Accordo per l'elaborazione dei dati GFI

Il presente Addendum al trattamento dei dati ("DPA") fa parte degli Accordi ed è stipulato da e tra il Cliente e il Fornitore di servizi alla Data di entrata in vigore. Si ribadisce che il presente DPA non è valido o legalmente vincolante in assenza di uno o più Accordi in essere tra il Cliente e il Fornitore di servizi.

Il presente DPA entra in vigore il 25 maggio 2018 o alla data di accettazione degli Accordi, se successiva (la "Data di entrata in vigore").

  1. DEFINIZIONI

    1. Per "Accordo" si intende l'accordo stipulato tra il Cliente e il Fornitore di Servizi per la fornitura dei servizi del fornitore al cliente in relazione ai prodotti e ai servizi GFI. I nostri Accordi si trovano alla pagina: https://gfi.ai/it/legal.

    2. Per "Cliente" si intende la persona giuridica che riceve i Servizi ai sensi del Contratto, comprese tutti gli eventuali affiliati.

    3. Per "SEE" si intende lo Spazio Economico Europeo.

    4. La dicitura "Norme UE" indica le leggi e i regolamenti dell'Unione Europea, dello Spazio Economico Europeo, dei loro Stati membri e del Regno Unito, applicabili al trattamento dei Dati Personali ai sensi del Contratto, incluso (ove applicabile) il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 aprile 2016, noto anche come Regolamento Generale sulla Protezione dei Dati ("GDPR").

    5. Per "Prodotti GFI” si intende: GFI FaxMaker®; GFI Archiver™; GFI MailEssentials®; GFI WebMonitor®; GFI LanGuard®; GFI EventsManager®; GFI EndPointSecurity®; GFI OneGuard™ e GFI OneConnect. ™

    6. Il termine "Privacy Shield" indica il quadro di principi sulla privacy UE-USA concordato il 2 febbraio 2016 e formalmente adottato dalla Commissione Europea con decisione esecutiva C(2016) 4176 del 12 luglio 2016, o qualsiasi altro quadro normativo per il trasferimento di Dati Personali dal SEE o dalla Svizzera agli Stati Uniti che sia approvato dalla Commissione Europea come in grado di fornire un adeguato livello di protezione dei dati ai sensi del Regolamento UE.

    7. Per "Servizi" si intendono i servizi e le altre attività che devono essere forniti o eseguiti da, o per conto del, Fornitore di servizi per il Cliente ai sensi del Contratto.

    8. Per "Fornitore di servizi" si intende l'entità giuridica che è parte del Contratto e tratta i Dati personali per conto del Cliente. Se il Cliente si trova (i) negli USA, in Sud America o in Canada – GFI USA, LLC è il "Fornitore di servizi" or (ii) se si trova nell'Unione Europea o in quasiasi altro Paese diverso dagli Stati Uniti, dal Canada o dai Paesi del Sud America, allora il "Fornitore di servizi" è GFI USA, LLC.

    9. Per "Clausole contrattuali standard" si intendono le clausole contrattuali standard per il trasferimento di dati personali da un Titolare del trattamento nel SEE a Incaricati del trattamento stabiliti in paesi terzi ai sensi della Direttiva UE sulla protezione dei dati 95/46/CE (la "Direttiva"), o di qualsiasi legislazione che sostituisce la Direttiva, nella forma stabilita nell'allegato della decisione 2010/87/UE della Commissione europea (o di qualsiasi decisione alternativa o successiva che approva nuove clausole contrattuali standard per il trasferimento a incaricati del trattamento dei dati in paesi terzi), come modificata incorporando la descrizione dei Dati personali da trasferire di cui all'Appendice 1 del presente DPA e le misure tecniche e organizzative da attuare di cui all'Appendice 2 del presente DPA. Le Clausole contrattuali standard sono disponibili sul sito web della Commissione europea al seguente link: http://ec.europa.eu/justice/data-protection/international-transfers/files/clauses_for_personal_data_transfer_processors_c2010-593.doc.

  2. APPLICABILITÀ E RUOLI DELLE PARTI

    1. Il presente DPA modifica e integra il Contratto (o i Contratti) tra le parti. I termini del presente DPA si applicheranno a tutti i trattamenti dei Dati personali in relazione ai Servizi forniti in base ai termini del Contratto. Il presente DPA non si applica al trattamento dei Dati personali, laddove tale trattamento non sia regolato dal Regolamento UE.

    2. I termini in maiuscolo utilizzati ma non definiti nel presente DPA hanno il significato loro assegnato nell'Accordo o nel Regolamento UE. "Dati personali", come usato nel presente DPA, include tutti i dati relativi agli Interessati situati nel SEE e in Svizzera che vengono trattati dal Fornitore di servizi per conto del Cliente nell'ambito del Contratto.

    3. Nel contesto del presente DPA, il Cliente agisce in qualità di Titolare del trattamento dei dati e il Fornitore di servizi agisce in qualità di Responsabile del trattamento dei dati per quanto riguarda l'elaborazione dei dati personali.

    4. Il Fornitore di servizi tratterà i Dati personali ricevuti dal Cliente come stabilito nel Contratto o come altrimenti notificato per iscritto dal Cliente al Fornitore di servizi durante la durata del Contratto. Nel caso in cui il Fornitore di servizi ritenga che un'istruzione di trattamento impartita dal Cliente possa violare le norme UE, il Fornitore di servizi informerà immediatamente il Cliente non appena ne verrà a conoscenza.

    5. Il Fornitore di servizi si impegna in ogni momento a rispettare le Regole dell'UE e a non eseguire azioni ai sensi del Contratto che possano indurre il Cliente a violare uno qualsiasi dei suoi obblighi ai sensi delle Regole dell'UE e di qualsiasi normativa vigente emanata dalle autorità competenti in materia di protezione dei dati.

  3. PROTEZIONE DEI DATI

    1. Tutti i Dati personali forniti al Fornitore di servizi dal Cliente o ottenuti dal Fornitore di servizi nel corso del suo lavoro con il Cliente devono essere protetti e non possono essere copiati, divulgati o elaborati in alcun modo senza l'autorizzazione scritta del Cliente. Nella misura in cui le disposizioni del Contratto o le istruzioni del Cliente richiedano la copia, la divulgazione o l'elaborazione dei dati, si riterrà che questo si configuri l'autorità necessaria per attuare queste operazioni.

    2. Il Fornitore di servizi si impegna a rispettare tutte le misure ragionevolmente richieste dal Cliente per garantire che i suoi obblighi ai sensi del presente DPA siano adempiuti in modo soddisfacente in conformità a tutte le leggi applicabili. Ciò include qualsiasi guida alle migliori pratiche di cui il Cliente possa informare il Fornitore di servizi.

  4. ELABORAZIONE DEI DATI PERSONALI

    1. Qualora il Fornitore di servizi elabori i Dati personali (conservati sotto forma di registrazioni fisiche o elettroniche) per conto del Cliente, dovrà:

      1. Elaborare i Dati Personali solo nella misura e con le modalità necessarie per adempiere agli obblighi previsti dal Contratto o come richiesto dalla legge, comprese le Norme UE e qualsiasi legge, norma o regolamento vigente emanato dalle autorità competenti in materia di protezione dei dati;

      2. implementare adeguate misure tecniche e organizzative e adottare le misure necessarie per proteggere i Dati personali da trattamenti non autorizzati o illegali e da perdita, distruzione, danneggiamento, alterazione o divulgazione accidentale, e fornire tempestivamente i dettagli di tali misure come richiesto dal Cliente; tali misure di sicurezza sono indicate nella Sezione 6 del presente DPA; e

      3. su richiesta del Cliente, fornire tempestivamente al Cliente i dettagli dei sistemi tecnici e organizzativi in atto per salvaguardare la sicurezza dei Dati personali conservati e per impedire accessi non autorizzati.

    2. Il Cliente riconosce e accetta che (a) le società affiliate al Fornitore di servizi possano essere assunte come Subincaricati; e (b) il Fornitore di servizi e le società affiliate al Fornitore di servizi possano rispettivamente assumere Subincaricati terzi in relazione alla fornitura dei Servizi. Il Fornitore di servizi si assicurerà che qualsiasi terza parte a cui subappalta qualsiasi elaborazione abbia stipulato un contratto scritto con il Fornitore di servizi contenente disposizioni simili a quelle del presente DPA, nella misura applicabile alla natura dei Servizi forniti da tale Subincaricato. Su richiesta del Cliente, il Fornitore di servizi metterà a disposizione del Cliente l'elenco aggiornato dei subincaricati, incluso il relativo Paese di ubicazione. Se il Fornitore di servizi fornisce servizi di hosting ai sensi del Contratto, il Cliente accetta e riconosce che il Fornitore di servizi è autorizzato a ospitare i Dati personali presso un fornitore di data center terzo.

    3. A meno che le leggi applicabili non richiedano la conservazione di tali Dati personali, il Fornitore di servizi accetta che, nel caso in cui il Cliente gli comunichi che non è tenuto a fornire ulteriori servizi al Cliente ai sensi del presente DPA, il Fornitore di servizi trasferisca al Cliente una copia di tutte le informazioni (compresi i Dati personali) in suo possesso in relazione al presente DPA in un formato scelto dal Cliente (a condizione che il Cliente paghi i costi associati) e/o, su richiesta del Cliente, distrugga tutte le informazioni utilizzando un metodo sicuro che garantisca l'impossibilità di accesso da parte di terzi e rilasci al Cliente una conferma scritta dell'eliminazione sicura.

    4. Tutti i diritti d'autore, i diritti sulle banche dati e gli altri diritti di proprietà intellettuale relativi ai Dati personali trattati ai sensi del presente DPA (compresi, a titolo esemplificativo ma non esaustivo, eventuali aggiornamenti, modifiche o adattamenti dei Dati personali da parte del Cliente o del Fornitore di servizi) apparterranno al Cliente. Il Fornitore di servizi è autorizzato a utilizzare tali dati solo per la durata stabilita dal presente DPA e in conformità con esso.

  5. SOGGETTI TITOLARI DEI DATI

    1. Il Fornitore di servizi, nella misura consentita dalla legge, informerà tempestivamente il Cliente qualora riceva una richiesta da parte di un Soggetto interessato di esercitare il diritto di accesso, il diritto di rettifica, la limitazione del Trattamento, la cancellazione, la portabilità dei dati, l'opposizione al Trattamento o il diritto di non essere soggetto a un processo decisionale individuale automatizzato (ciascuno di essi indicato come "Richiesta del Soggetto"). Tenendo conto della natura del Trattamento, il Fornitore di servizi assisterà il Cliente con misure tecniche e organizzative adeguate, per quanto possibile, per l'adempimento dell'obbligo del Cliente di rispondere a una Richiesta dell'Interessato ai sensi del Capitolo III del GDPR. Fatta eccezione per quanto richiesto dalla legge applicabile, il Fornitore di servizi non risponderà a nessuna di tali richieste di soggetti interessati senza il previo consenso scritto del Cliente, se non per confermare che la richiesta si riferisce al Cliente.

    2. Inoltre, nella misura in cui il Cliente, nell'utilizzo dei Servizi, non sia in grado di rispondere a una Richiesta dell'Interessato, il Fornitore di Servizi, su richiesta del Cliente, si adopererà in modo commercialmente ragionevole per assistere il Cliente nel rispondere a tale Richiesta dell'Interessato, nella misura in cui il Fornitore di Servizi sia legalmente autorizzato a farlo e a condizione che tale Richiesta dell'Interessato sia necessaria ai sensi delle Norme UE applicabili. Eventuali costi derivanti da tale assistenza saranno a carico del Cliente, nella misura consentita dalla legge.

  6. SICUREZZA

    1. Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché dei rischi, con varia probabilità e gravità, per i diritti e le libertà delle persone fisiche, il Fornitore di servizi garantirà che, in relazione a tutti i Dati personali che riceve da o tratta per conto del Cliente, manterrà misure di sicurezza di livello adeguato a: (a) danni che potrebbero derivare da un trattamento illegale o non autorizzato o dalla perdita, dal danneggiamento o dalla distruzione accidentale dei Dati personali; e (b) alla natura dei Dati personali.

    2. Il Fornitore di servizi, per quanto riguarda i Dati personali, implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative per garantire un livello di sicurezza adeguato a tale rischio, comprese, se del caso, le misure di cui all'articolo 32(1) del GDPR, e in particolare quelle relative a possibili violazioni dei Dati personali. In particolare, il Fornitore di servizi dovrà:

      1. disporre e rispettare una politica di sicurezza che: (a) definisca le esigenze di sicurezza sulla base di una regolare Valutazione dell'Impatto sulla Privacy ("PIA"); (b) attribuisca la responsabilità dell'attuazione della politica a un individuo specifico o a membri di un team, compreso l'impiego di un Responsabile della Protezione dei Dati ("DPO"); (c) sia diffusa a tutti i membri, i volontari e il personale interessati; e (d) preveda un meccanismo di feedback e revisione;

      2. garantire l'adozione di adeguate misure di sicurezza e di protezione dai virus per proteggere l'hardware e il software utilizzati per l'elaborazione dei Dati personali, in conformità con le migliori prassi del settore;

      3. impedire l'accesso non autorizzato ai Dati personali;

      4. garantire che l'archiviazione dei Dati personali sia conforme alla prassi del settore, in modo tale che i supporti su cui sono registrati i Dati personali (compresi i registri cartacei e quelli archiviati elettronicamente) siano conservati in luoghi sicuri e che l'accesso del personale ai Dati personali sia strettamente monitorato e controllato;

      5. disporre di metodi sicuri per il transito dei Dati personali all'interno del portale di assistenza clienti (ad esempio, utilizzando la crittografia);

      6. utilizzare una password di protezione sui sistemi informatici in cui sono memorizzati i Dati personali e garantire che solo il personale autorizzato riceva i dettagli della password;

      7. adottare misure ragionevoli per garantire l'affidabilità di qualsiasi dipendente, agente, appaltatore o altra persona che abbia accesso ai Dati personali, assicurando in ogni caso che l'accesso sia strettamente limitato alle persone che hanno bisogno di conoscere o accedere ai Dati personali in questione, come strettamente necessario per gli scopi dell'Accordo (o degli Accordi), e per conformarsi alle Regole dell'UE nel contesto dei doveri di tale persona nei confronti del Fornitore di servizi;

      8. garantire che tutti i dipendenti, agenti, appaltatori o altre persone che devono accedere ai Dati personali siano informati della natura confidenziale dei Dati personali e si conformino agli obblighi stabiliti nel presente DPA;

      9. garantire che nessuno dei dipendenti, agenti, appaltatori o altri individui che hanno accesso ai Dati personali pubblichi, riveli o divulghi alcuno dei Dati personali a terzi, a meno che questo non venga richiesto per iscritto dal Cliente;

      10. disporre di metodi per rilevare e affrontare le violazioni della sicurezza (compresa la perdita, il danneggiamento o la distruzione dei Dati personali), tra cui: (a) la capacità di identificare quali individui hanno lavorato su specifici Dati personali; e (b) disporre di una procedura adeguata per indagare e porre rimedio alle violazioni dei principi di protezione dei dati contenuti nel Regolamento UE, comprese le registrazioni scritte.

      11. disporre di una procedura sicura per il backup e la conservazione dei backup separatamente dai dati originali; e

      12. disporre di un metodo sicuro di eliminazione dei Dati personali indesiderati, compresi i back-up, i dischi, le stampe e le apparecchiature in esubero.

    3. Il Fornitore di servizi fornirà al Cliente la documentazione pertinente, come un rapporto di audit (su richiesta scritta e soggetto a obblighi di riservatezza), in relazione a qualsiasi valutazione d'impatto sulla protezione dei dati e alle consultazioni preliminari con le autorità di vigilanza o altre autorità competenti in materia di privacy, qualora il Cliente ritenga, ragionevolmente, che tali valutazioni d'impatto sulla protezione dei dati o consultazioni preliminari siano necessarie ai sensi dell'articolo 35 o 36 del GDPR o ai sensi delle disposizioni equivalenti di qualsiasi altra norma dell'UE, ma in ogni caso esclusivamente in relazione al Trattamento dei Dati personali da parte del Fornitore di servizi e tenendo conto della natura del Trattamento e delle informazioni disponibili. Tale verifica sarà condotta a spese e costi del Cliente, nella misura consentita dalla legge.

  7. GESTIONE E NOTIFICA DELLE VIOLAZIONI DELLA SICUREZZA

    1. Il Fornitore di servizi, in conformità con le norme UE, dovrà inviare una notifica al Cliente e/o all'autorità di vigilanza non appena si verifichi una qualsiasi violazione dei dati personali (da qui in avanti indicata anche come "violazione"), e comunque non oltre 48 ore dalla scoperta della violazione stessa. La notifica o la risposta del Fornitore di servizi a una violazione dei dati personali ai sensi della presente Sezione 7.1 non sarà interpretata come un riconoscimento da parte del Fornitore di servizi di qualsiasi colpa o responsabilità in relazione alla violazione dei dati personali.

    2. Il Fornitore di servizi compirà sforzi ragionevoli per identificare la causa di tale violazione dei dati personali e dovrà prontamente e senza indebiti ritardi: (a) indagare sulla violazione dei dati personali e fornire al Cliente informazioni sulla violazione dei dati personali, comprese, se del caso, le informazioni che un Responsabile del trattamento dei dati deve fornire a un Titolare del trattamento dei dati ai sensi dell'articolo 33, paragrafo 3, del GDPR, nella misura in cui tali informazioni siano ragionevolmente disponibili; e (b) adottare misure ragionevoli per mitigare gli effetti e ridurre al minimo qualsiasi danno derivante dalla violazione dei dati personali, nella misura in cui il rimedio rientra nel ragionevole controllo del Fornitore di servizi. La notifica sarà inviata al Cliente in conformità con la Sezione 7.3 di seguito.

    3. Le notifiche di eventuali violazioni dei dati personali saranno inviate a uno o più contatti commerciali, tecnici o amministrativi del Cliente con qualsiasi mezzo scelto dal Fornitore di servizi, anche tramite email. È responsabilità esclusiva del Cliente assicurarsi di mantenere informazioni di contatto aggiornate sui sistemi di supporto del Fornitore di servizi.

  8. OBBLIGHI DEL CLIENTE

    Il Cliente è l'unico responsabile per quanto riguarda:

    1. rispettare, in ogni momento, le norme UE in materia di trattamento dei Dati personali in relazione agli Accordi e ai Servizi;

    2. garantire che il trattamento dei Dati personali da parte del Fornitore del servizio sia legittimo;

    3. ove applicabile, garantire che siano stati ottenuti consensi legalmente vincolanti per la raccolta, l'accesso, l'uso, la manutenzione e/o la divulgazione dei Dati personali in conformità con le Regole dell'UE e le politiche e le procedure del Cliente da ogni individuo ed entità (compresi, senza limitazioni, i consumatori, i clienti commerciali e/o i dipendenti e gli appaltatori del Cliente) a cui si riferiscono i Dati personali;

    4. rendere inutilizzabili, illeggibili o indecifrabili a persone non autorizzate tutti i Dati personali presenti sui propri sistemi, in conformità agli standard del settore, alla legge applicabile e a qualsiasi Codice di condotta pertinente;

    5. stabilire le misure di sicurezza delle informazioni applicabili e le politiche associate per la protezione dei Dati personali nelle proprie strutture. Il Cliente deve comunicare le salvaguardie e le politiche pertinenti al Fornitore di servizi con ragionevole anticipo e per iscritto quando il Fornitore di servizi fornisce servizi presso una struttura del Cliente o accede ai sistemi del Cliente;

    6. informare tempestivamente il Fornitore di servizi di tutte le politiche che implementa in merito al trattamento e alla protezione dei Dati personali con istruzioni esplicite su come tali politiche devono essere implementate dal Fornitore di servizi;

    7. informare tempestivamente il Fornitore di servizi di qualsiasi richiesta di cancellazione dei Dati personali dell'Interessato con istruzioni dettagliate su come il Fornitore di servizi debba rispondere alla richiesta;

    8. fornire al Fornitore di servizi e aggiornare tempestivamente, se necessario, le informazioni indicate di seguito: (a) identità e informazioni di contatto del Responsabile della protezione dei dati del Cliente; (b) identità e informazioni di contatto del rappresentante UE del Cliente; (c) descrizione delle categorie di Trattamento effettuate dal Cliente in relazione ai Servizi; (d) tipi di Dati personali da trattare; e (e) categorie di Soggetti interessati a cui si riferiscono i Dati personali.

  9. TRASFERIMENTI INTERNAZIONALI DI DATI

    1. Il Fornitore di servizi trasferirà i dati personali al di fuori del SEE, laddove tali trasferimenti siano regolamentati dal Regolamento UE, solo in conformità al Regolamento UE. Il Cliente autorizza il Fornitore di servizi (e autorizza il Fornitore di servizi ad autorizzare i suoi Subincaricati) a trattare i Dati personali e a trasferire i Dati personali nei paesi o territori in cui si trovano tali Subincaricati, in conformità con l'Accordo e con il presente DPA.

    2. Trasferimenti ai sensi delle clausole contrattuali standard

      1. Le Clausole contrattuali standard si applicheranno ai Dati personali trasferiti dal territorio del SEE, direttamente o tramite trasferimento successivo, a qualsiasi paese o destinatario: (i) non riconosciuto dalla Commissione europea come fornitore di un livello adeguato di protezione dei dati personali (come descritto nella Direttiva sulla protezione dei dati dell'UE e in qualsiasi legislazione successiva), e (ii) non coperto da un quadro adeguato riconosciuto dalle autorità o dai tribunali competenti come fornitore di un livello adeguato di protezione dei dati personali, incluso, a titolo esemplificativo ma non esaustivo, il Privacy Shield UE-USA.

      2. Qualora si applichino le Clausole Contrattuali Standard in conformità con la Sezione 9.2.1:

        1. il Fornitore di servizi si impegna a rispettare i termini delle Clausole contrattuali standard, ai fini delle quali il Cliente e le sue affiliate con sede nel SEE saranno considerati l'Esportatore o gli Esportatori di dati e il Fornitore di servizi sarà considerato l'Importatore di dati;

        2. la legge applicabile di cui alla clausola 9 delle Clausole Contrattuali Standard sarà quella dell'Esportatore di Dati;

        3. se richiesto dalle leggi o dalle procedure normative di qualsiasi giurisdizione, le parti o il Fornitore di servizi e una o più delle sue affiliate con sede nel SEE, come richiesto, eseguiranno o rieseguiranno le Clausole contrattuali standard come documenti separati che definiscono i trasferimenti di Dati personali secondo le modalità richieste;

        4. in caso di incongruenze tra le disposizioni delle Clausole Contrattuali Standard e il presente DPA, l'Accordo o altri accordi tra le parti in merito ai Servizi, le Clausole Contrattuali Standard avranno priorità;

        5. nel caso in cui le Clausole Contrattuali Standard siano modificate, sostituite o abrogate dalla Commissione Europea o ai sensi del Regolamento UE, le parti collaboreranno in buona fede per stipulare una versione aggiornata delle Clausole Contrattuali Standard o per negoziare in buona fede una soluzione che consenta di effettuare un trasferimento di Dati Personali in conformità al Regolamento UE; e

        6. le parti concordano che la certificazione di cancellazione dei Dati personali descritta nella clausola 12(1) delle Clausole contrattuali standard sarà fornita dall'Importatore di dati all'Esportatore di dati solo su richiesta dell'Esportatore di dati.

    3. Trasferimenti ai sensi del Privacy Shield

      1. In relazione ai Dati Personali trasferiti dal Cliente al Fornitore di Servizi ai sensi del Privacy Shield UE-U.S. o Svizzera-U.S., il Fornitore di Servizi tratterà tali Dati Personali solo in stretta conformità con i Principi del Privacy Shield UE-U.S. o Svizzera-U.S. e i Principi Integrativi.

  10. TERMINI GENERALI

    1. La responsabilità di ciascuna parte e di tutte le sue affiliate, considerata complessivamente, derivante da o correlata al presente DPA, sia per contratto, che per illecito civile o in base a qualsiasi altra teoria di responsabilità, è soggetta alla sezione sulla limitazione di responsabilità del Contratto, e qualsiasi riferimento in tale sezione alla responsabilità di una parte indica la responsabilità complessiva di tale parte e di tutte le sue affiliate ai sensi del Contratto e del presente DPA.

    2. Nessuna alterazione, emendamento o modifica del presente DPA sarà valida se non in forma scritta e firmata da un rappresentante autorizzato di entrambe le parti.

    3. Qualsiasi ambiguità nei termini del presente DPA sarà risolta per consentire al Fornitore di servizi o al Cliente di conformarsi alle leggi vigenti.

    4. Il presente DPA costituisce l'intero e completo accordo tra le parti in merito alla privacy e alla sicurezza dei Dati personali e sostituisce qualsiasi altro accordo, dichiarazione o intesa, orale o scritta. Tutte le clausole dell'Accordo che non sono esplicitamente modificate o integrate dalle clausole del presente DPA, e nella misura in cui ciò non è in contrasto con i requisiti obbligatori del Regolamento UE, ai sensi del presente DPA, rimangono in vigore e si applicheranno alle, ma non limitatamente alle, leggi applicabili e risoluzione delle controversie, giurisdizione, limitazione di responsabilità (nella misura massima consentita dal Regolamento UE).

    5. Nel caso in cui una disposizione del presente DPA sia ritenuta non valida o inapplicabile ai sensi di qualsiasi legge applicabile, la disposizione non valida o inapplicabile sarà considerata sostituita da una disposizione valida e applicabile che si avvicini il più possibile all'intento della disposizione originale; il resto del DPA continuerà ad avere pieno effetto.

    6. Qualora il Fornitore di servizi decida di non poter più adempiere ai propri obblighi in conformità al presente DPA, dovrà informare tempestivamente il Cliente di tale decisione e cessare l'elaborazione o adottare altre misure ragionevoli e appropriate per porre rimedio a tale situazione.

    7. Le notifiche richieste ai sensi del presente DPA dovranno essere inviate in conformità agli Accordi con una copia (che non costituirà una notifica via email) all'indirizzo: legal@gfi.com.

APPENDICE 1 ALLE CLAUSOLE CONTRATTUALI STANDARD

La pesente Appendice fa parte delle Clausole contrattuali standard e deve essere compilata e firmata dalle parti.

Gli Stati membri possono aggiungere o specificare, in base ai loro regolamenti nazionali, tutte le informazioni supplementari necessarie che devono essere contenute in questa appendice.

Esportatore dei dati

L'esportatore dei dati è (specificare brevemente le attività rilevanti):

L'Esportatore di dati è la persona giuridica che ha stipulato il Contratto con l'Importatore di dati.

Importatore dei dati

L'importatore dei dati è (specificare brevemente le attività rilevanti):

L'Importatore di dati è la persona giuridica che ha stipulato l'Accordo con l'Esportatore di dati e che tratta i Dati personali su istruzione dell'Esportatore di dati in conformità ai termini dell'Accordo.

Soggetti dei dati

I dati personali trasferiti riguardano le seguenti categorie di soggetti (specificare):

Le categorie di Soggetti interessati, secondo quanto stabilito dall'Esportatore di dati, possono includere rappresentanti dei clienti e utenti, come dipendenti, candidati, appaltatori, collaboratori, partner, fornitori e clienti del Cliente.

Categorie dei dati

I dati personali trasferiti riguardano le seguenti categorie di soggetti (specificare):

Le categorie di Dati personali, come stabilito dall'Esportatore di dati, possono includere, tra le altre informazioni, i dati personali di contatto come nome, indirizzo, numero di telefono o cellulare, numero di fax, indirizzo email e password e dati sull'impiego, tra cui nome del datore di lavoro, titolo e funzione dell'impiego e dati di contatto aziendali.

Categorie speciali dei dati (se appropriato):

I dati personali trasferiti riguardano le seguenti categorie particolari di dati (specificare):

Nessuna.

Scopo del trasferimento / Operazioni di elaborazione

I dati personali trasferiti saranno oggetto delle seguenti attività di elaborazione di base (specificare):

L'obiettivo dell'elaborazione dei Dati personali da parte dell'Importatore di dati è l'esecuzione dei Servizi ai sensi dell'Accordo in essere tra l'Esportatore di dati e l'Importatore di dati.

APPENDICE 2 ALLE CLAUSOLE CONTRATTUALI STANDARD

La presente Appendice fa parte delle Clausole contrattuali standard e deve essere compilata e firmata dalle parti.

Descrizione delle misure di sicurezza tecniche e organizzative attuate dall'importatore dei dati in conformità alle clausole 4(d) e 5(c) (o documento/legislazione allegato):

L'Importatore di dati implementerà ragionevoli salvaguardie amministrative, fisiche, manageriali e tecniche per la protezione della sicurezza, della riservatezza e dell'integrità dei Dati personali in relazione ai Servizi, in conformità con i requisiti legali applicabili, come stabilito nella Sezione 6 del presente DPA e come altrimenti concordato dalle parti per iscritto. L'Importatore dei dati non ridurrà materialmente la sicurezza complessiva dei Servizi durante la durata del Contratto.