Protocollo di elaborazione dei dati
Il presente Protocollo per l'elaborazione dei dati ("Protocollo") regola JIA, Inc. ("Elaboratore") e il Cliente ("Titolare"), ciascuno dei quali è una "Parte" e insieme le "Parti". Il presente Protocollo entra in vigore a partire dalla data (la "Data di entrata in vigore") del Contratto di servizio principale (il "Contratto") sottoscritto da entrambe le Parti, salvo che il Protocollo possa essere modificato da JIA.
Il presente Protocollo si applica ai dati personali (come definiti di seguito) trattati (come definiti di seguito) in relazione al software e/o ai servizi forniti nell'ambito del Contratto (collettivamente, i "Servizi"). I Servizi prevedono l'utilizzo di un provider cloud di terze parti (attualmente Microsoft Corporation, che fornisce Azure) e possono rientrare in una delle tre categorie indicate nel Contratto:
[Il Processore procura e amministra il rapporto con il provider cloud di terze parti. In questo scenario, il Titolare autorizza l'Elaboratore a contrattare direttamente con il provider cloud di terze parti per conto e/o a beneficio del Titolare, e il provider cloud di terze parti è un subappaltatore dell'Elaboratore - indicato come tale nel presente Protocollo.
[Il Titolare procura il rapporto con il fornitore di cloud di terze parti e il Responsabile del trattamento gestisce l'utilizzo del fornitore di cloud di terze parti da parte del Titolare. In questo scenario, il Titolare è responsabile della stipula dei contratti direttamente con il fornitore di cloud di terze parti (compresi, senza limitazioni, gli accordi sul trattamento dei dati richiesti dalla legge applicabile) ed è l'unico responsabile di tutti gli obblighi relativi a tale terza parte. Il provider cloud terzo è un incaricato del trattamento del Titolare. In questo scenario, l'elaboratore è un elaboratore solo per il Titolare.
[SCENARIO TRE] Il Titolare procura e gestisce il rapporto con il fornitore di cloud di terze parti. Come nello SCENARIO DUE, eccetto per il fatto che, data l'acquisizione e la gestione da parte del Titolare, è possibile che l'Incaricato non tratti alcun dato personale per conto del Titolare. Il Protocollo potrebbe tuttavia essere necessario se il Titolare richiede al Responsabile del trattamento di fornire assistenza, il che potrebbe comportare un trattamento incidentale dei dati personali.
A partire dalla Data di entrata in vigore, il presente Protocollo è parte integrante e incorporata dell'Accordo, pertanto i riferimenti all'"Accordo" nell'Accordo includeranno il presente Protocollo. Fatta eccezione per le modifiche apportate dal presente Protocollo, l'Accordo rimane invariato e in pieno vigore. In caso di conflitto tra il presente Protocollo e l'Accordo, prevarrà il presente Protocollo.
CONTESTO
(A) L'Incaricato fornisce, o fornirà, Servizi per conto del Titolare del trattamento ai sensi del Contratto.
(B) Le Parti riconoscono e concordano che i Servizi possono comportare l'elaborazione di dati personali negli Stati Uniti, compresa, a titolo esemplificativo, la trasmissione di dati personali da e verso gli Stati Uniti e l'archiviazione di dati personali negli Stati Uniti.
(C) Lo scopo del presente Protocollo è quello di stabilire le condizioni di protezione dei dati che si applicheranno al trattamento dei dati personali per garantire che i diritti e le libertà di protezione dei dati delle persone rimangano protetti in conformità alla Legge applicabile sulla protezione dei dati (come definita di seguito).
SI CONVIENE:
1. Definizioni
In questo Protocollo:
1.1 I termini "azienda", "consumatore", "responsabile del trattamento", "incaricato del trattamento", "interessato", "dati personali", "trattamento" (e "processo"), "fornitore di servizi" e "categorie particolari di dati" avranno il significato attribuito dalla Legge Applicabile sulla Protezione dei Dati. Il termine "informazioni personali" (come utilizzato nella Legge Applicabile sulla Protezione dei Dati) sarà incluso nell'espressione "dati personali" e il termine "consumatore" sarà incluso nell'espressione "soggetto dei dati" utilizzata nel presente Protocollo.
1.2 Per "Legge applicabile in materia di protezione dei dati" si intende qualsiasi legislazione in materia di privacy o protezione dei dati che si applica alle Parti di volta in volta in merito al trattamento dei dati personali ai sensi del Contratto, compresi, a titolo esemplificativo, il GDPR e il CCPA (entrambi come definiti di seguito).
1.3 Per "Persone autorizzate" si intende, con riferimento a ciascuna Parte, qualsiasi persona autorizzata da tale Parte a trattare i Dati (compresi il personale, gli agenti e i subappaltatori di tale Parte).
1.4 Per "CCPA" si intende il California Consumer Privacy Act, California Civil Code Section 1798.100, et seq. e i relativi regolamenti di attuazione. A partire dal 1° gennaio 2023, "CCPA" includerà il California Privacy Rights Act e i relativi regolamenti di attuazione.
1.5 Per "SEE" si intende lo Spazio Economico Europeo e, come utilizzato nel presente Protocollo, include la Svizzera.
1.6 Per "GDPR" si intende il Regolamento generale sulla protezione dei dati (UE) 2016/679 e, come utilizzato nel presente Protocollo, include il GDPR del Regno Unito (per quanto riguarda il Regno Unito) e la Legge federale sulla protezione dei dati (per quanto riguarda la Svizzera).
1.7 Per "istruzioni" e termini correlati si intendono le istruzioni scritte del Titolare per il trattamento dei Dati (come definito di seguito), che consistono nei termini dell'Accordo e del presente Protocollo.
1.8 Per "Clausole Modello" si intende, a seconda dei casi:
1.8.1 Per i trasferimenti di dati disciplinati dal diritto SEE, le clausole contrattuali standard per il trasferimento di dati personali a paesi terzi dal SEE ai sensi del GDPR e approvate dalla Commissione europea ai sensi della Decisione (UE) 2021/914, attualmente contenute nel sito https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en (le "Clausole modello SEE").
1.8.2 Per i trasferimenti di dati disciplinati dalla legge del Regno Unito, le Clausole Modello SEE più le clausole obbligatorie dell'addendum approvato emesso dall'Information Commissioner's Office ("ICO") del Regno Unito, come attualmente indicato all'indirizzo https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (l'"Addendum Amendment del Regno Unito").
1.8.3 Per i trasferimenti di dati disciplinati dalla Legge federale sulla protezione dei dati (Svizzera), si applicheranno le Clausole modello SEE, a condizione che siano modificate per tali trasferimenti in modo da prevedere la supervisione da parte dell'Incaricato federale della protezione dei dati e dell'informazione e che il termine "Stato membro" non sia interpretato in modo tale da escludere gli interessati svizzeri dalla possibilità di far valere i propri diritti in Svizzera.
1.9 "Scopo consentito" ha il significato specificato nella Sezione 3; e
2. Rapporto tra le parti
Il Titolare del trattamento è il responsabile del trattamento (e in alcuni casi un incaricato del trattamento) e con la presente nomina l'Incaricato del trattamento come incaricato del trattamento dei dati personali descritti nell'allegato Allegato 2. Tali dati personali sono denominati "Dati". Tali dati personali sono denominati "Dati".
3. Limitazione dello scopo
3.1 Il Responsabile del trattamento tratterà i Dati (e conserverà le registrazioni di tali attività di trattamento) in qualità di incaricato del trattamento solo nella misura in cui ciò sia necessario per l'esecuzione dei Servizi e solo in conformità alle istruzioni documentate del Titolare (lo "Scopo consentito"). Inoltre, nella misura in cui ciò sia applicabile, le Parti riconoscono che (x) il Titolare del trattamento è un'"azienda" e l'Incaricato del trattamento è un "fornitore di servizi", come tali termini sono definiti dal CCPA; (y) il trattamento dei Dati da parte dell'Incaricato del trattamento è necessario per la fornitura dei Servizi; e (z) il Titolare del trattamento non riceverà alcun corrispettivo monetario o di altro valore dall'Incaricato del trattamento in cambio dell'accesso e del trattamento dei Dati da parte dell'Incaricato. Se la legge applicabile è in conflitto con le istruzioni documentate del Titolare, l'Incaricato del trattamento ne informerà il Titolare prima dell'elaborazione, a meno che tale notifica non sia vietata dalla legge. In ogni caso, le Parti modificheranno equamente le tariffe pagate al Processore qualora le istruzioni scritte del Titolare impongano ulteriori requisiti al Processore. Senza limitare quanto sopra, in nessun caso il Processore potrà:
(a) trattare i Dati per i propri scopi o per quelli di terzi, compresa la vendita, l'affitto, il rilascio, la divulgazione, la diffusione o la messa a disposizione di tali Dati a terzi;
(b) assumersi la responsabilità di determinare le finalità e le modalità di trattamento dei Dati;
(c) divulgare i Dati a terzi (ad eccezione dei suoi subappaltatori autorizzati) senza il previo consenso del Titolare del trattamento, salvo nei casi e nei limiti in cui la divulgazione sia richiesta da qualsiasi legge applicabile al Responsabile del trattamento.
(d) trattare i Dati in qualsiasi modo che possa far sì che il Titolare del trattamento violi uno qualsiasi dei suoi obblighi ai sensi della Legge applicabile in materia di protezione dei dati.
3.2 Il Titolare del trattamento è tenuto a garantire che il trattamento sia lecito e che disponga di tutti gli altri diritti necessari per consentire al Responsabile del trattamento di trattare i Dati. Il Titolare non fornirà al Responsabile del trattamento l'accesso ai Dati per i quali il Titolare non possiede tali diritti. Senza limitare quanto sopra, il Titolare è tenuto a garantire che vengano fornite tutte le notifiche necessarie, che vengano ottenuti i consensi degli interessati e che venga conservata una registrazione di tali consensi. In caso di revoca del consenso da parte di un soggetto interessato, il Titolare del trattamento è tenuto a comunicare tale revoca al Responsabile del trattamento e ad assistere il Responsabile del trattamento in merito all'ulteriore trattamento di tali dati.
3.3 Il Titolare è responsabile dell'accuratezza e della qualità dei Dati.
3.4 Il Titolare si adopererà per determinare se i Servizi comportano il trattamento di dati personali provenienti da Australia, Brasile, SEE, Regno Unito o Argentina e, in tal caso, lo comunicherà tempestivamente al Responsabile del trattamento. Inoltre, il Controllore deve notificare al Responsabile del trattamento se i dati sono soggetti a una legge sulla protezione dei dati applicabile diversa dal CCPA o dal GDPR, in modo che le parti possano adottare misure per stipulare ulteriori disposizioni contrattuali (se del caso) necessarie per conformarsi a tale legge.
3.5 Se i dati includono dati personali provenienti dal SEE o dal Regno Unito, con la sottoscrizione del presente Protocollo, il Responsabile del trattamento e l'Incaricato del trattamento sottoscrivono, sottoscrivono e incorporano nel presente Protocollo anche le clausole tipo applicabili di cui alla Sezione 11, di seguito riportata.
3.6 Se un meccanismo di trasferimento dei dati utilizzato dalle Parti viene successivamente modificato, revocato o ritenuto non valido da un'autorità di regolamentazione competente o da un'altra autorità governativa, il Titolare del trattamento e l'Incaricato del trattamento collaboreranno in buona fede per porre fine ai trasferimenti effettuati in base a tale meccanismo o per adottare un meccanismo alternativo adeguato.
4. Riservatezza del trattamento
Il Responsabile del trattamento garantirà che tutte le Persone autorizzate siano soggette a un obbligo di riservatezza (contrattuale, legale o di altro tipo) e non permetterà a nessuno che non sia soggetto a tale obbligo di riservatezza di trattare i Dati. Il Responsabile del trattamento si assicurerà che tutte le Persone autorizzate trattino i Dati solo per quanto necessario allo scopo consentito.
5. La sicurezza
5.1 Il Processore implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative per proteggere i Dati da violazioni non autorizzate o illegali della sicurezza che comportino la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati sotto il controllo del Processore ("Incidente di sicurezza"). Le misure di sicurezza tecniche e organizzative del Processore sono riportate nell'Allegato 3 e possono essere aggiornate di volta in volta.
5.2 Il Titolare del trattamento ha la responsabilità di esaminare le informazioni rese disponibili dal Responsabile del trattamento in materia di sicurezza dei dati e di stabilire autonomamente se le misure di sicurezza del Responsabile del trattamento soddisfano i requisiti e gli obblighi legali del Titolare del trattamento ai sensi della legge applicabile sulla protezione dei dati.
6. Subappalto
Il Responsabile del trattamento non affiderà alcun trattamento dei Dati a terzi subappaltatori senza il previo consenso scritto del Titolare, consenso che non sarà irragionevolmente negato, condizionato o ritardato. Il Titolare acconsente che il Responsabile del trattamento incarichi le sue affiliate e altri subappaltatori terzi di trattare i Dati a condizione che: (i) il Responsabile del trattamento comunichi con almeno 10 giorni di anticipo l'aggiunta o la rimozione di qualsiasi subappaltatore (compresi i dettagli del trattamento che esegue o eseguirà), comunicazione che può essere inviata al Titolare del trattamento via e-mail; (ii) il Responsabile del trattamento imponga ai subappaltatori da esso nominati condizioni di protezione dei dati che tutelino i dati in modo sostanzialmente analogo a quanto previsto dal presente Protocollo; e (iii) il Responsabile del trattamento rimanga pienamente responsabile per qualsiasi violazione del presente Protocollo causata da un atto, un errore o un'omissione del suo subappaltatore. I subappaltatori alla Data di entrata in vigore sono indicati nell'Allegato 4.
7. Cooperazione e diritti degli interessati
Tenendo conto della natura del trattamento, il Responsabile del trattamento comunicherà tempestivamente al Titolare del trattamento, per quanto possibile, e fornirà al Titolare del trattamento un'assistenza ragionevole (a spese del Titolare del trattamento) per consentire al Titolare del trattamento di rispondere a: (i) qualsiasi richiesta da parte di un soggetto interessato di esercitare uno qualsiasi dei diritti previsti dalla Legge applicabile in materia di protezione dei dati (inclusi, a titolo esemplificativo, i diritti di accesso, correzione, obiezione, cancellazione e portabilità dei dati, a seconda dei casi); e (ii) qualsiasi altra corrispondenza, richiesta o reclamo ricevuto da un soggetto interessato, da un'autorità di regolamentazione o da altre terze parti in relazione al trattamento dei Dati. Il Responsabile del trattamento non sarà tenuto a rispondere direttamente ad alcuna richiesta, corrispondenza, indagine o reclamo, a meno che non sia richiesto dalla legge.
8. Incidenti di sicurezza
8.1 Nel momento in cui viene a conoscenza di un Incidente di Sicurezza, il Processore informerà il Titolare del trattamento senza ritardi ingiustificati. Il Processore si adopererà in modo ragionevole per identificare la causa di tale Incidente di Sicurezza e adotterà le misure che riterrà necessarie e ragionevoli per porre rimedio alla causa di tale Incidente di Sicurezza, nella misura in cui il rimedio è sotto il controllo del Processore; fermo restando che il Processore non avrà alcun obbligo in tal senso se l'Incidente di Sicurezza è causato dal Controllore o da qualsiasi terza parte incaricata in relazione ai Servizi.
8.2 Il Controllore sosterrà le perdite e le spese (comprese le ragionevoli spese legali) associate a un Incidente di sicurezza derivante da azioni o omissioni negligenti del Controllore (o di terzi) o da una violazione del presente Protocollo, compresi, a titolo esemplificativo, tutti i costi: (a) per la comunicazione di un Incidente di sicurezza alle persone interessate e alle autorità di regolamentazione; e (b) per rimediare e mitigare in altro modo qualsiasi danno o pregiudizio effettivo o potenziale dell'Incidente di sicurezza, compresi, a titolo esemplificativo, la creazione di call center e la fornitura di servizi di monitoraggio o ripristino del credito.
9. Trasferimento, cancellazione o restituzione dei dati
Su richiesta e a spese del Titolare, il Titolare avrà diritto a ricevere dal Responsabile del trattamento una copia di tutti i dati in suo possesso. Il Responsabile del trattamento fornirà, a spese del Titolare del trattamento, ogni ulteriore assistenza ragionevolmente richiesta dal Titolare del trattamento in relazione alla consegna sicura a terzi dei Dati. Il Responsabile del trattamento si impegna inoltre, su richiesta del Controllore e a spese di quest'ultimo, a cancellare o distruggere in altro modo in modo sicuro tutti i Dati in possesso del Responsabile del trattamento (compresi, a titolo esemplificativo, i Dati in possesso di subappaltatori). Tali requisiti non si applicheranno nel caso in cui il Responsabile del trattamento sia tenuto a conservare alcuni o tutti i Dati in base alle leggi vigenti, nel qual caso il Responsabile del trattamento isolerà e proteggerà i Dati da qualsiasi ulteriore trattamento, salvo nei limiti richiesti da tali leggi, e li restituirà o distruggerà in modo sicuro non appena possibile.
10. Audit
Il Responsabile del trattamento metterà a disposizione del Titolare del trattamento, su richiesta e a intervalli ragionevoli, tutte le informazioni necessarie a dimostrare l'osservanza degli obblighi previsti da tale legge, fermo restando che le Parti faranno del loro meglio per soddisfare tutti gli obblighi di verifica mediante questionari scritti e copie di relazioni o certificazioni. Se il risultato dell'audit non può essere ottenuto con informazioni scritte, è ammessa anche un'ispezione. Il Controllore può (a meno che la Legge Applicabile sulla Protezione dei Dati non preveda diversamente) richiedere audit ai sensi della presente Sezione solo una volta per anno solare. Tutti gli audit e le altre produzioni di documenti e informazioni saranno a carico del Titolare e soggetti alle disposizioni di riservatezza del Contratto. Il Responsabile del trattamento può subordinare la propria osservanza della presente Sezione alla condizione che tutti i terzi che ricevono informazioni si impegnino per iscritto a trattare tutte le informazioni come riservate.
11. Meccanismo di trasferimento dei dati
11.1 Se, nell'esecuzione dei Servizi, i Dati soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy delle persone che si applica nel SEE o nel Regno Unito vengono trasferiti al di fuori del SEE o del Regno Unito in paesi, come gli Stati Uniti, che non garantiscono un livello adeguato di protezione dei dati ai sensi della Legge applicabile sulla protezione dei dati, il meccanismo o i meccanismi di trasferimento elencati di seguito si applicheranno a tali trasferimenti e potranno essere applicati direttamente dalle Parti (nella misura consentita dalla Legge applicabile sulla protezione dei dati):
11.1.1 Per i trasferimenti nel SEE in cui il Titolare del trattamento agisce in qualità di responsabile del trattamento e l'Incaricato del trattamento agisce in qualità di incaricato del trattamento, il Modulo 2 delle Clausole Modello SEE (Controller-to-Processor) - soggetto ai termini dell'Allegato 1 del presente Protocollo;
11.1.2 Per i trasferimenti nel SEE in cui il Titolare del trattamento agisce in qualità di incaricato del trattamento e l'Incaricato del trattamento agisce in qualità di subincaricato del Titolare del trattamento, il Modulo 3 delle Clausole Modello SEE (da incaricato del trattamento a incaricato del trattamento) - soggetto ai termini dell'Allegato 1 del presente Protocollo;
11.1.3 Per i trasferimenti nel Regno Unito, il Modulo 2 o il Modulo 3 delle Clausole Modello SEE (a seconda dei casi) più l'Emendamento Addendum del Regno Unito - in base ai termini dell'Allegato 1 del presente Protocollo.
11.1.4 Per i trasferimenti di dati in Svizzera, il Modulo 2 o il Modulo 3 delle Clausole Modello SEE (a seconda dei casi) - in base ai termini dell'Allegato 1 del presente Protocollo.
12. Limitazione di responsabilità
La responsabilità complessiva del Processore e delle sue affiliate derivante da o correlata al presente Protocollo è soggetta alle limitazioni di responsabilità, alle limitazioni di garanzia, alle esclusioni di responsabilità e alle altre garanzie e esclusioni di responsabilità stabilite nel Contratto. Quanto sopra si applica indipendentemente dalla natura della richiesta di risarcimento, sia essa contrattuale, extracontrattuale o di altra natura.
13. Indennizzo
Il Controllore difenderà, indennizzerà e manterrà indenne il Processore, le sue affiliate, i suoi subappaltatori e ciascuno dei rispettivi proprietari, direttori, funzionari, dirigenti, membri, dipendenti, appaltatori e agenti da qualsiasi responsabilità, perdita, danno o spesa (comprese le spese legali) nella misura in cui siano causati o derivanti da (a) negligenza, dolo o frode del Controllore o dei suoi agenti (compresi, senza limitazioni, i terzi assunti in relazione ai Servizi); (b) istruzioni fornite dal Controllore; o (c) violazione degli obblighi del Controllore ai sensi del presente Protocollo.
14. Varie
14.1 I titoli delle sezioni e gli altri titoli del presente Protocollo sono intesi esclusivamente per comodità di riferimento e non costituiscono parte integrante del presente Protocollo, né influiscono in altro modo sul suo significato o sulla sua interpretazione.
14.2 Le disposizioni del presente Protocollo sono separabili. Se un termine o una disposizione è invalido o inapplicabile in tutto o in parte, tale invalidità o inapplicabilità riguarderà solo tale termine o disposizione, mentre il resto del presente Protocollo rimarrà in vigore a tutti gli effetti.
14.3 Qualsiasi avviso, lettera o altra comunicazione prevista dal presente Protocollo deve essere fornita secondo i termini dell'Accordo.
14.4 Le disposizioni del presente Protocollo saranno valide e vincolanti per le Parti e per i loro rispettivi successori e cessionari.
14.5 Il presente Protocollo sarà disciplinato e interpretato in tutti i suoi aspetti in conformità con le disposizioni in materia di legge e giurisdizione stabilite nell'Accordo, a meno che non sia richiesto diversamente dalla Legge applicabile in materia di protezione dei dati.
Schema 1
Meccanismi di trasferimento per i trasferimenti di dati da SEE, Regno Unito e Svizzera
Ai fini del Modulo 2 delle Clausole Modello (Controller-to-Processor) e del Modulo 3 delle Clausole Modello (Processor-to-Processor), il Controller è l'esportatore dei dati e il Processor è l'importatore dei dati e le Parti concordano quanto segue. Laddove il presente Allegato 1 non indichi esplicitamente quale sia il Modulo applicabile, esso si applica a entrambi.
1. Riferimenti alle Clausole Modello e all'Addendum Emendamento del Regno Unito. Le disposizioni pertinenti contenute nel Modulo Due e nel Modulo Tre delle Clausole Modello sono incorporate per riferimento e sono parte integrante del presente Protocollo. Anche l'Addendum Amendment del Regno Unito è incorporato per riferimento e costituisce parte integrante del presente Protocollo. Le informazioni richieste per l'Appendice alle Clausole Modello e per l'Addendum Amendment del Regno Unito sono riportate nell'Allegato 2.
2. Clausola di attracco. Le Parti decidono di eliminare la clausola di docking opzionale contenuta nelle Clausole Modello (clausola 7).
3. Istruzioni. Il presente Protocollo e il Contratto costituiscono le istruzioni documentate complete e definitive del Titolare del trattamento al momento della firma del Contratto nei confronti dell'Incaricato del trattamento dei dati personali. Eventuali istruzioni aggiuntive o alternative devono essere coerenti con i termini del presente Protocollo e del Contratto. Ai fini della clausola 8.1(a) delle Clausole Modello, le istruzioni del Titolare per il trattamento dei dati personali includono i trasferimenti successivi a terzi situati al di fuori del SEE e del Regno Unito ai fini dell'esecuzione dei Servizi.
Nel caso in cui il Titolare agisca in qualità di incaricato del trattamento, il Cliente dichiara e garantisce che le sue istruzioni di trattamento, come indicato nel Contratto e nel presente Protocollo, comprese le autorizzazioni al Responsabile del trattamento per la nomina di subincaricati in conformità al presente Protocollo, sono state autorizzate dal responsabile del trattamento competente. Il Titolare del trattamento sarà l'unico responsabile dell'inoltro di eventuali notifiche ricevute dal Responsabile del trattamento al titolare del trattamento pertinente, se del caso.
4. Sicurezza del trattamento. Ai fini della clausola 8.6(a) delle Clausole Modello, il Titolare del trattamento è l'unico responsabile di determinare in modo indipendente se le misure tecniche e organizzative di cui all'Allegato 3 soddisfano i requisiti del Titolare del trattamento e concorda sul fatto che (tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento dei suoi dati personali, nonché dei rischi per le persone) le misure di sicurezza implementate e mantenute dal Responsabile del trattamento forniscono un livello di sicurezza adeguato al rischio rispetto a tali dati personali. Ai fini della clausola 8.6(c) delle Clausole Modello, le violazioni dei dati personali saranno gestite in conformità alla sezione 8 del Protocollo.
5. Audit ai sensi delle clausole tipo. Le Parti convengono che le verifiche descritte nella clausola 8.9 delle Clausole Modello saranno effettuate in conformità alla sezione 10 del Protocollo.
6. Autorizzazione generale all'uso di subprocessori. Le Parti scelgono l'opzione 2 ai sensi della clausola 9 delle Clausole Modello. Ai fini della clausola 9(a), il Responsabile del trattamento dispone dell'autorizzazione generale del Titolare del trattamento a ricorrere a subprocessori in conformità alla sezione 6 del Protocollo. Il Responsabile del trattamento metterà a disposizione del Cliente l'elenco aggiornato dei subprocessori in conformità alla sezione 6 del presente Protocollo (dove i subprocessori sono definiti "subappaltatori"). Nel caso in cui il Responsabile del trattamento stipuli il Modulo tre delle clausole tipo (da Responsabile del trattamento a Responsabile del trattamento) con un subprocessore in relazione alla fornitura dei Servizi, il Titolare del trattamento concede al Responsabile del trattamento e alle sue affiliate l'autorità di fornire un'autorizzazione generale per conto del Titolare del trattamento per l'assunzione di subprocessori da parte dei subprocessori impegnati nella fornitura dei Servizi, nonché l'autorità decisionale e di approvazione per l'aggiunta o la sostituzione di tali subprocessori.
7. Reclami - Ricorso. Le Parti decidono di eliminare il testo opzionale della clausola 11 delle Clausole Modello. Ai fini del testo rimanente della clausola 11, e fatta salva la sezione 7 del Protocollo, il Responsabile del trattamento informerà gli interessati sul proprio sito web di un punto di contatto per i reclami. Il Responsabile del trattamento informerà il Titolare del trattamento qualora riceva un reclamo da parte di un soggetto interessato in relazione ai dati personali trattati ai sensi del Contratto, e il Responsabile del trattamento comunicherà senza indebito ritardo il reclamo al Titolare del trattamento. Il Responsabile del trattamento non avrà altrimenti alcun obbligo di gestire la richiesta (se non diversamente richiesto dalla legge o concordato con il Titolare).
8. Responsabilità. Oltre alle altre limitazioni stabilite nell'Accordo e nel Protocollo, la responsabilità del Responsabile del trattamento ai sensi della clausola 12 delle Clausole modello sarà limitata ai soli danni causati dal suo trattamento qualora non abbia rispettato gli obblighi previsti dalla Legge applicabile in materia di protezione dei dati, specificamente rivolti ai Responsabili del trattamento, o abbia agito al di fuori o in contrasto con le istruzioni legittime fornite dal Titolare del trattamento, come specificato nell'articolo 82 del GDPR.
9. Supervisione. La clausola 13 delle Clausole Modello si applicherà come segue:
a. Qualora il Titolare del trattamento abbia sede in uno Stato membro dell'UE, l'autorità di vigilanza incaricata di garantire il rispetto del GDPR da parte del Titolare del trattamento per quanto riguarda il trasferimento dei dati agirà in qualità di autorità di vigilanza competente.
b. Qualora il Titolare del trattamento non sia stabilito in uno Stato membro dell'UE, ma rientri nell'ambito territoriale del GDPR ai sensi dell'articolo 3, paragrafo 2, e abbia nominato un rappresentante ai sensi dell'articolo 27, paragrafo 1, del GDPR, l'autorità di controllo dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27, paragrafo 1, del GDPR agirà in qualità di autorità di controllo competente.
c. Qualora il Titolare del trattamento non sia stabilito in uno Stato membro dell'UE, ma rientri nell'ambito territoriale di applicazione del GDPR ai sensi dell'articolo 3, paragrafo 2, senza tuttavia dover nominare un rappresentante ai sensi dell'articolo 27, paragrafo 2, del GDPR, l'autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti, o il cui comportamento è monitorato, agirà come autorità di controllo competente.
d. Qualora il Titolare abbia sede nel Regno Unito o rientri nell'ambito territoriale di applicazione del RGPD, l'ICO agirà in qualità di autorità di vigilanza competente.
e. Qualora il Controllore abbia sede in Svizzera o rientri nell'ambito territoriale di applicazione della Legge federale sulla protezione dei dati (Svizzera), il Commissario federale svizzero per la protezione dei dati e l'informazione agirà in qualità di autorità di controllo competente nella misura in cui il trasferimento dei dati in questione è disciplinato dalla Legge federale sulla protezione dei dati.
10. Notifica di richieste di accesso governative. Ai fini della clausola 15.1(a) delle Clausole Modello, il Responsabile del trattamento informerà il Titolare (solo) e non l'interessato (o gli interessati) in caso di richieste di accesso governativo. Il Responsabile del trattamento sarà l'unico responsabile della tempestiva notifica agli interessati, se necessario.
11. Legge applicabile. Nella misura massima consentita dalla legge, la legge applicabile ai fini della clausola 17 delle Clausole Modello sarà quella indicata nella sezione Legge applicabile dell'Accordo. In caso contrario, le Clausole Modello SEE saranno disciplinate (a) per quanto riguarda il SEE (eccetto la Svizzera), dalle leggi del Belgio; (b) per quanto riguarda il Regno Unito, dalle leggi dell'Inghilterra e del Galles; e (c) per quanto riguarda la Svizzera, dalle leggi della Svizzera.
12. Scelta del foro e della giurisdizione. Nella misura massima consentita dalla legge, i tribunali con giurisdizione esclusiva ai sensi della clausola 18 delle Clausole Modello saranno quelli designati nella sezione Sede del Contratto. Altrimenti, il foro con giurisdizione esclusiva per risolvere qualsiasi controversia o causa legale derivante da o in relazione alle Clausole Modello sarà quello di (a) per quanto riguarda i trasferimenti di dati che coinvolgono soggetti del SEE (ad eccezione dei soggetti svizzeri), i tribunali del Belgio; (b) per quanto riguarda i trasferimenti di dati che coinvolgono soggetti del Regno Unito, i tribunali dell'Inghilterra e del Galles, e (c) per quanto riguarda i trasferimenti di dati che coinvolgono soggetti svizzeri, i tribunali della Svizzera.
13. Appendice. L'appendice delle clausole del modello SEE sarà completata come segue:
a. Il contenuto della sezione 1 dell'Allegato 2 costituirà l'Allegato I.A alle Clausole Modello SEE.
b. Il contenuto della sezione 2 dell'Allegato 2 costituirà l'Allegato I.B alle Clausole Modello SEE.
c. Il contenuto della sezione 3 dell'Allegato 2 costituirà l'Allegato I.C alle Clausole Modello SEE.
d. Il contenuto della sezione 4 dell'Allegato 2 costituirà l'Allegato II alle Clausole Modello SEE.
14. Esportazioni di dati del Regno Unito. Le informazioni richieste per le Tabelle da 1 a 3 della Parte Prima dell'Emendamento all'Addendum per il Regno Unito sono riportate nell'Allegato 2. Ai fini della Tabella 4 della Parte Prima dell'Emendamento all'Addendum per il Regno Unito, nessuna delle parti può porre fine all'Emendamento all'Addendum per il Regno Unito quando questo cambia.
15. Esportazioni di dati dalla Svizzera. Per i trasferimenti di dati dalla Svizzera, le clausole del modello SEE si applicano anche al trasferimento di informazioni relative a una persona giuridica identificata o identificabile, qualora tali informazioni siano protette in modo analogo ai dati personali ai sensi delle leggi svizzere - fino a quando tali leggi non saranno modificate in modo da non essere più applicabili a una persona giuridica. Inoltre, il termine "Stato membro" non sarà interpretato in modo tale da escludere gli interessati svizzeri dalla possibilità di far valere i propri diritti in Svizzera.
16. Conflitto. Le Clausole tipo sono soggette al Protocollo. Se le Clausole Modello sono applicabili a una particolare situazione e vi è un conflitto tra le Clausole Modello e il Protocollo, tuttavia, le Clausole Modello avranno il controllo e la disciplina.
Schema 2
Descrizione del servizio
1. I PARTITI
Esportatore/i di dati: identità e dati di contatto dell'esportatore/i di dati e, se del caso, del suo/dei suoi responsabile/i della protezione dei dati e/o rappresentante nell'Unione europea (e/o nel Regno Unito o in Svizzera).
Nome: Cliente (come tale termine è definito nel paragrafo iniziale del Contratto di Servizio Master) ("Controllore")
Indirizzo: Come indicato nel paragrafo iniziale del Contratto di servizio principale.
Nome, posizione e recapiti del referente: Come indicato nella Sezione 6 del Contratto di servizio principale.
Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: esecuzione dei Servizi previsti dal Contratto.
Ruolo: Ai fini delle Clausole del Modello Modulo Due (Controller-to-Processor), il Controller è un controllore. Ai fini delle Clausole del Modello Modulo Tre (da processore a processore), il Controllore è un processore.
Importatore/i dei dati: identità e dati di contatto dell'importatore/i dei dati, compresa l'eventuale persona di contatto responsabile della protezione dei dati.
Nome: JIA, Inc. ("Processore")
Indirizzo: 201 NE Park Plaza, Suite 220, Vancouver, Washington 98684 Stati Uniti d'America
Nome, posizione e recapiti della persona di contatto: Glenn Batson (glenn.batson@jenkon.com)
Attività rilevanti per i dati trasferiti ai sensi delle presenti clausole: esecuzione dei Servizi previsti dal Contratto.
Ruolo: processore
2. DESCRIZIONE DEL TRASFERIMENTO
a. CATEGORIE DI INTERESSATI I CUI DATI PERSONALI VENGONO TRASFERITI
Il Controllore può inviare ai Servizi dati personali, la cui entità è determinata e controllata dal Controllore a sua esclusiva discrezione, e che possono includere, ma non solo, dati personali relativi alle seguenti categorie di soggetti:
- Forza vendita indipendente (ad es. rappresentanti, consulenti, affiliati), potenziali clienti, partner commerciali, venditori e dipendenti del Titolare (che sono persone fisiche).
- Utenti autorizzati dal Controllore ad utilizzare i Servizi
b. CATEGORIE DI DATI PERSONALI TRASFERITI
Il Controllore può inviare ai Servizi dati personali, la cui entità è determinata e controllata dal Controllore a sua esclusiva discrezione, e che possono includere, ma non solo, le seguenti categorie di dati personali:
- Identificatori di base (ad es. nome, passaporto, codice fiscale, ecc.)
- Informazioni di contatto
- Informazioni demografiche
- Informazioni finanziarie
- Identificatori online (ad es. indirizzi IP, cookie, ecc.)
- Contenuti generati dall'utente (ad es. contenuti dei social media, sito web personale, ecc.).
c. DATI SENSIBILI TRASFERITI (SE APPLICABILE)
Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive.
Nessuno.
d. FREQUENZA DEL TRASFERIMENTO
La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuo).
continuo, come richiesto dal Titolare del trattamento in relazione ai Servizi.
e. NATURA DEL TRATTAMENTO
La natura del Trattamento è l'esecuzione dei Servizi ai sensi dell'Accordo.
f. FINALITÀ DEL TRATTAMENTO, TRASFERIMENTO DEI DATI E ULTERIORE ELABORAZIONE
Il Responsabile del trattamento tratterà i dati personali nella misura in cui ciò sia necessario per l'esecuzione dei Servizi ai sensi del Contratto e secondo le ulteriori istruzioni impartite dal Titolare nell'uso dei Servizi.
g. DURATA DEL TRATTAMENTO
Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo.
Fatto salvo l'articolo 9 del Protocollo, il Responsabile del trattamento tratterà i dati personali per la durata del Contratto, salvo diverso accordo scritto.
h. TRASFERIMENTI A SUB-ELABORATORI
Per i trasferimenti a (sub-)elaboratori, specificare anche l'oggetto, la natura e la durata del trattamento:
In linea con il trattamento da parte del Processore di cui alla precedente sottosezione 2(f), i subprocessori tratteranno i dati personali nella misura necessaria per l'esecuzione dei Servizi ai sensi del Contratto. Ai sensi della sezione 6 del Protocollo, il subprocessore tratterà i dati personali per tutta la durata del Contratto, salvo diverso accordo scritto.
Le identità dei subprocessori attualmente utilizzati per la fornitura dei Servizi e il loro paese di ubicazione sono elencati nell'Allegato 4. I subprocessori possono essere aggiornati come indicato nella sezione 6 del Protocollo.
3. AUTORITÀ DI VIGILANZA COMPETENTE
Identificare la/le autorità di vigilanza competente/i in conformità alla clausola 13.
Si veda la sezione 9 dell'Allegato 1 al presente Protocollo.
4. MISURE TECNICHE E ORGANIZZATIVE
Il Responsabile del trattamento manterrà le garanzie amministrative, tecniche e fisiche per proteggere la sicurezza, la riservatezza e l'integrità dei dati personali trattati in relazione ai Servizi, come descritto nell'Allegato 3 o altrimenti reso ragionevolmente disponibile dal Responsabile del trattamento.
Schema 3
Misure tecniche e organizzative Comprese le misure tecniche e organizzative per garantire la sicurezza dei dati.
Descrizione delle misure tecniche e organizzative implementate dal Responsabile del trattamento per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.
Il Responsabile del trattamento utilizza ragionevoli misure di sicurezza amministrative, tecniche e fisiche, tra cui, a titolo esemplificativo, la crittografia, password robuste e controlli di accesso per limitare l'accesso ai dati personali ai soli soggetti che hanno la necessità di conoscerli per adempiere agli obblighi del Responsabile del trattamento ai sensi del Contratto. Il Processore conserva inoltre un registro degli accessi alle informazioni personali. Il personale del Processore che ha accesso ai dati personali riceve una formazione sulle misure di salvaguardia e sull'accesso appropriato ai dati personali. Quando il Responsabile del trattamento ha la necessità di trasferire le informazioni personali fuori dall'ambiente di produzione dell'esportatore di dati, i dati vengono prima rimossi o criptati tramite un processo di "Scrub Script" fornito e mantenuto dal Responsabile del trattamento. Dopo l'esecuzione dello script, i dati possono essere trasferiti tramite un protocollo di trasferimento file sicuro.
Se l'esportatore di dati richiede che l'Incaricato acceda all'ambiente di produzione dell'esportatore di dati, l'Incaricato accede solo a quanto richiesto dall'esportatore di dati - e tale accesso è sempre gestito dall'esportatore di dati e soggetto a qualsiasi politica o procedura che l'esportatore di dati può fornire in quel momento.
Come indicato in precedenza, Microsoft fornisce servizi di cloud-storage al Processore in base a un contratto stipulato tra Microsoft e il Processore. I dettagli relativi alle misure tecniche e organizzative di Microsoft sono disponibili qui: https://docs.microsoft.com/en-us/azure/compliance/. L'attuale versione dell'Addendum sulla protezione dei dati di Microsoft è disponibile qui: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.
Ulteriori misure includono:
- Pseudonimizzazione e crittografia dei dati personali
- Garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione.
- Testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
- Identificazione e autorizzazione dell'utente
- Protezione dei dati durante la trasmissione
- Protezione dei dati durante l'archiviazione
- Registrazione degli eventi
- Conservazione limitata dei dati
Programma 4
ELENCO DEI SUBPROCESSORI
I seguenti subappaltatori sono utilizzati dall'importatore di dati per elaborare i dati personali ai sensi dell'Accordo:
Nome dell'entità | Attività di sub-lavorazione | Entità Paese |
Microsoft Corporation (Azure) | Fornitore di servizi cloud di terze parti | Stati Uniti e altri paesi in cui Azure Tenant può essere ospitato come indicato nel Contratto. |
Atlassian | Fornitore di applicazioni HelpDesk | Stati Uniti |
Affiliati all'importatore di dati:
Nome dell'entità | Entità Paese |
Jenkon Messico S DE RL DE CV | Messico |
INFORMAZIONI SUL SITO