Legale

Responsabile del trattamento dei dati - Decisione della Commissione C (2010) 593

Ai fini dell'articolo 26, paragrafo 2, della direttiva 95/46 / CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati.

Il Cliente (esportatore di dati) e Teamwork (l'importatore di dati), ciascuno una "parte"; insieme “le parti”, HANNO CONVENUTO le seguenti Clausole Contrattuali (le Clausole) al fine di addurre adeguate garanzie rispetto alla tutela della privacy e dei diritti e delle libertà fondamentali delle persone per il trasferimento dall'esportatore di dati all'importatore di dati del dati personali specificati nell'Appendice 1.

Clausola 1
Definizioni

Ai fini delle clausole:

(a) "dati personali", "categorie speciali di dati", "elaborazione / elaborazione", "responsabile del trattamento", "responsabile del trattamento", "persona interessata" e "autorità di controllo" hanno lo stesso significato della direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati [1];

(b) "l'esportatore di dati": il responsabile del trattamento che trasferisce i dati personali;

(c) `` importatore di dati '': il responsabile del trattamento che accetta di ricevere dall'esportatore di dati i dati personali destinati al trattamento per suo conto dopo il trasferimento in conformità con le sue istruzioni e i termini delle Clausole e che non è soggetto al sistema di un paese terzo garantire una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46 / CE;

(d) `` sub-responsabile del trattamento '': qualsiasi responsabile del trattamento incaricato dall'importatore di dati o da qualsiasi altro sub-responsabile dell'importatore di dati che accetti di ricevere dall'importatore di dati o da qualsiasi altro sub-responsabile dell'importatore di dati dati personali destinati esclusivamente alle attività di trattamento da svolgere per conto dell'esportatore di dati dopo il trasferimento in conformità con le sue istruzioni, i termini delle Clausole e i termini del contratto di subappalto scritto;

(e) `` legge applicabile in materia di protezione dei dati '': la legislazione che tutela i diritti e le libertà fondamentali delle persone e, in particolare, il loro diritto alla vita privata in relazione al trattamento dei dati personali applicabile a un responsabile del trattamento nello Stato membro in cui i dati l'esportatore è stabilito;

(f) `` misure di sicurezza tecniche e organizzative '': quelle misure volte a proteggere i dati personali contro la distruzione accidentale o illecita o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su una rete e contro tutti altre forme illecite di trattamento.

Clausola 2
Dettagli del trasferimento

I dettagli del trasferimento ed in particolare le categorie speciali di dati personali ove applicabili sono specificati nell'Appendice 1 che costituisce parte integrante delle Clausole.

Clausola 3
Clausola di beneficiario di terze parti

  1. L'interessato può far valere nei confronti dell'esportatore di dati la presente clausola, clausola 4 da (b) a (i), clausola 5 da (a) a (e) e da (g) a (j), clausola 6 (1) e (2) , Clausola 7, Clausola 8 (2) e Clausole da 9 a 12 come beneficiario terzo.

  2. L'interessato può far valere nei confronti dell'importatore di dati la presente clausola, la clausola 5 da (a) a (e) e (g), la clausola 6, la clausola 7, la clausola 8 (2) e le clausole da 9 a 12, nei casi in cui l'esportatore di dati è effettivamente scomparso o ha cessato di esistere nella legge a meno che qualsiasi entità successore non abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto di legge, in conseguenza della quale assume i diritti e gli obblighi dell'esportatore di dati, in in tal caso l'interessato può farli valere nei confronti di tale entità.

  3. L'interessato può far valere nei confronti del sub-responsabile la presente clausola, clausola 5 da (a) a (e) e (g), clausola 6, clausola 7, clausola 8 (2), e clausole da 9 a 12, nei casi in cui sia l'esportatore di dati e l'importatore di dati è effettivamente scomparso o ha cessato di esistere per legge o è diventato insolvente, a meno che qualsiasi entità successore non abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto di legge in conseguenza del quale si assume i diritti e obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale entità. Tale responsabilità di terzi del sub-responsabile del trattamento sarà limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.

  4. Le parti non si oppongono al fatto che un interessato sia rappresentato da un'associazione o altro organismo se l'interessato lo desidera espressamente e se consentito dalla legislazione nazionale.

Clausola 4
Obblighi dell'esportatore di dati

L'esportatore di dati accetta e garantisce:

(a) che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere effettuato in conformità con le disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, ove applicabile, è stato notificato alle autorità competenti di lo Stato membro in cui è stabilito l'esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;

(b) che ha incaricato e per tutta la durata dei servizi di trattamento dei dati personali istruirà l'importatore di dati a trattare i dati personali trasferiti solo per conto dell'esportatore di dati e in conformità con la legge sulla protezione dei dati applicabile e le Clausole;

(c) che l'importatore di dati fornirà garanzie sufficienti rispetto alle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 del presente contratto;

(d) che, dopo la valutazione dei requisiti della legge sulla protezione dei dati applicabile, le misure di sicurezza sono appropriate per proteggere i dati personali contro la distruzione accidentale o illegale o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su una rete, e contro tutte le altre forme di trattamento illecite, e che tali misure garantiscano un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere tenendo conto dello stato dell'arte e del costo della loro attuazione;

(e) che garantirà il rispetto delle misure di sicurezza;

(f) che, se il trasferimento riguarda categorie particolari di dati, l'interessato è stato informato o sarà informato prima, o non appena possibile dopo, il trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo che non fornisce una protezione adeguata all'interno del significato della direttiva 95/46 / CE;

(g) inoltrare qualsiasi notifica ricevuta dall'importatore di dati o da qualsiasi sub-responsabile del trattamento ai sensi della Clausola 5 (b) e della Clausola 8 (3) all'autorità di controllo della protezione dei dati se l'esportatore dei dati decide di continuare il trasferimento o di revocare la sospensione;

(h) mettere a disposizione degli interessati su richiesta una copia delle Clausole, ad eccezione dell'Appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia dell'eventuale contratto per servizi di subelaborazione che deve essere in conformità con le Clausole, a meno che le Clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;

(i) che, in caso di subelaborazione, l'attività di trattamento è svolta in conformità con la Clausola 11 da un sub-responsabile che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato dell'importatore di dati ai sensi delle Clausole; e

(j) che garantirà la conformità con la Clausola 4 da (a) a (i).

Clausola 5
Obblighi dell'importatore di dati [2]

L'importatore di dati accetta e garantisce:

(a) trattare i dati personali solo per conto dell'esportatore dei dati e nel rispetto delle sue istruzioni e delle Clausole; qualora non sia in grado di fornire tale adempimento per qualsiasi motivo, si impegna a informare tempestivamente l'esportatore dei dati della sua impossibilità a conformarsi, nel qual caso l'esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e / o risolvere il contratto;

(b) di non avere motivo di ritenere che la legislazione ad esso applicabile gli impedisca di adempiere alle istruzioni ricevute dall'esportatore di dati e ai suoi obblighi contrattuali e che in caso di modifica di tale normativa rischia di avere una sostanziale effetto negativo sulle garanzie e sugli obblighi previsti dalle Clausole, comunicherà tempestivamente la modifica all'esportatore di dati non appena ne verrà a conoscenza, nel qual caso l'esportatore di dati ha il diritto di sospendere il trasferimento dei dati e / o risolvere il contratto;

(c) di aver posto in essere le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima del trattamento dei dati personali trasferiti;

(d) di informare tempestivamente l'esportatore di dati in merito a:

(i) qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte di un'autorità incaricata dell'applicazione della legge, salvo diversa proibizione, come il divieto ai sensi del diritto penale di preservare la riservatezza di un'indagine delle forze dell'ordine,

(ii) qualsiasi accesso accidentale o non autorizzato, e

(iii) qualsiasi richiesta ricevuta direttamente dagli interessati senza dar seguito a tale richiesta, salvo che non sia stato altrimenti autorizzato a farlo;

(e) trattare tempestivamente e adeguatamente tutte le richieste dell'esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e attenersi al parere dell'autorità di controllo in merito al trattamento dei dati trasferiti;

(f) su richiesta dell'esportatore di dati di sottoporre le proprie strutture di elaborazione dati per la verifica delle attività di trattamento oggetto delle Clausole che devono essere svolte dall'esportatore di dati o da un organismo di controllo composto da membri indipendenti e in possesso delle qualifiche professionali richieste vincolato da un obbligo di riservatezza, selezionato dall'esportatore dei dati, ove applicabile, in accordo con l'autorità di controllo;

(g) mettere a disposizione dell'interessato su richiesta una copia delle Clausole, o qualsiasi contratto esistente per il sub-trattamento, a meno che le Clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell'Appendice 2 che è sostituito da una descrizione sintetica delle misure di sicurezza nei casi in cui l'interessato non è in grado di ottenere una copia dall'esportatore dei dati;

(h) che, in caso di subelaborazione, abbia preventivamente informato l'esportatore dei dati e ottenuto il suo preventivo consenso scritto;

(i) che i servizi di elaborazione da parte del sub-responsabile saranno eseguiti in conformità con la clausola 11;

(j) inviare tempestivamente all'esportatore di dati una copia dell'eventuale contratto di sub-incaricato del trattamento concluso ai sensi delle Clausole.

Clausola 6
Responsabilità

L'importatore di dati accetta e garantisce:

  1. Le parti convengono che qualsiasi persona interessata che abbia subito un danno in conseguenza di una violazione degli obblighi di cui alla clausola 3 o alla clausola 11 da parte di una parte o un sub-responsabile del trattamento ha diritto a ricevere un risarcimento dall'esportatore dei dati per il danno subito.

  2. Se una persona interessata non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 nei confronti dell'esportatore di dati, derivante da una violazione da parte dell'importatore di dati o del suo sub-responsabile del trattamento di uno qualsiasi dei loro obblighi di cui alla clausola 3 o alla clausola 11, poiché l'esportatore di dati è effettivamente scomparso o ha cessato di esistere per legge o è diventato insolvente, l'importatore di dati accetta che l'interessato possa presentare un reclamo nei confronti dell'importatore di dati come se fosse l'esportatore di dati, a meno che qualsiasi entità successore non abbia assunto l'intera obblighi legali dell'esportatore di dati per contratto o per effetto di legge, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale entità. L'importatore di dati non può fare affidamento su una violazione da parte di un sub-responsabile del trattamento dei propri obblighi al fine di evitare le proprie responsabilità.

  3. Se un interessato non è in grado di intentare un reclamo contro l'esportatore di dati o l'importatore di dati di cui ai paragrafi 1 e 2, derivante da una violazione da parte del sub-responsabile del trattamento di uno qualsiasi dei loro obblighi di cui alla clausola 3 o alla clausola 11 perché sia l'esportatore di dati che l'importatore di dati sono effettivamente scomparsi o hanno cessato di esistere nella legge o sono diventati insolventi, il sub-responsabile del trattamento accetta che l'interessato possa presentare un reclamo nei confronti del sub-responsabile del trattamento dei dati in relazione alle proprie operazioni di trattamento ai sensi delle Clausole come se fosse l'esportatore di dati o l'importatore di dati, a meno che qualsiasi entità successore non abbia assunto tutti gli obblighi legali dell'esportatore o dell'importatore di dati per contratto o per effetto di legge, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale entità. La responsabilità del sub-responsabile del trattamento sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

Clausola 7
Mediazione e giurisdizione

  1. L'importatore di dati accetta che se l'interessato invoca nei suoi confronti diritti di beneficiari di terzi e / o chiede il risarcimento dei danni ai sensi delle Clausole, l'importatore di dati accetterà la decisione dell'interessato:

(a) deferire la controversia alla mediazione, da parte di una persona indipendente o, ove applicabile

(b) deferire la controversia ai tribunali dello Stato membro in cui è stabilito l'esportatore di dati.

2. Le parti convengono che la scelta effettuata dall'interessato non pregiudicherà i suoi diritti sostanziali o procedurali di chiedere rimedi in conformità con altre disposizioni del diritto nazionale o internazionale.

Clausola 8
Collaborazione con le autorità di vigilanza

1. L'esportatore di dati si impegna a depositare una copia del presente contratto presso l'autorità di controllo se lo richiede o se tale deposito è richiesto ai sensi della legge sulla protezione dei dati applicabile.

2. Le parti convengono che l'autorità di controllo ha il diritto di condurre un audit dell'importatore di dati e di qualsiasi sub-responsabile del trattamento, che ha lo stesso ambito ed è soggetto alle stesse condizioni che si applicherebbero a un audit dell'esportatore di dati in base ai dati applicabili legge sulla protezione.

3. L'importatore di dati informa tempestivamente l'esportatore di dati dell'esistenza di una legislazione ad esso applicabile o di qualsiasi sub-responsabile del trattamento che impedisca lo svolgimento di una verifica dell'importatore di dati, o di qualsiasi sub-responsabile del trattamento, ai sensi del paragrafo 2. In tal caso l'esportatore di dati ha il diritto adottare le misure previste nella clausola 5 (b).

Clausola 9
Legge governativa

Le Clausole sono regolate dalla legge dello Stato membro in cui è stabilito l'esportatore di dati.

Clausola 10
Variazione del contratto

Le parti si impegnano a non variare o modificare le Clausole. Ciò non preclude alle parti di aggiungere clausole su questioni relative al business ove richiesto purché non siano in contraddizione con la Clausola.

Clausola 11
Sottoprocesso

Le parti si impegnano a non variare o modificare le Clausole. Ciò non preclude alle parti di aggiungere clausole su questioni relative al business ove richiesto purché non siano in contraddizione con la Clausola.

1. L'importatore di dati non può subappaltare nessuna delle sue operazioni di trattamento eseguite per conto dell'esportatore di dati ai sensi delle Clausole senza il previo consenso scritto dell'esportatore di dati. Qualora l'importatore di dati subappalti i propri obblighi ai sensi delle Clausole, con il consenso dell'esportatore di dati, lo farà solo mediante un accordo scritto con il sub-responsabile del trattamento che impone al sub-responsabile gli stessi obblighi imposti all'importatore di dati ai sensi del Clausole [3]. Qualora il sub-responsabile del trattamento non adempia ai propri obblighi di protezione dei dati ai sensi di tale accordo scritto, l'importatore di dati resta pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub-responsabile in base a tale accordo.

2. Il precedente contratto scritto tra l'importatore di dati e il sub-responsabile del trattamento prevede anche una clausola di terzo beneficiario come stabilito nella clausola 3 per i casi in cui l'interessato non è in grado di presentare la domanda di risarcimento di cui al paragrafo 1 della clausola 6 nei confronti dell'esportatore di dati o dell'importatore di dati perché sono effettivamente scomparsi o hanno cessato di esistere per legge o sono diventati insolventi e nessun ente successore ha assunto per contratto o per effetto di legge tutti gli obblighi legali dell'esportatore o dell'importatore di dati. Tale responsabilità di terzi del sub-responsabile del trattamento sarà limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.

3. Le disposizioni relative agli aspetti della protezione dei dati per il subelaborazione del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore dei dati.

4. L'esportatore di dati deve tenere un elenco degli accordi di subelaborazione conclusi ai sensi delle Clausole e notificati dall'importatore di dati ai sensi della Clausola 5 (j), che deve essere aggiornato almeno una volta all'anno. L'elenco è a disposizione dell'autorità di controllo della protezione dei dati dell'esportatore dei dati.

Clausola 12
Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

1. Le parti convengono che alla cessazione della fornitura dei servizi di elaborazione dati, l'importatore di dati e il sub-responsabile del trattamento, a scelta dell'esportatore di dati, restituiranno tutti i dati personali trasferiti e le relative copie all'esportatore di dati o distruggeranno tutti i dati personali e certificare all'esportatore di dati di averlo fatto, a meno che la legislazione imposta all'importatore di dati non impedisca di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l'importatore di dati garantisce che garantirà la riservatezza dei dati personali trasferiti e non elaborerà più attivamente i dati personali trasferiti.

2. L'importatore e il sub-responsabile del trattamento garantiscono che, su richiesta dell'esportatore dei dati e / o dell'autorità di controllo, sottoporrà le proprie strutture per il trattamento dei dati a una verifica delle misure di cui al paragrafo 1.

APPENDICE 1 ALLE CLAUSOLE CONTRATTUALI STANDARD

Gli Stati membri possono completare o specificare, secondo le loro procedure nazionali, tutte le informazioni supplementari necessarie che devono essere contenute nella presente appendice.

Esportatore di dati

L'esportatore di dati è il cliente.

Importatore di dati

L'importatore di dati è Teamwork.

Soggetti interessati

I dati personali trasferiti riguardano le seguenti categorie di interessati: utenti dell'applicazione del Cliente.

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati: nome, email, utilizzo e dati personalizzati.

Categorie speciali di dati (se appropriato)

I dati personali trasferiti riguardano le seguenti categorie speciali di dati: nessuno.

Operazioni di elaborazione

I dati personali trasferiti saranno soggetti alle seguenti attività di elaborazione di base: fornire approfondimenti sul rischio di conservazione e promuovere l'utilizzo da parte dell'utente.

APPENDICE 2 ALLE CLAUSOLE CONTRATTUALI STANDARD

Descrizione delle misure di sicurezza tecniche e organizzative implementate dall'importatore di dati in conformità con le clausole 4 (d) e 5 (c): https://www.teamwork.com/security-summary/

[1] Le parti possono riprodurre definizioni e significati contenuti nella direttiva 95/46 / CE all'interno di questa clausola se ritengono che sia meglio che il contratto sia autonomo.

[2] Requisiti obbligatori della legislazione nazionale applicabile all'importatore di dati che non vanno al di là di quanto necessario in una società democratica sulla base di uno degli interessi elencati nell'articolo 13, paragrafo 1, della direttiva 95/46 / CE, ovvero se costituiscono una misura necessaria per salvaguardare la sicurezza nazionale, la difesa, la sicurezza pubblica, la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o violazioni dell'etica per le professioni regolamentate, un importante interesse economico o finanziario dello Stato o la tutela della l'interessato oi diritti e le libertà altrui, non sono in contraddizione con le clausole contrattuali standard. Alcuni esempi di tali requisiti obbligatori che non vanno al di là di quanto necessario in una società democratica sono, tra l'altro, le sanzioni riconosciute a livello internazionale, i requisiti di dichiarazione fiscale o i requisiti di segnalazione contro il riciclaggio di denaro.

[3] Questo requisito può essere soddisfatto se il sub-responsabile del trattamento ha firmato il contratto stipulato tra l'esportatore di dati e l'importatore di dati ai sensi della presente decisione.

Inizia a usare Teamwork

Inizia a lavorare insieme magnificamente. Scopri in che modo Teamwork può essere utile al tuo team con la nostra prova gratuita di 30 giorni.

Try Teamwork for free Partecipa a un webinar Mettiti in contatto
Prova ora gratis

Parla con il nostro team di vendita

Utilizziamo i cookie per migliorare la tua esperienza sul nostro sito. Per acconsentire all'uso dei cookie, clicca su Accetta. Per maggiori dettagli sull'uso dei cookie su Teamwork.com, consulta la nostra politica dei cookie. Maggiori informazioni
Rifiuta Accetta