GDPR DATA PROCESSING AGREEMENT ADDENDUM
Il presente Addendum sul
trattamento dei dati ("DPA") integra il Contratto standard Qapp
disponibile al link
come aggiornato di volta in volta, o altro specifico accordo che regola l’utilizzo
delle Offerte di Servizi Qapp (fruiti anche in piena autonomia online senza il
coinvolgimento di personale Qapp), quando il GDPR si applica all’utilizzo di
tali Servizi Qapp per elaborare dati personali.
Questo DPA è un accordo tra
l’entità che si avvale dei Servizi offerti da Qapp di seguito detto “Cliente” e
Qapp s.r.l. sede legale in via Via Francesco Satolli n. 30 00165 – Roma (mail
PEC: qapp@pec.it) di seguito detto “Responsabile” in riferimento al trattamento
dei dati. Insieme di seguito denominate anche “Parti”.
PREMESSE
(A) Il Cliente agisce in
qualità di Titolare dei Dati Personali o a sua volta di Responsabile del Trattamento
dei Dati Personali per conto di Terzi per cui dichiara di avere le necessarie
autorizzazioni ed accordi per il trattamento dei Dati Personali.
(B) Il Cliente desidera avvalersi
di alcuni Servizi Qapp, che implicano il trattamento dei Dati Personali di cui
è Titolare o a sua volta Responsabile.
(C) Le Parti cercano di
attuare un accordo sul trattamento dei dati conforme con i requisiti
dell'attuale quadro giuridico in materia di dati trattamento e con il
Regolamento (UE) 2016/679 dell'Unione Europea Parlamento e del Consiglio del 27
aprile 2016 sulla protezione della natura soggetti rispetto al trattamento dei
dati personali e sul libero circolazione di tali dati, e che abroga la
Direttiva 95/46/CE (General Data Protection Regulation).
(D) Le Parti desiderano
stabilire i propri diritti e obblighi.
1.1
Se non
diversamente definito nel presente documento, vengono utilizzati termini ed espressioni
con il seguente significato:
1.1.1.
"Contratto" indica un qualsiasi
accordo commerciale tra il “Cliente” e Qapp;
1.1.2.
"Dati personali del Cliente" indica
qualsiasi Dato Personale Elaborato dal Responsabile per conto del Cliente;
1.1.3.
"Responsabile del trattamento a
contratto" indica un Subresponsabile del trattamento;
1.1.4.
"Leggi sulla protezione dei dati"
indica le leggi dell'UE sulla protezione dei dati e, nella misura applicabile,
le leggi sulla protezione dei dati o sulla privacy di qualsiasi altro paese;
1.1.5.
"SEE" indica lo Spazio economico
europeo;
1.1.6.
"Leggi UE sulla protezione dei
dati" indica la Direttiva UE 95/46/CE, come recepito nella legislazione
nazionale di ciascuno Stato membro e come modificato, sostituito o soppiantato
di volta in volta, anche dal GDPR e dalle leggi di attuazione o integrazione il
GDPR;
1.1.7.
"GDPR" indica il Regolamento
generale sulla protezione dei dati dell'UE 2016/679;
1.1.8.
"Trasferimento
di dati" significa:
1.1.8.1
un trasferimento di Dati Personali del Cliente
ad un Responsabile a contratto; o
1.1.8.2
un successivo trasferimento di Dati Personali
del Cliente da un Responsabile in appalto ad un Responsabile in subappalto, o tra
due responsabili in appalto
1.1.9.
"Subresponsabile del trattamento"
indica qualsiasi persona nominata da o per conto del Responsabile per trattare i
Dati Personali forniti dal Cliente parte del presente accordo.
1.2 I termini "Commissione", "Titolare",
"Interessato", "Stato Membro", "Dati Personali", "Violazione
dei Dati Personali", "Trattamento" e "Autorità di
vigilanza" ha lo stesso significato di cui al GDPR, e i loro termini
affini devono essere interpretati di conseguenza.
2.1
Il Responsabile
dovrà:
2.1.1.
rispettare tutte le leggi sulla protezione
dei dati applicabili nel trattamento dei
Dati Personali del Cliente;
2.1.2.
non Trattare Dati Personali del Cliente al di
fuori delle Istruzioni documentate del Cliente.
2.2
Il Cliente
incarica il Responsabile al trattamento dei Dati Personali.
Il Responsabile del
trattamento dichiara di adottare misure ragionevoli per garantire
l'affidabilità di qualsiasi dipendente, agente o di qualsiasi Sub-responsabile del
trattamento a contratto che potrebbe avere l'accesso ai Dati Personali della Cliente,
garantendo in ogni caso che tale accesso sia strettamente limitato a quei
soggetti che hanno necessità di conoscere/accedere ai soli Dati Personali rilevanti
del Cliente, nella misura strettamente necessaria alle finalità dello
svolgimento dei servizi contenuti nel contratto tra le parti, e conforme alle
Leggi Applicabili nel contesto dei servizi svolti da tale soggetto nei
confronti dell'incaricato del trattamento, assicurando che tutte queste persone
siano soggette a impegni di riservatezza o obblighi di riservatezza
professionali o di legge.
4.1
Tenendo conto
dello stato dell'arte, dei costi di attuazione e della natura, ambito, contesto
e finalità del Trattamento, nonché il rischio di diversa probabilità e gravità
per i diritti e le libertà delle persone, il Responsabile del trattamento in
relazione ai Dati Personali del Cliente dovrà attuare misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato a tale
rischio, incluso, se appropriato , le misure di cui all'articolo 32, comma 1,
del GDPR.
4.2
Nel valutare
l'adeguato livello di sicurezza, il Responsabile dovrà tenere conto in
particolare dei rischi che si possono presentare nel Trattamento, in
particolare da una violazione dei Dati Personali.
5.1
Il Responsabile
non nominerà o divulgherà i Dati Personali del Cliente a qualsiasi
Sub-responsabile se non richiesto o autorizzato dal Cliente.
6.2
Tenendo conto
della natura del Trattamento, il Responsabile del trattamento presta assistenza
al Cliente implementando adeguate tecniche e misure organizzative, per quanto
possibile, per l'adempimento degli obblighi verso il Cliente, come
ragionevolmente inteso dal Cliente, e di rispondere a richieste
dell'Interessato ai sensi delle Leggi sulla protezione dei dati.
6.3
Il Responsabile
dovrà:
6.3.1
avvisare
tempestivamente il Cliente se riceve una richiesta da un Interessato ai sensi
di qualsiasi legge sulla protezione dei dati nel rispetto del trattamento dei Dati
Personali del Cliente;
6.3.2
assicurarsi di
non rispondere a tale richiesta se non secondo le istruzioni documentate dal Cliente
o come richiesto da Leggi applicabili a cui è soggetto il Responsabile del
trattamento, nel qual caso, il Responsabile del trattamento dovrà, nella misura
consentita dalle Leggi Applicabili, informare il Cliente prima di rispondere alla
richiesta dell’Interessato.
7.4
Il Responsabile
informerà il Cliente, senza indebito ritardo, se dovesse venire a conoscenza di
una violazione dei Dati Personali dell'Cliente, fornendo al Cliente
informazioni sufficienti per consentire al Cliente di adempiere a eventuali
obblighi di segnalazione o informazione agli Interessati dei Dati Personali, ai
sensi delle leggi sulla protezione dei dati.
7.5
Il Responsabile
coopererà con il Cliente e intraprenderà ragionevoli passi commerciali per
assistere nell’investigazione, mitigazione e risoluzione di qualsiasi
Violazione di tali Dati Personali.
Il Responsabile dovrà fornire ragionevole assistenza al Cliente per
qualsiasi valutazione d'impatto sulla protezione dei dati e consultazioni
preliminari con Autorità di controllo o altre autorità competenti in materia di
protezione dei dati personali, che il Cliente ritiene ragionevole eseguire come
previsto dagli art. 35 o 36 del GDPR o disposizioni equivalenti di qualsiasi
altra legge sulla protezione dei dati, in ciascun caso esclusivamente in
relazione al Trattamento dei Dati Personali del Cliente e considerando la
natura del Trattamento e delle informazioni disponibili al Responsabile.
9.1.
Il
Responsabile dovrà tempestivamente e comunque entro 10 giorni lavorativi dalla
data di cessazione di qualsiasi Servizio che coinvolga il Trattamento dei Dati
Personali del Cliente, cancellare e ottenere la cancellazione di tutte le copie
di tali Dati Personali della Cliente.
9.2.
L'incaricato
del trattamento deve fornire alla Cliente una certificazione scritta che ha
rispettato la presente sezione 9 entro 10 giorni lavorativi dalla data di cessazione.
Il Responsabile metterà a disposizione del Cliente, su
richiesta, tutte le informazioni necessarie per dimostrare il rispetto del
presente accordo, e dovrà consentire e contribuire alle revisioni da parte del Cliente
o di un revisore incaricato dal Cliente in relazione al Trattamento dei Dati
Personali del Cliente da parte del Responsabile.
Il Responsabile non può trasferire o autorizzare il
trasferimento dei Dati a paesi al di fuori dell'UE e/o dello Spazio economico
europeo (SEE) senza il preventivo consenso scritto del Cliente. Nel caso in cui
i Dati Personali elaborati ai sensi del presente Accordo, venissero trasferiti
da un paese all'interno del Spazio economico europeo a un paese al di fuori
dello Spazio economico europeo, le Parti assicurano che i dati personali siano
adeguatamente protetti. A tal fine, le
Parti, salvo diverso accordo, si affidano alle clausole contrattuali standard
approvate dall'UE per il trasferimento di Dati Personali.
12.1.
Riservatezza.
Ciascuna Parte deve mantenere il presente Accordo e le informazioni che riceve riguardo l'altra Parte in relazione
al presente Accordo come “Informazioni Confidenziali” e si impegna a non
utilizzare o divulgare le Informazioni Confidenziali senza il previo consenso
scritto dell’altra Parte, salvo nella misura in cui:
(a) la comunicazione è obbligatoria per legge;
(b) le informazioni pertinenti sono già di dominio pubblico.
12.2.
Avvisi.
Tutti le comunicazioni fornite ai sensi del presente Accordo dovranno essere in
forma scritta e consegnate personalmente, inviate per posta o e-mail
all'indirizzo o all'indirizzo e-mail indicato nell'intestazione di questo Accordo
o ad altro indirizzo notificato di volta in volta dalla Parte che cambia
indirizzo.
13.1.
Il
Foro esclusivamente competente per ogni controversia relativa all’interpretazione
ed esecuzione del presente Accordo sarà quello di Roma.