ADDENDUM DI ELABORAZIONE DEI DATI (CLIENTI)

Questo Addendum di elaborazione dei dati ("Addendum") è stipulato da e tra LogoMix, Inc. con nome commerciale FreeLogoServices ("FreeLogoServices" o "Noi", laddove applicabile), e voi ("Cliente") ed è allegato e integra i nostri Termini d'Uso, la Privacy Policy, e tutti gli accordi che regolano i nostri Servizi coperti (collettivamente, i "Termini di Servizio").

1. Definizioni

In questo Addendum, i seguenti termini hanno i significati specificati.

“Servizi Coperti” si intende qualsiasi servizio ospitato che offriamo e che potrebbe comportare il nostro Trattamento di Dati Personali.

“Dati del Cliente” si riferisce ai Dati Personali di qualsiasi Soggetto Interessato trattati da FreeLogoServices all'interno della Rete FreeLogoServices per conto del Cliente in base o in relazione ai Termini di Servizio.

“Titolare del Trattamento” si intende il Cliente, in quanto entità che determina le finalità e i mezzi del Trattamento dei Dati Personali raccolti tramite il sito web del Cliente.

“Responsabile del Trattamento” si intende FreeLogoServices, come entità che tratta i Dati Personali per conto del Titolare del Trattamento.

“Leggi sulla Protezione dei Dati” si riferisce a tutte le leggi e regolamenti, comprese le leggi e i regolamenti dell'Unione Europea, applicabili al Trattamento dei Dati Personali ai sensi di questo Addendum.

“Soggetto Interessato” si intende la persona fisica a cui si riferiscono i Dati Personali.

“SEE” si riferisce allo Spazio Economico Europeo.

“Rete FreeLogoServices” indica le strutture dei data center di FreeLogoServices, i server, le apparecchiature di rete e i sistemi software host che sono sotto il controllo di FreeLogoServices e sono utilizzati per fornire i Servizi Coperti.

“Dati Personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile.

“Trattamento” indica qualsiasi operazione o insieme di operazioni effettuate sui Dati Personali, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, recupero, consultazione, uso, divulgazione tramite trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione. "Trattare", "tratta" e "trattato" saranno interpretati di conseguenza. I dettagli del Trattamento sono indicati nell'Allegato 1.

“Incidente di Sicurezza” è (a) una violazione della sicurezza di FreeLogoServices che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illecito a qualsiasi Dato del Cliente; o (b) qualsiasi accesso non autorizzato alle attrezzature o strutture di FreeLogoServices, dove in entrambi i casi tale accesso provoca distruzione, perdita, divulgazione non autorizzata o alterazione dei Dati del Cliente.

“Standard di Sicurezza” si riferisce agli standard di sicurezza allegati a questo Addendum come Allegato 2.

“Clausole Contrattuali Standard” si riferisce all'Allegato 3, allegato e parte integrante di questo Addendum ai sensi della Decisione della Commissione Europea del 5 febbraio 2010 sulle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi secondo la Direttiva.

“Sotto-processore” indica qualsiasi terza parte incaricata dal Responsabile del Trattamento per trattare i dati per conto del Titolare del Trattamento.

2. Elaborazione dei Dati

2.1 Ambito e Ruoli

Questo Addendum si applica quando i Dati del Cliente sono trattati da FreeLogoServices. In questo contesto, FreeLogoServices agirà come Responsabile del Trattamento per conto del Cliente, che agirà come Titolare del Trattamento in relazione ai Dati del Cliente.

2.2 Dettagli sull'Elaborazione dei Dati

L'oggetto del trattamento dei Dati del Cliente da parte di FreeLogoServices è l'esecuzione dei Servizi Coperti ai sensi dei Termini di Servizio. FreeLogoServices tratterà i Dati del Cliente solo per conto e in conformità alle istruzioni documentate del Cliente per i seguenti scopi:

  • Trattamento in conformità ai Termini di Servizio;
  • Trattamento avviato dagli utenti finali nel loro uso dei Servizi Coperti;
  • Trattamento per conformarsi ad altre istruzioni documentate e ragionevoli fornite dai Clienti (ad es., via email) laddove tali istruzioni siano coerenti con i termini di questo Addendum.

Nonostante ciò, FreeLogoServices non sarà tenuto a rispettare o osservare le istruzioni del Cliente se tali istruzioni violassero il Regolamento Generale sulla Protezione dei Dati dell'UE 2016/679 ("GDPR") o qualsiasi altra legge sulla protezione dei dati applicabile.

La durata del Trattamento, la natura e lo scopo del Trattamento, i tipi di dati personali e le categorie di Soggetti dei Dati trattati ai sensi di questo Addendum sono ulteriormente specificati nell'Allegato 1 ("Dettagli del Trattamento") a questo Addendum.

3. Riservatezza dei Dati del Cliente

FreeLogoServices non divulgherà i Dati del Cliente a nessun governo o ad altri terzi, se non per quanto necessario per rispettare la legge o un valido e vincolante ordine di un'agenzia di applicazione della legge (come un mandato o un ordine del tribunale). Se un'agenzia di applicazione della legge invia a FreeLogoServices una richiesta per i Dati del Cliente, FreeLogoServices cercherà di indirizzare l'agenzia di applicazione della legge a richiedere tali dati direttamente dal Cliente. Come parte di questo sforzo, FreeLogoServices potrebbe fornire all'agenzia di applicazione della legge le informazioni di contatto di base del Cliente. Se costretto a divulgare i Dati del Cliente a un'agenzia di applicazione della legge, FreeLogoServices darà al Cliente un preavviso ragionevole della richiesta per permettere al Cliente di cercare un'ingiunzione protettiva o un altro rimedio appropriato a meno che FreeLogoServices non sia legalmente proibito dal farlo.

4. Sicurezza

FreeLogoServices ha implementato e manterrà le misure tecniche e organizzative per la Rete di FreeLogoServices come descritto in questa Sezione e, come ulteriormente descritto nell'Allegato 2 a questo Addendum, gli Standard di Sicurezza. In particolare, FreeLogoServices ha implementato e manterrà:

  1. La sicurezza della Rete di FreeLogoServices;
  2. La sicurezza fisica delle strutture;
  3. I controlli sull'accesso dei dipendenti e dei collaboratori alla Rete di FreeLogoServices e alle strutture di FreeLogoServices; e,
  4. I processi per testare, valutare e verificare l'efficacia delle misure tecniche e organizzative implementate da FreeLogoServices.

FreeLogoServices mette a disposizione una serie di funzionalità e caratteristiche di sicurezza che il Cliente può decidere di utilizzare in relazione ai Servizi Coperti. Il Cliente è responsabile di:

  1. Configurare correttamente i Servizi Coperti.
  2. Utilizzare i controlli disponibili in connessione con i Servizi Coperti (inclusi i controlli di sicurezza) per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di elaborazione.
  3. Utilizzare i controlli disponibili in connessione con i Servizi Coperti (inclusi i controlli di sicurezza) per consentire al Cliente di ripristinare la disponibilità e l'accesso ai Dati del Cliente in modo tempestivo in caso di un incidente fisico o tecnico (ad es., backup e archiviazione regolare dei Dati del Cliente).
  4. Adottare le misure che il Cliente ritiene adeguate per mantenere una adeguata sicurezza, protezione e cancellazione dei Dati del Cliente, il che include l'uso della tecnologia di crittografia per proteggere i Dati del Cliente da accessi non autorizzati e misure per controllare i diritti di accesso ai Dati del Cliente.

5. Diritti del Titolare dei Dati

Il Cliente è responsabile di:

  • Rispettare tutte le leggi sulla privacy applicabili, inclusa la GDPR, osservando i diritti dei Titolari dei Dati come delineato in tali leggi. Ciò potrebbe estendersi oltre i Dati del Cliente e includere dati che il Cliente ha raccolto ma che non sono trattati da FreeLogoServices.
  • Rispondere direttamente alle richieste dei diritti del Titolare dei Dati e fungere da unico punto di contatto con i Titolari dei Dati quando una richiesta di diritti include i Dati del Cliente.

FreeLogoServices dovrà:

  • Informare prontamente il Cliente se riceve una richiesta da un Titolare dei Dati secondo qualsiasi Legge sulla Protezione dei Dati riguardo ai Dati del Cliente.
  • Assicurarsi di non rispondere a tale richiesta se non sulle istruzioni documentate del Cliente o come richiesto dalle Leggi Applicabili a cui FreeLogoServices è soggetto; in tal caso, FreeLogoServices, nella misura consentita dalle Leggi Applicabili, informerà il Cliente di tale obbligo legale prima che FreeLogoServices risponda alla richiesta.
  • Nel caso in cui l'uso dei Servizi Coperti da parte del Cliente limiti la sua capacità di affrontare una richiesta del Titolare dei Dati, FreeLogoServices può, laddove legalmente permesso e appropriato e su specifica richiesta del Cliente, fornire un'assistenza commercialmente ragionevole nell'affrontare la richiesta, a carico del Cliente (se previsto).

6. Sub-elaborazione

6.1 Sub-elaboratori Autorizzati

Il Cliente accetta che FreeLogoServices possa utilizzare Sub-elaboratori per adempiere ai suoi obblighi contrattuali ai sensi dei suoi Termini di Servizio e di questo Addendum o per fornire determinati servizi per suo conto, come fornire servizi di assistenza. Il Cliente acconsente all'uso dei Sub-elaboratori da parte di FreeLogoServices come descritto in questa Sezione. Eccetto quanto stabilito in questa Sezione o come altrimenti esplicitamente autorizzato da te, FreeLogoServices non permetterà alcuna altra attività di sub-elaborazione.

6.2 Obblighi del Sub-elaboratore

Quando FreeLogoServices utilizza qualsiasi Sub-elaboratore autorizzato come descritto in "Sub-elaboratori Autorizzati", sopra:

  1. FreeLogoServices limiterà l'accesso del Sub-elaboratore ai Dati del Cliente solo a ciò che è necessario per mantenere i Servizi Coperti o per fornire i Servizi Coperti al Cliente e a qualsiasi utente finale in conformità con i Servizi Coperti. FreeLogoServices vieterà al Sub-elaboratore di accedere ai Dati del Cliente per qualsiasi altro scopo.
  2. FreeLogoServices stipulerà un accordo scritto con il Sub-elaboratore e, nella misura in cui il Sub-elaboratore svolge gli stessi servizi di elaborazione dei dati che vengono forniti da FreeLogoServices ai sensi di questo Addendum, FreeLogoServices imporrà al Sub-elaboratore gli stessi obblighi contrattuali che FreeLogoServices ha ai sensi di questo Addendum.
  3. FreeLogoServices rimarrà responsabile per la sua conformità agli obblighi di questo Addendum e per qualsiasi atto o omissione del Sub-elaboratore che causi a FreeLogoServices di violare qualsiasi degli obblighi di FreeLogoServices ai sensi di questo Addendum.

7. Notifica dell’Incidente di Sicurezza

7.1 Responsabilità di FreeLogoServices

Se FreeLogoServices viene a conoscenza di un Incidente di Sicurezza, FreeLogoServices senza indebito ritardo:

  • Informerà il Cliente dell’Incidente di Sicurezza; e,
  • Prenderà provvedimenti ragionevoli per mitigare gli effetti e per ridurre al minimo qualsiasi danno derivante dall'Incidente di Sicurezza.

7.2 Assistenza di FreeLogoServices

Per assistere il Cliente in relazione a qualsiasi notifica di violazione dei dati personali che il Cliente è tenuto a fare ai sensi di qualsiasi legge sulla privacy applicabile, FreeLogoServices includerà nella notifica ai sensi della sezione "Diritti del Cliente/Determinazione Indipendente" (sotto), tali informazioni sull’Incidente di Sicurezza come FreeLogoServices è ragionevolmente in grado di divulgare al Cliente, tenendo conto della natura dei Servizi Coperti, delle informazioni disponibili per FreeLogoServices e di qualsiasi restrizione sulla divulgazione delle informazioni, come la riservatezza.

7.3 Incidenti di Sicurezza Non Riusciti

Il Cliente conviene che:

  • Un Incidente di Sicurezza non riuscito non sarà soggetto ai termini di questo Addendum. Un Incidente di Sicurezza non riuscito è uno che non comporta accesso non autorizzato ai Dati del Cliente o a qualsiasi rete, attrezzatura o strutture di FreeLogoServices che memorizzano i Dati del Cliente, e può includere, senza limitazione, ping e altri attacchi broadcast su firewall o server perimetrali, scansioni di porte, tentativi di accesso non riusciti, attacchi di negazione di servizio, sniffing di pacchetti (o altro accesso non autorizzato ai dati di traffico che non comporta accesso oltre le intestazioni) o incidenti simili; e,
  • L'obbligo di FreeLogoServices di segnalare o rispondere a un Incidente di Sicurezza ai sensi di questa Sezione non è e non sarà interpretato come un riconoscimento da parte di FreeLogoServices di qualsiasi colpa o responsabilità di FreeLogoServices rispetto all'Incidente di Sicurezza.

7.4 Comunicazione

Le notifiche di Incidenti di Sicurezza, se presenti, saranno consegnate a uno o più amministratori del Cliente con qualsiasi mezzo scelto da FreeLogoServices, incluso tramite e-mail. È esclusiva responsabilità del Cliente garantire che gli amministratori del Cliente mantengano informazioni di contatto accurate sulla console di gestione di FreeLogoServices e una trasmissione sicura in ogni momento.

8. Diritti del Cliente

8.1 Determinazione Indipendente

Il Cliente è responsabile di esaminare le informazioni rese disponibili da FreeLogoServices riguardanti la sicurezza dei dati e gli Standard di Sicurezza e di effettuare una determinazione indipendente su se i Servizi Coperti soddisfano le esigenze e gli obblighi legali del Cliente, nonché gli obblighi del Cliente ai sensi di questo Addendum. Le informazioni rese disponibili sono destinate ad assistere il Cliente nel rispetto degli obblighi del Cliente ai sensi delle leggi sulla privacy applicabili, compreso il GDPR, in relazione alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preliminare.

Se si applicano le Clausole Contrattuali Standard, nulla in questa Sezione varia o modifica le Clausole Contrattuali Standard né influisce sui diritti di un'autorità di controllo o di un soggetto dei dati ai sensi delle Clausole Contrattuali Standard.

8.2 Diritti di Verifica del Cliente

Il Cliente ha il diritto di confermare la conformità di FreeLogoServices a questo Addendum come applicabile ai Servizi Coperti, compresa in particolare la conformità di FreeLogoServices con i suoi Standard di Sicurezza. FreeLogoServices metterà a disposizione del Cliente, su richiesta, tutte le informazioni che ritiene dimostrino la conformità con gli Standard di Sicurezza.

I diritti di informazione e di verifica del Cliente sorgono ai sensi di questa sezione solo nella misura in cui l'Accordo non conferisce loro già diritti di informazione e di verifica conformi ai requisiti pertinenti della Legge sulla Protezione dei Dati.

9. Trasferimenti di Dati Personali

9.1 Elaborazione Basata in Canada

Eccetto dove specificamente indicato nei Termini di Servizio, i Dati del Cliente saranno trasferiti al di fuori dello SEE ed elaborati in Canada, dove tali dati sono regolamentati dalla Legge sulla Protezione delle Informazioni Personali e sui Documenti Elettronici (PIPEDA) del Canada. Il Canada è stato riconosciuto dall'UE come paese che offre una protezione adeguata dei dati (come per l'articolo 45 del Regolamento (UE) 2016/679), il che consente il trasferimento libero delle informazioni personali dei residenti dell'UE in Canada.

Poiché FreeLogoServices collabora con numerosi partner con sede negli Stati Uniti, trasferiamo anche (in conformità all'Articolo 45 del GDPR) informazioni personali a società che hanno certificato la loro conformità con i Quadri Privacy Shield EU-U.S. o Swiss-U.S.

9.2 Applicazione delle Clausole Contrattuali Standard

Le Clausole Contrattuali Standard si applicheranno ai Dati del Cliente che vengono trasferiti al di fuori dello SEE, direttamente o tramite trasferimento successivo, in qualsiasi paese non riconosciuto dalla Commissione Europea come paese che garantisce un livello adeguato di protezione dei dati personali (come descritto nel GDPR). Le Clausole Contrattuali Standard non si applicheranno ai Dati del Cliente che non vengono trasferiti, direttamente o tramite trasferimento successivo, al di fuori dello SEE. Nonostante quanto sopra, le Clausole Contrattuali Standard non si applicheranno quando i dati vengono trasferiti in conformità con uno standard di conformità riconosciuto per il trasferimento legale di dati personali (come definito nel GDPR) al di fuori dello SEE, come le normative PIPEDA del Canada e anche i Quadri Privacy Shield EU-U.S. e Swiss-U.S.

10. Terminazione dell'Addendum

Questo Addendum rimarrà in vigore fino alla cessazione della elaborazione di FreeLogoServices in conformità con i Termini di Utilizzo (la "Data di Terminazione").

11. Restituzione o Cancellazione dei Dati del Cliente

Come descritto nei Servizi Coperti, al Cliente potrebbe essere fornito un servizio da FreeLogoServices che può essere utilizzato per recuperare o cancellare i Dati del Cliente. Qualsiasi cancellazione dei Dati del Cliente sarà regolata dai termini dei particolari Servizi Coperti.

12. Limitazioni di Responsabilità

La responsabilità di ciascuna parte ai sensi di questo Addendum sarà soggetta alle esclusioni e alle limitazioni di responsabilità indicate nei Termini di Servizio. Il Cliente accetta che eventuali penalità normative sostenute da FreeLogoServices in relazione ai Dati del Cliente che sorgono a seguito di, o in connessione con, la mancata osservanza del Cliente dei suoi obblighi ai sensi di questo Addendum e di qualsiasi legge sulla privacy applicabile saranno conteggiate e ridurranno la responsabilità di FreeLogoServices ai sensi dei Termini di Servizio come se fosse una responsabilità verso il Cliente ai sensi dei Termini di Servizio.

13. Intero Contratto di Servizio; Conflitto

Questo Addendum sostituisce e annulla tutte le rappresentazioni, comprensioni, accordi o comunicazioni precedenti o contemporanei tra il Cliente e FreeLogoServices, sia scritte che verbali, riguardo l'oggetto di questo Addendum, inclusi eventuali addenda sul trattamento dei dati stipulati tra FreeLogoServices e il Cliente riguardo al trattamento dei dati personali e alla libera circolazione di tali dati. Eccetto quanto modificato da questo Addendum, i Termini di Servizio rimarranno pienamente in vigore ed effetto. In caso di conflitto tra qualsiasi altro accordo tra le parti, incluso i Termini di Servizio e questo Addendum, prevarranno i termini di questo Addendum.

Allegato 1 - Dettagli del Trattamento

  1. Natura e Scopo del Trattamento. FreeLogoServices tratterà i Dati Personali secondo quanto necessario per eseguire i Servizi Coperti in base ai Termini di Servizio, accordi specifici sul prodotto e come ulteriormente istruito dal Cliente durante l'uso dei Servizi Coperti.
  2. Durata del Trattamento. Soggetto alla Sezione 10 di questo Addendum, FreeLogoServices tratterà i Dati Personali mentre i Termini di Servizio sono in vigore, ma rispetterà i termini di questo Addendum per la durata del Trattamento se superiore a tale termine, e a meno che non sia diversamente concordato per iscritto.
  3. Categorie di Interessati. Il Cliente può caricare Dati Personali nel corso dell'utilizzo dei Servizi Coperti, la cui estensione è determinata e controllata dal Cliente a sua sola discrezione e che può includere, ma non è limitato a, Dati Personali relativi alle seguenti categorie di Interessati:
    • Prospect, clienti, partner commerciali e fornitori del Cliente (che sono persone fisiche).
    • Dipendenti o persone di contatto dei prospect, clienti, partner commerciali e fornitori del Cliente.
    • Dipendenti, agenti, consulenti e liberi professionisti del Cliente (che sono persone fisiche).
    • Utenti del Cliente autorizzati dal Cliente ad utilizzare i Servizi Coperti.
  4. Tipi di Dati Personali. Il Cliente può caricare Dati Personali nel corso dell'utilizzo dei Servizi Coperti, il tipo e l'estensione dei quali sono determinati e controllati dal Cliente a sua sola discrezione e che possono includere, ma non sono limitati alle seguenti categorie di Dati Personali degli Interessati:
    • Nome
    • Indirizzo
    • Numero di telefono
    • Data di nascita
    • Indirizzo email
    • Altri dati raccolti che potrebbero identificare direttamente o indirettamente un Interessato.

Allegato 2 - Standard di Sicurezza

I. Misure Tecniche ed Organizzative

Siamo impegnati a proteggere le informazioni dei nostri clienti. Tenendo conto delle migliori prassi, dei costi di attuazione e della natura, dell'ambito, delle circostanze e delle finalità del trattamento, nonché delle diverse probabilità di occorrenza e gravità del rischio per i diritti e le libertà delle persone fisiche, adottiamo le seguenti misure tecniche ed organizzative. Nella scelta delle misure sono considerate la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi. È garantito un rapido recupero dopo un incidente fisico o tecnico.

II. Programma sulla Privacy dei Dati

Testiamo, valutiamo e controlliamo regolarmente l'efficacia della Rete di FreeLogoServices e la sicurezza delle nostre strutture.

1. Riservatezza.

Utilizziamo una varietà di misure fisiche e logiche per proteggere la riservatezza dei dati personali dei nostri clienti. Tali misure includono:

Sicurezza Fisica

  • Sistemi di controllo degli accessi fisici (controllo accessi con badge, monitoraggio degli eventi di sicurezza ecc.).
  • Sistemi di sorveglianza, compresi allarmi e, se appropriato, monitoraggio CCTV.
  • Politiche e controlli del desk pulito (blocco dei computer non sorvegliati, armadietti chiusi a chiave ecc.).
  • Gestione degli Accessi dei Visitatori.
  • Distruzione dei dati su supporti fisici e documenti.

Controllo degli Accessi & Prevenzione dell'Accesso Non Autorizzato

  • Restrizioni all'accesso degli utenti applicate e permessi di accesso basati sui ruoli forniti/revisionati basandosi sul principio della separazione dei compiti.
  • Metodi forti di autenticazione e autorizzazione (autenticazione multifattore, disattivazione/log-off automatico ecc.).
  • Gestione centralizzata delle password e politiche password forti/complesse (lunghezza minima, complessità dei caratteri, ecc.).

Test di Sicurezza

  • Scansioni regolari della rete e rilevamento delle vulnerabilità.

2. Integrità

Sono in atto controlli appropriati sulla gestione delle modifiche e dei log, oltre ai controlli di accesso, per poter mantenere l'integrità dei dati personali come:

Gestione delle Modifiche e Rilasci

  • Processo di gestione delle modifiche e dei rilasci che include (analisi degli impatti, approvazioni, test, revisioni di sicurezza, messa in scena, monitoraggio ecc.).
  • Provisioning di accesso basato su ruoli e funzioni (Separazione dei compiti) negli ambienti di produzione.

Logging e Monitoraggio

  • Registrazione di accessi e modifiche ai dati.
  • Log di audit e di sicurezza.

3. Disponibilità

Implementiamo misure di continuità e sicurezza appropriate per mantenere la disponibilità dei nostri servizi e dei dati contenuti in tali servizi:

  • Ampio monitoraggio e reportistica delle prestazioni/disponibilità per sistemi critici.
  • Programma di risposta agli incidenti.
  • Dati critici replicati o salvati (Backup nel Cloud/Dischi Rigidi/Replicazione del database ecc.).
  • Manutenzione pianificata del software, dell'infrastruttura e della sicurezza in atto (Aggiornamenti del software, patch di sicurezza ecc.).
  • Sistemi ridondanti e resilienti.
  • Uso di alimentatori ininterrotti, hardware ridondante e sistemi di rete.
  • Sistemi di allarme e sicurezza in atto.
  • Misure di protezione fisica in atto per siti critici (protezione da sovratensioni, pavimenti rialzati, sistemi di raffreddamento, rilevatori di fuoco e/o fumo, sistemi di soppressione degli incendi ecc.).
  • Protezione DDOS per mantenere la disponibilità.
  • Test di carico e stress.
  • Firewall per applicazioni web.

4. Istruzioni sul Trattamento dei Dati

Abbiamo stabilito politiche e accordi sulla privacy interni per garantire che i dati personali siano trattati in conformità alle preferenze e istruzioni dei clienti.

  • Termini di privacy e riservatezza presenti nei contratti di lavoro e nei contratti di subappalto.
  • Audit di sicurezza regolari.
  • Test di conformità PCI.

Allegato 3 - Clausole Contrattuali Standard (Processori)

Nota: Vedi la Sezione 9.2 dell'Addendum per l'applicabilità di queste Clausole Contrattuali Standard.

Ai fini dell'articolo 26(2) della Direttiva 95/46/CE per il trasferimento di dati personali a processori stabiliti in paesi terzi che non assicurano un adeguato livello di protezione dei dati,

L'entità identificata come "Cliente" nell'Addendum (il "esportatore di dati")

e

FreeLogoServices (il "importatore di dati"), ciascuno una "parte"; insieme "le parti",

HANNO CONCORDATO le seguenti Clausole Contrattuali (le Clausole) al fine di addurre garanzie adeguate rispetto alla protezione della privacy e dei diritti e libertà fondamentali degli individui per il trasferimento da parte dell'esportatore di dati all'importatore di dati dei dati personali specificati nell'Appendice 1.

Clausola 1 - Definizioni

Ai fini delle Clausole:

(a) 'dati personali', 'categorie particolari di dati', 'trattare/trattamento', 'titolare', 'responsabile del trattamento', 'interessato' e 'autorità di controllo' avranno lo stesso significato della Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati;

(b) 'l'esportatore di dati' si intende il titolare che trasferisce i dati personali;

(c) 'l'importatore di dati' si intende il responsabile del trattamento che accetta di ricevere dall'esportatore di dati i dati personali destinati al trattamento per suo conto dopo il trasferimento in conformità alle sue istruzioni e ai termini delle Clausole e che non è soggetto a un sistema di un paese terzo che garantisce una protezione adeguata ai sensi dell'articolo 25(1) della Direttiva 95/46/CE;

(d) 'il sotto-processore' si intende qualsiasi responsabile del trattamento incaricato dall'importatore di dati o da qualsiasi altro sotto-processore dell'importatore di dati che accetta di ricevere dall'importatore di dati o da qualsiasi altro sotto-processore dell'importatore di dati personali esclusivamente destinati alle attività di trattamento da effettuare per conto dell'esportatore di dati dopo il trasferimento in conformità alle sue istruzioni, ai termini delle Clausole e ai termini del subcontratto scritto;

(e) 'la legge sulla protezione dei dati applicabile' si intende la normativa che protegge i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il loro diritto alla privacy rispetto al trattamento dei dati personali applicabile a un titolare del trattamento nello Stato membro in cui l'esportatore di dati ha stabilito;

(f) 'misure tecniche e organizzative di sicurezza' si intendono quelle misure volte a proteggere i dati personali da distruzione accidentale o illecita o da perdita accidentale, modifica, divulgazione o accesso non autorizzato, in particolare quando il trattamento implica la trasmissione di dati su una rete, e contro tutte le altre forme illecite di trattamento.

Clausola 2 - Dettagli del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove applicabile, sono specificati nell'Allegato 1, che costituisce parte integrante delle Clausole.

Clausola 3 - Clausola di beneficiario terzo

1. L'interessato può far valere nei confronti dell'esportatore di dati questa Clausola, la Clausola 4(b) fino a (i), la Clausola 5(a) fino a (e) e (g) fino a (j), la Clausola 6, la Clausola 7(2) e le Clausole da 8 a 11 come beneficiario terzo.

2. L'interessato può far valere nei confronti dell'importatore di dati questa Clausola, la Clausola 5(a) fino a (e) e (g), la Clausola 6, la Clausola 7(2) e le Clausole da 8 a 11, nei casi in cui l'esportatore di dati sia di fatto scomparso o abbia cessato di esistere dal punto di vista giuridico, a meno che un'entità successiva non abbia assunto tutti gli obblighi giuridici dell'esportatore di dati per contratto o per effetto di legge, come risultato del quale assume i diritti e gli obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale entità.

3. L'interessato può far valere nei confronti del sotto-processore questa Clausola, la Clausola 5(a) fino a (e) e (g), la Clausola 6, la Clausola 7(2) e le Clausole da 8 a 11, nei casi in cui sia l'esportatore di dati che l'importatore di dati siano di fatto scomparsi o abbiano cessato di esistere dal punto di vista giuridico o siano diventati insolventi, a meno che un'entità successiva non abbia assunto tutti gli obblighi giuridici dell'esportatore di dati per contratto o per effetto di legge come risultato del quale assume i diritti e gli obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale entità. La responsabilità di tale terza parte del sotto-processore sarà limitata alle sue proprie operazioni di trattamento ai sensi delle Clausole.

4. Le parti non si oppongono al fatto che un interessato sia rappresentato da un'associazione o altro organismo se l'interessato lo desidera espressamente e se consentito dalla legge nazionale.

Clausola 4 - Obblighi dell'esportatore di dati

L'esportatore di dati accetta e garantisce:

(a) che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere eseguito in conformità alle disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui l'esportatore di dati ha stabilito) e non viola le disposizioni rilevanti di tale Stato;

(b) di aver istruito e continuerà a istruire, durante la durata dei servizi di trattamento dei dati personali, l'importatore di dati a trattare i dati personali trasferiti solo per conto dell'esportatore di dati e in conformità alla legge sulla protezione dei dati applicabile e alle Clausole;

(c) che l'importatore di dati fornirà garanzie sufficienti in relazione alle misure di sicurezza tecniche e organizzative specificate nell'Allegato 2 di questo contratto;

(d) che, dopo la valutazione dei requisiti della legge sulla protezione dei dati applicabile, le misure di sicurezza sono adeguate a proteggere i dati personali da distruzione accidentale o illecita o da perdita accidentale, modifica, divulgazione o accesso non autorizzato, in particolare quando il trattamento implica la trasmissione di dati su una rete, e contro tutte le altre forme illecite di trattamento, e che queste misure garantiscono un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere tenendo conto dello stato dell'arte e del costo della loro attuazione;

(e) che garantirà il rispetto delle misure di sicurezza;

(f) che, se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima, o il prima possibile dopo, il trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della Direttiva 95/46/CE;

(g) di inoltrare qualsiasi notifica ricevuta dall'importatore di dati o da qualsiasi sotto-processore ai sensi della Clausola 5(b) e della Clausola 7(3) all'autorità di controllo della protezione dei dati se l'esportatore di dati decide di continuare il trasferimento o di revocare la sospensione;

(h) di mettere a disposizione degli interessati su richiesta una copia delle Clausole, ad eccezione dell'Allegato 2, e una descrizione sommaria delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di sotto-processamento che deve essere stipulato in conformità con le Clausole, a meno che le Clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;

(i) che, in caso di sotto-processamento, l'attività di trattamento viene svolta in conformità con la Clausola 10 da un sotto-processore che garantisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato come l'importatore di dati ai sensi delle Clausole; e

(j) che garantirà il rispetto della Clausola 4(a) a (i).

Clausola 5 - Obblighi dell'importatore di dati

Nota: I requisiti obbligatori della legislazione nazionale applicabile all'importatore di dati, che non vanno oltre quanto necessario in una società democratica sulla base di uno degli interessi elencati nell'articolo 13(1) della Direttiva 95/46/CE, vale a dire se costituiscono una misura necessaria per salvaguardare la sicurezza nazionale, la difesa, la sicurezza pubblica, la prevenzione, indagine, rilevamento e repressione di reati o violazioni dell'etica per le professioni regolamentate, un importante interesse economico o finanziario dello Stato o la protezione dell'interessato o i diritti e le libertà altrui, non sono in contraddizione con le clausole contrattuali standard. Alcuni esempi di tali requisiti obbligatori che non vanno oltre quanto necessario in una società democratica sono, tra l'altro, le sanzioni riconosciute a livello internazionale, gli obblighi di dichiarazione fiscale o gli obblighi di dichiarazione sul riciclaggio di denaro.

L'importatore di dati accetta e garantisce:

(a) di trattare i dati personali solo per conto dell'esportatore di dati e in conformità alle sue istruzioni e alle Clausole; se non può garantire tale conformità per qualsiasi motivo, accetta di informare prontamente l'esportatore di dati della sua incapacità di conformarsi, nel qual caso l'esportatore di dati ha il diritto di sospendere il trasferimento di dati e/o di rescindere il contratto;

(b) che non ha motivo di ritenere che la legislazione applicabile lo impedisca di adempiere alle istruzioni ricevute dall'esportatore di dati e ai suoi obblighi contrattuali e che in caso di una modifica di questa legislazione che è probabile avere un effetto negativo sostanziale sulle garanzie e gli obblighi forniti dalle Clausole, lo notificherà prontamente all'esportatore di dati non appena ne è a conoscenza, nel qual caso l'esportatore di dati ha il diritto di sospendere il trasferimento di dati e/o di rescindere il contratto;

(c) di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'Allegato 2 prima di trattare i dati personali trasferiti;

(d) di notificare prontamente all'esportatore di dati riguardo a:

(i) qualsiasi richiesta vincolante per legge di divulgazione dei dati personali da parte di un'autorità di polizia, a meno che non sia diversamente proibito, come un divieto ai sensi del diritto penale per preservare la riservatezza di un'indagine di polizia,

(ii) qualsiasi accesso accidentale o non autorizzato, e

(iii) qualsiasi richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, a meno che non sia stato altrimenti autorizzato a farlo;

(e) di gestire prontamente e correttamente tutte le richieste dell'esportatore di dati relative al suo trattamento dei dati personali oggetto del trasferimento e di attenersi al parere dell'autorità di controllo riguardo al trattamento dei dati trasferiti;

(f) di mettere a disposizione dell'interessato su richiesta una copia delle Clausole, o qualsiasi contratto esistente per il sotto-processamento, a meno che le Clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell'Allegato 2 che sarà sostituito da una descrizione sommaria delle misure di sicurezza nei casi in cui l'interessato non è in grado di ottenere una copia dall'esportatore di dati;

(g) che, in caso di sotto-processamento, ha precedentemente informato l'esportatore di dati e ottenuto il suo previo consenso scritto;

(h) che i servizi di trattamento da parte del sotto-processore saranno svolti in conformità con la Clausola 10;

(i) di inviare prontamente una copia di qualsiasi accordo di sotto-processamento che conclude ai sensi delle Clausole all'esportatore di dati.

Clausola 6 - Mediazione e giurisdizione

1. L'importatore di dati accetta che, se l'interessato invoca nei suoi confronti diritti di beneficiario terzo e/o richiede un risarcimento per danni ai sensi delle Clausole, l'importatore di dati accetterà la decisione dell'interessato:

(a) di deferire la controversia alla mediazione, da parte di una persona indipendente o, ove applicabile, dall'autorità di controllo;

(b) di deferire la controversia alla giurisdizione esclusiva in cui è stabilito l'importatore di dati. Per chiarezza, tutte le controversie devono essere avviate nei tribunali della provincia dell'Ontario nel paese del Canada.

2. Le parti concordano che la scelta fatta dall'interessato non pregiudicherà i suoi diritti sostanziali o procedurali di cercare rimedi in conformità con altre disposizioni del diritto nazionale o internazionale.

Clausola 7 - Cooperazione con le autorità di controllo

1. L'esportatore di dati accetta di depositare una copia di questo contratto presso l'autorità di controllo se lo richiede o se tale deposito è richiesto ai sensi della legge sulla protezione dei dati applicabile.

2. Le parti concordano che l'autorità di controllo ha il diritto di condurre un'ispezione sull'importatore di dati e su qualsiasi sotto-processore, la quale ha la stessa portata e è soggetta alle stesse condizioni che si applicherebbero a un'ispezione dell'esportatore di dati ai sensi della legge sulla protezione dei dati applicabile.

3. L'importatore di dati informerà prontamente l'esportatore di dati dell'esistenza di una legislazione applicabile a lui o a qualsiasi sotto-processore che impedisce la conduzione di un'ispezione dell'importatore di dati o di qualsiasi sotto-processore, ai sensi del paragrafo 2. In tal caso, l'esportatore di dati avrà il diritto di adottare le misure previste nella Clausola 5 (b).

Clausola 8 - Legge Applicabile

Le Clausole saranno regolate dalla legge del luogo in cui è stabilito l'importatore di dati: per chiarezza, le leggi governative del Canada e della Provincia dell'Ontario.

Clausola 9 - Variazione del contratto

Le parti si impegnano a non variare o modificare le Clausole. Ciò non impedisce alle parti di aggiungere clausole su questioni aziendali laddove necessario, purché non contraddicano la Clausola.

Clausola 10 - Sotto-processamento

1. L'importatore di dati non potrà subappaltare alcuna delle sue operazioni di trattamento svolte per conto dell'esportatore di dati ai sensi delle Clausole senza il previo consenso scritto dell'esportatore di dati. Quando l'importatore di dati subappalta i suoi obblighi ai sensi delle Clausole, con il consenso dell'esportatore di dati, lo farà solo mediante un accordo scritto con il sotto-processore che impone al sotto-processore gli stessi obblighi che sono imposti all'importatore di dati ai sensi delle Clausole. Qualora il sotto-processore non adempia ai suoi obblighi di protezione dei dati ai sensi di tale accordo scritto, l'importatore di dati rimarrà pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sotto-processore ai sensi di tale accordo.

2. Il contratto scritto precedente tra l'importatore di dati e il sotto-processore dovrà anche prevedere una clausola di beneficiario terzo come stabilito nella Clausola 3 per i casi in cui l'interessato non è in grado di presentare la richiesta di risarcimento nei confronti dell'esportatore di dati o dell'importatore di dati perché sono effettivamente scomparsi o hanno cessato di esistere per legge o sono diventati insolventi e nessuna entità successiva ha assunto l'intero obbligo legale dell'esportatore di dati o dell'importatore di dati per contratto o per effetto di legge. Tale responsabilità di terzi del sotto-processore sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

3. Le disposizioni relative agli aspetti di protezione dei dati per il sotto-processamento del contratto di cui al paragrafo 1 saranno regolate dalle leggi del luogo in cui è stabilito l'importatore di dati. Per chiarezza, le leggi governative del Canada e della provincia dell'Ontario.

4. L'esportatore di dati conserverà un elenco degli accordi di sotto-processamento conclusi ai sensi delle Clausole e notificati dall'importatore di dati ai sensi della Clausola 5 (j), che sarà aggiornato almeno una volta l'anno. L'elenco sarà disponibile per l'autorità di controllo sulla protezione dei dati dell'esportatore di dati.

Clausola 11 - Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

1. Le parti convengono che, alla cessazione della fornitura di servizi di trattamento dei dati, l'importatore di dati e il sotto-processore dovranno, a scelta dell'esportatore di dati, restituire tutti i dati personali trasferiti e le copie degli stessi all'esportatore di dati o distruggere tutti i dati personali e certificare all'esportatore di dati di averlo fatto, a meno che una legislazione imposta all'importatore di dati non gli impedisca di restituire o distruggere tutto o parte dei dati personali trasferiti. In tal caso, l'importatore di dati garantisce che garantirà la riservatezza dei dati personali trasferiti e non tratterà più attivamente i dati personali trasferiti.

2. L'importatore di dati e il sotto-processore garantiscono che su richiesta dell'esportatore di dati e/o dell'autorità di controllo, sottoporranno i loro impianti di trattamento dei dati a un'ispezione delle misure di cui al paragrafo 1.

Allegato 1 alle Clausole Contrattuali Standard

Esportatore di dati: L'esportatore di dati è l'entità identificata come "Cliente" nell'Addendum.

Importatore di dati: L'importatore di dati è FreeLogoServices, un fornitore di servizi ospitati.

Soggetti interessati: Le operazioni di trattamento sono definite nella Sezione 1.3 e nell'Allegato 1 dell'Addendum.

Categorie di dati: Le operazioni di trattamento sono definite nella Sezione 1.3 e nell'Allegato 1 dell'Addendum.

Operazioni di trattamento: Le operazioni di trattamento sono definite nella Sezione 1.3 e nell'Allegato 1 dell'Addendum.

Allegato 2 alle Clausole Contrattuali Standard

Questo Allegato fa parte delle Clausole. Acquistando Servizi Coperti da FreeLogoServices, l'Addendum e questo Allegato 2 si considerano accettati ed eseguiti tra le parti.

Descrizione delle misure di sicurezza tecniche e organizzative implementate dall'importatore di dati in conformità alle Clausole 4(d) e 5(c) (o documento/legislazione allegato):

Le misure di sicurezza tecniche e organizzative implementate dall'importatore di dati sono descritte nell'Addendum, in particolare nell'Allegato 2, che è incorporato e ad esso allegato.