Questa traduzione è fornita esclusivamente per comodità. In caso di discrepanze, prevale la versione inglese del presente documento, che costituisce l'unico testo giuridicamente vincolante.
Accordo sul Trattamento dei Dati
Accordo sul Trattamento dei Dati
Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato tra:
- Sonetel AB (publ), org.nr. 556486-5847 (il "Fornitore"); e
- L'azienda o l'entità che Lei rappresenta, (il "Cliente")
di seguito congiuntamente denominati "Parti" o individualmente "Parte".
1. Premessa
1.1 Il presente DPA costituisce parte integrante del Contratto Quadro di Servizi (il "Contratto") tra il Fornitore e il Cliente. 1.2 Al momento della stipula del Contratto, il Fornitore tratterà i Dati Personali per conto del Cliente, in qualità di Responsabile del Trattamento. Il Cliente è il Titolare del trattamento dei Dati Personali. 1.3 Qualora il Cliente sia Contitolare con un'altra parte per i Dati Personali in questione, il Cliente dovrà informare il Fornitore di conseguenza. 1.4 Lo scopo del presente Contratto è garantire che il Trattamento sia effettuato in conformità ai requisiti applicabili per il trattamento dei dati e agli obblighi previsti dalle Normative sulla Protezione dei Dati e per garantire un'adeguata protezione dell'integrità personale e dei diritti fondamentali delle persone durante il trasferimento dei Dati Personali dal Cliente al Fornitore nell'ambito dei Servizi che il Fornitore esegue ai sensi del Contratto.
2. Definizioni
| "Trattamento" | indica qualsiasi operazione o insieme di operazioni compiute su dati personali o insiemi di dati personali, con o senza l'ausilio di processi automatizzati, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; |
|---|---|
| "Dati personali" | indica qualsiasi informazione riguardante una persona fisica identificata o identificabile ('interessato'); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; |
| "Normative sulla Protezione dei Dati" | indica le leggi e i regolamenti di volta in volta applicabili in materia di Trattamento dei Dati Personali, inclusi, a titolo esemplificativo ma non esaustivo, il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (il "GDPR"), le decisioni vincolanti, i regolamenti e le raccomandazioni dell'Autorità di Controllo e gli adattamenti e regolamenti locali supplementari in materia di protezione dei dati. |
| "Titolare del trattamento" | indica la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; |
| "Responsabile del trattamento" | indica la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; |
| "Sub-responsabile del trattamento" | indica la persona fisica o giuridica che tratta i dati personali in qualità di sub-responsabile per conto del Fornitore; |
| "Interessato" | indica la persona fisica a cui si riferiscono i Dati personali. |
| "Autorità di Controllo" | indica un'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51. L'Autorità di Controllo in Svezia è l'Autorità Svedese per la Protezione dei Dati. |
2.1 Salvo diversamente indicato, qualsiasi altro termine o concetto utilizzato in lettere maiuscole nel presente DPA (eccetto in alcuni casi come parte di un'intestazione) avrà il significato e la concezione stabiliti nelle Normative sulla Protezione dei Dati e altrimenti nel Contratto, a meno che le circostanze non richiedano ovviamente un'altra interpretazione.
3. Responsabilità e istruzioni
3.1 Il Cliente è Titolare del trattamento per tutti i Dati Personali che il Fornitore Tratta per conto del Cliente ai sensi del Contratto. Il Cliente è pertanto responsabile della conformità alle Normative sulla Protezione dei Dati. Il Cliente si impegna a informare il Fornitore delle Normative sulla Protezione dei Dati pertinenti per effettuare il Trattamento ai sensi del presente Contratto. Oltre ai requisiti che si applicano direttamente a un Responsabile del trattamento in conformità alle Normative sulla Protezione dei Dati, il Fornitore sarà obbligato a rispettare altri requisiti applicabili secondo le Normative sulla Protezione dei Dati e le raccomandazioni dell'Autorità di Controllo di cui il Fornitore è stato informato dal Cliente. Il Cliente dovrà inoltre informare continuamente il Fornitore delle azioni di terzi, incluse l'Autorità di Controllo e l'Interessato, in conseguenza del Trattamento. 3.2 Il Fornitore e qualsiasi persona che agisce sotto l'autorità del Fornitore, che ha accesso ai Dati Personali, non dovrà Trattare tali dati per scopi diversi da quelli conformi alle istruzioni scritte del Cliente o secondo le Normative sulla Protezione dei Dati. Le istruzioni applicabili al presente DPA sono stabilite nell'Appendice 1. Oltre alle istruzioni stabilite nell'Appendice 1, il presente DPA e il Contratto costituiscono le istruzioni del Cliente al Fornitore riguardo al Trattamento dei Dati Personali. Il Cliente dovrà informare immediatamente il Fornitore di eventuali modifiche che influiscono sugli obblighi del Fornitore ai sensi del presente DPA. 3.3 I Dati Personali ai sensi del presente DPA possono anche essere Trattati se tale Trattamento è richiesto dal diritto dell'Unione o dal diritto nazionale di uno Stato membro a cui il Fornitore o il Sub-responsabile del trattamento è soggetto. Se tale Trattamento è richiesto, il Fornitore o il Sub-responsabile del trattamento dovrà informare il Cliente del requisito legale prima del Trattamento, a meno che tale informazione non sia vietata secondo un interesse pubblico ai sensi di tale legge. 3.4 Il Fornitore ha il diritto di archiviare e Trattare i dati derivati dal Cliente in formato aggregato o anonimizzato, che non contengono Dati Personali, ai sensi del presente DPA.
4. Sicurezza
4.1 Il Fornitore dovrà implementare misure tecniche e organizzative, come richiesto dalle Normative sulla Protezione dei Dati, al fine di garantire un livello di sicurezza adeguato rispetto al rischio e per proteggere i Dati Personali in corso di Trattamento dalla distruzione, perdita o alterazione accidentale o illecita, o dalla divulgazione non autorizzata o dall'accesso ai Dati Personali in corso di Trattamento. 4.2 Il Fornitore dovrà assistere il Cliente nel garantire che gli obblighi ai sensi degli articoli 32-36 del GDPR siano rispettati, tenendo in considerazione il tipo di Trattamento e le informazioni disponibili al Fornitore. 4.3 Il Fornitore dovrà notificare al Cliente senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.
5. Divulgazione di Dati Personali e Informazioni
5.1 Nel caso in cui il Fornitore riceva una richiesta dall'Interessato, dall'Autorità di Controllo o da altra terza parte per ottenere informazioni riguardanti i Dati Personali che il Fornitore Tratta per conto del Cliente, il Fornitore dovrà senza indugio inoltrare la richiesta al Cliente. Il Fornitore e qualsiasi persona che agisce sotto l'autorità del Fornitore, non possono divulgare Dati Personali o altre informazioni sul Trattamento dei Dati Personali senza istruzioni esplicite del Cliente, a meno che tale divulgazione non sia richiesta secondo le Normative sulla Protezione dei Dati applicabili. 5.2 Il Fornitore dovrà assistere il Cliente nel rispettare il proprio obbligo di rispondere alle richieste riguardanti il diritto di accesso, rettifica e cancellazione dell'Interessato, adottando misure tecniche e organizzative appropriate tenendo conto della natura del Trattamento e assistere nella divulgazione dei Dati Personali quando richiesto dalla legge nazionale applicabile.
6. Contatto con l'Autorità di Controllo
6.1 Il Fornitore dovrà informare il Cliente di eventuali contatti da parte dell'Autorità di Controllo riguardanti il Trattamento dei Dati Personali ai sensi del presente DPA. Il Fornitore non è autorizzato a rappresentare il Cliente o ad agire per conto del Cliente in relazione all'Autorità di Controllo se non richiesto dalle Normative sulla Protezione dei Dati.
7. Sub-responsabili del trattamento
7.1 I Dati Personali possono essere Trattati da un Sub-responsabile del trattamento a condizione che il Fornitore stipuli un accordo scritto con il Sub-responsabile del trattamento che imponga loro gli obblighi corrispondenti nel Trattamento dei Dati Personali come da presente DPA. 7.2 Il Fornitore si impegna a informare il Cliente di eventuali piani per nominare nuovi Sub-responsabili del trattamento o per sostituire Sub-responsabili del trattamento. Il Cliente ha il diritto di opporsi a tali modifiche. Tale opposizione può riguardare solo motivi oggettivi legati al rispetto dei requisiti di sicurezza tecnici e organizzativi nel Trattamento dei Dati Personali ai sensi del DPA. 7.3 Il Fornitore è responsabile di garantire che i requisiti per l'uso di Sub-responsabili del trattamento ai sensi delle Normative sulla Protezione dei Dati siano presi in considerazione e di garantire che tali Sub-responsabili del trattamento forniscano garanzie sufficienti per implementare misure tecniche e organizzative appropriate in modo tale che il Trattamento soddisfi i requisiti delle Normative sulla Protezione dei Dati. 7.4 Il Fornitore dovrà fornire al Cliente un elenco corretto e aggiornato dei Sub-responsabili del trattamento incaricati del Trattamento dei Dati Personali ai sensi del presente DPA, insieme alle Informazioni di Contatto e alla posizione geografica per il Trattamento. Questo elenco è disponibile per il Cliente all'indirizzo https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/. Il Fornitore si impegna a notificare al Cliente qualsiasi aggiornamento dell'elenco dei Sub-responsabili del trattamento e a garantire che sia sempre corretto. 7.5 Se un Sub-responsabile del trattamento non adempie agli obblighi ai sensi del Contratto, del presente DPA e/o secondo le Normative sulla Protezione dei Dati, il Fornitore sarà responsabile dell'adempimento degli obblighi del Sub-responsabile del trattamento in relazione al Cliente.
8. Audit
8.1 Il Fornitore dovrà fornire al Cliente tutte le informazioni necessarie per conformarsi agli obblighi secondo il presente DPA e le Normative sulla Protezione dei Dati entro un tempo ragionevole dopo che tale richiesta sia stata presentata dal Cliente al Fornitore. 8.2 Il Fornitore dovrà consentire e contribuire agli audit, comprese le ispezioni effettuate dal Cliente o da un altro revisore indipendente (a spese del Cliente) selezionato dal Cliente, e che il Fornitore possa ragionevolmente accettare. Il revisore è tenuto a firmare accordi di riservatezza sufficienti forniti dal Fornitore prima degli audit. Il Cliente ha il diritto di eseguire un audit all'anno senza costi. Se il Cliente desidera effettuare audit aggiuntivi, il Cliente deve compensare il Fornitore per tutti i costi associati all'audit/agli audit. 8.3 Il Fornitore dovrà, riguardo agli obblighi indicati nella sezione 8 del presente DPA, informare immediatamente il Cliente se il Fornitore ritiene che un'istruzione violi le Normative sulla Protezione dei Dati.
9. Trasferimenti di Dati Personali al di fuori dell'UE/SEE
9.1 Nel caso in cui il Fornitore e/o il Sub-responsabile del trattamento trasferiscano Dati Personali in una località al di fuori dell'UE/SEE, il Fornitore e/o i Sub-responsabili del trattamento dovranno garantire che tale trasferimento sia conforme alle Normative sulla Protezione dei Dati applicabili.
10. Riservatezza
10.1 Il fornitore dovrà, ove applicabile, conformarsi alla legislazione nazionale applicabile alle informazioni classificate o riservate. Il Fornitore si impegna a garantire che il personale autorizzato a trattare i Dati Personali ai sensi del presente DPA si sia impegnato a osservare la riservatezza per il Trattamento o sia soggetto all'obbligo legale di riservatezza applicabile. 10.2 La sezione 10.1 sopra non si applica alle informazioni richieste dall'Autorità di Controllo in conformità alle Normative sulla Protezione dei Dati o ad altro obbligo di legge. 10.3 L'obbligo di riservatezza si applica anche dopo che il Contratto e/o il DPA abbiano cessato di essere applicabili.
11. Portabilità dei dati
11.1 Il Fornitore dovrà garantire che il Cliente sia in grado di adempiere a qualsiasi obbligo riguardante la Portabilità dei Dati relativi ai Dati Personali che il Fornitore Tratta per conto del Cliente.
12. Compenso
12.1 Nel caso in cui gli obblighi imposti al Fornitore in conformità alle Sezioni 5, 8, 9 e 11 comportino un lavoro estensivo per il Fornitore, il Fornitore avrà diritto a un compenso ragionevole da parte del Cliente. 12.2 Nel caso in cui il Cliente presenti un'opposizione legittima a un nuovo Sub-responsabile del trattamento ai sensi della Sezione 7 e il Fornitore non accetti di sostituire il Sub-responsabile del trattamento, il Fornitore avrà diritto a un compenso aggiuntivo da parte del Cliente per i costi sostenuti dal Fornitore a causa del fatto che il Sub-responsabile del trattamento non può essere utilizzato. 12.3 Il Fornitore avrà diritto a un compenso ragionevole per tutto il lavoro e tutti i costi che derivano dalle Istruzioni del Cliente per il Trattamento se queste superano le funzionalità e il livello di sicurezza basati sui servizi che il Fornitore normalmente fornisce ai propri clienti, ad esempio nel caso in cui il sistema/i servizi del Fornitore o altro richieda al Fornitore di apportare modifiche speciali per conto del Cliente.
13. Responsabilità
13.1 Se il Fornitore, qualsiasi persona che agisce sotto l'autorità del Fornitore o un Sub-responsabile del trattamento, Tratta i Dati Personali in violazione del presente DPA o delle Istruzioni per il Trattamento dei Dati fornite dal Cliente, il Fornitore dovrà, in considerazione della limitazione di responsabilità derivante dal Contratto, compensare il Cliente per il danno diretto subito dal Cliente a causa del Trattamento illecito. Indipendentemente dalla limitazione di responsabilità nel presente Contratto, la responsabilità del Fornitore ai sensi del paragrafo 13.1 sarà sempre limitata a un importo equivalente alle tariffe pagate dal Cliente al Fornitore ai sensi del Contratto per un periodo di dodici (12) mesi prima che si verificasse il danno. Nel caso in cui il Contratto non sia stato valido durante un anno contrattuale completo, tale importo sarà calcolato sui costi che il Cliente dovrebbe pagare durante un anno contrattuale ai sensi del Contratto. 13.2 Durante la durata del presente DPA e successivamente, il Cliente dovrà indennizzare e tenere indenne il Fornitore da qualsiasi danno diretto, incluse le richieste da parte degli Interessati e di terzi, che il Fornitore abbia subito a causa di istruzioni poco chiare, inadeguate o illecite da parte del Cliente, o altrimenti, a seconda delle circostanze derivanti dal Cliente. 13.3 L'obbligo del Fornitore di pagare i danni, stabilito nella sezione 13.1 sopra, si applica solo a condizione che i) il Cliente informi senza indebito ritardo il Fornitore per iscritto di eventuali richieste contro il Cliente; e ii) il Cliente consenta al Fornitore di controllare la difesa della richiesta e prendere decisioni indipendenti riguardo alla transazione.
14. Durata e Risoluzione
14.1 Il presente DPA entra in vigore quando debitamente firmato da entrambe le Parti, separatamente come emendamento al Contratto o come parte del Contratto, e rimane in vigore finché il Fornitore Tratta i Dati Personali per conto del Cliente. 14.2 Alla risoluzione del Contratto o del presente DPA (a seconda di quale si verifichi per primo), il Fornitore dovrà, in conformità alle istruzioni del Cliente, cancellare o restituire tutti i Dati Personali al Cliente e assicurarsi che tutti i Sub-responsabili del trattamento facciano lo stesso. 14.3 Se il Cliente non ha richiesto che i Dati Personali vengano restituiti, il Fornitore dovrà cancellare i dati entro 90 giorni dalla risoluzione del DPA o del Contratto (a seconda di quale si verifichi per primo). Il fornitore dovrà cancellare eventuali copie esistenti a meno che la conservazione dei Dati Personali non sia richiesta dal diritto dell'Unione o dal diritto nazionale dello Stato membro.
15. Modifiche e aggiunte
15.1 Se le Normative sulla Protezione dei Dati vengono modificate durante la durata del presente DPA, o se l'Autorità di Controllo emette linee guida, decisioni o regolamenti riguardanti l'applicazione delle Normative sulla Protezione dei Dati che comportano che il presente DPA non soddisfi più i requisiti per un DPA, le Parti dovranno apportare le modifiche necessarie al presente DPA, al fine di soddisfare tali requisiti nuovi o aggiuntivi. Tali modifiche entreranno in vigore non oltre trenta (30) giorni dopo che una Parte invii una notifica di modifica all'altra Parte o altrimenti non oltre quanto prescritto dalle Normative sulla Protezione dei Dati, linee guida, decisioni o regolamenti dell'Autorità di Controllo. 15.2 Altre modifiche e aggiunte al presente DPA, per essere vincolanti, devono essere effettuate per iscritto e debitamente firmate da entrambe le Parti.
16. Disposizioni varie
16.1 Il presente DPA sostituisce e rimpiazza tutti i DPA precedenti tra le Parti e sostituisce eventuali disposizioni divergenti del Contratto riguardanti l'oggetto del presente DPA, indipendentemente da quanto altrimenti indicato nel Contratto. 16.2 Il presente DPA sarà regolato dalla stessa legge e soggetto allo stesso foro del Contratto. 16.3 Inoltre, i termini del Contratto si applicheranno anche al Trattamento dei Dati Personali da parte del Fornitore e agli obblighi ai sensi del presente DPA. Tuttavia, in caso di contraddizioni tra le disposizioni del Contratto e del presente DPA, le disposizioni del DPA prevarranno riguardo a tutto il Trattamento dei Dati Personali. Le disposizioni del Contratto non possono limitare o modificare alcuno degli obblighi del presente DPA. 16.4 Il presente DPA sarà regolato dalla stessa legge e sarà soggetto allo stesso foro come indicato nel Contratto.
Appendice 1 – Istruzioni per il Trattamento dei Dati
In queste istruzioni per il trattamento dei dati, tutte le parole in maiuscolo avranno lo stesso significato definito nel DPA, salvo diversamente espressamente indicato.
| Finalità Specificare tutte le finalità per le quali i Dati Personali saranno Trattati dal Fornitore in qualità di responsabile del trattamento dei dati del Cliente | Il Fornitore tratta i dati personali allo scopo di adempiere al servizio ai sensi del Contratto. I dati personali possono anche essere trattati per il supporto IT e servizi correlati. Inoltre, il Fornitore tratta i dati per il rilevamento delle frodi e altre azioni preventive. |
|---|---|
| Categorie di dati Specificare i Dati Personali che saranno Trattati dal Fornitore in qualità di responsabile del trattamento | Il Fornitore tratta le seguenti categorie di dati personali: |
- Informazioni e dati trasferiti dal Cliente al Fornitore quando utilizza i servizi del Fornitore,
- dati utente e informazioni relative all'uso dei servizi del fornitore,
- contenuti generati dall'utente finale, e
- altre informazioni pertinenti al supporto IT e servizi correlati.
Il Fornitore non Tratta dati personali sensibili, il Cliente è responsabile di garantire che i dati personali sensibili non vengano trasferiti ai servizi del Fornitore a meno che il Fornitore non abbia fornito al Cliente il consenso scritto in anticipo a tale Trattamento. Categorie di interessati Specificare le categorie di interessati i cui Dati Personali saranno Trattati dal Fornitore in qualità di responsabile del trattamento | Il fornitore tratta le seguenti categorie di Interessati:
- Informazioni sugli utenti registrati, e
- Informazioni sugli Interessati che appaiono in tale materiale che il Cliente trasferisce al Fornitore attraverso l'uso di uno qualsiasi dei servizi del Fornitore, e
- Informazioni sull'utente finale.
Requisiti di conservazione Specificare il tempo di conservazione dei Dati Personali archiviati dal Fornitore | I dati personali devono essere cancellati su richiesta del Cliente e secondo le istruzioni del Cliente. Il Fornitore ha un periodo di conservazione di 90 giorni dopo la risoluzione del Contratto o del DPA.