Accordo sull’elaborazione ( UE )

Accordo sull’elaborazione ( UE )

Il sottoscritto:

1. HCG Italy | Horizon Consulting Group

Nel prosieguo indicato come: Controllore

Nel prosieguo indicato come: Processore

Nel prosieguo indicato comunemente come: Parti;

LADDOVE:

 

  • Nella misura in cui il Contraente tratta i Dati personali per conto del Cliente nell’ambito del Contratto, il Cliente si qualifica come il Controllore del Trattamento dei Dati Personali e il Contraente come il Processore, ai sensi dell’articolo 4 (7) e (8) della Regolamentazione;
  • Le Parti del presente Accordo sull’Elaborazione dei Dati, ai sensi dell’Articolo 28, paragrafo 3, del Regolamento, desiderano registrare i loro accordi sul trattamento dei dati personali.

Convengono quanto segue:

1. Definizioni

I seguenti termini usati in questo Accordo di Elaborazione Dati hanno il significato di seguito indicato:

1.1 Accordo

L’accordo tra il Controllore ed il Processore.

1.2 Interessato

La persona a cui si riferiscono i Dati Personali

1.3 Accordo per l’elaborazione dei dati

Questo accordo inclusi i considerando e gli allegati.

1.4 Dati Personali

Qualsiasi informazione relativa ad una identificata o identificabile persona naturale che il Processore processa per conto del Controllore nell’ambito dell’Accordo.

1.5 Violazione Dati Personali

Una violazione della sicurezza che accidentalmente o illegalmente risulta nella distruzione, perdita, alterazione o condivisione non autorizzata o l’accesso a dati personali trasmessi, conservati o processati diversamente.

1.6 Elaborazione

Qualsiasi operazione o insieme di operazioni relative ai Dati personali nell’ambito dell’Accordo, eseguite mediante processi automatizzati o in altro modo, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o messa a disposizione in altri modi, allineamento o combinazione, limitazione, cancellazione o distruzione.

1.7 Regolamento

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR)

2. Oggetto del presente Accordo sull’elaborazione dei dati

2.1

Il presente Accordo sul trattamento dei dati regola il trattamento dei dati personali da parte del Processore nell’ambito di applicazione del Contratto.

2.2

La natura e lo scopo del Processo, il tipo di Dati Personali, e la categoria dei Soggetti dei Dati sono riportati nell’Allegato 1.

2.3

Il Processore garantisce l’attuazione di adeguate misure tecniche e organizzative, in modo che il Trattamento rispetti i requisiti del Regolamento e sia garantita la protezione dei diritti dell’interessato.

2.4

Il Processore garantisce la conformità ai requisiti della legislazione e dei regolamenti applicabili relativi al trattamento dei Dati personali.

2.5

I dati personali da processare secondo le istruzioni del Controllore devono rimanere di proprietà del Controllore.

3. Entrata in vigore e durata

3.1

Questo Accordo entrerà in vigore alla data in cui è stato firmato dalle Parti.

3.2

Il presente Accordo sul trattamento dei dati termina dopo e nella misura in cui il Processore ha cancellato o restituito tutti i Dati personali in conformità con l’Articolo 10.

3.3

Nessuna delle Parti può terminare questo Accordo per l’Elaborazione dei Dati prematuramente

3.4

Le parti possono modificare solo il presente accordo per mutuo consenso.

4. Ambito dell’autorità di elaborazione del processore

4.1

Il Processore deve trattare i Dati Personali esclusivamente sulla base delle istruzioni scritte del Controllore, salvo in caso di deroga alle disposizioni di legge applicabili al Processore.

4.2

Se, a giudizio del Processore, un’istruzione di cui al primo paragrafo è in conflitto con un regolamento statutario sulla protezione dei dati, ne informa il Controllore prima di Processarlo, a meno che una regolamentazione legale non vieti tale notifica.

4.3

Se il Processore deve provvedere Dati Personali sulla base di una disposizione statutaria, deve informare il Controllore senza ritardi, e se possibile, prima di provvedere i dati.

4.4

Il Processore non ha controllo sui scopi e motivi dell’Elaborazione dei Dati Personali.

5. Sicurezza dell’Elaborazione

5.1

Il Processore cercherà di attuare adeguate misure tecniche e organizzative per quanto riguarda le operazioni di elaborazione dei dati personali da eseguire, contro la perdita o qualsiasi forma di trattamento illecito (come la divulgazione non autorizzata, il deterioramento, l’alterazione o la trasmissione di dati personali).

5.2

Le parti riconoscono che per garantire un adeguato livello di sicurezza possono essere necessarie ulteriori misure di sicurezza da attuare in qualsiasi momento. Il Processore deve garantire un livello di sicurezza adeguato al rischio. Se e nella misura in cui il Controllore lo richiede espressamente per iscritto, il Processore dovrà attuare misure aggiuntive in merito alla sicurezza dei Dati Personali.

5.3

Il Processore non deve trattare i Dati Personali al di fuori dell’Unione Europea, a meno che il Controllore non abbia dato un esplicito consenso scritto a tale scopo e soggetto a obblighi statutari derogatori.

5.4

Il Processore deve informare il Controllore senza irragionevole ritardo non appena sarà venuto a conoscenza di un trattamento illecito dei Dati Personali o di eventuali violazioni delle misure di sicurezza come riportato nel primo e secondo paragrafo.

5.5

Il Processore deve assistere il Controllore nel rispetto degli obblighi presenti negli Articoli 32 fino al 36 del Regolamento.

6. Obbligo di riservatezza del personale del Processore

6.1

I Dati Personali sono di natura riservata. Il Processore non utilizzerà questi dati per scopi diversi da quelli per i quali è stato acquisito, anche se è stato convertito in un formato tale da non poter essere ricondotto agli interessati.

6.2

Su richiesta del Controllore, il Processore dovrà dimostrare che il suo personale si è impegnato a rispettare la riservatezza. I dati personali saranno comunicati solo a quei dipendenti e/o a terze parti che devono necessariamente prendere conoscenza dei Dati personali.

6.3

Questo obbligo di riservatezza non si applica se il Controllore ha espresso il consenso a divulgare i dati a terzi, se la divulgazione dei dati a terzi è logicamente necessaria data la natura della cessione e l’esecuzione di questo Accordo di Trattamento dei Dati, o se c’è un obbligo legale di divulgare i dati a terzi.

7. Sub-processore

7.1

Nell’ambito di applicazione dell’Accordo, il Processore potrebbe utilizzare terze parti a patto che il Controllore venga informati in anticipo; il Controllore può terminare l’Accordo se non riesce ad accettare l’uso di una specifica terza parte.

7.2

In tutti i casi, il Processore deve assicurarsi che queste terze parti assumano, per iscritto, almeno le stesse obbligazioni sulle quali il Controllore ed il Processore hanno trovato accordo.

7.3

Il Processore è responsabile del corretto rispetto degli obblighi previsti dal presente Accordo sull’Elaborazione dei Dati da parte di queste terze parti e, in caso di errori da parte di queste terze parti, è responsabile come se fosse in errore.

8. Assistenza a causa dei diritti del Soggetto dei Dati

8.1

Nel caso in cui un soggetto interessato invii una richiesta al Processore per esercitare i suoi diritti legali, il Processore inoltrerà la richiesta al Controllore e il Controllore dovrà gestire ulteriormente la richiesta. Il Processore può informare l’interessato di conseguenza.

8.2

Il Processore, per quelle che sono le sue competenze, deve fornire assistenza al Controllore per adempiere all’obbligo di quest’ultimo di rispondere alle richieste del Soggetto interessato di esercitare i suoi diritti stabiliti nel Capitolo III del Regolamento.

9. Violazione Dati Personali

9.1

Il Processore deve informare il Controllore senza irragionevole ritardo, non appena viene a conoscenza di una violazione dei dati personali, ma non oltre 36 ore dopo la scoperta.

9.2

Informazioni che devono per forza essere fornite dal Processore includono:

  • La natura della violazione dei dati personali
  • I dati personali ed il soggetto dei dati
  • Conseguenze tipiche di una Violazione di Dati Personali
  • Misure proposte o implementate dal Processore per rimediare alla Violazione di Dati Personali, incluso, dove adeguato, misure per mitigare i suoi possibili effetti negativi.

9.3

Il Processore deve informare anche il Controllore di ulteriori sviluppi relativi alla Violazione dei Dati Personali dopo aver segnalato la violazione ai sensi del primo paragrafo.

9.4

Ciascuna parte sopporterà le proprie spese relative alla relazione all’autorità di controllo competente e all’Interessato.

9.5

Ai sensi dell’articolo 33, paragrafo 5 del GDPR, Il Processore documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Su richiesta, il Processore deve provvedere al Controllore l’accesso a questa informazione.

10. Restituzione di dati personali

10.1

Dopo la scadenza dell’Accordo, il Processore deve, a discrezione del Controllore, provvedere alla restituzione di tutti i Dati Personali al Controllore oppure alla cancellazione di tutti i Dati Personali. Il Processore deve rimuovere tutte le copie, salvo dove diversamente previsto dalla legge.

10.2

Il Controllore ha il diritto di far eseguire audit da un esperto esterno indipendente, vincolato alla riservatezza, per verificare la conformità con tutti i punti dell’Accordo sul trattamento dei dati e tutto ciò che è direttamente correlato a questo. Tale audit ha luogo solo dopo che il Controllore ha richiesto rapporti di audit analoghi al Fornitore di servizi, li ha esaminati e ha avanzato argomenti ragionevoli per giustificare un audit avviato dal Controllore.

10.3

Tale verifica è giustificata se le relazioni di audit simili presenti presso il Processore sono inconcludenti o insufficientemente conclusive rispetto alla conformità del Processore al presente Accordo sul trattamento dei dati. Il Controllore comunica preventivamente l’audit al Processore, con il dovuto rispetto di un periodo minimo di due settimane.

10.4

I risultati relativi all’audit concluso devono essere implementati dal Processore appena possibile.

10.5

I costi dell’audit come descritto nel paragrafo 1 sono a carico del Processore, in caso di violazioni non triviali nate dall’Accordo di Elaborazione Dati. Altrimenti il costo sarà a carico del Controllore.

11. Altri Termini e Condizioni

11.1

Il Processore sarà responsabile nei confronti del Controllore per tutte le conseguenze della violazione del presente Accordo sull’Elaborazione dei Dati e dovrà manlevare il Controllore da tutte le pretese di terzi, incluse eventuali penali, nella misura attribuibile al Processore.

11.2

La responsabilità del Processore non deve mai superare 500 all’anno. La limitazione di cui al presente articolo non si applica se e nella misura in cui il danno è il risultato di intenzionalità o deliberata imprudenza da parte del Fornitore di Servizi o della sua gestione.

Annesso 1: L’elaborazione dei Dati Personali

Scopo dell’elaborazione

Consulenza Aziendale, Corsi di Formazione, Gestione Canali Social e Sito Web, Consulenza Digitale, Assunzioni figure Commerciali

Dati Personali

Nell’ambito di applicazione dell’accordo, il Processore deve processare i seguenti (speciali) dati personali seguendo le istruzioni del Controllore:

  • Nome Indirizzo Città
  • Numero di telefono
  • Indirizzo email
  • Account social media
  • Foto
  • Curriculum Vitae
  • Data di Nascita

 

Categorie interessati

I dati personali dei seguenti gruppi di persone saranno processati:

  • Clienti
  • Impiegati
  • Fornitori
  • Proprietari account
  • Candidati per il lavoro
  • Visitatori sito web
  • Lead
  • Membri

 

Categorie interessati

Il Controllore dovrà assicurare che le finalità, i dati personali e le categorie di soggetti di cui al presente Allegato 1 siano completi e corretti, e dovrà indennizzare il Processore contro eventuali difetti e reclami derivanti da una errata rappresentazione da parte del Controllore.