al subincaricato gli stessi obblighi imposti all'importatore ai sensi delle Clausole. Qualora il subincaricato non adempia ai propri obblighi di protezione dei dati ai sensi di tale accordo scritto, l'importatore dei dati rimarrà pienamente responsabile nei confronti dell'esportatore dei dati per l'adempimento degli obblighi del subincaricato ai sensi di tale accordo.

(2) Il contratto scritto preliminare tra l'importatore e il subincaricato deve inoltre prevedere una clausola di terzi beneficiari, come previsto dalla clausola 3, per i casi in cui l'interessato non sia in grado di avanzare la richiesta di risarcimento di cui al paragrafo 1 della clausola 6 nei confronti dell'esportatore o dell'importatore di dati, in quanto questi ultimi sono di fatto scomparsi o hanno cessato di esistere giuridicamente o sono diventati insolventi e nessun soggetto subentrante ha assunto l'insieme degli obblighi giuridici dell'esportatore o dell'importatore di dati per contratto o per effetto di legge. Tale responsabilità di terzi del subincaricato sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

(3) Le disposizioni relative agli aspetti della protezione dei dati per la subelaborazione del contratto di cui al paragrafo 1 sono disciplinate dalle leggi del paese del Regno Unito in cui ha sede l'esportatore.

(4) L'esportatore di dati tiene un elenco degli accordi di subelaborazione conclusi ai sensi delle clausole e notificati dall'importatore di dati ai sensi della clausola 5, lettera j), che viene aggiornato almeno una volta all'anno. L'elenco è a disposizione del Commissario.

Clausola 12. Obbligo dopo la cessazione

(1) Le parti convengono che, al termine della fornitura di servizi di elaborazione dati, l'importatore di dati e il subincaricato dovranno, a scelta dell'esportatore di dati, restituire tutti i dati personali trasferiti e le relative copie all'esportatore di dati o distruggere tutti i dati personali e certificare all'esportatore di dati di averlo fatto, a meno che la legislazione imposta all'importatore di dati non gli impedisca di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l'importatore garantisce che garantirà la riservatezza dei dati personali trasferiti e non tratterà più attivamente i dati personali trasferiti.

(2) L'importatore e il subincaricato garantiscono che, su richiesta dell'esportatore e/o del Commissario, sottoporranno le proprie strutture di trattamento dei dati a un audit delle misure di cui al paragrafo 1.

A nome dell'esportatore di dati:

Nome (scritto per intero): ..............................

Posizione: .........Controller..........................................

Indirizzo: ...................................................

Altre informazioni necessarie per rendere il contratto vincolante (se presenti):

Firma:

A nome dell'importatore di dati:

Nome (scritto per intero): ...Origins Technology Ltd............................

Posizione: ............Processore.......................................

Indirizzo: .........603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):

Firma:

Data delle clausole contrattuali standard:

Appendice 1

Esportatore di dati

L'esportatore dei dati è (specificare brevemente le attività rilevanti per il trasferimento): Cliente che utilizza la soluzione dell'importatore di dati.

Importatore di dati

L'importatore dei dati è (specificare brevemente le attività rilevanti per il trasferimento): fornitore di soluzioni all'esportatore di dati.

Soggetti interessati

I dati personali trasferiti riguardano le seguenti categorie di soggetti (specificare):

Contatti del Cliente e altri utenti finali autorizzati dal Cliente a utilizzare i Prodotti Kaiterra, compresi i dipendenti e gli appaltatori del Cliente, nonché i dipendenti e i visitatori degli uffici del Cliente.

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati (specificare):

Dati identificativi e di contatto (nome, e-mail, titolo, informazioni di contatto, ecc.); dati relativi all'impiego (datore di lavoro, ID dipendente, mansione, reparto, ecc.); dati relativi all'utilizzo dei Prodotti Kaiterra e dei sistemi utilizzati per fornire e supportare i Prodotti Kaiterra; altri dati elettronici inviati, memorizzati, spediti o ricevuti dai Prodotti Kaiterra.

Categorie speciali di dati (se del caso)

I dati personali trasferiti riguardano le seguenti categorie particolari di dati (specificare):

Nessuna.

Operazioni di trattamento

I dati personali trasferiti saranno oggetto delle seguenti attività di trattamento di base (specificare):

Oggetto e natura del trattamento:

L'oggetto del trattamento dei Dati personali da parte dell'incaricato del trattamento è la fornitura dei Prodotti Kaiterra al Titolare del trattamento che comporta il trattamento dei Dati personali. I Dati personali saranno soggetti alle attività di trattamento specificate nell'Accordo e in qualsiasi Modulo d'ordine o Dichiarazione di lavoro applicabile.

Scopo del trattamento:

I Dati personali saranno trattati ai fini della fornitura dei Prodotti Kaiterra indicati e altrimenti concordati nell'Accordo e in qualsiasi Modulo d'ordine o Dichiarazione di lavoro applicabile.

Durata del trattamento:

I Dati personali saranno trattati per la durata dell'Accordo, fatta salva la Sezione 3 del presente DPA.

ESPORTATORE DI DATI

Nome: ...

Firma autorizzata ...

IMPORTATORE DI DATI

Nome: ... Origins Technology Ltd.

Firma autorizzata ...

Appendice 2

Descrizione delle misure di sicurezza tecniche e organizzative attuate dall'importatore dei dati in conformità alle clausole 4(d) e 5(c) (o documento/legislazione allegato):

Kaiterra osserva attualmente le prassi di sicurezza descritte nella presente Appendice 2. Nonostante qualsiasi disposizione contraria altrimenti concordata dall'esportatore di dati, Kaiterra può modificare o aggiornare tali pratiche a sua discrezione, a condizione che tali modifiche e aggiornamenti non comportino un peggioramento sostanziale della protezione offerta da tali pratiche. Tutti i termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato stabilito nei Termini di servizio di Kaiterra.

Kaiterra implementerà i seguenti tipi di misure di sicurezza:

1. Controllo degli accessi fisici

Le misure tecniche e organizzative volte a impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati disponibili nei locali e nelle strutture (compresi i database, i server applicativi e il relativo hardware), in cui vengono elaborati i Dati personali, comprendono:

  • la creazione di aree di sicurezza, la restrizione dei percorsi di accesso;
  • Stabilire le autorizzazioni di accesso per i dipendenti e per i terzi;
  • Sistema di controllo degli accessi (lettori di badge);
  • Gestione delle chiavi, procedure per le chiavi elettroniche;
  • Chiusura delle porte (apriporta elettrici, ecc.);
  • Personale di sicurezza, inservienti;
  • Impianti di sorveglianza, monitor video/CCTV, sistema di allarme;
  • Protezione delle apparecchiature di elaborazione dati e dei personal computer decentralizzati;
  • Rispetto dei principi del minor privilegio e dell'accesso limitato nel tempo per il personale autorizzato;
  • Politica di Clean Desk; e
  • Politiche di accesso WiFi e LAN.


2. Controllo degli accessi virtuali

Le misure tecniche e organizzative per impedire l'utilizzo dei sistemi di elaborazione dati da parte di persone non autorizzate comprendono:

  • Procedure di identificazione e autenticazione degli utenti;
  • Procedure di sicurezza per ID/password (caratteri speciali, lunghezza minima, rotazione delle password);
  • 2FA e/o equivalente per i sistemi sicuri;
  • scadenza delle sessioni di breve durata;
  • Monitoraggio dei tentativi di intrusione e blocco automatico degli account utente dopo diversi tentativi di accesso errati; e
  • Crittografia dei supporti di dati archiviati.


3. Controllo dell'accesso ai dati

Le misure tecniche e organizzative volte a garantire che le persone autorizzate a utilizzare un sistema di elaborazione dei dati accedano solo a tali dati personali in conformità con i loro diritti di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione comprendono:

  • Politiche e procedure interne;
  • schemi di autorizzazione di controllo;
  • Diritti di accesso differenziati (profili, ruoli, transazioni e oggetti);
  • monitoraggio e registrazione degli accessi;
  • Azioni disciplinari contro i dipendenti che accedono ai Dati personali senza autorizzazione;
  • Segnalazioni di accesso;
  • Procedura di accesso;
  • Procedura di modifica;
  • procedura di cancellazione; e
  • crittografia.


4. Controllo della divulgazione

Le misure tecniche e organizzative volte a garantire che i Dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione durante la trasmissione elettronica, il trasporto o la memorizzazione su supporti di memorizzazione (manuali o elettronici), e che sia possibile verificare a quali società o altre entità legali i Dati personali sono stati divulgati, comprendono:

  • Accesso limitato alle chiavi di decodifica;
  • Crittografia / tunneling;
  • registrazione/verifica periodica; e
  • sicurezza del trasporto.


5. Controllo dell'ingresso

Le misure tecniche e organizzative per monitorare se i Dati personali sono stati inseriti, modificati o rimossi (cancellati), e da chi, dai sistemi di elaborazione dei dati, includono:

  • sistemi di registrazione e reporting; e
  • tracce di controllo e documentazione.


6. Controllo delle istruzioni

Le misure tecniche e organizzative per garantire che i Dati personali siano trattati esclusivamente in conformità alle istruzioni del responsabile del trattamento comprendono:

  • Formulazione inequivocabile del contratto:
  • Incarico formale; e
  • Criteri di selezione degli incaricati del trattamento


7. Controllo della disponibilità

Le misure tecniche e organizzative per garantire che i Dati personali siano protetti da distruzione o perdita accidentale (fisica/logica) includono:

  • Procedure di backup;
  • gruppi di continuità (UPS);
  • Archiviazione remota;
  • Disponibilità multiregionale;
  • Sistemi antivirus / firewall; e
  • Piano di ripristino di emergenza.


8. Controllo della separazione

Le misure tecniche e organizzative per garantire che i Dati personali raccolti per scopi diversi possano essere trattati separatamente includono:

  • Separazione delle banche dati;
  • Segregazione delle funzioni (produzione/test); e

procedure per l'archiviazione, la modifica, la cancellazione e la trasmissione dei dati per scopi diversi.