Contratto per il trattamento dei dati personali

concluso in conformità alle disposizioni dell’art. 28 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (di seguito “il Regolamento”), in conformità alle disposizioni del § 34 della Legge n. 18/2018 Racc. sulla protezione dei dati personali, come modificata (di seguito “Legge”) tra l’Operatore e l’Intermediario.

Il presente Contratto sul trattamento dei dati personali è un addendum e fa parte del Contratto di Servizio tra Luigi’s Box (“Luigi’s Box” e “Intermediario”) e la parte identificata come Cliente nel Contratto di Servizio (“Cliente” o “Operatore”). Il presente Contratto stabilisce i termini che si applicano alle parti nel trattamento dei dati personali in relazione alla fornitura dei Servizi.

1. PREMESSA

1.1 Il presente Contratto di Trattamento dei Dati (di seguito “Contratto”) stabilisce le condizioni per il trattamento dei dati personali da parte dell’Intermediario per conto dell’Operatore nell’adempimento degli obblighi derivanti dal Contratto di fornitura di servizi stipulato tra le Parti Contraenti (di seguito “Contratto di Servizio”).

1.2 L’oggetto del Contratto è l’obbligo dell’Intermediario di fornire all’Operatore servizi relativi alle tecnologie di marketing digitale, la cui portata è concordata nel Contratto di Servizi. Nell’ambito della fornitura di tali servizi, i dati personali delle persone fisiche possono essere trattati sulla base di un’istruzione dell’Operatore e dell’obbligo dell’Operatore di pagare il compenso concordato all’Intermediario per tali servizi.

2. OGGETTO DEL CONTRATTO

2.1 L’oggetto del presente Contratto è l’autorizzazione dell’Intermediario al trattamento dei dati personali delle persone fisiche per conto dell’Operatore, esclusivamente in relazione alla fornitura dei servizi dell’Intermediario, definiti nel Contratto di Servizio e/o nei singoli ordini dell’Operatore.

2.2 L’Intermediario è autorizzato a trattare i dati personali per conto dell’Operatore solo nella misura, alle condizioni e per le finalità concordate con l’Operatore e secondo le modalità stabilite dal Regolamento, dalla Legge e da altre norme giuridiche generalmente vincolanti (di seguito collettivamente denominate “Norme sulla protezione dei dati personali”).

3. FINALITÀ E AMBITO DEL TRATTAMENTO DEI DATI PERSO

3.1 La finalità del trattamento dei dati personali da parte dell’Intermediario è la corretta fornitura dei servizi concordati in conformità al Contratto di Servizio e/o al singolo ordine di servizi (di seguito “Finalità”).

3.2 Le categorie di soggetti cui si riferiscono i dati personali trattati ai sensi del presente Contratto sono elencate nell’Allegato n. 1 del Contratto.

3.3 L’oggetto del trattamento comprende i dati personali degli interessati, che sono necessari per l’adempimento della Finalità e la cui esatta portata dipende dalla natura del servizio fornito ai sensi del Contratto di Servizio (di seguito “Dati Personali”); l’oggetto del trattamento non è una categoria speciale di dati personali ai sensi dell’Art. 9 del Regolamento. 9 del Regolamento. I tipi di dati personali sono elencati nell’Allegato n. 1 del Contratto.

3.4 L’Intermediario ha il diritto di trattare i Dati Personali solo per le Finalità specificate e di eseguire con i Dati Personali per l’Operatore solo le operazioni necessarie per la fornitura dei servizi e in conformità al Contratto di Servizio o all’ordine individuale, e di trattare i Dati Personali per le Finalità specificate in conformità alle istruzioni documentate e alle istruzioni dell’Operatore.

4. DIRITTI E OBBLIGHI DELL’OPERATORE

4.1 L’Operatore:

4.1.1 iè obbligato a trattare i dati personali in conformità con il Regolamento sulla Protezione dei Dati Personali;

4.1.2 ha il diritto di affidare all’Intermediario il trattamento dei soli Dati Personali ottenuti e trattati dall’Operatore in conformità al Regolamento sulla Protezione dei Dati Personali;

4.1.3 ha la facoltà di fornire all’Intermediario istruzioni scritte (in forma cartacea o elettronica) in merito al trattamento dei dati personali per il conseguimento della Finalità. Tali istruzioni sono vincolanti per l’Intermediario a condizione che l’esecuzione di tali istruzioni richieda la fornitura di servizi in conformità con il Contratto di Servizio o con l’ordine di servizio individuale o che l’esecuzione di tali istruzioni richieda costi aggiuntivi da parte dell’Intermediario in relazione all’esecuzione di tali istruzioni e che l’Operatore paghi tutti i costi sostenuti. L’Intermediario non eseguirà le istruzioni dell’Operatore che siano in contrasto con qualsiasi disposizione del presente Contratto o che siano in contrasto con la Normativa Legale sulla Protezione dei Dati Personali;

4.1.4 è sempre responsabile del trattamento dei Dati Personali. Se l’interessato chiede di fornire informazioni sul trattamento dei dati personali, la rettifica o la cancellazione dei dati personali, si oppone alla liceità del trattamento dei dati personali o comunque chiede la cessazione del trattamento dei dati personali o il blocco dei dati personali, l’Operatore è tenuto a dare istruzioni scritte (in forma cartacea o elettronica) all’Intermediario affinché adotti le misure necessarie.

5.DIRITTI E OBBLIGHI DELL’INTERMEDIARIO

5.1 L’Intermediario è tenuto a:

5.1.1 trattare i Dati Personali solo in conformità alle istruzioni scritte (in forma cartacea o elettronica) dell’Operatore, finalizzate all’adempimento delle Finalità e del Contratto di Servizio; tali istruzioni sono vincolanti per l’Intermediario, salvo che sia diversamente stabilito nel Contratto;

5.1.2 non utilizzare i Dati Personali per scopi diversi da quelli specificati nel presente Contratto e nel Contratto di Servizio e non combinare i Dati Personali con altri dati personali ottenuti, registrati o altrimenti trattati dall’Intermediario senza la preventiva istruzione scritta dell’Operatore, anche al fine di raggiungere lo stesso scopo (ad esempio, assegnazione di dati da database propri/pubblici, ecc.);

5.1.3 trattare solo i Dati Personali che, per ambito e contenuto, corrispondono alla Finalità prevista e sono necessari per il suo raggiungimento;

5.1.4 trattare i Dati Personali in conformità alle prassi consolidate di trattamento dei dati personali e agli standard prevalenti nel campo della gestione delle informazioni e in conformità al Regolamento sulla Protezione dei Dati Personali;

5.1.5 nel caso in cui ottenga i Dati Personali per conto dell’Operatore, a fornire informazioni agli interessati ai sensi degli artt. 13 e 14 del Regolamento; se l’Operatore richiede l’utilizzo del proprio materiale informativo ai fini dell’adempimento dell’obbligo di informazione, dovrà fornire tale materiale all’Intermediario senza indebito ritardo dopo la conclusione del presente Contratto o dopo l’istruzione di ottenere i Dati Personali per suo conto;

5.1.6 fornire all’Operatore collaborazione nell’adempimento dei suoi obblighi in relazione alle richieste degli interessati e assistere l’Operatore nel garantire l’adempimento degli obblighi di cui agli Artt. 32-36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione dell’Intermediario;

5.1.7 informare immediatamente l’Operatore di qualsiasi richiesta o esercizio dei diritti dell’interessato e allo stesso tempo inviare immediatamente all’Operatore la relativa richiesta dell’interessato e la relativa documentazione;

5.1.8 in caso di violazione della protezione dei dati personali, ossia in caso di violazione delle misure di sicurezza che comportino la distruzione accidentale o illegale, la perdita, l’alterazione, la divulgazione non autorizzata o la divulgazione dei Dati Personali, l’Intermediario è tenuto a notificare all’Operatore qualsiasi violazione della protezione dei Dati Personali senza indebito ritardo dopo essere venuto a conoscenza della violazione. L’avviso scritto ai sensi della presente sezione dovrà contenere una descrizione della natura della violazione dei dati personali, la categoria e il numero approssimativo degli interessati e dei record di dati personali interessati, una descrizione delle probabili conseguenze della violazione dei dati personali e una descrizione delle misure adottate per porre rimedio alla violazione dei dati personali. Se non è possibile fornire tutte le informazioni di cui sopra nello stesso momento, tali informazioni possono essere fornite in fasi successive senza ulteriori ritardi.

5.1.9 informare immediatamente l’Operatore in merito alle ispezioni e alle misure adottate dall’autorità di vigilanza nei confronti dell’Intermediario, nonché in merito allo svolgimento di procedimenti civili, penali o amministrativi nei confronti dell’Intermediario, qualora questi riguardino il rapporto contrattuale tra l’Operatore e l’Intermediario e/o il trattamento dei Dati Personali ai sensi del Contratto;

5.1.10 monitorare regolarmente i processi interni e le misure tecniche e organizzative per garantire che il trattamento nell’ambito della responsabilità dell’Intermediario sia conforme ai requisiti del Regolamento sulla protezione dei dati personali;

5.1.11 trattare i Dati Personali solo per la durata del presente Contratto.

5.2 TL’Intermediario ha inoltre il diritto di trattare i Dati Personali per finalità che derivano da speciali norme di legge o che sono richieste dall’autorità giudiziaria o amministrativa competente. Nel caso in cui un tribunale o un’autorità amministrativa ordini all’Intermediario qualsiasi misura o operazione con i Dati Personali, l’Intermediario è obbligato a informare l’Operatore senza indebito ritardo del ricevimento di tale richiesta prima di rispondere a tale richiesta o di eseguire altre azioni relative ai Dati Personali trattati, o non appena ragionevolmente previsto, nel caso in cui l’Intermediario sia obbligato a fornire una risposta immediata al tribunale o all’autorità amministrativa competente, a meno che la notifica all’Operatore non sia contraria alla legislazione speciale o a una decisione di un tribunale o di un’autorità amministrativa.

6. SICUREZZA DEI DATI PERSONALI

6.1 L’Intermediario garantirà la protezione dei Dati Personali implementando e documentando le misure di sicurezza in conformità con l’Art. 28 par. 3 lettera c), e l’Art. 32 del Regolamento in combinato disposto con l’Art. 5 par. 1 e 2 del Regolamento. Le misure di sicurezza da adottare devono garantire la protezione dei Dati Personali con un livello di sicurezza commisurato al rischio che il trattamento comporta per i diritti degli interessati e con l’obiettivo di garantire ininterrotta riservatezza, integrità, disponibilità e resilienza dei sistemi di trattamento, al fine di prevenire la distruzione accidentale o illegale, la perdita, la fornitura non autorizzata, la divulgazione dei Dati Personali, l’accesso non autorizzato agli stessi o qualsiasi altra operazione di trattamento non autorizzata.

6.2 L’Intermediario è tenuto a predisporre una gestione del rischio nei confronti degli interessati ai sensi del Regolamento e una gestione del rischio di sicurezza delle informazioni nei confronti dei mezzi tecnici con cui vengono trattati i Dati Personali. L’Operatore ha il diritto di richiedere la documentazione sulle misure tecniche e organizzative adottate, entro e non oltre 30 giorni dall’invio della richiesta dell’Operatore.

6.3 L’Intermediario, i suoi dipendenti e le altre persone che vengono a conoscenza di Dati Personali attraverso l’Intermediario sono obbligati a mantenere la riservatezza su di essi; l’obbligo di riservatezza continua anche dopo il completamento del trattamento dei Dati Personali. L’Intermediario ha il diritto di rendere disponibili i Dati Personali ai dipendenti o ad altre persone con cui ha un rapporto giuridico solo per garantire i propri obblighi nell’adempimento delle Finalità e alle condizioni stabilite nel presente Contratto.

6.4 Nel caso di conferimento di Dati Personali a dipendenti o altri soggetti con cui l’Intermediario ha un rapporto giuridico, l’Intermediario è tenuto a informare tali soggetti dell’obbligo di rispettare le disposizioni del presente articolo del Contratto e di vincolare tali soggetti anche dopo la cessazione del rapporto giuridico di tale persona.

6.5 L’Intermediario non fornirà i Dati Personali a terzi a meno che tale divulgazione non sia necessaria per:

6.5.1 gli impiegati dell’Intermediario,

6.5.2 subappaltatori ai sensi dell’Art. 8 del Contratto,

6.5.3 terzi, se tale disposizione è richiesta dalla legge o da una decisione valida ed esecutiva di un tribunale o di un’altra autorità pubblica della Repubblica Slovacca.

7. ALTRI OBBLIGHI DELLE PARTI CONTRAENTI

7.1 Le Parti Contraenti si impegnano a fornirsi reciprocamente la collaborazione necessaria per ottemperare alle disposizioni del Contratto e per garantire il rispetto del Regolamento sulla Protezione dei Dati Personali.

7.2 Se in relazione alla violazione degli obblighi dell’Operatore derivanti dal Contratto e/o dal Regolamento sulla Protezione dei Dati Personali, l’Intermediario subisce un danno o un altro pregiudizio, l’Operatore è tenuto a risarcire integralmente l’Intermediario per tale danno o altro pregiudizio.

7.3 Se si verificano danni o altri pregiudizi in relazione alla violazione degli obblighi dell’Intermediario derivanti dal Contratto e/o dal Regolamento sulla Protezione dei Dati Personali, l’intermediario è tenuto a risarcire integralmente l’Operatore per tali danni o altri pregiudizi.

8. SUBAPPALTATORI

8.1 L’Operatore accetta che l’Intermediario possa coinvolgere altri intermediari nell’esecuzione delle attività di trattamento che svolge per l’Operatore nell’ambito della fornitura di servizi basati sul Contratto di Servizio o sulla base di un ordine individuale (di seguito denominato “Subappaltatore”).

8.2 L’Intermediario ha il diritto di coinvolgere il Subappaltatore nello svolgimento delle attività di trattamento ai sensi dell’articolo 8.1 del Contratto se stipula con esso un accordo scritto che impone al Subappaltatore gli stessi obblighi in materia di protezione dei dati personali che l’Intermediario ha nei confronti dell’Operatore ai sensi del presente Contratto. Se il Subappaltatore non adempie agli obblighi previsti dal presente Contratto in materia di protezione dei dati personali, l’Intermediario è pienamente responsabile nei confronti dell’Operatore per il mancato adempimento di tali obblighi da parte del Subappaltatore.

8.3 L’Intermediario dovrà notificare all’Operatore in anticipo qualsiasi modifica relativa all’aggiunta o alla sostituzione di altri Subappaltatori. Se l’Operatore non esprime il proprio disaccordo per iscritto entro 15 giorni di calendario dal momento in cui è stato informato della modifica, l’Intermediario potrà utilizzare un nuovo Subappaltatore. Se l’Operatore comunica il suo dissenso entro il periodo specificato, l’Intermediario farà sforzi ragionevoli per cambiare il Subappaltatore. Se l’Intermediario non è in grado di apportare tali modifiche entro 60 giorni di calendario, l’Operatore può risolvere il presente Contratto per iscritto entro 30 giorni dalla notifica della mancata modifica del Subappaltatore (o dalla data di notifica della modifica del Subappaltatore se l’Intermediario non ha informato l’Operatore in merito all’ottenimento di un Subappaltatore sostitutivo). L’Operatore può recedere dal presente Contratto mediante comunicazione scritta con un periodo di preavviso di un mese dalla data di consegna della comunicazione Se l’Operatore non notifica all’Intermediario la risoluzione del Contratto entro il periodo specificato, si ritiene che sia d’accordo con l’utilizzo del Subappaltatore originariamente proposto..

9. POTERI DI CONTROLLO DELL’OPERATORE

9.1 Se richiesto dall’Operatore, l’Intermediario consentirà all’Operatore o al Revisore Terzo Indipendente autorizzato dall’Operatore di effettuare un controllo nei Sistemi di Trattamento dei Dati Personali; tale controllo è limitato alla valutazione del rispetto degli obblighi previsti dal presente Contratto e in nessun caso può riguardare l’accesso ai dati di altri clienti dell’intermediario. La data dell’ispezione deve essere sempre concordata in anticipo, almeno dieci (10) giorni lavorativi prima dell’ispezione prevista.

9.2 L’Intermediario informa l’Operatore se, a suo parere, le istruzioni dell’Operatore violano il Regolamento sulla Protezione dei Dati Personali. Se l’Operatore insiste nell’esecuzione di un’istruzione che, a parere dell’Intermediario, viola la Normativa sulla Protezione dei Dati Personali, l’Intermediario si riserva il diritto di non eseguire tale istruzione, nonché il diritto di recedere dal Contratto.

10. TRASFERIMENTO DI DATI PERSONALI A PAESI TERZI

10.1 Il trattamento dei Dati Personali concordato contrattualmente viene effettuato dall’Intermediario in uno Stato membro dell’Unione Europea o in uno Stato facente parte dello Spazio Economico Europeo.

10.2 Il trasferimento dei Dati Personali a uno Stato situato nel territorio di uno Stato diverso da quello specificato nella clausola 10.1 del Contratto può avvenire solo con il previo consenso scritto dell’Operatore e nel rispetto delle condizioni speciali di cui agli Artt. 44-50 del Regolamento.

11. TEMPO DI ELABORAZIONE DEI DATI PERSONALI

11.1 L’Intermediario è autorizzato a iniziare il trattamento dei Dati Personali in conformità al Contratto non prima della data di entrata in vigore del presente Contratto e del Contratto di Servizio, e la sua autorizzazione al trattamento dura per l’intera durata del Contratto.

11.2 Il presente Contratto dura fino alla scadenza del Contratto di SErvizio.

12. RETURN OR DELETE PERSONAL DATA

12.1 Al termine del Contratto, l’Intermediario è tenuto a cancellare o restituire all’Operatore o a una terza parte designata dall’Operatore tutti i Dati Personali sulla base di istruzioni speciali dell’Operatore. Se l’Operatore richiede la restituzione dei Dati Personali, è tenuto a rimborsare all’Intermediario i costi sostenuti per la restituzione dei Dati Personali.

12.2 Se l’Operatore non fornisce all’Intermediario alcuna istruzione in relazione alla cancellazione o alla restituzione dei Dati Personali entro 15 giorni di calendario dalla scadenza del Contratto, l’Intermediario invierà una richiesta scritta all’Operatore chiedendo all’Operatore di inviare le istruzioni per la cancellazione o la restituzione dei Dati Personali entro 15 giorni di calendario. Se l’Operatore non fornisce istruzioni scritte entro questo periodo aggiuntivo e non rimborsa i costi sostenuti in caso di restituzione dei Dati Personali, è valido il diritto dell’Intermediario di cancellare tutti i Dati Personali.

12.3 L’obbligo di restituzione o cancellazione dei Dati Personali non riguarda le informazioni che l’Intermediario è obbligato a conservare in base a norme giuridiche generalmente vincolanti anche dopo la scadenza del Contratto e dell’Accordo di Servizio.

12.4 Su richiesta dell’Operatore, l’Intermediario confermerà per iscritto la cancellazione o la restituzione dei Dati Personali.

13. DISPOSIZIONI FINALI

13.1 Il presente Contratto sostituisce tutti i precedenti accordi tra l’Operatore e l’Intermediario in materia di protezione dei dati personali..

13.2 I rapporti giuridici delle parti contraenti, che non sono ulteriormente regolati dal presente Contratto, sono disciplinati dalle disposizioni pertinenti del Regolamento, della Legge e della Legge n. 513/1991 Coll. del Codice Commerciale e successive modifiche e da pertinenti altri regolamenti legali della Repubblica Slovacca.

13.3 Le Parti contraenti dichiarano di aver letto attentamente il Contratto prima di concluderlo, di averne compreso il contenuto e di confermare che il Contratto corrisponde alla loro reale e libera volontà e che il Contratto non è stato concluso sotto costrizione o in condizioni notevolmente sfavorevoli.