CLAUSOLE CONTRATTUALI STANDARD

Appendice n. 2 - Clausole contrattuali standard

CLAUSOLE CONTRATTUALI STANDARD

SEZIONE I

Clausola 1
Scopo e ambito di applicazione

(a) Lo scopo delle presenti clausole contrattuali standard è quello di garantire la conformità ai requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) per il trasferimento dei dati personali verso un paese terzo.

(b) Le parti:
(i) la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo (di seguito "entità") che trasferisce i dati personali, elencati nell'allegato I.A (di seguito "esportatore"), e

(ii) l'entità o le entità di un paese terzo che ricevono i dati personali dall'esportatore, direttamente o indirettamente tramite un'altra entità anch'essa parte delle presenti clausole, elencata nell'allegato I.A (di seguito ciascun "importatore di dati") hanno accettato le presenti clausole contrattuali standard (di seguito: "clausole").

(c) Le presenti clausole si applicano al trasferimento di dati personali come specificato nell'Allegato I.B.

(d) L'Appendice alle presenti Clausole contenente gli Allegati ivi menzionati costituisce parte integrante delle stesse.

Clausola 2
Effetto e invariabilità delle clausole

(a) Le presenti Clausole stabiliscono garanzie adeguate, tra cui diritti dell'interessato azionabili e rimedi giuridici efficaci, ai sensi dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del Regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati da responsabili del trattamento a incaricati del trattamento e/o da incaricati del trattamento a incaricati del trattamento, clausole contrattuali standard ai sensi dell'articolo 28, paragrafo 7, del Regolamento (UE) 2016/679, a condizione che non vengano modificate, se non per selezionare il Modulo o i Moduli appropriati o per aggiungere o aggiornare le informazioni nell'Appendice. Ciò non impedisce alle Parti di includere le clausole contrattuali standard stabilite nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, a condizione che non contraddicano, direttamente o indirettamente, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

(b) Le presenti clausole non pregiudicano gli obblighi a cui l'esportatore di dati è soggetto in virtù del Regolamento (UE) 2016/679.

Clausola 3
Terzi beneficiari

(a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore di dati, con le seguenti eccezioni:
(i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;

(ii) Clausola 8 - Modulo Uno: Clausola 8.5 (e) e Clausola 8.9 (b); Modulo Due: Clausola 8.1 (b), 8.9 (a), (c), (d) ed (e); Modulo Tre: Clausola 8.1(a), (c) e (d) e Clausola 8.9(a), (c), (d), (e), (f) e (g); Modulo 4: Clausola 8.1 (b) e Clausola 8.3 (b);

(iii) Clausola 9 - Modulo 2: Clausola 9(a), (c), (d) ed (e); Modulo 3: Clausola 9(a), (c), (d) ed (e);

(iv) Clausola 12 - Modulo Uno: Clausola 12(a) e (d); Moduli Due e Tre: Clausola 12(a), (d) e (f);

(v) Clausola 13;

(vi) Clausola 15.1(c), (d) ed (e);

(vii) Clausola 16(e);

(viii) Clausola 18 - Moduli Uno, Due e Tre: Clausola 18(a) e (b); Modulo Quattro: Clausola 18.

(b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.

Clausola 4
Interpretazione

(a) Laddove le presenti Clausole utilizzino termini definiti nel Regolamento (UE) 2016/679, tali termini avranno lo stesso significato che hanno in tale Regolamento.

(b) Le presenti clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

(c) Le presenti Clausole non potranno essere interpretate in modo da entrare in conflitto con i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5
Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni dei relativi accordi tra le Parti, esistenti al momento in cui le presenti Clausole vengono concordate o stipulate successivamente, prevarranno le presenti Clausole.

Clausola 6
Descrizione del/i trasferimento/i

I dettagli del/i trasferimento/i, e in particolare le categorie di dati personali che vengono trasferiti e le finalità per cui vengono trasferiti, sono specificati nell'Allegato I.B.

Clausola 7
Clausola di attracco

(a) Un'entità che non è Parte delle presenti Clausole può, con l'accordo delle Parti, aderire alle presenti Clausole in qualsiasi momento, sia come esportatore di dati che come importatore di dati, compilando l'Appendice e firmando l'Allegato I.A.

(b) Una volta completata l'appendice e firmato l'Allegato I.A, l'entità aderente diventerà Parte delle presenti Clausole e avrà i diritti e gli obblighi di un esportatore o importatore di dati in conformità alla sua designazione nell'Allegato I.A.

(c) L'entità aderente non avrà alcun diritto o obbligo derivante dalle presenti Clausole per il periodo precedente all'adesione.

SEZIONE II - OBBLIGHI DELLE PARTI

Clausola 8
Tutela della protezione dei dati

L'esportatore dei dati garantisce di aver compiuto sforzi ragionevoli per determinare che l'importatore dei dati è in grado, attraverso l'attuazione di misure tecniche e organizzative adeguate, di soddisfare i propri obblighi ai sensi delle presenti clausole.

8.1 Istruzioni
(a) L'importatore tratterà i dati personali solo su istruzioni documentate dell'esportatore. L'esportatore può impartire tali istruzioni per tutta la durata del contratto.

(b) L'importatore di dati informa immediatamente l'esportatore di dati se non è in grado di seguire tali istruzioni.

8.2 Limitazione dello scopo
L'importatore tratterà i dati personali solo per le finalità specifiche del trasferimento, come indicato nell'allegato I.B, salvo ulteriori istruzioni dell'esportatore.

8.3 Trasparenza
Su richiesta, l'esportatore di dati mette gratuitamente a disposizione dell'interessato una copia delle presenti clausole, compresa l'appendice compilata dalle Parti. Nella misura in cui ciò sia necessario per proteggere i segreti aziendali o altre informazioni riservate, comprese le misure descritte nell'Allegato II e i dati personali, l'esportatore di dati può redigere parte del testo dell'Appendice alle presenti Clausole prima di condividerne una copia, ma deve fornire una sintesi significativa qualora l'interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le Parti forniscono all'interessato i motivi delle riduzioni, per quanto possibile senza rivelare le informazioni ridotte. La presente clausola non pregiudica gli obblighi dell'esportatore di dati ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679.

8.4 Precisione
Se l'importatore di dati si rende conto che i dati personali che ha ricevuto sono inesatti o sono diventati obsoleti, deve informare l'esportatore di dati senza indebito ritardo. In tal caso, l'importatore di dati collaborerà con l'esportatore per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati
Il trattamento da parte dell'importatore di dati avverrà solo per la durata specificata nell'Allegato I.B. Al termine della fornitura dei servizi di trattamento, l'importatore di dati dovrà, a scelta dell'esportatore di dati, cancellare tutti i dati personali trattati per conto dell'esportatore di dati e certificare all'esportatore di dati di averlo fatto, oppure restituire all'esportatore di dati tutti i dati personali trattati per suo conto e cancellare le copie esistenti. Fino a quando i dati non saranno cancellati o restituiti, l'importatore di dati continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all'importatore di dati che vietino la restituzione o la cancellazione dei dati personali, l'importatore di dati garantisce che continuerà a garantire il rispetto delle presenti Clausole e li tratterà solo nella misura e per il tempo richiesti dalla legge locale. Ciò non pregiudica la Clausola 14, in particolare l'obbligo per l'importatore di dati ai sensi della Clausola 14(e) di notificare all'esportatore di dati per tutta la durata del contratto se ha motivo di credere che sia o sia diventato soggetto a leggi o pratiche non in linea con i requisiti di cui alla Clausola 14(a).

8.6 Sicurezza del trattamento
(a) L'importatore dei dati e, durante la trasmissione, anche l'esportatore dei dati devono attuare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nel valutare il livello di sicurezza adeguato, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi che il trattamento comporta per gli interessati. Le Parti prendono in considerazione, in particolare, la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere soddisfatta in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l'attribuzione dei dati personali a un soggetto specifico devono, ove possibile, rimanere sotto il controllo esclusivo dell'esportatore di dati. Nell'adempimento degli obblighi di cui al presente paragrafo, l'importatore di dati attua almeno le misure tecniche e organizzative specificate nell'allegato II. L'importatore di dati effettua controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.

(b) L'importatore di dati concede l'accesso ai dati personali ai membri del suo personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Si assicura che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo di riservatezza previsto dalla legge.

(c) In caso di violazione dei dati personali trattati dall'importatore ai sensi delle presenti clausole, l'importatore adotterà le misure appropriate per affrontare la violazione, comprese le misure per attenuarne gli effetti negativi. L'importatore dovrà inoltre notificare all'esportatore la violazione senza ritardi ingiustificati dopo esserne venuto a conoscenza. Tale notifica conterrà gli estremi di un punto di contatto presso il quale ottenere maggiori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registri di dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per affrontare la violazione, comprese, se del caso, le misure per attenuarne gli eventuali effetti negativi. Se, e nella misura in cui, non è possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale conterrà le informazioni disponibili in quel momento e le ulteriori informazioni, man mano che si rendono disponibili, saranno fornite successivamente senza indebito ritardo.

(d) L'importatore collabora con l'esportatore e lo assiste per consentirgli di adempiere agli obblighi previsti dal Regolamento (UE) 2016/679, in particolare di notificare l'autorità di controllo competente e gli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'importatore.

8.7 Dati sensibili
Qualora il trasferimento riguardi dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona, o dati relativi a condanne penali e reati (di seguito "dati sensibili"), l'importatore dei dati applicherà le restrizioni specifiche e/o le garanzie supplementari descritte nell'allegato I.B.

8.8 Trasferimenti successivi
L'importatore dei dati comunicherà i dati personali a terzi solo su istruzioni documentate dell'esportatore dei dati. Inoltre, i dati possono essere divulgati a terzi situati al di fuori dell'Unione Europea (4) (nello stesso paese dell'importatore dei dati o in un altro paese terzo, di seguito "trasferimento successivo") solo se il terzo è o accetta di essere vincolato dalle presenti clausole, in base al modulo appropriato, o se:
(i) il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;

(ii) il terzo assicura altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 Regolamento (UE) 2016/679 rispetto al trattamento in questione;

(iii) il trasferimento successivo è necessario per l'accertamento, l'esercizio o la difesa di diritti legali nell'ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure

(iv) il trasferimento successivo è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica.

Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell'importatore dei dati di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.

8.9 Documentazione e conformità
(a) L'importatore di dati dovrà trattare prontamente e adeguatamente le richieste dell'esportatore di dati relative al trattamento ai sensi delle presenti clausole.

(b) Le Parti devono essere in grado di dimostrare la conformità alle presenti clausole. In particolare, l'importatore di dati dovrà conservare una documentazione adeguata sulle attività di trattamento svolte per conto dell'esportatore di dati.

(c) L'importatore di dati metterà a disposizione dell'esportatore tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e, su richiesta dell'esportatore, consentirà e contribuirà alle verifiche delle attività di trattamento contemplate dalle presenti clausole, a intervalli ragionevoli o in caso di indizi di non conformità. Nel decidere una revisione o un audit, l'esportatore di dati può tenere conto delle certificazioni pertinenti in possesso dell'importatore di dati.

(d) L'esportatore di dati può scegliere di condurre l'audit autonomamente o di incaricare un revisore indipendente. Gli audit possono comprendere ispezioni presso i locali o le strutture fisiche dell'importatore di dati e, se del caso, devono essere effettuati con un ragionevole preavviso.

(e) Le Parti mettono a disposizione dell'autorità di vigilanza competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9
Utilizzo di subprocessori

(a) L'importatore di dati dispone dell'autorizzazione generale dell'esportatore per l'assunzione di subincaricati da un elenco concordato. L'importatore di dati informerà specificamente per iscritto l'esportatore di qualsiasi modifica prevista a tale elenco attraverso l'aggiunta o la sostituzione di subincaricati con almeno [Specificare il periodo di tempo] in anticipo, dando così all'esportatore di dati un tempo sufficiente per potersi opporre a tali modifiche prima dell'assunzione del/i subincaricato/i. L'importatore di dati fornirà all'esportatore le informazioni necessarie per consentirgli di esercitare il proprio diritto di opposizione.

(b) Qualora l'importatore di dati incarichi un subincaricato di svolgere specifiche attività di trattamento (per conto dell'esportatore di dati), dovrà farlo mediante un contratto scritto che preveda, in sostanza, gli stessi obblighi di protezione dei dati che vincolano l'importatore di dati ai sensi delle presenti Clausole, anche in termini di diritti di terzi beneficiari per gli interessati. (8) Le Parti convengono che, rispettando la presente clausola, l'importatore di dati adempie agli obblighi di cui alla clausola 8.8. L'importatore di dati dovrà garantire che il subincaricato rispetti gli obblighi a cui l'importatore di dati è soggetto ai sensi delle presenti Clausole.

(c) L'importatore di dati deve fornire all'esportatore, su richiesta di quest'ultimo, una copia di tale accordo di subprocessamento e di ogni successiva modifica. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l'importatore di dati può riformulare il testo dell'accordo prima di condividerne una copia.

(d) L'importatore di dati rimane pienamente responsabile nei confronti dell'esportatore dell'adempimento degli obblighi del subincaricato ai sensi del contratto con l'importatore di dati. L'importatore di dati dovrà notificare all'esportatore qualsiasi inadempimento da parte del subincaricato degli obblighi previsti dal contratto.

(e) L'importatore deve concordare con il subincaricato una clausola di terzo beneficiario in base alla quale, nel caso in cui l'importatore sia scomparso di fatto, abbia cessato di esistere giuridicamente o sia diventato insolvente, l'esportatore avrà il diritto di risolvere il contratto di subincarico e di ordinare al subincaricato di cancellare o restituire i dati personali.

Clausola 10
Diritti dell'interessato

(a) L'importatore di dati comunica tempestivamente all'esportatore qualsiasi richiesta ricevuta da un interessato. L'importatore non può rispondere direttamente a tale richiesta, a meno che non sia stato autorizzato dall'esportatore.

(b) L'importatore dei dati assiste l'esportatore nell'adempimento degli obblighi di risposta alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del Regolamento (UE) 2016/679. A tale proposito, le Parti stabiliscono nell'allegato II le misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento, con cui fornire l'assistenza, nonché la portata e l'entità dell'assistenza richiesta.

(c) Nell'adempimento degli obblighi di cui ai paragrafi (a) e (b), l'importatore di dati si attiene alle istruzioni dell'esportatore di dati.

Clausola 11
Ricorso

(a) L'importatore di dati informa gli interessati in un formato trasparente e facilmente accessibile, attraverso una comunicazione individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami. L'importatore si occuperà prontamente di qualsiasi reclamo ricevuto da un interessato. L'importatore di dati accetta che gli interessati possano anche presentare un reclamo a un organismo indipendente di risoluzione delle controversie senza alcun costo per l'interessato. L'importatore informa gli interessati, secondo le modalità di cui al paragrafo (a), di tale meccanismo di ricorso e del fatto che non sono tenuti a utilizzarlo o a seguire una particolare procedura di ricorso.

(b) In caso di controversia tra una persona interessata e una delle Parti per quanto riguarda l'osservanza delle presenti clausole, la Parte in questione farà del suo meglio per risolvere la questione in modo amichevole e tempestivo. Le Parti si tengono reciprocamente informate su tali controversie e, se del caso, collaborano alla loro risoluzione.

(c) Qualora l'interessato invochi un diritto di terzo beneficiario ai sensi della clausola 3, l'importatore di dati accetta la decisione dell'interessato di:
(i) presentare un reclamo all'autorità di vigilanza dello Stato membro in cui risiede abitualmente o lavora, o all'autorità di vigilanza competente ai sensi della clausola 13;

(ii) deferire la controversia ai tribunali competenti ai sensi della Clausola 18.

(d) Le Parti accettano che l'interessato possa essere rappresentato da un ente, un'organizzazione o un'associazione senza scopo di lucro alle condizioni di cui all'articolo 80, paragrafo 1, del Regolamento (UE) 2016/679.

(e) L'importatore di dati deve attenersi a una decisione vincolante ai sensi del diritto dell'UE o degli Stati membri.

(f) L'importatore di dati accetta che la scelta effettuata dall'interessato non pregiudichi i suoi diritti sostanziali e procedurali di ricorso in conformità alle leggi applicabili.

Clausola 12
Responsabilità

(a) Ciascuna Parte sarà responsabile nei confronti dell'altra Parte per qualsiasi danno causato all'altra Parte da qualsiasi violazione delle presenti clausole.

(b) L'importatore di dati sarà responsabile nei confronti dell'interessato, e l'interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che l'importatore di dati o il suo subincaricato causino all'interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole.

(c) In deroga al paragrafo (b), l'esportatore di dati è responsabile nei confronti dell'interessato, e l'interessato ha diritto a ricevere un risarcimento, per qualsiasi danno materiale o morale che l'esportatore di dati o l'importatore di dati (o il suo subincaricato) causa all'interessato violando i diritti del terzo beneficiario ai sensi delle presenti clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati e, qualora l'esportatore di dati sia un incaricato del trattamento che agisce per conto di un responsabile del trattamento, la responsabilità del responsabile del trattamento ai sensi del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725, a seconda dei casi.

(d) Le Parti convengono che se l'esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per i danni causati dall'importatore di dati (o dal suo subincaricato), avrà il diritto di richiedere all'importatore di dati la parte del risarcimento corrispondente alla responsabilità dell'importatore di dati per il danno.

(e) Nel caso in cui più di una Parte sia responsabile di eventuali danni causati all'interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno responsabili in solido e l'interessato avrà il diritto di intentare un'azione legale contro una qualsiasi di queste Parti.

(f) Le Parti convengono che se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di richiedere all'altra Parte/alle altre Parti la parte del risarcimento corrispondente alla sua responsabilità per il danno.

(g) L'importatore di dati non può invocare la condotta di un subincaricato per evitare la propria responsabilità.

Clausola 13
Supervisione

(a) [Se l'esportatore di dati è stabilito in uno Stato membro dell'UE:] L'autorità di controllo responsabile di garantire il rispetto da parte dell'esportatore di dati del regolamento (UE) 2016/679 per quanto riguarda il trasferimento di dati, come indicato nell'allegato I.C, agisce come autorità di controllo competente.
[Se l'esportatore di dati non è stabilito in uno Stato membro dell'UE, ma rientra nell'ambito territoriale di applicazione del Regolamento (UE) 2016/679 ai sensi del suo articolo 3, paragrafo 2, e ha nominato un rappresentante ai sensi dell'articolo 27, paragrafo 1, del Regolamento (UE) 2016/679:] L'autorità di vigilanza dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27, paragrafo 1, del regolamento (UE) 2016/679, come indicato nell'allegato I.C, agisce in qualità di autorità di vigilanza competente.
[Qualora l'esportatore di dati non sia stabilito in uno Stato membro dell'UE, ma rientri nell'ambito territoriale di applicazione del Regolamento (UE) 2016/679 ai sensi del suo articolo 3, paragrafo 2, senza tuttavia dover nominare un rappresentante ai sensi dell'articolo 27, paragrafo 2, del Regolamento (UE) 2016/679:] L'autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti ai sensi delle presenti clausole in relazione all'offerta di beni o servizi agli stessi, o il cui comportamento è monitorato, come indicato nell'allegato I.C, agisce come autorità di controllo competente.

(b) L'importatore di dati si impegna a sottoporsi alla giurisdizione dell'autorità di controllo competente e a collaborare con essa in tutte le procedure volte a garantire il rispetto delle presenti clausole. In particolare, l'importatore di dati si impegna a rispondere alle richieste di informazioni, a sottoporsi a verifiche e a rispettare le misure adottate dall'autorità di controllo, comprese le misure correttive e compensative. L'importatore fornirà all'autorità di controllo una conferma scritta dell'adozione delle misure necessarie.

SEZIONE III - LEGGI LOCALI E OBBLIGHI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE

Clausola 14
Leggi e prassi locali che incidono sulla conformità alle Clausole

(a) Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore, compresi gli obblighi di divulgazione dei dati personali o le misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'importatore di adempiere agli obblighi previsti dalle presenti clausole. Ciò si basa sulla consapevolezza che le leggi e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati all'articolo 23, paragrafo 1, del Regolamento (UE) 2016/679, non sono in contraddizione con le presenti Clausole.

(b) Le Parti dichiarano che, nel fornire la garanzia di cui al paragrafo (a), hanno tenuto in debito conto in particolare i seguenti elementi:
(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;

(ii) le leggi e le prassi del paese terzo di destinazione - comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l'accesso da parte di tali autorità - pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili (12);

(iii) qualsiasi salvaguardia contrattuale, tecnica o organizzativa messa in atto per integrare le salvaguardie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

(c) L'importatore di dati garantisce che, nell'effettuare la valutazione di cui al paragrafo (b), ha fatto del suo meglio per fornire all'esportatore di dati le informazioni pertinenti e si impegna a continuare a cooperare con l'esportatore di dati per garantire il rispetto delle presenti clausole.

(d) Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell'autorità di vigilanza competente su richiesta.

(e) L'importatore di dati si impegna a notificare tempestivamente all'esportatore di dati se, dopo aver accettato le presenti clausole e per tutta la durata del contratto, ha motivo di ritenere di essere o di essere diventato soggetto a leggi o prassi non in linea con i requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un'applicazione pratica di tali leggi non in linea con i requisiti di cui al paragrafo (a). [Per il Modulo 3: L'esportatore di dati trasmette la notifica al responsabile del trattamento].

(f) A seguito di una notifica ai sensi del paragrafo (e), o se l'esportatore di dati ha altrimenti motivo di ritenere che l'importatore di dati non possa più adempiere agli obblighi previsti dalle presenti clausole, l'esportatore di dati individua prontamente le misure appropriate (ad esempio, misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che l'esportatore di dati e/o l'importatore di dati devono adottare per affrontare la situazione [per il Modulo Tre: se del caso in consultazione con il responsabile del trattamento]. L'esportatore di dati sospende il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento, o se riceve istruzioni in tal senso da [per il Modulo Tre: il responsabile del trattamento o] l'autorità di controllo competente. In tal caso, l'esportatore di dati avrà il diritto di risolvere il contratto, nella misura in cui esso riguarda il trattamento dei dati personali ai sensi delle presenti clausole. Se il contratto coinvolge più di due Parti, l'esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della Parte interessata, a meno che le Parti non abbiano concordato diversamente. In caso di risoluzione del contratto ai sensi della presente clausola, si applica la clausola 16 (d) ed (e).

Clausola 15
Obblighi dell'importatore di dati in caso di accesso da parte di autorità pubbliche

15.1 Notifica
(a) L'importatore dei dati si impegna a notificare tempestivamente all'esportatore e, ove possibile, all'interessato (se necessario con l'aiuto dell'esportatore) se:
(i) riceve una richiesta legalmente vincolante da parte di un'autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione, per la divulgazione dei dati personali trasferiti ai sensi delle presenti clausole; tale notifica deve includere informazioni sui dati personali richiesti, sull'autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; oppure

(ii) venga a conoscenza di un accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità alle leggi del paese di destinazione; tale notifica deve includere tutte le informazioni a disposizione dell'importatore.

[Per il modulo 3: L'esportatore di dati inoltra la notifica al responsabile del trattamento].

(b) Se all'importatore di dati è vietato notificare l'esportatore e/o l'interessato in base alle leggi del paese di destinazione, l'importatore di dati si impegna a fare del suo meglio per ottenere una deroga al divieto, al fine di comunicare il maggior numero di informazioni possibile, il prima possibile. L'importatore di dati si impegna a documentare i propri sforzi per poterli dimostrare su richiesta dell'esportatore di dati.

(c) Se consentito dalle leggi del paese di destinazione, l'importatore di dati si impegna a fornire all'esportatore di dati, a intervalli regolari per tutta la durata del contratto, il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, le autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.) [Per il Modulo 3: L'esportatore di dati trasmette le informazioni al responsabile del trattamento].

(d) L'importatore di dati si impegna a conservare le informazioni di cui ai paragrafi da (a) a (c) per la durata del contratto e a metterle a disposizione dell'autorità di controllo competente su richiesta.

(e) I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'importatore di dati ai sensi della Clausola 14(e) e della Clausola 16 di informare tempestivamente l'esportatore di dati qualora non sia in grado di rispettare tali Clausole.

15.2 Revisione della legalità e minimizzazione dei dati
(a) L'importatore di dati si impegna a riesaminare la legittimità della richiesta di divulgazione, in particolare se essa rientra nei poteri concessi all'autorità pubblica richiedente, e a contestare la richiesta se, dopo un'attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di comitatologia internazionale. L'importatore di dati deve, alle stesse condizioni, avvalersi delle possibilità di ricorso. Quando impugna una richiesta, l'importatore di dati deve chiedere misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso nel merito. Non divulgherà i dati personali richiesti fino a quando non sarà obbligato a farlo in base alle norme procedurali applicabili. Questi requisiti non pregiudicano gli obblighi dell'importatore di dati ai sensi della clausola 14, lettera e).

(b) L'importatore di dati si impegna a documentare la propria valutazione giuridica e qualsiasi contestazione alla richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, a mettere la documentazione a disposizione dell'esportatore di dati. Inoltre, su richiesta, la metterà a disposizione dell'autorità di controllo competente. [Per il Modulo 3: L'esportatore di dati mette la valutazione a disposizione del responsabile del trattamento].

(c) L'importatore di dati si impegna a fornire la quantità minima di informazioni consentite quando risponde a una richiesta di divulgazione, sulla base di una ragionevole interpretazione della richiesta.

SEZIONE IV - DISPOSIZIONI FINALI

Clausola 16
Inosservanza delle clausole e risoluzione

(a) L'importatore di dati dovrà informare tempestivamente l'esportatore se non è in grado di rispettare le presenti clausole, per qualsiasi motivo.

(b) Nel caso in cui l'importatore di dati violi le presenti clausole o non sia in grado di rispettarle, l'esportatore di dati sospenderà il trasferimento di dati personali all'importatore di dati fino a quando non sarà garantita la conformità o il contratto sarà risolto. Ciò non pregiudica la clausola 14(f).

(c) L'esportatore di dati ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole, se:
(i) l'esportatore di dati ha sospeso il trasferimento di dati personali all'importatore di dati ai sensi del paragrafo (b) e la conformità alle presenti clausole non viene ripristinata entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

(ii) l'importatore dei dati viola in modo sostanziale o persistente le presenti clausole; oppure

(iii) l'importatore di dati non rispetta una decisione vincolante di un tribunale o di un'autorità di vigilanza competente in merito ai suoi obblighi ai sensi delle presenti clausole.

In questi casi, informerà l'autorità di controllo competente [per il Modulo Tre: e il responsabile del trattamento] di tale inadempienza. Se il contratto coinvolge più di due parti, l'esportatore di dati può esercitare il diritto di recesso solo nei confronti della parte interessata, a meno che le parti non abbiano concordato diversamente.

(d) [Per i Moduli Uno, Due e Tre: I dati personali trasferiti prima della cessazione del contratto ai sensi del paragrafo (c) saranno, a scelta dell'esportatore, immediatamente restituiti all'esportatore o cancellati nella loro interezza. Lo stesso vale per eventuali copie dei dati]. [Per il Modulo 4: I dati personali raccolti dall'esportatore di dati nell'UE che sono stati trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) devono essere immediatamente cancellati nella loro interezza, comprese le loro copie]. L'importatore dei dati certifica la cancellazione dei dati all'esportatore. Fino alla cancellazione o alla restituzione dei dati, l'importatore di dati continuerà a garantire il rispetto delle presenti clausole. In caso di leggi locali applicabili all'importatore di dati che vietino la restituzione o la cancellazione dei dati personali trasferiti, l'importatore di dati garantisce che continuerà a garantire la conformità alle presenti Clausole e tratterà i dati solo nella misura e per il tempo richiesti dalla legge locale.

(e) Ciascuna Parte può revocare il proprio accordo a essere vincolata dalle presenti Clausole qualora (i) la Commissione europea adotti una decisione ai sensi dell'articolo 45, paragrafo 3, del Regolamento (UE) 2016/679 che riguardi il trasferimento di dati personali a cui si applicano le presenti Clausole; oppure (ii) il Regolamento (UE) 2016/679 diventi parte del quadro giuridico del Paese in cui i dati personali sono trasferiti. Ciò non pregiudica altri obblighi applicabili al trattamento in questione ai sensi del Regolamento (UE) 2016/679.

Clausola 17
Legge applicabile

Le presenti clausole saranno disciplinate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta i diritti di terzi beneficiari. Le Parti concordano che tale legge sarà quella della Polonia.

Clausola 18
Scelta del foro e della giurisdizione

(a) Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali di uno Stato membro dell'UE.

(b) Le Parti convengono che tali tribunali saranno quelli della Polonia.

(c) L'interessato può anche intentare un'azione legale contro l'esportatore e/o l'importatore di dati davanti ai tribunali dello Stato membro in cui risiede abitualmente.

(d) Le Parti convengono di sottoporsi alla giurisdizione di tali tribunali.

APPENDICE
NOTA ESPLICATIVA:

Deve essere possibile distinguere chiaramente le informazioni applicabili a ciascun trasferimento o categoria di trasferimenti e, a questo proposito, determinare il ruolo rispettivo delle Parti come esportatore/i di dati e/o importatore/i di dati. Ciò non richiede necessariamente la compilazione e la firma di appendici separate per ogni trasferimento/categoria di trasferimenti e/o relazione contrattuale, laddove tale trasparenza possa essere ottenuta attraverso un'unica appendice. Tuttavia, se necessario per garantire una sufficiente chiarezza, è opportuno utilizzare appendici separate.

ALLEGATO I

A. ELENCO DELLE PARTI

  1. Esportatore/i di dati:

Nome: ...
Indirizzo: ...
Nome, posizione e recapiti della persona di riferimento: ...
Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: trattamento dei dati per l'esecuzione dell'Accordo quadro
Firma e data: ...
Ruolo: controllore

  1. Importatore/i di dati:

Nome: DevSkiller S.A.
Indirizzo: Al. Lindleya 16, 02-013 Varsavia
Nome, posizione e recapiti della persona di riferimento: ...
Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: trattamento dei dati per l'esecuzione dell'Accordo quadro
Firma e data: ...
Ruolo: processore

B. DESCRIZIONE DEL TRASFERIMENTO
Categorie di soggetti cui vengono trasferiti i dati personali: Persone autorizzate a rappresentare il Titolare del trattamento, partecipanti ai test.
Categorie di dati personali trasferiti: nome, cognome, codice fiscale, e-mail, indirizzo, numero di telefono, ragione sociale, posizione ricoperta in azienda, numero IP, immagine.
Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive: non applicabile
La frequenza del trasferimento (ad esempio, se i dati vengono trasferiti una tantum o in modo continuo): continuo

Natura del trattamento:
Finalità del trasferimento e dell'ulteriore trattamento dei dati: esecuzione del Contratto Principale
Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: durata dell'Accordo principale, periodo di prescrizione dei reclami.
Per i trasferimenti a (sub)incaricati del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento: durata dell'accordo principale, periodo di prescrizione dei diritti.

C. AUTORITÀ DI VIGILANZA COMPETENTE
Identificare l'autorità o le autorità di vigilanza competenti in conformità con la clausola 13:
Il responsabile polacco della protezione dei dati personali.

ALLEGATO II
MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Misure di pseudonimizzazione e crittografia dei dati personali.
Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione.
Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico.
Processi per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Misure per l'identificazione e l'autorizzazione degli utenti.
Misure per la protezione dei dati durante la trasmissione.
Misure per la protezione dei dati durante la conservazione.
Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali.
Misure per garantire la registrazione degli eventi.
Misure per garantire la configurazione del sistema, compresa la configurazione predefinita.
Misure per la governance e la gestione interna dell'IT e della sicurezza IT.
Misure per la certificazione/assicurazione di processi e prodotti.
Misure per garantire la minimizzazione dei dati.
Misure per garantire la qualità dei dati.
Misure per garantire una conservazione limitata dei dati.
Misure per garantire la responsabilità.
Misure per consentire la portabilità dei dati e garantire la cancellazione.

ALLEGATO III
ELENCO DEI SUBPROCESSORI

Secondo l'Appendice n. 1 del DPA.

Certificazioni di sicurezza e conformità. Ci assicuriamo che i vostri dati siano sicuri e protetti.

Logo DevSkiller Logo TalentBoost Logo TalentScore