Contratto di elaborazione dati – Datatorq
Il presente Accordo per l’elaborazione dei dati (“Accordo”) costituisce parte integrante del Contratto per
Servizi (“Contratto Principale”) tra
_____________________
_____________________
_____________________
(la “Società”) e
Datatorq SAS
52 rue Monge
75005 Parigi
Francia
(il “Responsabile del trattamento”)
(insieme le “Parti”)
PREMESSO CHE
(A) La Società agisce in qualità di Titolare del trattamento dei dati.
(B) La Società desidera subappaltare alcuni Servizi, che comportano il trattamento di dati personali, al Responsabile del trattamento.
(C) Le Parti cercano di implementare un accordo di trattamento dei dati che sia conforme ai requisiti dell’attuale quadro giuridico in materia di trattamento dei dati e al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
(D) Le Parti desiderano stabilire i propri diritti e obblighi.
SI CONVIENE QUANTO SEGUE:
1. Definizioni e interpretazione
1.1 Salvo diversa definizione, i termini e le espressioni in maiuscolo utilizzati nel presente Contratto avranno il seguente significato:
1.1.1 Per “Contratto” si intende il presente Contratto di Elaborazione Dati e tutti gli Allegati;
1.1.2 Per “Dati Personali della Società” si intendono i Dati Personali trattati da un Elaboratore Contrattuale per conto della Società ai sensi o in relazione al Contratto Principale;
1.1.3 Per “Elaboratore Contrattuale” si intende un Subprocessore;
1.1.4 Per “leggi sulla protezione dei dati” si intendono le leggi sulla protezione dei dati dell’UE e, nella misura in cui siano applicabili, le leggi sulla protezione dei dati o sulla privacy di qualsiasi altro paese;
1.1.5 Per “SEE” si intende lo Spazio Economico Europeo;
1.1.6 Per “Leggi UE sulla protezione dei dati” si intende la Direttiva UE 95/46/CE, come recepita nella legislazione nazionale di ciascuno Stato membro e come di volta in volta emendata, sostituita o superata, incluso il GDPR e le leggi che implementano o integrano il GDPR;
1.1.7 “GDPR” indica il Regolamento generale sulla protezione dei dati dell’UE 2016/679;
1.1.8 “Trasferimento di dati” significa:
1.1.8.1 un trasferimento dei Dati Personali della Società dalla Società a un Responsabile del Procedimento incaricato; oppure
1.1.8.2 un trasferimento successivo dei Dati Personali della Società da un Responsabile del Procedimento appaltato a un Responsabile del Procedimento subappaltato, o tra due stabilimenti di un Responsabile del Procedimento appaltato, in ciascun caso, laddove tale trasferimento sia vietato dalle Leggi sulla Protezione dei Dati (o dai termini degli accordi di trasferimento dei dati messi in atto per affrontare le restrizioni al trasferimento dei dati previste dalle Leggi sulla Protezione dei Dati);
1.1.9 Per “Servizi” si intendono i servizi di analisi e dati forniti dalla Società.
1.1.10 Per “Subprocessore” si intende qualsiasi persona incaricata da o per conto del Processore di trattare i Dati Personali per conto della Società in relazione al Contratto.
1.2 I termini “Commissione”, “Titolare del trattamento”, “Soggetto interessato”, “Stato membro”, “Dati personali”, “Violazione dei dati personali”, “Trattamento” e “Autorità di controllo” avranno lo stesso significato che hanno nel GDPR e i termini corrispondenti saranno interpretati di conseguenza.
2. Trattamento dei dati personali dell’azienda
2.1 Il processore deve:
2.1.1 rispettare tutte le leggi applicabili in materia di protezione dei dati nel trattamento dei dati personali della Società; e
2.1.2 non trattare i Dati Personali dell’Azienda se non su istruzioni documentate dell’Azienda stessa.
2.2 La Società incarica il Processore di trattare i Dati Personali della Società.
3. Personale del processore
Il Responsabile del trattamento adotterà misure ragionevoli per garantire l’affidabilità di qualsiasi dipendente, agente o appaltatore di qualsiasi Responsabile del trattamento appaltato che possa avere accesso ai Dati personali della Società, assicurando in ogni caso che l’accesso sia strettamente limitato alle persone che hanno bisogno di conoscere/accedere ai Dati personali della Società in questione, come strettamente necessario ai fini del Contratto principale, e per rispettare le Leggi applicabili nel contesto dei doveri di tale persona nei confronti del Responsabile del trattamento appaltato, assicurando che tutte queste persone siano soggette a impegni di riservatezza o a obblighi professionali o legali di riservatezza.
4. Sicurezza
4.1 Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento dovrà, in relazione ai Dati Personali della Società, implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato a tale rischio, comprese, se del caso, le misure di cui all’articolo 32(1) del GDPR.
4.2 Nel valutare il livello di sicurezza appropriato, il Processore terrà conto in particolare dei rischi presentati dal Trattamento, in particolare da una violazione dei dati personali.
5. Sottoelaborazione
5.1 Il Processore non nominerà (né divulgherà i Dati Personali della Società) alcun Subprocessore se non richiesto o autorizzato dalla Società.
6. Diritti dell’interessato
6.1 Tenendo conto della natura del Trattamento, il Responsabile assisterà la Società implementando misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l’adempimento degli obblighi della Società, come ragionevolmente inteso dalla Società, per rispondere alle richieste di esercizio dei diritti dell’Interessato ai sensi delle Leggi sulla Protezione dei Dati.
6.2 Il processore deve:
6.2.1 informare tempestivamente la Società se riceve una richiesta da parte di un Soggetto interessato ai sensi di qualsiasi legge sulla protezione dei dati in relazione ai Dati personali della Società; e
6.2.2 garantire di non rispondere a tale richiesta se non su istruzioni documentate della Società o come richiesto dalle Leggi Applicabili a cui il Processore è soggetto, nel qual caso il Processore dovrà, nella misura consentita dalle Leggi Applicabili, informare la Società di tale requisito legale prima che il Processore Contrattuale risponda alla richiesta.
7. Violazione dei dati personali
7.1 Il Processore dovrà informare la Società senza indebito ritardo nel momento in cui il Processore viene a conoscenza di una violazione dei Dati Personali che riguarda i Dati Personali della Società, fornendo alla Società informazioni sufficienti per consentirle di adempiere agli obblighi di segnalazione o informazione dei Soggetti interessati dalla violazione dei Dati Personali ai sensi delle Leggi sulla Protezione dei Dati.
7.2 Il Processore collaborerà con la Società e adotterà le ragionevoli misure commerciali richieste dalla Società per contribuire alle indagini, all’attenuazione e al rimedio di ciascuna violazione dei dati personali.
8. Valutazione d’impatto sulla protezione dei dati e consultazione preventiva Il Responsabile fornirà alla Società un’assistenza ragionevole per qualsiasi valutazione d’impatto sulla protezione dei dati e per le consultazioni preventive con le autorità di controllo o altre autorità competenti in materia di privacy, che la Società ritenga ragionevolmente necessarie ai sensi dell’articolo 35 o 36 del GDPR o di disposizioni equivalenti di qualsiasi altra legge in materia di protezione dei dati, in ogni caso esclusivamente in relazione al Trattamento dei Dati Personali della Società da parte dei Responsabili del Contratto e tenendo conto della natura del Trattamento e delle informazioni disponibili.
9. Cancellazione o restituzione dei Dati personali della Società
9.1 Ai sensi della presente sezione 9 il Processore dovrà tempestivamente e in ogni caso entro
10 giorni lavorativi dalla data di cessazione di qualsiasi Servizio che comporti il Trattamento dei Dati Personali dell’Azienda (la “Data di Cessazione”), cancellare e far cancellare tutte le copie di tali Dati Personali dell’Azienda.
10. Diritti di revisione
10.1 Ai sensi della presente sezione 10, il Responsabile del trattamento metterà a disposizione della Società, su richiesta, tutte le informazioni necessarie a dimostrare l’osservanza del presente Contratto e consentirà e contribuirà alle verifiche, comprese le ispezioni, da parte della Società o di un revisore incaricato dalla Società in relazione al Trattamento dei Dati Personali della Società da parte dei Responsabili del trattamento contrattualizzati.
10.2 I diritti di informazione e di revisione della Società sono previsti dalla sezione 10.1 solo nella misura in cui l’Accordo non conferisca altrimenti diritti di informazione e di revisione che soddisfino i requisiti pertinenti della Legge sulla protezione dei dati.
11. Trasferimento dei dati
11.1 Il Responsabile del trattamento non può trasferire o autorizzare il trasferimento dei Dati in paesi al di fuori dell’UE e/o dello Spazio Economico Europeo (SEE) senza il preventivo consenso scritto della Società. Se i dati personali elaborati ai sensi del presente Contratto vengono trasferiti da un paese dello Spazio Economico Europeo a un paese al di fuori dello Spazio Economico Europeo, le Parti dovranno garantire che i dati personali siano adeguatamente protetti. A tal fine, se non diversamente concordato, le Parti faranno affidamento sulle clausole contrattuali standard approvate dall’UE per il trasferimento dei dati personali.
12. Condizioni generali
12.1 Riservatezza. Ciascuna Parte deve mantenere riservato il presente Accordo e le informazioni che riceve sull’altra Parte e sulla sua attività in relazione al presente Accordo (“Informazioni riservate”) e non deve utilizzare o divulgare tali Informazioni riservate senza il preventivo consenso scritto dell’altra Parte, salvo che:
(a) la divulgazione è richiesta dalla legge;
(b) le informazioni pertinenti sono già di dominio pubblico.
12.2 Avvisi. Tutti gli avvisi e le comunicazioni previsti dal presente Contratto devono essere in forma scritta e saranno consegnati personalmente, inviati per posta o inviati via e-mail all’indirizzo o all’indirizzo e-mail indicato nell’intestazione del presente Contratto o ad altro indirizzo notificato di volta in volta dalle Parti che cambiano indirizzo.
13. Legge applicabile e giurisdizione
13.1 Il presente Contratto è disciplinato dalle leggi di _______________.
13.2 Qualsiasi controversia che dovesse sorgere in relazione al presente Contratto e che le Parti non fossero in grado di risolvere in via amichevole, sarà sottoposta alla giurisdizione esclusiva dei tribunali di _________________, con riserva di appello a __________________________________.
IN FEDE DI CHE, il presente Contratto viene stipulato con effetto a partire dalla prima data indicata di seguito.
Datatorq
Signature ______________________________
Nome: Anton Golche
Titolo: Presidente
Data di sottoscrizione: 21/03/2024
Società di elaborazione
Signature ______________________________
Name _________________________________
Title __________________________________
Data firmata ____________________________