PERTANTO, e per consentire alle Parti di continuare la loro relazione in modo lecito, le Parti hanno concluso questo Appendice come segue:

Parte 1

1. Struttura del documento e definizioni

1.1 Struttura

Questo Appendice comprende diverse parti come segue:

1.2 Terminologia e definizioni

Ai fini di questa Appendice, la terminologia e le definizioni usate dal GDPR sono applicabili (Nel corpo del documento delle Clausole Contrattuali Standard in Parte 2, dove i termini definiti non sono scritti in maiuscolo). 

2. Obblighi dell'Esportatore dei Dati

2.1 L'Esportatore dei Dati ha l'obbligo di garantire la conformità a tutti gli obblighi applicabili ai sensi del GDPR e di qualsiasi altra legge sulla protezione dei dati applicabile all'Esportatore dei Dati e di dimostrare tale conformità come richiesto dall'Articolo 5 (2) del GDPR. L'Esportatore dei Dati garantisce che l'Importatore dei Dati ha ottenuto il consenso preventivo dei soggetti interessati ai sensi dell'Articolo 6 (a) del GDPR e ha rispettato il suo obbligo di informare i soggetti interessati ai sensi degli Articoli 13 e 14 del GDPR.

2.2 L'Esportatore dei Dati deve fornire all'Importatore dei Dati i relativi file delle attività di trattamento in conformità all'Articolo 30 (1) del GDPR relative ai Servizi ai sensi di questa Appendice, nella misura necessaria affinché l'Importatore dei Dati possa adempiere all'obbligo di cui all'Articolo 30 (2) del GDPR.

2.3 L'Esportatore dei Dati deve nominare un responsabile della protezione dei dati o un rappresentante nella misura richiesta dalla legge sulla protezione dei dati applicabile. L'Esportatore dei Dati è obbligato a fornire i dettagli di contatto dell'agente o rappresentante della protezione dei dati, se presenti, all'Importatore dei Dati.

2.4 L'Esportatore dei Dati conferma, prima del completamento del trattamento, mediante accettazione di questa Appendice, che le misure di sicurezza tecniche e organizzative dell'Importatore dei Dati, come indicate in Appendice 2 di Parte 2, sono appropriate e sufficienti a tutelare i diritti dell'interessato e conferma che l'Importatore dei Dati fornisce garanzie sufficienti in tal senso.

3. Conformità alle leggi locali

Per soddisfare i requisiti di attuazione degli agenti di trattamento ai sensi dell'Articolo 28 del GDPR, si applicano le seguenti modifiche:

3.1 Istruzioni

1. (i) L'Esportatore dei Dati istruisce l'Importatore dei Dati a trattare i dati personali solo per conto dell'Esportatore dei Dati. Le istruzioni dell'Esportatore dei Dati sono fornite in questa Appendice e nel Contratto. L'Esportatore dei Dati ha l'obbligo di garantire che tutte le istruzioni date all'Importatore dei Dati siano conformi alle leggi sulla protezione dei dati applicabili. L'Importatore dei Dati deve trattare i dati personali solo in conformità alle istruzioni fornite dall'Esportatore dei Dati, salvo diversa disposizione dell'Unione Europea o della legge dello Stato membro (nel qual caso si applica la Clausola 3.2 (iv) (c) di Parte 1).
2. (ii) Tutte le altre istruzioni che vanno oltre quelle di questa Appendice o del Contratto devono essere incluse nel soggetto di questa Appendice e del Contratto. Se l'implementazione di questa istruzione aggiuntiva comporta costi per l'Importatore dei Dati, l'Importatore dei Dati informerà l'Esportatore dei Dati di tali costi e fornirà una spiegazione prima di attuare l'istruzione. Solo dopo che l'Esportatore dei Dati avrà confermato l'accettazione di tali costi, l'Importatore dei Dati attuerà questa istruzione aggiuntiva. L'Esportatore dei Dati deve fornire istruzioni aggiuntive per iscritto, salvo che l'urgenza o altre circostanze specifiche richiedano altra forma (ad esempio orale, elettronica). Le istruzioni in forma diversa da quella scritta devono essere confermate per iscritto e senza ritardo dall'Esportatore dei Dati.
3. 1. A meno che l'Esportatore dei Dati non possa effettuare autonomamente la rettifica, l'eliminazione o la restrizione dei dati personali, le istruzioni possono anche riguardare la rettifica, l'eliminazione e/o la restrizione dei dati personali come indicato nella Clausola 3.3 di Parte 1.
4. 2. L'Importatore dei Dati deve informare immediatamente l'Esportatore dei Dati se, a suo avviso, un'Istruzione viola il GDPR o altre disposizioni sulla protezione dei dati dell'Unione Europea o di uno Stato membro ("Istruzione contestata"). Se l'Importatore dei Dati ritiene che un'Istruzione violi il GDPR o altre disposizioni sulla protezione dei dati dell'Unione Europea o di uno Stato membro, l'Importatore dei Dati non è obbligato a seguire l'Istruzione contestata. Se l'Esportatore dei Dati conferma l'Istruzione contestata al ricevimento di informazioni dall'Importatore dei Dati e riconosce la propria responsabilità per l'Istruzione contestata, l'Importatore dei Dati attuerà l'Istruzione contestata, salvo che questa riguardi (i) l'attuazione di misure tecniche e organizzative, (ii) i diritti degli interessati o (iii) l'impegno di responsabili del trattamento. In questi casi, l'Importatore dei Dati può contattare un'autorità di controllo competente per valutare legalmente l'Istruzione contestata. Se l'autorità di controllo dichiara legale l'Istruzione contestata, l'Importatore dei Dati la attuerà. La Clausola 3.1 (ii) di Parte 1 rimane applicabile.

3.2 Obblighi dell'Importatore dei Dati

1. (i) L'Importatore dei Dati deve garantire che le persone autorizzate dall'Importatore dei Dati a trattare i dati personali per conto dell'Esportatore dei Dati, in particolare i dipendenti dell'Importatore dei Dati e i dipendenti di eventuali sub-responsabili, abbiano assunto l'obbligo di rispettare la riservatezza o siano soggetti a un obbligo di riservatezza previsto dalla legge, e che tali persone che hanno accesso ai dati personali li trattino in conformità alle istruzioni dell'Esportatore dei Dati.
2. (ii) L'Importatore dei Dati deve implementare le misure di sicurezza tecniche e organizzative indicate in Appendice 2 di Parte 2 prima di trattare i dati personali per conto dell'Esportatore dei Dati. L'Importatore dei Dati può modificare le misure di sicurezza tecniche e organizzative di volta in volta, purché non offrano meno protezione di quelle indicate in Appendice 2 di Parte 2.
3. (iii) L'Importatore dei Dati metterà a disposizione dell'Esportatore dei Dati, su richiesta, le informazioni che dimostrino la conformità agli obblighi dell'Importatore dei Dati ai sensi di questa Appendice. Le Parti concordano che tale obbligo informativo si soddisfa fornendo all'Esportatore dei Dati un rapporto di audit (che copre sicurezza, disponibilità del sistema e riservatezza) ("Rapporto di Audit"). Se richieste attività di audit aggiuntive sono legalmente richieste, l'Esportatore dei Dati può richiedere che siano effettuate ispezioni da parte dell'Esportatore dei Dati o di un altro auditor nominato dall'Esportatore dei Dati, soggetto alla firma di un accordo di riservatezza con l'Importatore dei Dati, a sua ragionevole soddisfazione ("Audit"). Questo Audit è soggetto alle seguenti condizioni: (i) accettazione formale scritta preventiva dell'Importatore dei Dati; e (ii) l'Esportatore dei Dati sosterrà tutti i costi relativi all'Audit in loco. L'Esportatore dei Dati deve redigere un rapporto di audit riassuntivo dei risultati e delle osservazioni dell'Audit in loco ("Rapporto di Audit in loco"). I Rapporti di Audit in loco e i Rapporti di Audit sono informazioni riservate dell'Importatore dei Dati e non devono essere divulgate a terzi, salvo quanto richiesto dalla legge sulla protezione dei dati applicabile o in conformità al consenso dell'Importatore dei Dati.
4. (iv) L'Importatore dei Dati ha l'obbligo di notificare senza ingiustificato ritardo all'Esportatore dei Dati:
   1. a. riguardo a qualsiasi richiesta legalmente vincolante di divulgazione di dati personali da parte di un'autorità di polizia, salvo diversa disposizione, come un divieto penale volto a tutelare la riservatezza di un'indagine di polizia
   2. b. riguardo a qualsiasi reclamo e richiesta ricevuta direttamente da un soggetto interessato (ad esempio riguardo accesso, rettifica, cancellazione, restrizione del trattamento, portabilità dei dati, obiezione al trattamento, decisione automatizzata) senza rispondere a tale richiesta, salvo che l'Importatore dei Dati sia autorizzato a farlo
   3. c. se l'Importatore dei Dati o il responsabile del trattamento sono obbligati, ai sensi della legge dell'Unione Europea o di uno Stato membro a cui sono soggetti, a trattare i dati personali oltre le istruzioni dell'Esportatore dei Dati, prima di effettuare tale trattamento oltre le istruzioni, salvo che le leggi dell'Unione Europea o dello Stato membro vietino tale trattamento per motivi di interesse pubblico vitale, nel qual caso la notifica all'Esportatore dei Dati specificherà il requisito legale ai sensi di tale legge dell'Unione Europea o dello Stato membro; o
   4. d. se l'Importatore dei Dati realizza una violazione dei dati personali, esclusivamente a causa sua o del suo sub-contraente, che potrebbe influire sui dati personali dell'Esportatore dei Dati coperti dal presente contratto, nel qual caso l'Importatore dei Dati assisterà l'Esportatore dei Dati nel suo obbligo, ai sensi della legge sulla protezione dei dati applicabile, di informare i soggetti interessati e, se applicabile, le autorità di controllo, fornendo le informazioni in suo possesso, in conformità all'Articolo 33 (3) del GDPR.
5. (v) Su richiesta dell'Esportatore dei Dati, l'Importatore dei Dati sarà obbligato ad assistere l'Esportatore dei Dati nel suo obbligo di effettuare una valutazione d'impatto sulla protezione dei dati, ai sensi dell'Articolo 35 del GDPR, e una consultazione preventiva, ai sensi dell'Articolo 36 del GDPR, riguardo ai servizi forniti dall'Importatore dei Dati all'Esportatore dei Dati ai sensi di questa Appendice, fornendo le informazioni necessarie all'Esportatore dei Dati. L'Importatore dei Dati sarà obbligato a fornire tale assistenza solo se l'Esportatore dei Dati non può adempiere al suo obbligo con altri mezzi. L'Importatore dei Dati informerà l'Esportatore dei Dati sui costi di tale assistenza. Non appena l'Esportatore dei Dati avrà confermato di poter sostenere tali costi, l'Importatore dei Dati fornirà tale assistenza.
6. (vi) Alla fine della prestazione dei servizi, l'Esportatore dei Dati può richiedere la restituzione dei dati personali trattati dall'Importatore dei Dati ai sensi di questa Appendice entro un mese dalla fine dei servizi. Salvo che la legislazione dello Stato membro o dell'Unione Europea richieda all'Importatore dei Dati di conservare o trattenere tali dati, l'Importatore dei Dati eliminerà tutti tali dati personali o non personali dopo il periodo di un mese, siano stati restituiti o meno all'Esportatore dei Dati su sua richiesta.

3.3 Diritti delle persone interessate

1.  
   1. (i) L'Esportatore dei Dati gestisce e risponde alle richieste fatte dai soggetti interessati. L'Importatore dei Dati non è obbligato a rispondere direttamente ai soggetti interessati.
   2. (ii) Se l'Esportatore dei Dati richiede l'assistenza dell'Importatore dei Dati nel trattamento e nella risposta alle richieste del soggetto interessato, l'Esportatore dei Dati emetterà un'ulteriore istruzione conformemente alla Clausola 3.1 (ii) di Parte 1. L'Importatore dei Dati assisterà l'Esportatore dei Dati con le misure tecniche e organizzative appropriate per rispondere alle richieste di esercizio dei diritti dei soggetti interessati come previsto dal Capo III del GDPR, in particolare:
   3. a. Per le richieste di informazioni, l'Importatore dei Dati fornirà all'Esportatore dei Dati solo le informazioni richieste dagli Articoli 13 e 14 del GDPR che potrebbe avere a disposizione, se l'Esportatore dei Dati non riesce a trovarle autonomamente.
   4. b. Per le richieste di accesso (Articolo 15 del GDPR), l'Importatore dei Dati fornirà all'Esportatore dei Dati solo le informazioni che devono essere fornite a un soggetto interessato per la richiesta di accesso, che potrebbe avere a disposizione, se quest'ultimo non riesce a trovarle da solo.
   5. c. Per le richieste di rettifica (Articolo 16 del GDPR), cancellazione (Articolo 17 del GDPR), limitazione del trattamento (Articolo 18 del GDPR) o portabilità (Articolo 20 del GDPR), e solo se l'Esportatore dei Dati non può rettificare o cancellare, limitare o trasmettere i dati personali ad altri terzi, l'Importatore dei Dati offrirà all'Esportatore dei Dati la possibilità di rettificare o cancellare, limitare o trasmettere i dati personali interessati ad altri terzi, o, se ciò non è possibile, fornirà assistenza per rettificare, cancellare, limitare o trasmettere i dati ai terzi interessati.
   6. d. Per la notifica relativa a rettifica, cancellazione o restrizione del trattamento (Articolo 19 del GDPR), l'Importatore dei Dati assisterà l'Esportatore dei Dati notificando a tutti i destinatari dei dati personali coinvolti dall'Importatore dei Dati come responsabili del trattamento, se richiesto dall'Esportatore dei Dati, e se l'Esportatore dei Dati non può risolvere la situazione autonomamente.
   7. e. Per il diritto di opposizione esercitato da un soggetto interessato (Articoli 21 e 22 del GDPR), l'Esportatore dei Dati determinerà se l'opposizione è legittima e come gestirla.
   8. (iii) Gli obblighi di assistenza dell'Importatore dei Dati sono limitati ai dati personali trattati all'interno della sua infrastruttura (ad esempio database, sistemi, applicazioni di proprietà o fornite dall'Importatore dei Dati).
   9. (iv) L'Esportatore dei Dati determinerà se un soggetto interessato può esercitare i diritti dei soggetti interessati come indicato nella Clausola 3.1 di questa Parte 1 e informerà l'Importatore dei Dati sulla misura in cui l'assistenza di cui alle Clausole 3.3 (ii), (iii) di Parte 1 è necessaria.
   10. (v) Se l'Esportatore dei Dati richiede misure tecniche e organizzative aggiuntive o modificate per soddisfare i diritti dei soggetti interessati che vanno oltre l'assistenza fornita dall'Importatore dei Dati ai sensi delle Clausole 3.3 (ii), (iii) di Parte 1, l'Importatore dei Dati informerà l'Esportatore dei Dati sui costi di attuazione di tali misure aggiuntive o modificate. Non appena l'Esportatore dei Dati avrà confermato di poter sostenere tali costi, l'Importatore dei Dati attuerà tali misure.
   11. (vi) Senza limitare la portata della Clausola 3.3 (v) di Parte 1, l'Esportatore dei Dati sarà obbligato a rimborsare all'Importatore dei Dati le spese ragionevoli sostenute in risposta alle richieste dei soggetti interessati.

3.4 Sub-responsabilità

1.  
   1. (i) L'Esportatore dei Dati autorizza l'uso di sub-contraenti da parte dell'Importatore dei Dati per la fornitura di servizi ai sensi di questa Appendice. L'Importatore dei Dati deve selezionare attentamente tali responsabili del trattamento. L'Esportatore dei Dati approva i responsabili del trattamento elencati in Appendice 1.1 di Parte 2 alla fine.
   2. (ii) L'Importatore dei Dati trasferirà i propri obblighi ai responsabili del trattamento (o a uno o più responsabili del trattamento) ai sensi di questa Appendice, nella misura applicabile ai servizi subappaltati.
   3. (iii) L'Importatore dei Dati può revocare, sostituire o nominare altri responsabili del trattamento affidabili e appropriati, a sua discrezione. Se richiesto per iscritto dall'Esportatore dei Dati, l'Importatore dei Dati seguirà la procedura di seguito indicata:
2.  
   1. a. L'Importatore dei Dati informerà l'Esportatore dei Dati prima di qualsiasi modifica alla lista dei responsabili del trattamento di cui alla Clausola 3.4 (i) di Parte 1. Se l'Esportatore dei Dati non si oppone entro trenta giorni dalla ricezione della notifica, i responsabili del trattamento aggiuntivi saranno considerati accettati.
   2. b. Se l'Esportatore dei Dati ha un motivo legittimo per opporsi a un responsabile del trattamento aggiuntivo, lo comunicherà per iscritto all'Importatore dei Dati entro trenta giorni dalla ricezione della notifica dell'Importatore dei Dati e prima che il servizio dell'Importatore dei Dati venga avviato. Se l'Esportatore dei Dati si oppone all'uso di un responsabile del trattamento aggiuntivo, l'Importatore dei Dati può eliminare l'obiezione con una delle seguenti opzioni (a sua discrezione): (A) l'Importatore dei Dati annulla i piani di utilizzo di un ulteriore responsabile del trattamento riguardo ai dati personali dell'Esportatore dei Dati; (B) l'Importatore dei Dati adotta le misure correttive richieste dall'Esportatore dei Dati nella sua obiezione (annullando l'obiezione) e utilizza il responsabile del trattamento aggiuntivo riguardo ai dati personali dell'Esportatore dei Dati; (C) l'Importatore dei Dati può cessare di fornire o l'Esportatore dei Dati può concordare di non utilizzare (temporaneamente o permanentemente) un aspetto particolare del servizio che comporterebbe l'uso di un ulteriore responsabile del trattamento dei dati personali dell'Esportatore dei Dati.
3.  
   1. (iv) Se il responsabile del trattamento si trova al di fuori dell'UE/EEE in un paese che non è riconosciuto come offrente un livello adeguato di protezione dei dati ai sensi di una decisione della Commissione Europea, l'Importatore dei Dati adotterà misure per garantire un livello adeguato di protezione dei dati conformemente al GDPR (tali misure possono includere - tra le altre - l'uso di contratti di trattamento dei dati basati sulle clausole del Modello UE, il trasferimento a responsabili del trattamento dei dati auto-certificati nel quadro del Privacy Shield UE-USA o di un programma simile).

3.5 Scadenza

La scadenza di questo Appendice è identica alla data di scadenza del Contratto corrispondente. Salvo diversa disposizione di questa Appendice, i diritti e gli obblighi relativi alla risoluzione sono gli stessi di quelli contenuti nel Contratto.

4. Limitazione di responsabilità

4.1 Ogni parte gestisce i propri obblighi ai sensi di questa Appendice e della legislazione sulla protezione dei dati applicabile.

4.2 Qualsiasi responsabilità relativa a una violazione degli obblighi ai sensi di questa Appendice o della legislazione sulla protezione dei dati applicabile sarà soggetta e regolata dalle disposizioni di responsabilità stabilite nel Contratto, salvo diversa disposizione di questa Appendice. Se la responsabilità è regolata dalle disposizioni di responsabilità del Contratto, per il calcolo dei limiti di responsabilità o per la determinazione dell'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante da questa Appendice si riterrà derivante dal Contratto.

5. Disposizioni generali

5.1 In caso di incongruenze o discrepanze tra le Parti 1 e 2 di questa Appendice, prevarrà la Parte 2. In particolare, anche in tal caso, la Parte 1, che va oltre la Parte 2 (cioè i termini delle clausole standard), senza contraddirla, rimarrà valida.

5.2 In caso di discrepanze tra le disposizioni di questa Appendice e quelle di altri contratti vincolanti tra le Parti, questa Appendice prevarrà riguardo agli obblighi di protezione dei dati delle Parti. In caso di dubbio se le clausole di altri contratti riguardino gli obblighi di protezione dei dati delle Parti, prevarrà questa Appendice.

5.3 Se una qualsiasi disposizione di questa Appendice è invalida o inapplicabile, il resto di questa Appendice rimarrà pienamente in vigore ed efficace. La disposizione invalida o inapplicabile sarà (i) modificata per garantirne la validità e l'applicabilità, preservando il più possibile l'intento delle Parti, o - se ciò non fosse possibile - (ii) interpretata come se la parte invalida o inapplicabile non fosse mai stata parte del contratto. Quanto sopra si applica anche in caso di omissione in questa Appendice.

5.5 Nella misura necessaria, le Parti possono richiedere modifiche alla Parte 1, Clausola 3 (Conformità alle leggi locali) o ad altre parti dell'Appendice per conformarsi a interpretazioni, direttive o ordini delle autorità competenti dell'Unione o degli Stati membri, disposizioni di attuazione nazionali o altri sviluppi legali riguardanti il GDPR o altre condizioni di delega a enti coinvolti nel trattamento dei dati e specificamente riguardo all'uso delle Clausole Contrattuali Standard nel GDPR. I termini delle Clausole Contrattuali Standard non possono essere modificati o sostituiti se non approvati espressamente dalla Commissione Europea (ad esempio, tramite nuove clausole adeguate e standard di protezione dei dati).

5.6 Qualsiasi riferimento in questa Appendice alle "Clausole" si intende riferito a tutte le disposizioni di questa Appendice, salvo diversa indicazione.

5.7 La scelta della legge in Clausola 9 di Parte 2 si applica all'intero Contratto.

6. dati personali trasmessi e trattati dalle parti per scopi personali (trasferimento dal titolare del trattamento al titolare del trattamento)

6.1 Le Parti sono pienamente consapevoli che alcuni dati personali saranno trasferiti dall'Esportatore dei Dati all'Importatore dei Dati e viceversa, e che tali dati sono trattati da ciascuna Parte per i propri scopi. Riguardo a tali dati personali, non si modificano le altre disposizioni di questa Appendice (eccetto questa clausola 6).

6.2 L'Esportatore dei Dati può trasferire dati personali relativi al personale dell'Importatore dei Dati all'Importatore dei Dati, inclusi informazioni su incidenti di sicurezza o altri documenti o file creati o stabiliti dall'Esportatore dei Dati in relazione ai Servizi forniti dal personale dell'Importatore dei Dati. L'Importatore dei Dati può trattare tali dati personali per i propri scopi, in particolare nelle relazioni professionali con il personale dell'Importatore dei Dati, per controllo qualità e formazione, o per scopi aziendali.

6.3 L'Importatore dei Dati può trasferire dati personali all'Esportatore dei Dati, inclusi nome e dettagli di contatto del personale dell'Importatore dei Dati. L'Esportatore dei Dati può trattare tali dati per i propri scopi.

6.4 Entrambe le parti devono rispettare le leggi sulla protezione dei dati applicabili, incluso il GDPR, nella raccolta, nel trattamento e nell'uso di tali dati personali ricevuti dall'altra parte ai sensi della clausola 1 di Parte 1. In particolare, entrambe le Parti devono adottare misure di sicurezza adeguate, offrendo un livello di protezione simile a quello delle misure di sicurezza indicate in Appendice 2 di Parte 2. L'accesso a tali dati personali deve essere limitato alla necessità di conoscerli.

6.5 Entrambe le Parti devono eliminare tali dati personali il prima possibile dopo che gli obiettivi sono stati raggiunti.

Parte 2

DECISIONE DELLA COMMISSIONE

del 5 febbraio 2010

relativa alle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi della direttiva 95/46/CE del Parlamento Europeo e del Consiglio

Clausola 1

Definizioni

Ai sensi delle clausole:

a) 'dati personali', 'categorie speciali di dati', 'trattamento', 'titolare del trattamento', 'responsabile del trattamento', 'interessato' e 'autorità di controllo' avranno lo stesso significato di quelli della direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 sulla protezione delle persone riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (1);

b) l'Esportatore dei Dati è il titolare del trattamento che trasferisce i dati personali;

c) l'Importatore dei Dati è il responsabile del trattamento che accetta di ricevere dall'Esportatore dei Dati dati personali destinati ad essere trattati per conto dell'Esportatore dei Dati, ai sensi delle sue istruzioni e secondo i termini di queste clausole, e che non è soggetto al meccanismo di un paese terzo che garantisce un livello adeguato di protezione ai sensi dell'Articolo 25(1) della direttiva 95/46/CE; (d) 'responsabile del trattamento' significa il responsabile del trattamento incaricato dall'Importatore dei Dati o da qualsiasi altro responsabile del trattamento dell'Importatore dei Dati, che accetta di ricevere dall'Importatore dei Dati o da qualsiasi altro responsabile del trattamento dell'Importatore dei Dati dati personali esclusivamente per attività di trattamento da svolgere per conto dell'Esportatore dei Dati, ai sensi delle istruzioni dell'Esportatore dei Dati, alle condizioni di queste Clausole e ai termini del contratto scritto di subappalto del trattamento dei dati;

e) "legge sulla protezione dei dati applicabile" significa la legislazione che tutela i diritti e le libertà fondamentali delle persone, incluso il diritto alla privacy riguardo al trattamento dei dati personali, e che si applica a un titolare del trattamento nello Stato membro in cui l'Esportatore dei Dati è stabilito;

f) “misure tecniche e organizzative relative alla sicurezza” significa misure intese a proteggere i dati personali da distruzione accidentale o illecita o perdita accidentale, alterazione, divulgazione o accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati attraverso reti, e contro tutte le altre forme illecite di trattamento.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento, inclusi, ove opportuno, le categorie speciali di dati personali, sono specificati in Appendice 1, che costituisce parte integrante di queste clausole.

Clausola 3

Clausola di beneficiario terzo

1. L'interessato può far valere contro l'Esportatore dei Dati questa Clausola, Clausola 4(b) a (i), Clausola 5(a) a (e) e (g) a (j), Clausola 6 (1) e (2), Clausola 7, Clausola 8(2) e Clausole 9 a 12 come beneficiario terzo

2. L'interessato può far valere questa Clausola, Clausola 5 (a) a (e) e (g), Clausola 6, Clausola 7, Clausola 8 (2) e Clausole 9 a 12 contro l'Importatore dei Dati qualora l'Esportatore dei Dati sia scomparso fisicamente o abbia cessato di esistere legalmente, a meno che tutte le sue obbligazioni legali siano state trasferite, per contratto o per legge, all'entità successiva, alla quale quindi si reimputano i diritti e gli obblighi dell'Esportatore dei Dati, e contro cui l'interessato può far valere le suddette clausole.

Il soggetto interessato può far valere questa Clausola, Clausola 5 (a) a (e) e (g), Clausola 6, Clausola 7, Clausola 8 (2) e Clausole 9 a 12 contro il responsabile del trattamento, ma solo nei casi in cui l'Esportatore dei Dati e l'Importatore dei Dati siano scomparsi fisicamente, cessati di esistere o siano insolventi, a meno che tutte le obbligazioni legali dell'Esportatore dei Dati siano state trasferite, per contratto o per legge, al successore legale, contro cui l'interessato può far valere tali clausole. La responsabilità del responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi di queste clausole.

4. Le parti non si oppongono che l'interessato sia rappresentato da un'associazione o altro organismo, se lo desidera e se la legge nazionale lo consente.

Obblighi dell'Esportatore dei Dati

L'Esportatore dei Dati accetta e garantisce quanto segue:

a) il trattamento, incluso il trasferimento effettivo dei dati personali, è stato e continuerà ad essere effettuato in conformità alle disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui l'Esportatore dei Dati ha sede) e non viola le disposizioni pertinenti di tale Stato;

b) ha istruito, e continuerà a istruire per tutta la durata dei servizi di trattamento dei dati personali, l'Importatore dei Dati a trattare i dati personali trasferiti esclusivamente per conto dell'Esportatore dei Dati e in conformità alle leggi sulla protezione dei dati applicabili e a queste clausole;

c) l'Importatore dei Dati fornirà garanzie sufficienti riguardo alle misure di sicurezza tecniche e organizzative indicate in Appendice 2 del presente contratto;

d) dopo aver valutato i requisiti della legge sulla protezione dei dati applicabile, le misure di sicurezza sono adeguate a proteggere i dati personali da distruzione accidentale o illecita o perdita accidentale, alterazione, divulgazione o accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati attraverso reti, e contro tutte le altre forme illecite di trattamento, e garantiscono un livello di sicurezza adeguato ai rischi rappresentati dal trattamento e dalla natura dei dati da proteggere, tenendo conto del livello di tecnologia e del costo di attuazione;

e) garantiranno il rispetto delle misure di sicurezza;

f) se il trasferimento riguarda categorie speciali di dati, l'interessato è stato informato o sarà informato prima del trasferimento o appena possibile dopo, che i suoi dati possono essere trasferiti in un paese terzo che non offre un livello adeguato di protezione ai sensi della Direttiva 95/46/CE;

g) trasmetteranno qualsiasi notifica ricevuta dall'Importatore dei Dati o da qualsiasi responsabile del trattamento ai sensi delle Clausole 5 (b) e 8 (3) all'autorità di controllo sulla protezione dei dati, se decidono di continuare il trasferimento o di revocare la sospensione;

h) metteranno a disposizione degli interessati, se richiesto, una copia di queste Clausole, esclusa l'Appendice 2, e una descrizione riassuntiva delle misure di sicurezza, e una copia di eventuali accordi di subappalto conclusi ai sensi di queste Clausole, salvo che le Clausole o l'accordo contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni;

i) in caso di subappalto del trattamento dei dati, l'attività di trattamento è svolta in conformità alla Clausola 11 da parte di un responsabile del trattamento che garantisca almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato previsto da queste Clausole; e

j) garantirà il rispetto della Clausola 4 (a) a (i).

Obblighi dell'Importatore dei Dati

L'Importatore dei Dati accetta e garantisce quanto segue:

a) tratterà i dati personali solo per conto dell'Esportatore dei Dati e secondo le istruzioni di quest'ultimo e di queste clausole; se non può conformarsi per qualsiasi motivo, informerà l'Esportatore dei Dati il prima possibile, e in tal caso l'Esportatore dei Dati può sospendere il trasferimento dei dati e/o terminare il contratto;

b) non ha motivo di credere che la legge applicabile gli impedisca di adempiere alle istruzioni dell'Esportatore dei Dati e agli obblighi derivanti dal contratto, e se tale legge è soggetta a modifiche che potrebbero avere un effetto negativo sostanziale sulle garanzie e obblighi previsti dalle Clausole, notificherà senza ritardo all'Esportatore dei Dati la modifica, e in tal caso l'Esportatore dei Dati può sospendere il trasferimento dei dati e/o terminare il contratto; (c) ha implementato le misure di sicurezza tecniche e organizzative indicate in Appendice 2 prima di trattare i dati personali trasferiti;

d) notificherà senza ritardo all'Esportatore dei Dati:

i) qualsiasi richiesta vincolante di divulgazione di dati personali da parte di un'autorità di polizia, salvo diversa disposizione, come un divieto penale volto a tutelare il segreto di un'indagine di polizia;

ii) qualsiasi accesso incidentale o non autorizzato; e

iii) qualsiasi richiesta ricevuta direttamente dalle persone interessate senza rispondere, salvo che sia stato autorizzato a farlo; amministratori

e) gestirà prontamente e correttamente tutte le richieste dell'Esportatore dei Dati riguardanti il trattamento dei dati personali trasferiti e agirà secondo l'opinione dell'autorità di controllo riguardo al trattamento dei dati trasferiti;

f) su richiesta dell'Esportatore dei Dati, sottoporrà le proprie strutture di trattamento dei dati a un audit delle attività di trattamento coperte da queste clausole, da parte dell'Esportatore dei Dati o di un organismo di controllo composto da membri indipendenti con qualifiche professionali adeguate, soggetto a obbligo di riservatezza e scelto dall'Esportatore dei Dati, ove opportuno con l'accordo dell'autorità di controllo;

g) metterà a disposizione dell'interessato, se lo richiede, una copia di queste Clausole o di eventuali contratti di subappalto del trattamento dei dati, salvo che le Clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni, fatta eccezione per l'Appendice 2, che sarà sostituita da una descrizione riassuntiva delle misure di sicurezza, e l'interessato non può ottenere una copia dall'Esportatore dei Dati;

h) in caso di subappalto confidenziale del trattamento dei dati, garantirà di informare preventivamente l'Esportatore dei Dati e di ottenere il suo consenso scritto;

i) i servizi di trattamento forniti dal responsabile del trattamento devono rispettare la Clausola 11;

j) invierà prontamente una copia di qualsiasi subappalto del contratto di trattamento dei dati stipulato ai sensi di queste Clausole all'Esportatore dei Dati.

Responsabilità

1. Le parti concordano che qualsiasi soggetto interessato che abbia subito danni a causa di una violazione degli obblighi di cui alle Clausole 3 o 11 da parte di una delle parti o di un responsabile del trattamento può ottenere dall'Esportatore dei Dati il risarcimento per i danni subiti.

2. Se un soggetto interessato è impedito dal proporre un'azione di risarcimento danni come previsto al paragrafo 1 contro l'Esportatore dei Dati per inadempimento da parte dell'Importatore dei Dati o del suo responsabile del trattamento di uno degli obblighi di cui alle Clausole 3 o 11 perché l'Esportatore dei Dati è scomparso fisicamente, ha cessato di esistere legalmente o è insolvente, l'Importatore dei Dati concorda che il soggetto interessato può presentare reclamo contro di esso come se fosse l'Esportatore dei Dati, a meno che tutte le obbligazioni legali dell'Esportatore dei Dati siano state trasferite, per contratto o per legge, al suo successore, contro cui il soggetto interessato può far valere i propri diritti. L'Importatore dei Dati non può fare affidamento su una violazione delle obbligazioni da parte di un responsabile del trattamento per evitare la propria responsabilità.

3. Se un soggetto interessato è impedito dal proporre l'azione di cui ai paragrafi 1 e 2 contro l'Esportatore dei Dati o l'Importatore dei Dati per violazione da parte del responsabile del trattamento delle sue obbligazioni ai sensi delle Clausole 3 o 11, perché l'Esportatore dei Dati e l'Importatore dei Dati sono scomparsi fisicamente, cessati di esistere o sono insolventi, il responsabile del trattamento concorda che il soggetto interessato può presentare reclamo riguardo alle proprie attività di trattamento ai sensi di queste clausole come se fosse l'Esportatore dei Dati o l'Importatore dei Dati, a meno che tutte le obbligazioni legali dell'Esportatore dei Dati o dell'Importatore dei Dati siano state trasferite, per contratto o per legge, al successore legale, contro cui il soggetto interessato può far valere i propri diritti. La responsabilità del responsabile del trattamento deve essere limitata alle proprie attività di trattamento ai sensi di queste clausole.