Accordo sul trattamento dei dati

Versione AV2024-1.0

Parti:
1. Jimani, di seguito denominato “Responsabile del Trattamento”;
2. Cliente, di seguito denominato “Titolare del Trattamento”;
‍
Responsabile del Trattamento e Titolare del Trattamento di seguito congiuntamente denominati: “Parti”

Considerando che:

– Il Titolare del Trattamento ha incaricato il Responsabile del Trattamento di trattare i dati personali della sua azienda nell’ambito del contratto principale, che è parte integrante del presente accordo sul trattamento dei dati;– Il Titolare del Trattamento determina le finalità e i mezzi e per i quali si applicano le condizioni qui menzionate;– Il Responsabile del Trattamento è disposto a eseguire i trattamenti ed è anche disposto a rispettare gli obblighi in materia di sicurezza e altri aspetti del Regolamento Generale sulla Protezione dei Dati (“GDPR”), per quanto rientra nelle sue possibilità;– Il Responsabile del Trattamento non tratta i dati personali per propri scopi;– Il Titolare del Trattamento può essere considerato Titolare del Trattamento ai sensi dell’articolo 4, paragrafo 7 del GDPR;– Il Responsabile del Trattamento può essere considerato Responsabile del Trattamento ai sensi dell’articolo 4, paragrafo 8 del GDPR;– Laddove nel presente accordo si parla di Dati Personali, si intendono i dati personali ai sensi dell’articolo 4, paragrafo 1 del GDPR;– Le Parti, anche in considerazione del requisito di cui all’articolo 28, paragrafo 3 del GDPR, desiderano stabilire per iscritto i loro diritti e doveri mediante il presente Accordo sul trattamento dei dati (di seguito “ Accordo sul trattamento dei dati”).

Le Parti hanno convenuto quanto segue:

‍Articolo 1 – Scopo del trattamento

‍1. Il Responsabile del Trattamento si impegna a trattare i Dati Personali per conto del Titolare del Trattamento, alle condizioni del presente Accordo sul trattamento dei dati. Il trattamento avverrà esclusivamente nell’ambito dell’esecuzione del contratto di incarico e del presente Accordo sul trattamento dei dati ai sensi dell’articolo 28, paragrafo 3 del GDPR.2. È vietato al Responsabile del Trattamento trattare i Dati Personali per uno scopo diverso da quello stabilito dal Titolare del Trattamento. Lo scopo del trattamento è la fornitura dei servizi richiesti dal Titolare del Trattamento, come descritto e stabilito nel Contratto Principale. A tal fine vengono svolte le seguenti attività: la messa a disposizione di una piattaforma per le attività del cliente e altre attività correlate.3. La categoria di interessati i cui Dati Personali vengono raccolti riguarda i dati dei clienti, i dati di accesso, i dati dei dipendenti del Cliente e/o di altre persone o relazioni del Titolare del Trattamento con cui il Responsabile del Trattamento entra in contatto se tratta Dati Personali per conto del Titolare del Trattamento.4. Le categorie di dati personali trattati sono: dati personali, dati dei dipendenti del Cliente.5. Il Responsabile del Trattamento non tratterà i dati personali per nessun altro scopo se non quello stabilito dal Titolare del Trattamento. Il Titolare del Trattamento informerà il Responsabile del Trattamento delle finalità del trattamento nella misura in cui non siano già menzionate nel presente Accordo sul trattamento dei dati.6. Il Responsabile del Trattamento ha il controllo sui mezzi per il trattamento e la conservazione dei dati personali. Il Titolare del Trattamento è responsabile della definizione dello scopo del trattamento e deve documentarlo chiaramente.7. Il trattamento avverrà sia manualmente che (semi)automaticamente.8. I dati personali da trattare per conto del Titolare del Trattamento rimangono di proprietà del Titolare del Trattamento e/o degli interessati.

‍Articolo 2 – Durata dell’accordo

1. Il presente accordo ha inizio dopo l’approvazione dell’accordo ed è stipulato per la durata del contratto principale.2. Il presente accordo non può essere risolto anticipatamente.3. Le modifiche al presente accordo derivanti da cambiamenti nel contratto di incarico sottostante, nella legislazione o in altre circostanze rilevanti sono valide solo se, dopo consultazione e con l’esplicito consenso delle parti, vengono aggiunte all’Accordo sul trattamento dei dati.4. Il presente accordo termina automaticamente se il Contratto Principale termina.5. Non appena l’accordo, per qualsiasi motivo e in qualsiasi modo, sia terminato, il Responsabile del Trattamento – a scelta del Titolare del Trattamento – restituirà tutti i Dati Personali in suo possesso in forma originale o copia al Titolare del Trattamento e/o cancellerà e/o distruggerà tali Dati Personali originali e le eventuali copie entro un periodo massimo di 28 giorni. Eventuali costi relativi saranno a carico del Titolare del Trattamento.6. Le disposizioni in materia di riservatezza, responsabilità e risoluzione delle controversie rimangono pienamente in vigore anche dopo la cessazione del presente accordo.

‍Articolo 3 – Obblighi del Responsabile del Trattamento

1. Il Responsabile del Trattamento è tenuto a rispettare le condizioni stabilite dalla legislazione e regolamentazione vigente, in particolare il GDPR e la Legge di attuazione del GDPR, per il trattamento dei Dati Personali.2. È vietato al Responsabile del Trattamento arricchire i propri database e/o file con qualsiasi dato (personale) dai database del Titolare del Trattamento, salvo il caso in cui il Responsabile del Trattamento debba creare database e/o file temporanei per un corretto trattamento dei Dati Personali. I file temporanei vengono immediatamente cancellati dal momento in cui non sono più necessari per il trattamento.3. Il Responsabile del Trattamento informerà il Titolare del Trattamento, su sua prima richiesta, in merito alle misure adottate per adempiere ai propri obblighi ai sensi del presente Accordo sul trattamento dei dati.4. Se il Titolare del Trattamento impartisce istruzioni al Responsabile del Trattamento in merito al trattamento dei Dati Personali, il Responsabile del Trattamento deve seguire tali istruzioni se ciò è necessario per un corretto trattamento, salvo il caso in cui tali istruzioni siano in conflitto con la legislazione e regolamentazione e con eventuali norme professionali e di condotta applicabili. Solo il Titolare del Trattamento è autorizzato a esprimere il proprio giudizio esclusivo in merito.5. Tutti gli obblighi che gravano sul Responsabile del Trattamento si applicano anche alle persone che, sotto l’autorità del Responsabile del Trattamento (previo esplicito consenso del Titolare del Trattamento), trattano Dati Personali, inclusi i dipendenti e i terzi incaricati dal Responsabile del Trattamento.6. Il Responsabile del Trattamento è responsabile di garantire che solo i dipendenti e/o i terzi abbiano accesso ai dati personali per i quali l’accesso è necessario per l’esecuzione del contratto. I dipendenti e/o i terzi operano sotto la responsabilità del Responsabile del Trattamento.7. Il Titolare del Trattamento ha accesso illimitato ai Dati Personali presso il Responsabile del Trattamento. Il Responsabile del Trattamento è tenuto a collaborare su richiesta del Titolare del Trattamento per quanto riguarda l’accesso.8. Il presente accordo non è trasferibile, salvo diverso accordo esplicito.

‍Articolo 4 – Trasferimento di dati personali

1. Salvo consenso scritto del Titolare del Trattamento, il Responsabile del Trattamento non consentirà il trasferimento o l’accesso (da) paesi o organizzazioni internazionali per i quali la Commissione Europea non abbia ancora deciso che garantiscono un livello di protezione adeguato in conformità con la normativa sulla privacy applicabile, di Dati Personali trattati dal Responsabile del Trattamento o da un sub-responsabile del trattamento da esso incaricato, in relazione all’esecuzione del Contratto. Gli articoli da 44 a 50 del GDPR saranno sempre rispettati. Il Responsabile del Trattamento fornirà, su prima richiesta del Titolare del Trattamento, informazioni sulla/e località in cui avviene il trattamento.2. Il Responsabile del Trattamento tratterà con cura i dati personali del Titolare del Trattamento.

‍Articolo 5 – Responsabilità del Responsabile del Trattamento

1. Il Responsabile del Trattamento svolgerà per il Titolare del Trattamento, nell’ambito del presente accordo, le attività menzionate nell’articolo 1.2 del presente accordo, nonché altre attività come stabilito nel Contratto Principale.2. Il Responsabile del Trattamento è responsabile del trattamento dei Dati Personali ai sensi del presente Accordo sul trattamento dei dati, in conformità con le istruzioni del Titolare del Trattamento. Per gli altri trattamenti di Dati Personali, inclusi, ma non limitati a, la raccolta dei Dati Personali da parte del Titolare del Trattamento, i trattamenti per scopi non comunicati dal Titolare del Trattamento al Responsabile del Trattamento, i trattamenti da parte di terzi e/o per altri scopi, il Responsabile del Trattamento è ugualmente responsabile.

‍Articolo 6 – Terzi

Le attività del Responsabile del Trattamento possono essere affidate a terzi solo previo esplicito consenso del Titolare del Trattamento. Il Responsabile del Trattamento è garante per tali terzi ed è egli stesso responsabile e risarcibile per tutti i danni causati al Titolare del Trattamento da terzi. Tutti gli obblighi del presente accordo si applicano anche a tali terzi (sub-responsabile del trattamento).

Articolo 7 – Misure di sicurezza dei Dati Personali

‍1. Il Responsabile del Trattamento si impegna ad adottare misure organizzative e tecniche sufficienti e adeguate contro ogni forma di trattamento illecito in relazione ai trattamenti dei Dati Personali da esso eseguiti.2. Il livello di sicurezza delle misure deve almeno soddisfare un livello che non sia irragionevole in relazione ai costi associati, alla sensibilità dei Dati Personali in questione, nonché allo stato dell’arte e ai rischi. Il Responsabile del Trattamento non garantisce che le misure di sicurezza da esso adottate siano sempre efficaci in ogni circostanza. In consultazione, le parti possono adottare altre misure di sicurezza aggiuntive o più dettagliate.3. Il Responsabile del Trattamento ha la propria responsabilità di informare se stesso e/o i suoi dipendenti e i terzi da coinvolgere su tutti i protocolli, le politiche (di sicurezza) e altre istruzioni che consentono e promuovono un trattamento sicuro.4. Il Responsabile del Trattamento è responsabile per la sua parte del trattamento.5. In caso di violazione della sicurezza dei Dati Personali, che possa causare danni o avere conseguenze negative per la protezione dei Dati Personali, il Responsabile del Trattamento deve informare il Titolare del Trattamento immediatamente, o comunque senza irragionevole ritardo, ma entro 24 ore da quando il Responsabile del Trattamento avrebbe ragionevolmente potuto esserne a conoscenza. Il Titolare del Trattamento informerà quindi l’Autorità Garante per la Protezione dei Dati entro 48 ore e gli eventuali interessati il prima possibile in merito alla violazione.6. Ai sensi dell’obbligo di notifica del Responsabile del Trattamento, la notifica di una violazione deve contenere almeno i seguenti elementi:– la natura della violazione dei dati personali, ove possibile, indicando le categorie di interessati e di dati personali in questione e, approssimativamente, il numero di interessati e di registri di dati personali in questione;– il nome e i dati di contatto del responsabile della protezione dei dati o di un altro punto di contatto da cui è possibile ottenere maggiori informazioni;– le probabili conseguenze della violazione dei dati personali;– le misure che il Responsabile del Trattamento ha proposto o adottato per affrontare la violazione dei dati personali, comprese, se del caso, le misure per mitigare gli eventuali effetti negativi.7. Il Titolare del Trattamento deve tenere un registro di tutte le violazioni in conformità con l’articolo 33, paragrafo 5 del GDPR.8. Se si è verificata una violazione della sicurezza dei Dati Personali presso il Responsabile del Trattamento, il Responsabile del Trattamento è obbligato ad adottare, a proprie spese, misure adeguate per prevenire futuri incidenti e/o violazioni.

‍Articolo 8 – Riservatezza

Il Responsabile del Trattamento e i suoi dipendenti, nonché i terzi incaricati dal Responsabile del Trattamento, sono obbligati alla riservatezza di tutti i dati personali, informazioni sensibili e/o dati aziendali ottenuti tramite il presente accordo. L’obbligo di riservatezza non si applica se il Titolare del Trattamento ha dato esplicito consenso scritto al Responsabile del Trattamento per condividere tali dati e informazioni con terzi, o se esiste un obbligo legale di fornire i dati e le informazioni a un terzo. Dopo la scadenza del presente accordo, le parti rimangono obbligate a rispettare tale obbligo di riservatezza.

‍Articolo 9 – Diritti dell’interessato

‍1. Nel caso in cui il Responsabile del Trattamento riceva una richiesta di accesso da parte di un interessato o di un’autorità competente, il Responsabile del Trattamento tratterà tale richiesta il prima possibile, ma al più tardi entro 5 giorni lavorativi. Se non è possibile trattare la richiesta autonomamente, la richiesta verrà inoltrata al Titolare del Trattamento entro 5 giorni lavorativi. Il Responsabile del Trattamento deve, se richiesto, collaborare all’esecuzione della richiesta. I costi che il Responsabile del Trattamento deve sostenere per la collaborazione saranno a carico del Titolare del Trattamento.2. Quanto stabilito nell’articolo 9.1 si applica mutatis mutandis se un interessato desidera esercitare altri diritti, come il diritto di rettifica, cancellazione dei dati, diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione e diritti in caso di processi decisionali individuali automatizzati, come stabilito nelle sezioni 3 e 4 del Regolamento Generale sulla Protezione dei Dati.

‍Articolo 10 – Responsabilità

‍1. Il Responsabile del Trattamento è responsabile del trattamento dei Dati Personali e garantisce che il trattamento sia lecito e non violi i diritti degli interessati. Il Responsabile del Trattamento è responsabile solo per i danni derivanti da azioni e/o omissioni, o dal mancato rispetto della legislazione e regolamentazione da parte del Responsabile del Trattamento.2. Il Responsabile del Trattamento è responsabile solo fino a un massimo del valore dell’incarico. Tutti i danni consequenziali sono espressamente esclusi dalla responsabilità del Responsabile del Trattamento.3. Fermo restando quanto stabilito nel presente articolo, il Responsabile del Trattamento è responsabile per i danni causati dal trattamento qualora tale trattamento non abbia rispettato gli obblighi del GDPR specificamente rivolti al Responsabile del Trattamento o qualora abbia agito in violazione delle legittime istruzioni del Titolare del Trattamento.4. Il Responsabile del Trattamento non è responsabile per i danni se può dimostrare di non essere in alcun modo responsabile del fatto che ha causato il danno.

‍Articolo 11 – Indennizzo

‍1. Il Titolare del Trattamento indennizza il Responsabile del Trattamento da reclami, multe e/o sanzioni pecuniarie da parte o per conto dell’Autorità Garante per la Protezione dei Dati e/o di altre autorità, qualora sia stato accertato che le violazioni rientrano nella responsabilità del Titolare del Trattamento.2. Il Responsabile del Trattamento può recuperare le multe e/o le sanzioni pecuniarie imposte dal Titolare del Trattamento se e nella misura in cui il Responsabile del Trattamento può essere ritenuto responsabile delle violazioni del Titolare del Trattamento.

‍Articolo 12 – Risoluzione delle controversie

‍1. Il presente accordo è regolato dalla legge olandese.2. Tutte le controversie che sorgono tra le parti, derivanti da o relative al presente Accordo sul trattamento dei dati, saranno risolte dal tribunale competente del luogo di residenza del Responsabile del Trattamento.