PREAMBOLO:
Il Cliente (a cui si fa riferimento nella proposta commerciale) ha stipulato un contratto (il “Contratto”) con sharingbox, (il “Fornitore”) per la prestazione dei servizi descritti nella proposta commerciale di cui sopra (i “Servizi”). In occasione della fornitura di tali servizi al Cliente, sulla base del Contratto o in relazione al medesimo, il Fornitore può trovarsi a trattare alcuni Dati personali del Cliente nel ruuolo di responsabile del trattamento dati per conto del Cliente (i “Dati personali del Cliente”), fatta eccezione per i Dati personali trattati dal Fornitore nella sua qualità di titolare del trattamento dati;
Nel trattare i Dati personali del Cliente, il Fornitore agirà nel ruolo di responsabile del trattamento dati, secondo il significato datone dalla Normativa applicabile sulla Protezione dei Dati; e
Il Cliente e il Fornitore intendono delineare nell’ambito del presente Allegato Trattamento Dati il quadro normativo per il trattamento dei Dati personali del Cliente da parte del Fornitore sulla base del Contratto o in relazione al medesimo.
TANTO PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE:
1. Interpretazione
Il presente Allegato Trattamento Dati sarà regolato in base ai termini e alle condizioni stabilite nel Contratto. I termini con iniziale maiuscola impiegati ma non definiti nel presente Allegato Trattamento Dati avranno il significato loro attribuito nell’ambito del Contratto, a meno che il contesto non ne presupponga altri.
Nel presente Allegato Trattamento Dati:
“Contratto” ha il significato attribuito a tale termine nel preambolo 1 del presente Allegato Trattamento Dati;
“Subappaltatori autorizzati” indica i subappaltatori che sono stati autorizzati dal Cliente conformemente all’articolo 6.2;
“Allegato Trattamento Dati” ha il significato attribuito a tale termine nel preambolo 1 del presente Allegato Trattamento Dati. Nell’Appendice 1 è esposta una descrizione delle categorie dei Dati personali del Cliente;
“Normativa sulla Protezione dei Dati” indica qualsiasi legge, decreto, regolamento, politica di regolamentazione, statuto, ordinanza o legislazione secondaria in materia di trattamento, riservatezza e uso dei Dati personali, in quanto applicabile al Cliente, al Fornitore e/o ai Servizi, ivi inclusi:
in Belgio:
il Data Protection Act dell’8 Dicembre 1992 così come ogni altra legge o regolamento nazionali di attuazione della Direttiva 95/46/CE del Parlamento europeo e del Consiglio (“Direttiva sulla protezione dei dati”); e
il Regolamento del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (“GDPR”) e ogni altra legge o regolamento nazionale corrispondente od equivalente; e
in altri paesi UE: la Direttiva sulla protezione dei dati o il GDPR, non appena sarà applicabile, nonché tutte le pertinenti norme, legislative o regolamentari, per l’attuazione di tali Direttive o l’applicazione di dettaglio del GDPR emanate dagli Stati membri;
in ogni caso, in quanto siano vigenti e applicabili, e fatte salve, di volta in volta, le successive modifiche, integrazioni o abrogazioni;
“Allegato Trattamento Dati” indica il presente allegato sul trattamento dei dati, ivi inclusa qualsiasi eventuale appendice al presente Allegato Trattamento Dati;
“Dati personali” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile;
“Servizi” ha il significato attribuito a tale termine nel preambolo 1 del presente Allegato Trattamento Dati;
“Paese terzo” ha il significato attribuito a tale termine nell’articolo 7.1.
Le Parti riconoscono e convengono che il presente Allegato Trattamento Dati forma parte integrante del Contratto. In caso dovessero sorgere conflitti o discordanze tra:
determinati termini contenuti nella sezione principale del presente Allegato Trattamento Dati;
determinati termini presenti in una qualunque delle appendici al presente Allegato Trattamento Dati; e
determinati termini presenti nel Contratto e nelle sue appendici o allegati;
prevarrà il termine che rientra nella categoria che figura in testa all’elenco di cui sopra.
2. Ambito e Finalità
Le disposizioni del presente Allegato Trattamento Dati troveranno applicazione solamente se e nella misura in cui, per la prestazione dei Servizi, il Fornitore debba trattare i Dati personali del Cliente.
3. Conformità con la normativa applicabile in materia di Protezione dei Dati
Nel trattare i Dati personali del Cliente il Fornitore ottempererà sempre agli obblighi a lui derivanti da ogni eventuale Normativa sulla Protezione dei Dati applicabile.
Il Fornitore tratterà i Dati personali del Cliente esclusivamente:
secondo le modalità e le finalità delineate nell’Appendice 1; e
sulla base di documentate istruzioni impartite dal Cliente.
Con il presente documento il Cliente:
dà disposizione al Fornitore di espletare, ai fini del trattamento dei Dati personali del Cliente per conto di quest’ultimo, tutti gli adempimenti ragionevolmente necessari alla prestazione dei Servizi; e
autorizza il Fornitore ad impartire ai Subappaltatori autorizzati, per conto del Cliente, istruzioni che risultino corrispondenti a quelle stabilite nell’articolo 3.3.1.
4. Riservatezza e Sicurezza
Il Fornitore si impegna a trattare tutti i Dati personali del Cliente in via riservata. A meno che Cliente non disponga diversamente per iscritto, il Fornitore non divulgherà i Dati personali del Cliente ad alcuna parte terza, se non:
a coloro tra i propri dipendenti, Subappaltatori autorizzati e dipendenti dei Subappaltatori autorizzati a cui tale comunicazione risulti essere ragionevolmente necessaria alla prestazione dei Servizi; o
nei limiti richiesti dalla legge, da un’eventuale autorità governativa o di regolamentazione, ovvero da un tribunale od altro competente organo giurisdizionale; e,
sempre che le persone a cui i Dati personali del Cliente possono essere divulgate in base all’articolo 4.1.3 siano vincolati da obblighi di riservatezza conformi a quelli imposti al Fornitore ai sensi del presente Allegato Trattamento Dati nonché del Contratto;
Tenuto conto della tecnologia disponibile, dei costi per la sua implementazione e tenuto conto della natura, dell’ambito, del contesto e delle finalità del trattamento dei Dati personali del Cliente, il Fornitore adotterà misure tecniche ed organizzative adeguate a garantire un livello di sicurezza consono ai rischi nonché ad impedire, ove non siano autorizzati, la divulgazione dei Dati personali del Cliente o l’accesso ai medesimi, così come ogni loro distruzione accidentale o illecita, perdita o alterazione.
5. Notifica delle violazioni alla protezione dei dati personali
Il Fornitore dovrà dare, nel più breve termine ragionevolmente possibile, notifica scritta al Cliente allorquando sia a conoscenza di una qualsiasi violazione effettiva della sicurezza che comporti la divulgazione di eventuali Dati personali del Cliente trattati dal Fornitore o l’accesso ai medesimi, laddove tali azioni non siano autorizzate, così come ogni loro distruzione accidentale o illecita, perdita o alterazione
6. Subappalto e Sub-trattamento
Il Cliente autorizza il Fornitore a subappaltare, in misura totale o parziale, il trattamento dei Dati personale del Cliente a condizione che:
Il Fornitore informi il Cliente di qualunque proposito di variazione consistente nell’aggiunta o sostituzione di subappaltatori, dando in tal modo al Cliente l’opportunità di opporsi a tali variazioni; e
Il Fornitore e il subappaltatore abbiano stipulato un accordo scritto per il trattamento dei dati che sancisca obblighi conformi a quelli stabiliti nel presente Allegato Trattamento Dati.
Ai sensi dell’articolo 6.1, il Cliente approva con il presente atto il subappalto del trattamento dei Dati personali del Cliente ai subappaltatori riportati nell’Appendice 2. I subappaltatori indicati nell’Appendice 2 saranno considerati Subappaltatori autorizzati ai sensi del presente Allegato Trattamento Dati.
7. Trasferimenti transnazionali di Dati personali del Cliente
Il Fornitore può trasferire i Dati personali del Cliente ad un destinatario situato in un paese al di fuori dell’Area Economica Europea (paese qui denominato “Paese terzo”) se:
vi è stato un accertamento di adeguatezza da parte della Commissione europea nei confronti di tale Paese terzo ai sensi della Normativa sulla Protezione dei Dati applicabile;
il trasferimento rientra nell’ambito applicativo dell’accordo denominato EU-US Privacy Shield;
il destinatario ha stipulato con il Cliente un contratto che contenga clausole tipo approvate dalla Commissione europea o da altra pubblica autorità competente nel rispetto della Normativa sulla Protezione dei Dati applicabile;
o
sono state fornite adeguate salvaguardie alternative ai sensi della Normativa sulla Protezione dei Dati applicabile.
8. Audit
Al fine di verificare la conformità da parte del Fornitore rispetto ai propri obblighi, a lui derivanti in base al presente Allegato Trattamento Dati, il Cliente può chiedere, e il Fornitore dovrà consentire al Cliente, di ricevere copie di ogni eventuale informazione non-riservata che sia ragionevolmente necessaria a comprovare la conformità da parte del Fornitore rispetto ai propri obblighi, a lui derivanti in base al presente Allegato Trattamento Dati. Tali richieste di informazione da parte del Cliente dovranno essere presentate in forma scritta. Il Fornitore si impegna a rendere disponibili, in scienza e coscienza, i documenti e i dati richiesti, entro un termine ragionevole, tenuto conto della quantità e complessità delle informazioni richieste.
Laddove il Cliente non abbia ottenuto le necessarie informazioni ai sensi dell’articolo 8.1, il Cliente può, al fine di verificare la conformità da parte del Fornitore rispetto agli obblighi a lui derivanti in base al presente Allegato Trattamento Dati, richiedere un’ispezione presso la sede del Fornitore e il Fornitore dovrà consentire tale ispezione, se – e soltanto se – risultino soddisfatte tutte le seguenti condizioni:
la richiesta di ispezione è presentata in forma scritta al Fornitore almeno novanta (90) giorni prima della data in cui dovrà aver luogo l’ispezione;
l’ispezione è svolta nel corso degli orari lavorativi ordinari;
l’ispezione non provoca alcuna ripercussione sulle attività quotidiane del Fornitore;
l’ispezione non dura più a lungo né coinvolge maggiori risorse di quanto sia necessario per l’ottenimento dell’informazione richiesta;
il Cliente e/o la parte terza che conduce l’ispezione per suo conto accettano di vincolarsi preliminarmente a specifici e congrui obblighi di riservatezza in riferimento ai dati e ai documenti ricevuti, prima che venga svolta qualsiasi ispezione;
il Cliente e il Fornitore stabiliscono di comune accordo un piano operativo scritto contenente l’ambito esatto dei dati, documenti, sistemi d’informazione nonché delle risorse informatiche che saranno oggetto di ispezione;
il Cliente sosterrà tutti i costi e le spese relative a ciascun audit (ivi inclusi, a titolo meramente esemplificativo e non esaustivo, i costi e le spese correlate ad ogni eventuale assistenza prestata dal Fornitore nello svolgimento di tale audit in cui quest’ultimo sia incorso).
9. Assistenza nella Gestione delle richieste avanzate dai soggetti interessati
Il Fornitore coopererà con il Cliente, per quanto risulti possibile e a spese di quest’ultimo, nel:
gestire le richieste avanzate dai soggetti interessati per far valere i loro diritti; e
condurre qualsiasi valutazione d’impatto sulla protezione dei dati in relazione alla prestazione dei Servizi.
10. Durata e cessazione
Il presente Allegato Trattamento Dati è da considerarsi in vigore a decorrere dalla data di efficacia del Contratto di Servizio e resterà vigente per tutto il tempo in cui il Fornitore presterà i Servizi ai sensi del Contratto.
11. Restituzione/Distruzione dei Dati personali del Cliente
Entro trenta (30) giorni lavorativi decorrenti dalla scadenza o dalla cessazione del presente Allegato Trattamento Dati, il Fornitore dovrà:
a scelta del Cliente:
restituire al Cliente, in un formato elettronico comunemente utilizzato in quel momento, tutti i Dati personali del Cliente che, alla data della cessazione o a quella della scadenza, si trovano nel possesso o sotto il controllo del Fornitore; ovvero
distruggere, o cancellare dai propri sistemi informatici e file, qualsiasi Dato personale del Cliente che, alla data della cessazione o a quella della scadenza, si trovi nel possesso o sotto il controllo del Fornitore.
Appendice 1: Descrizione del trattamento dati
1. Finalità del trattamento dati
Le finalità del trattamento dati sono:
Raccolta di foto e di dati attraverso cabine per fototessere, web hosting per gallerie fotografiche, controlli di qualità delle foto e spedizione di foto ad utenti finali;
Supporto IT (troubleshooting) e assistenza clienti (ivi incluso l’accesso da remoto alle cabine per fototessere a fini di manutenzione).
2. Categorie di Dati Personali
I Dati personali del Cliente oggetto di trattamento da parte del Fornitore sono:
Dati identificativi (nominativi, titoli ecc.);
Localizzazione di cabine per fototessere;
Informazioni di contatto (indirizzi di posta elettronica);
Dati identificativi professionali (titolo professionale ecc.);
Archiviazioni immagini (foto).
3. Categorie di soggetti interessati
Le categorie di soggetti interessati sono:
Gli utenti finali delle cabine per fototessere.
4. Istruzioni per il Trattamento
Il Fornitore procederà al trattamento dei Dati personali del Cliente nel modo seguente:
Solo nei limiti indispensabili al conseguimento delle suddette finalità; e
Se del caso, solo nei limiti necessari a garantire l’assolvimento di un obbligo di legge gravante sul Fornitore; o
Laddove sia richiesto il consenso da parte di un soggetto interessato, solo dopo aver ottenuto il previo consenso del soggetto interessato.
Appendice 2: Subappaltatori autorizzati
– Amazon Web Services, Inc. con sede a P.O. Box 81226 Seattle, WA 98108-1226 [USA]
– Google LLC, con sede a 1600 Amphitheatre Parkway, Mountain View, CA 94043, Stati Uniti
– Mandrill, (The Rocket Science Group LLC), con sede a 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, Georgia 30308 [USA]
– Twilio Inc., con sede a 375 Beale Street, Suite 300, San Francisco, CA 94105 [USA]
– Sightengine, Kozelo SAS, 16 bis rue d’Odessa, 75014 Parigi, Francia