NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 27.4.2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/ce(REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI – “GDPR”)
Tra
Il Cliente che ha acquistato un Servizio offerto in vendita da SupportHost OÜ sul sito https://supporthost.com/it/, in qualità di Titolare del Trattamento (Titolare del Trattamento), in persona del suo legale rappresentante
e
SupportHost OÜ, con sede legale in Ahtri tn 12, Tallinn, 10151, Estonia, in qualità di Responsabile del Trattamento dei dati personali (Responsabile del Trattamento), in persona del suo legale rappresentante
(il Titolare del Trattamento e il Responsabile del Trattamento congiuntamente, le “Parti”).
I. Oggetto
Le presenti clausole hanno come oggetto la definizione delle condizioni alle quali il Responsabile del Trattamento si impegna a effettuare per conto del Titolare del Trattamento le operazioni di Trattamento dei Dati Personali qui di seguito definite.
Nell’ambito delle loro relazioni contrattuali e professionali le Parti si impegnano a rispettare la Normativa sulla Protezione dei Dati Personali di tempo in tempo applicabile e, in particolare, il GDPR.
II. Definizioni
“Accordo”: il contratto sottoscritto tra il Titolare del Trattamento e il Responsabile del Trattamento e di cui il presente documento costituisce un addendum.
“Addendum”: il presente documento, incluso ogni suo eventuale allegato.
“Dati Personali”: i dati personali, come definiti dall’art. 4.1 del GDPR, oggetto del presente Addendum.
“GDPR”: il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
“Interessato”: ha il significato di cui all’art. 4.1 del GDPR.
“Normativa sulla Protezione dei Dati Personali”: significa qualsiasi legge o regolamento, inclusi le leggi e i regolamenti dell’Unione europea, degli Stati membri e di UK, applicabile al trattamento dei Dati Personali, incluso il GDPR.
“Responsabile del Trattamento”: ha il significato di cui all’art. 4.8 del GDPR.
“Titolare del Trattamento”: ha il significato di cui all’art. 4.7 del GDPR.
“Trattamento”: ha il significato di cui all’art. 4.2 del GDPR.
“Violazione dei Dati Personali”: ha il significato di cui all’art. 4.12 del GDPR.
III. Descrizione del Trattamento demandato al Responsabile del Trattamento
Il Responsabile del Trattamento è autorizzato a trattare per conto del Titolare del Trattamento i Dati Personali necessari per adempiere all’Accordo (“Servizi”).
Le operazioni di Trattamento demandate al Responsabile del Trattamento sono le seguenti:
- Conservazione
- Consultazione
- Uso
- Raccolta
- Organizzazione
- Comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione
La finalità del Trattamento demandato al Responsabile del Trattamento è unicamente quella di dare esecuzione all’Accordo, prestando i Servizi.
Le categorie di Dati Personali il cui Trattamento è demandato al Responsabile del Trattamento sono le seguenti:
- Nome
- Cognome
- Indirizzo di residenza
- Indirizzo di domicilio
- CAP
- Numero di telefono
- Nazione
- Codice fiscale o Partita iva
- Dati contrattuali
- Log
Le categorie di Interessati a cui si riferiscono i Dati Personali il cui trattamento è demandato al Responsabile del Trattamento sono i clienti o potenziali clienti del Titolare del Trattamento.
IV. Durata dell’Addendum
Il presente Addendum produce effetti a partire dalla sua sottoscrizione e per tutta la durata dell’Accordo, sicché, cessato l’Accordo, per qualsiasi causa, cesseranno anche, immediatamente, gli effetti del presente Addendum. Gli obblighi relativi alla riservatezza e i divieti di diffusione e/o comunicazione dovranno essere osservati dal Responsabile del Trattamento anche dopo la cessazione dell’Accordo e del presente Addendum.
V. Obbligazioni del Responsabile del Trattamento nei confronti del Titolare del Trattamento
Il Responsabile del Trattamento si obbliga:
- a trattare i Dati Personali unicamente per la finalità di cui al presente Addendum e, in particolare, come indicato al punto III che precede, solo ed esclusivamente ai fini della corretta esecuzione dell’Accordo e della corretta prestazione dei Servizi, conseguentemente;
- a non comunicare, diffondere, rivelare, in qualsiasi modo, i Dati Personali a terzi, ad eccezione dei responsabili ulteriori del trattamento, qualora designati dal Responsabile del Trattamento conformemente all’art. 28 GDPR e all’art. VI che segue, e delle persone autorizzate al trattamento dei dati personali sotto l’autorità del Responsabile del Trattamento (“Incaricati”), qualora essi siano istruiti in tal senso dal Responsabile del Trattamento, conformemente a quanto indicato dall’art. 29 GDPR, e siano formalmente designati dallo stesso, a norma del presente articolo;
- trattare i Dati Personali conformemente alle istruzioni eventualmente fornite dal Titolare del Trattamento (“Istruzioni”), anche in caso di trasferimento di Dati Personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o il diritto nazionale cui è soggetto il Responsabile del Trattamento; in tal caso, il Responsabile del Trattamento informa il Titolare del Trattamento di tale obbligo giuridico prima del Trattamento, a meno che il diritto dell’Unione o dello Stato membro in questione vietino tale informazione per rilevanti motivi di interesse pubblico. Se il Responsabile del Trattamento ritiene che un’istruzione costituisca una violazione del GDPR e/o di un’altra disposizione del diritto dell’Unione o del diritto di uno degli Stati membri relativa alla protezione dei dati personali, il Responsabile del Trattamento ne dovrà dare immediata comunicazione al Titolare del Trattamento.
VI. Ulteriori responsabili del Trattamento
Autorizzazione generale
Il Titolare del Trattamento autorizza il Responsabile del Trattamento, in via generale, a ricorrere ad uno o più responsabili del trattamento (“Responsabili Ulteriori del Trattamento” o “Sub-Responsabili”) per l’esecuzione di specifiche attività di trattamento, ai sensi dell’art. 28.2 del GDPR.
VII. Informativa da fornire all’interessato
Spetta al Titolare del Trattamento fornire agli Interessati le informazioni di cui agli art. 13 e 14 del GDPR, nei casi, con le modalità e con le tempistiche di cui a tali articoli e all’art. 12 del GDPR.
VIII. Conservazione dei Dati Personali durante la vigenza dell’Addendum e loro cancellazione o restituzione dopo la sua cessazione
Durante la vigenza dell’Addendum, il Responsabile del Trattamento si obbliga a conservare i Dati Personali solo ed esclusivamente per il tempo strettamente necessario al conseguimento delle finalità del Trattamento e per il corretto adempimento degli obblighi di cui all’Addendum, come indicato dal Titolare del Trattamento nelle Istruzioni, fatta salva la necessità di conservare i Dati Personali in ragione di obblighi imposti al Responsabile del Trattamento dal diritto dell’Unione o dello Stato membro cui è soggetto.
In caso di cessazione, per qualsiasi causa, dell’Addendum, il Responsabile del Trattamento si obbliga a:
a) cessare il Trattamento; e
b) fatti salvi gli obblighi di conservazione dei Dati Personali imposti al Responsabile del Trattamento dal diritto dell’Unione o dello Stato membro cui è soggetto, a scelta del Titolare del Trattamento, nel termine di 90 giorni lavorativi:
- distruggere e/o cancellare tutti i Dati Personali, in modo irreversibile e permanente e, comunque, sulla base delle Istruzioni; o
- restituire tutti i Dati Personali; o
- inviare i Dati Personali a un responsabile del trattamento indicato dal Titolare del Trattamento.
La restituzione o l’invio devono essere accompagnati dalla cancellazione e/o distruzione di tutte le copie esistenti nei sistemi informativi del Responsabile del Trattamento, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione di tali dati. Una volta distrutti, il Responsabile del Trattamento dovrà giustificare per iscritto la distruzione.
IX. Responsabile per la protezione dei dati personali (o Data Protection Officer – “DPO”)
Il Responsabile del Trattamento comunica al Titolare del Trattamento il nome e i dati di contatto del DPO, se designato, in base a quanto previsto dall’art. 37 GDPR, o su base volontaria.
X. Registro dei trattamenti
Il Responsabile del Trattamento comunica se tiene un registro dei trattamenti effettuati per conto del Titolare del Trattamento, ai sensi e con il contenuto di cui all’art. 30.2 del GDPR, e le modalità di tenuta di tale registro, impegnandosi a metterlo a disposizione del Titolare del Trattamento, su richiesta. Nel caso in cui il Responsabile del Trattamento non tenga il registro di cui all’art. 30.2, il Responsabile del Trattamento si impegna a fornire al Titolare del Trattamento la documentazione della valutazione effettuata per escludere l’applicabilità dell’obbligo in questione. Le Parti prendono atto che il Responsabile del Trattamento potrà redigere il registro dei trattamenti in base alle indicazioni fornite in tal senso dal Garante per la protezione dei dati personali italiano.
XI. Documentazione
Il Responsabile del Trattamento mette a disposizione del Titolare del Trattamento tutte le informazioni e la documentazione necessarie per dimostrare il rispetto degli obblighi di cui al GDPR, compreso l’art. 28 dello stesso, e di cui al presente Addendum, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del Trattamento o da un altro soggetto dallo stesso incaricato.
XII. Obbligazioni del Titolare del Trattamento nei confronti del Responsabile del Trattamento
Il Titolare del Trattamento si impegna a fornire al Responsabile del Trattamento i Dati Personali nel caso in cui, in ragione dell’Accordo e/o dei Servizi, essi non siano raccolti e/o acquisiti direttamente dal Responsabile del Trattamento, per conto del Titolare del Trattamento.
XIII. Trasferimento dei Dati Personali in un Paese terzo
Nel caso in cui il Responsabile del Trattamento intenda trasferire i Dati Personali in un Paese non appartenente alla UE, il Responsabile del Trattamento si impegna a: (i) comunicare tale intenzione preventivamente al Titolare del Trattamento, per e-mail, indicando il Paese terzo di destinazione, il destinatario e le garanzie adeguate che, a norma del capo V del GDPR, consentono il trasferimento; (ii) effettuare il trasferimento solo ed esclusivamente in assenza di opposizione da parte del Titolare del Trattamento, comunicata per iscritto ed entro il termine di 15 giorni lavorativi dal ricevimento di tale comunicazione ovvero una volta scaduto tale termine.
Nel caso in cui il trasferimento dei dati in Paesi terzi sia necessario per l’esecuzione del contratto stesso, il trasferimento sarà effettuato ai sensi dell’art. 49, lett. b) GDPR senza necessità di alcuna preventiva autorizzazione e senza alcuna responsabilità al riguardo, in capo al Responsabile del trattamento.
XIV. Comunicazioni
Tutte le comunicazioni previste dal presente Addendum dovranno avvenire ai contatti indicati in epigrafe.
XV. Legge Applicabile e foro competente
Il presente Addendum è soggetto alla legge estone. Per qualsiasi controversia riguardante la sua applicazione e/o interpretazione saranno rimesse alla competenza esclusiva e inderogabile del Foro di Tallin, Estonia.
XVI. Varie
Le Parti riconoscono che il presente Addendum non limita né riduce gli impegni che il Responsabile del Trattamento ha assunto nei confronti del Titolare del Trattamento nell’Accordo, fermo restando che in caso di conflitto tra le previsioni dell’Accordo e quelle dell’Addendum in materia di trattamento di dati personali e/o di protezione dei dati personali, le previsioni dell’Addendum prevarranno.