Informazioni GDPR
- Premessa
- Dichiarazione del subresponsabile
- Caratteristiche del trattamento di dati personali
- Obblighi e diritti del responsabile del trattamento
- Obblighi del subresponsabile
- In caso di violazione dei dati personali
- Conservazione e distruzione dei dati
- Audit
- Altro subresponsabile
- Durata
- Diritto applicabile e clausola attributiva di competenza
- Accesso ai tuoi dati personali
Premessa
Il cliente utente è responsabile di un trattamento di dati personali disciplinato dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Di seguito, tale regolamento è denominato GDPR.
Il trattamento dei dati personali è inoltre disciplinato dalla legge francese n. 78-17 del 6 gennaio 1978 relativa all’informatica, ai file e alle libertà (modificata).
Il responsabile del trattamento desidera affidare al responsabile del trattamento dei dati (subresponsabile) un trattamento di dati personali, conformemente all’articolo 28 del GDPR. Le parti si impegnano a conformarsi rigorosamente al GDPR, che si applicherà in ogni circostanza, nonostante eventuali pattuizioni contrarie.
Dichiarazione del subresponsabile
Il subresponsabile dichiara di fornire le garanzie necessarie per l’implementazione di misure tecniche e organizzative adeguate, affinché il trattamento soddisfi i requisiti del GDPR e garantisca la protezione dei diritti della persona interessata.
Caratteristiche del trattamento di dati personali
Il responsabile del trattamento definisce di seguito le caratteristiche.
- Oggetto del trattamento – Il trattamento ha come finalità il monitoraggio comportamentale sul sito internet dei visitatori che hanno fornito il proprio consenso (accettazione dei cookie), nonché la raccolta di informazioni demografiche.
- Durata del trattamento – Il trattamento viene effettuato a partire dal giorno di apertura dell’account (vedere contratto), fino alla sua scadenza (vedere contratto).
- Natura e finalità del trattamento – Il trattamento dei dati utili ha come finalità il corretto follow-up commerciale, la loro segmentazione automatizzata e l’invio di informazioni adeguate al loro profilo e al loro bisogno.
- Tipo di dati di carattere personale – Coerente con l’uso e la configurazione del responsabile del trattamento. Si assicurerà di rispettare i principi di Privacy by design e Privacy by default richiesti dall’articolo 25 del GDPR.
- Categorie di persone interessate – Prospect, clienti e partner.
Il responsabile del trattamento si assicura che, per giustificare e dettagliare i 5 elementi sopra menzionati, abbia istituito il registro delle attività di trattamento previsto dall’articolo 30 del GDPR.
Il subresponsabile dichiara di tenere per iscritto un registro di tutte le categorie di attività di trattamento effettuate per conto del Responsabile del trattamento, comprendente:
- il nome e i recapiti del Responsabile del trattamento per conto del quale agisce, degli eventuali Subresponsabili e, ove applicabile, del responsabile della protezione dei dati;
- le categorie di Trattamenti effettuati per conto del Responsabile del trattamento;
- se del caso, i trasferimenti di Dati di carattere personale verso un paese terzo o un’organizzazione internazionale, inclusa l’identificazione di tale paese terzo o organizzazione internazionale e, nei casi di cui all’articolo 49, paragrafo 1, secondo comma, del regolamento europeo sulla protezione dei dati, i documenti che attestano l’esistenza di garanzie adeguate;
- per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative in base alle esigenze.
Obblighi e diritti del responsabile del trattamento
Il responsabile del trattamento determina le finalità e i mezzi del trattamento dei dati personali.
Il responsabile del trattamento garantisce che il trattamento sia lecito e che i dati personali siano raccolti e trattati per suo conto conformemente al GDPR e alla legge francese. In particolare, il responsabile del trattamento garantisce che fornisca le informazioni richieste alle persone interessate in merito alle operazioni di trattamento, al momento della raccolta dei dati quando i dati personali sono raccolti presso la persona interessata o, entro i termini richiesti, quando i dati personali non sono stati raccolti presso la persona interessata, conformemente agli articoli 12-14 del GDPR. Il responsabile del trattamento garantisce il subresponsabile contro le conseguenze di un eventuale inadempimento del responsabile del trattamento ai suoi obblighi ai sensi del GDPR.
Il responsabile del trattamento comunicherà al subresponsabile tutte le informazioni necessarie per consentirgli di svolgere i suoi servizi in conformità con il GDPR e la legge francese.
Obblighi del subresponsabile
In nessun caso il subresponsabile determina le finalità e i mezzi del trattamento. In mancanza, è considerato responsabile del trattamento, relativamente al trattamento interessato.
Il subresponsabile e qualsiasi persona che agisce sotto la sua autorità e che abbia accesso a dati personali, non possono trattare tali dati, salvo su istruzione del responsabile del trattamento, a meno che non siano obbligati a farlo dal diritto dell’Unione europea o dal diritto di uno Stato membro.
Il subresponsabile tratta i dati personali esclusivamente su istruzione documentata del responsabile del trattamento, inclusi, per quanto riguarda i trasferimenti di dati personali verso un paese terzo al di fuori dell’Unione europea o verso un’organizzazione internazionale, a meno che non sia tenuto a procedere in tal modo in virtù del diritto dell’Unione europea o del diritto dello Stato membro dell’Unione europea cui il subresponsabile è soggetto; in tal caso, il subresponsabile informa il responsabile del trattamento di tale obbligo giuridico prima del trattamento, salvo qualora la normativa applicabile vieti tale informazione per motivi rilevanti di interesse pubblico.
Il subresponsabile garantisce che le persone autorizzate a trattare i dati personali si impegnino a rispettare la riservatezza o siano soggette a un’adeguata obbligazione legale di riservatezza.
Il subresponsabile adotta tutte le misure richieste ai sensi dell’articolo 32 del GDPR.
Il subresponsabile tiene conto della natura del trattamento, e assiste il responsabile del trattamento, mediante misure tecniche e organizzative appropriate, nella misura in cui ciò sia possibile, nell’adempimento del suo obbligo di dare seguito alle richieste con cui le persone interessate dal trattamento lo contattano per esercitare i diritti previsti nel capitolo III del GDPR.
Il subresponsabile assiste il responsabile del trattamento nel garantire il rispetto degli obblighi previsti dagli articoli 32-36 del GDPR, tenendo conto della natura del trattamento e delle informazioni disponibili al subresponsabile.
Il subresponsabile informa immediatamente il responsabile del trattamento qualora, a suo avviso, un’istruzione costituisca una violazione del GDPR o altre disposizioni del diritto dell’Unione o del diritto degli Stati membri relative alla protezione dei dati.
In caso di violazione dei dati personali
Il subresponsabile notifica al responsabile del trattamento qualsiasi Violazione dei Dati nel più breve tempo possibile dopo averne preso conoscenza. Tale notifica è accompagnata da tutta la documentazione utile al fine di consentire al responsabile del trattamento, se necessario, di notificare tale violazione all’autorità di controllo competente.
Spetta al solo Cliente, nella sua qualità di Responsabile del trattamento, notificare tale Violazione dei Dati all’autorità di controllo competente e, se del caso, alla persona interessata. Il subresponsabile si astiene dal comunicare in merito all’incidente, salvo richiesta contraria del Responsabile del trattamento.
Il subresponsabile, per conto e a nome del responsabile del trattamento, comunica la Violazione dei Dati alla Persona Interessata nel più breve tempo possibile, quando tale violazione sia suscettibile di comportare un rischio elevato per i diritti e le libertà di una persona fisica.
La comunicazione alla Persona Interessata descrive, in termini chiari e semplici, la natura della Violazione dei Dati e contiene almeno:
- la descrizione della natura della Violazione dei Dati, inclusi, se possibile, le categorie e il numero approssimativo delle Persone Interessate dalla violazione e le categorie e il numero approssimativo di registrazioni di Dati di Carattere Personale interessate;
- il nome e i recapiti del responsabile della protezione dei dati o di un altro punto di contatto presso il quale possono essere ottenute ulteriori informazioni;
- la descrizione delle probabili conseguenze della Violazione dei Dati;
- la descrizione delle misure adottate o che il Responsabile del trattamento propone di adottare per porre rimedio alla Violazione dei Dati, inclusi, se del caso, i provvedimenti per attenuare le eventuali conseguenze negative.
Inoltre, il Fornitore si impegna a adottare tutte le misure necessarie per correggere qualsiasi Violazione dei Dati nel più breve tempo possibile. A tal riguardo, il Fornitore tiene il Responsabile informato man mano delle azioni intraprese.
Conservazione e distruzione dei dati
In base alla scelta del responsabile del trattamento, il subresponsabile elimina tutti i dati di carattere personale o li restituisce al responsabile del trattamento alla fine della prestazione dei servizi relativi al trattamento e distrugge le copie esistenti, a meno che il diritto dell’Unione europea o la normativa applicabile di uno Stato membro non richieda la conservazione dei dati personali.
Audit
Il subresponsabile mette a disposizione del responsabile del trattamento tutte le informazioni necessarie a dimostrare la conformità agli obblighi previsti dal presente contratto e a consentire l’esecuzione di audit, inclusi controlli, da parte del responsabile del trattamento o di un altro auditor da lui incaricato, contribuendo a tali audit.
Altro subresponsabile
Il subresponsabile rispetta le seguenti condizioni per reclutare un altro subresponsabile.
Il subresponsabile non recluta un altro subresponsabile senza la previa autorizzazione scritta specifica o generale del responsabile del trattamento. Nel caso di un’autorizzazione scritta generale, il subresponsabile informa il responsabile del trattamento di qualsiasi modifica prevista riguardante l’aggiunta o la sostituzione di altri subresponsabili, offrendo così al responsabile del trattamento la possibilità di sollevare obiezioni in merito a tali modifiche.
Quando un subresponsabile recluta un altro subresponsabile per svolgere specifiche attività di trattamento per conto del responsabile del trattamento, gli stessi obblighi in materia di protezione dei dati di quelli stabiliti nel presente contratto vengono imposti anche a tale altro subresponsabile mediante contratto o, se del caso, per mezzo di un altro atto giuridico ai sensi del diritto dell’Unione europea o del diritto di uno Stato membro, in particolare per quanto riguarda il fornire garanzie sufficienti in merito all’implementazione di misure tecniche e organizzative appropriate affinché il trattamento soddisfi i requisiti del GDPR. Quando tale altro subresponsabile non adempie ai propri obblighi in materia di protezione dei dati, il subresponsabile iniziale resta pienamente responsabile nei confronti del responsabile del trattamento dell’esecuzione da parte dell’altro subresponsabile dei propri obblighi.
Durata
Il presente contratto sarà in vigore per tutta la durata della detenzione dei dati personali da parte del subresponsabile. Esso disciplinerà la subfornitura dei dati personali qui contemplati, in qualsiasi momento, anche dopo la sua scadenza.
Diritto applicabile e clausola attributiva di competenza
Il presente contratto è soggetto al diritto francese e alla competenza esclusiva dei tribunali territorialmente competenti per la città di Annecy, Francia.
Accesso ai tuoi dati personali
Conformemente alla legge «Informatica e Libertà», Webmecanik SAS consente a qualsiasi persona di esercitare il proprio diritto di accesso ai dati che la riguardano e di ottenerne la rettifica o la cancellazione.