Condizioni generali di contratto - Sistema di prenotazione online

Hospitality Digital GmbH, Metrostraße 1, 40235 Düsseldorf (“H.d”) offre alle imprese del settore dell’hotellerie e della ristorazione (“committente”) servizi gratuiti erogabili esclusivamente online e ulteriormente descritti nel dettaglio (“servizi”). Altri servizi sono accessibili in seguito alla registrazione del committente.

1. Ambito di applicazione

1.1 H.d eroga servizi e altre prestazioni esclusivamente sulla base delle seguenti condizioni contrattuali (“CGC”).

1.2 Non si applicano eventuali condizioni differenti del committente, neanche laddove H.d non le rifiuti esplicitamente e/o laddove, nonostante sia a conoscenza di condizioni conflittuali e/o differenti del committente, eroghi servizi e/o prestazioni senza riserva.

2. Entità dei servizi

2.1 I servizi includono le seguenti prestazioni di H.d per la durata del contratto:

(a) H.d affida al committente uno spazio di memoria da impiegare sui sistemi di H.d, a cui il committente può avere accesso online (“spazio di memoria”), vedi punto 4.

(b) H.d cede al committente l’accesso online ad un software che consente a questi di collegare il software di prenotazione online al proprio sito web e di utilizzarlo e gestirlo (“software”, vedi punto 5) e di salvare e gestire i dati raccolti nello spazio di memoria.

2.2 Per incrementare la copertura, H.d può rendere accessibili le effettive disponibilità delle prenotazioni (orari, tavoli e numero di persone) anche a prestatori terzi di servizi (ad es. “Prenotare con Google”). Le richieste di prenotazione pervenute in questo modo vengono comunque elaborate esclusivamente tramite il software di H.d. Poiché alcuni prestatori terzi di servizi prevedono un numero minimo di persone per l’approvazione automatica della prenotazione, H.d ha previsto un numero di quattro persone come impostazione di base perché la prenotazione venga approvata automaticamente. Tale impostazione può essere modificata dal committente in qualsiasi momento. Una modifica in questo senso può tuttavia implicare che i prestatori terzi di servizi non mostrino più prenotazioni effettivamente disponibili.

2.3 H.d può adeguare i servizi e le altre prestazioni allo stato dell’arte, agli sviluppi tecnici e alle esigenze, laddove ragionevole per il committente. H.d potrà anche sospendere questi servizi e altre prestazioni, rispettando un termine di preavviso adeguato. H.d informerà tempestivamente il committente di tale sospensione.

3. Obblighi del committente

3.1 Durante il periodo contrattuale, il committente si obbliga ad aggiornare costantemente i dati delle attività e i contatti indicati alla conclusione contrattuale e ad informare tempestivamente H.d in caso di modifiche. Il committente garantisce anche un controllo regolare della casella di posta elettronica comunicata a H.d al fine di ricevere eventuali informazioni contrattuali rilevanti.

3.2 Il committente proteggerà i dati di accesso ricevuti da H.d dall’accesso di terzi non autorizzati. Il committente informerà tempestivamente H.d, laddove abbia il ragionevole sospetto o sia a conoscenza di un possibile abuso dei dati di accesso affidatigli.

3.3 Il committente sa che l’uso del software di prenotazione online può essere associato a H.d. Il committente farà tutto il possibile per tenere separato il contenuto dell’offerta del committente da quello dell’offerta di H.d o di terzi.

3.4 Se il committente viene a sapere di aver commesso una violazione avvalendosi dei servizi o di altre prestazioni, ha l’obbligo di rimediare immediatamente a tale violazione e di cancellare i contenuti illeciti.

4. Disposizioni speciali sullo spazio di memoria

4.1 Lo spazio di memoria viene messo a disposizione del committente a titolo gratuito. Pertanto, H.d non può garantire una specifica disponibilità dello spazio di memoria. Inoltre, lo spazio di memoria non sarà disponibile durante i lavori di manutenzione necessari. H.d si impegna a ridurre al minimo i lavori di manutenzione. H.d mette a disposizione del committente ulteriori specifiche di prestazione dello spazio di memoria prima della conclusione contrattuale.

4.2 Il committente si obbliga e garantisce che tutti i file, inclusi i documenti HTML e di altro tipo, testi, immagini, grafici, scritte, video, ecc. (“contenuti”) vengano salvati sullo spazio di memoria e/o mediante il software, pubblicati e/o resi accessibili in conformità alla legge vigente; in particolare, il committente salverà esclusivamente i contenuti sullo spazio di memoria e/o mediante il software per cui il committente possieda i diritti necessari, inclusi diritti d’uso e di utilizzazione, e che non violino i diritti della personalità di terzi. Inoltre, il committente non salverà sullo spazio di memoria e/o mediante il software, pubblicherà e/o renderà accessibili contenuti con contenuti immorali, in particolare pornografici, razzisti o discriminanti. H.d potrà cancellare i contenuti che siano stati salvati sullo spazio di memoria e/o mediante il software ignorando il punto 4 e su cui H.d sia stata informata da autorità, tribunali, titolari di diritti o altri soggetti terzi o di cui sia venuta a conoscenza in altro modo.

4.3 Su tutti i contenuti che il committente salva sullo spazio di deposito e/o mediante il software, pubblica e/o rende pubblicamente accessibili, egli cede a H.d i diritti necessari, in particolare per salvare, modificare tecnicamente, rendere pubblicamente disponibili e riprodurre i contenuti. H.d ha accesso solo ai contenuti del committente sullo spazio di lavoro, se necessario alla messa a disposizione e/o alla pubblicazione dei contenuti e per i poteri concessi contrattualmente.

4.4 Il committente, inoltre, non potrà eseguire o far eseguire sullo spazio di memoria e/o mediante il software alcun processo automatizzato, script, software o altri dati e/o contenuti e/o azioni di qualsiasi tipo, che compromettano i sistemi, le reti e/o altri hardware o software o componenti di rete di H.d e/o terzi in modo più che insignificante. Laddove H.d venisse a conoscenza di una compromissione simile, potrà terminarla e/o vietarla.

4.5 Il committente eseguirà dei backup di dati quotidiani per poter ripristinare i contenuti dello spazio di memoria senza costi ulteriori.

4.6 Se il committente agisce come responsabile nei confronti del cliente finale/utente, il committente è obbligato, nell’ambito delle CGC messe a disposizione e delle disposizioni sulla tutela della privacy, a tenere la propria sezione Impressum (Note legali) aggiornata e conforme alla legge.

5. Disposizioni speciali sul software

Non è ammesso l’accesso al software o il suo uso da parte del committente per terzi o altri scopi. In particolare, il committente non ha il diritto di riprodurre il software, di metterlo a disposizione di terzi o renderlo accessibile, di disassemblarlo o modificarlo in altro modo.

6. Conclusione contrattuale, durata, recesso

6.1 Il contratto viene concluso con l’accettazione dell’offerta del committente alla conclusione di un contratto con oggetto i servizi e ulteriori prestazioni di H.d. L’accettazione ha luogo generalmente con l’inizio dell’erogazione della prestazione da parte di H.d.

6.2 Il contratto viene concluso a tempo indeterminato; il cliente può recedere in qualsiasi momento, H.d con un termine di due (2) settimane.

6.3 I recessi di H.d devono aver luogo per iscritto o e-mail. Il committente recede generalmente selezionando e confermando nel software l’apposita opzione per eliminare i suoi contenuti.

6.4 Resta intatto il diritto di recesso senza termini di preavviso per giusta causa. Una giusta causa si verifica in particolare quando il committente violi un obbligo di cui ai punti 3, 4, 5, 6, 10.2 e 10.3.

6.5 Alla cessazione del contratto, indipendentemente dal motivo, H.d eliminerà tutti i dati salvati sullo spazio di memoria nell’ambito del rapporto contrattuale da parte del committente entro trenta (30) giorni, se il committente non esegue autonomamente l’eliminazione mediante il software.

7. Garanzia legale e responsabilità, esonero

7.1 Per i servizi e le prestazioni che H.d mette gratuitamente a disposizione del committente, H.d risarcisce al committente esclusivamente il danno subito dal committente a causa di vizi occulti dolosi. Per i servizi e le prestazioni messi a disposizione gratuitamente, H.d declina responsabilità ulteriori a quelle per difetti materiali e vizi.

7.2 H.d e i suoi assistenti all’adempimento o rappresentanti legali rispondono per i servizi e le prestazioni messe gratuitamente a disposizione del committente da H.d solo in casi di dolo, colpa grave o violazione colposa della vita, del corpo o della salute e per vizi occulti dolosi, laddove la responsabilità di H.d in caso di perdita dei dati è limitata alle spese di ripristino che sarebbero state necessarie per un backup quotidiano dei dati. La responsabilità ai sensi della legge tedesca sulla responsabilità per i danni da prodotto e della legge tedesca sul salario minimo rimangono invariate.

7.3 Il committente è l’unico responsabile dei contenuti. Pertanto, alla prima richiesta, il committente esonera H.d, i suoi ausiliari all’adempimento, i rappresentanti legali e le imprese collegate a H.d ai sensi del § 15 AktG (Legge tedesca sulle società per azioni) da tutte le pretese fatte valere in relazione ai servizi e/o altre prestazioni nei confronti di H.d, dei suoi ausiliari all’adempimento, dei rappresentanti legali e/o delle imprese collegata e H.d. Ciò si applica in particolare in caso di violazioni del diritto di marchio, d’autore, della tutela della privacy e della concorrenza. L’esonero concerne anche tutte le spese legali necessarie, inclusi i costi di un procedimento arbitrale.

8. Tutela della privacy, segretezza

8.1. H.d è responsabile dell’elaborazione dei dati personali raccolti dal committente. H. elabora i dati personali esclusivamente ai fini dell’esecuzione del presente contratto, ad esempio per stabilire contatti e fornire servizi. In mancanza di tali dati personali, non sarà possibile l’esecuzione del contratto. I dati personali sono elaborati in accordo all’articolo 6. paragrafo 1, comma 1 (b) del Regolamento Generale sulla Protezione dei dati (GDPR). I dati personali del committente saranno eliminati alla cessazione del contratto, a meno che non sussistano obblighi giuridici che prevedano la conservazione di tali dati per un periodo di tempo maggiore. In questo caso, i dati personali non possono essere impiegati per altri scopi e saranno cancellati non appena scadrà il periodo di conservazione. Ai fini dell’applicazione del contratto, H.d si avvale del supporto di fornitori di servizi, ad esempio nel campo dell’hosting, per la manutenzione e l’esecuzione di altri servizi. I suddetti fornitori di servizi possono essere sia aziende esterne sia aziende affiliate a H.d in ottemperanza agli articoli 15 e seguenti della Legge Tedesca sulle Società per Azioni (di seguito LTSA). Per mezzo di accordi contrattuali con i fornitori di servizi, H.d garantisce che i dati personali siano elaborati in ottemperanza a quanto disposto dal GDPR. Ciò si applica anche nel caso in cui i dati personali dovessero essere elaborati al di fuori dell’UE/SEE. Per esercitare i propri diritti di committente sanciti dal GDPR, ossia

· per ricevere informazioni sull’elaborazione dei dati personali nonché una copia di tali dati (art. 15 del GDPR);

· per far apportare correzioni ai dati incorretti o far completare i dati personali incompleti (art. 16 del GDPR);

· per la cancellazione dei dati personali e, qualora resi pubblici, per far sì che H.d informi i responsabili terzi in merito alla richiesta di cancellazione (art. 17 del GDPR);

· per limitare l’elaborazione dei dati personali (art. 18 del GDPR);

· per la portabilità dei dati, ossia per ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivi automatici e per il diritto di trasmettere tali dati a responsabili terzi senza impedimento da parte di H.d (art. 20 del GDPR);

· per revocare il consenso fornito, che non pregiudica la legittimità del trattamento effettuato sulla base del consenso fino alla revoca (art. 7 del GDPR), e

· per presentare ricorso contro l’elaborazione dei dati (art. 21 del GDPR)

il cliente può contattare in qualsiasi momento il responsabile della protezione dei dati di H.d (privacy@hd.digital). Il cliente ha inoltre il diritto di presentare un reclamo all’autorità di vigilanza competente, nella misura in cui ritiene che il trattamento dei dati sia incompatibile con il GDPR (art. 77 del GDPR).

8.2 Il committente è l’unico responsabile nei confronti di terzi per il rispetto delle norme in materia di tutela della privacy, inclusi gli obblighi di informazione esistenti in relazione al sito web creato dal committente con il software.

8.3 Le parti sono obbligate a non rendere accessibili a terzi informazioni riservate fino al decorrere di due anni dalla fine del periodo contrattuale e a non utilizzarle a scopi non pertinenti al contratto. Si definiscono confidenziali tutte le informazioni sui dati tecnici resi accessibili al cliente sul know-how o informazioni di altro tipo, contrassegnata come confidenziale da una delle parti e che possiedano un valore economico.

8.4 L’obbligo di segretezza non concerne le informazioni di cui altri siano venuti a conoscenza o già in precedenza o divenute in seguito di dominio pubblico senza che una delle parti abbia violato l’obbligo di segretezza o rese accessibili a terzi in seguito a disposizioni legali, giudiziarie o ufficiali o ispezionate da terzi vincolati dall’obbligo di segretezza nell’ambito di un progetto di acquisto aziendale.

9. Corrispettivo

9.1 Il committente non è tenuto a pagare alcun corrispettivo per l’erogazione dei servizi da parte di H.d. I servizi vengono prestati a titolo gratuito.

9.2 Le prestazioni di terzi erogate nell’ambito di prestazioni ampliate, restano intatte dal punto 9.1.

10. Altre disposizioni

10.1 H.d potrà fornire mediante subappaltatori singole o tutte le prestazioni dovute nell’ambito del presente contratto, in particolare i servizi. H.d pianifica per il futuro di affidare alla sua controllata Hospitality. Systems GmbH l’erogazione di tali servizi.

10.2 H.d potrà modificare le presenti CGC, incluse le modifiche previste, previo preavviso nei confronti del committente. H.d potrà apportare delle modifiche delle CGC solo nella misura in cui ciò sia ragionevole per il committente, le modifiche non riguardino obblighi contrattuali essenziali o il committente non sia svantaggiato dalla modifica. Il già pianificato trasferimento dei diritti e degli obblighi qui descritti alla controllata di H.d, la Hospitality. Systems GmbH, è considerato ragionevole. Il committente potrà opporsi ad una modifica delle CGC entro quattro (4) settimane dall’accesso della comunicazione o recedere dal contratto senza dover rispettare alcun termine di preavviso. Laddove il committente non si opponga alla modifica delle CGC o non lo faccia entro i termini, ciò sarà considerato come un consenso alla modifica delle CGC. Alla comunicazione di eventuali modifiche delle CGC, H.d informerà il committente sulle conseguenze di un’opposizione non presentata entro i termini e sul diritto di recesso senza preavviso dal contratto.

10.3 Laddove una disposizione del presente contratto fosse o divenisse totalmente o parzialmente nulla, inefficace, ineseguibile o non applicabile (“disposizione errata”), ciò non comprometterà l’efficacia e l’applicabilità delle restanti disposizioni del presente contratto. Le parti si obbligano fin da ora a concordare, in luogo della disposizione errata, una disposizione che, nella misura consentita dalla legge, più si avvicini a quanto le parti avrebbero concordato, in conformità al senso e allo scopo del presente contratto, se avessero riconosciuto l’erroneità della disposizione. Se l’erroneità di una disposizione sia basata su una misura ivi definita in termini di prestazione o tempo (termine o scadenza), va concordata una disposizione che presenti una misura ammessa dalla legge che più si avvicini a quella originaria. Lo stesso si applica in caso di lacune di regolamentazione nel presente contratto. È volontà delle parti che questa clausola salvatoria non abbia come conseguenza una mera inversione dell’onere della prova ma si rinuncia interamente al § 139 BGB (Codice Civile tedesco).

10.4 Il contratto e tutte le pretese e i diritti derivanti o in relazione ad esso sono regolati esclusivamente dal diritto tedesco con esclusione delle norme sul conflitto di leggi e vanno interpretati e applicati in conformità alla legge tedesca. Si esclude altresì l’applicazione della Convenzione di Vienna sulla vendita internazionale di beni mobili (CISG).

10.5 Foro competente esclusivo per tutte le controversie derivanti da o concernenti il presente contratto, la sua conclusione o la sua esecuzione è, nella misura consentita dalla legge, Düsseldorf.

Versione: Febr. 2019/AG



TRATTAMENTO DEGLI ORDINI

Confermando le suddette Condizioni Generali, il Mandante ("Soggetto Responsabile") e H.d. ("Responsabile del Trattamento"), collettivamente indicati come le "Parti", individualmente come la "Parte", sottoscrivono anch'essi il seguente Accordo per il Trattamento dei Dati (Data Processing Agreement , "DPA").

Preambolo

Nell'ambito delle sue attività commerciali e conformemente alle precedenti Condizioni Generali, il Responsabile del Trattamento riceve i dati personali per i quali al Soggetto Responsabile spetta la responsabilità. Le Parti concordano sulle disposizioni del presente DPA, al fine di rispettare gli obblighi delle parti relativi alla protezione dei dati, ai sensi della legislazione europea in materia di protezione dei dati, nello specifico il Regolamento Generale sulla Protezione dei Dati (Articolo 28 RGDP).

1. Definizioni

1.1 Con Dati Personali s'intende qualsiasi informazione relativa a una persona fisica identificata o identificabile ("Soggetto Interessato"). Una persona fisica è ritenuta essere identificabile laddove può essere identificata direttamente o indirettamente mediante un'associazione con un identificatore, come nome, numero di identificazione, dati relativi all'ubicazione, identificativo online o una o più caratteristiche specifiche che precisano l'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica (di seguito "Dati").

1.2 Il trattamento dei dati per conto di un'altra persona è la raccolta, il trattamento o l'utilizzo dei dati da parte del Responsabile del Trattamento per conto del Soggetto Responsabile.

2. Oggetto e contenuto dell'ordine

2.1 Oggetto e durata dell'ordine

I dettagli e la durata dell'ordine derivano dalle suddette Condizioni Generali.

2.2 Tipologia dei dati

La tipologia dei dati è descritta in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.3 Scopo della raccolta, del trattamento o dell'utilizzo dei dati

Lo scopo della raccolta, del trattamento o dell'utilizzo dei dati è descritto in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.4 Natura ed entità della raccolta, del trattamento o dell'utilizzo dei dati

La natura e l'entità della raccolta, del trattamento o dell'utilizzo dei dati è descritto in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.5 Categoria dei Soggetti Interessati

(a) Dati propri del Soggetto Responsabile

(b) Clienti

2.6 Misure tecniche e organizzative

(a) Le misure tecniche e organizzative da implementare da parte del responsabile del trattamento dovranno essere stabilite nell'Allegato (fare riferimento qui di seguito) al presente DPA. Il Responsabile del Trattamento adatterà a cadenza regolare tali misure alle pratiche correnti a suo carico, fermo restando che il livello concordato di protezione non venga ridotto e i Soggetti Responsabili vengano immediatamente informati.

(b) Al Responsabile del Trattamento è richiesto di consentire al Soggetto Responsabile di verificare l'applicazione in situ delle misure tecniche e organizzative prima dell'avvio delle attività per il trattamento ai sensi del presente contratto. Il diritto di controllo da parte del Soggetto Responsabile conformemente al paragrafo 2.10 resta inalterato. (c) Il responsabile del trattamento dovrà garantire che i sistemi per il trattamento dei dati utilizzati nel quadro del DPA siano conformi agli standard di "privacy by design" e "privacy by default" conformemente alle pratiche correnti.

2.7 Correzione, cancellazione e blocco dei dati, diritto alla portabilità dei dati e diritto di opposizione

(a) I diritti dei soggetti coinvolti nel trattamento dei dati da parte del responsabile del trattamento, in particolare il diritto di rettifica, cancellazione e blocco, il diritto alla portabilità dei dati, nonché il diritto di opposizione dovranno essere esercitati nei confronti del responsabile del trattamento. Soltanto lui è responsabile per la protezione di tali diritti.

(b) Nell'esercizio delle sue mansioni per il Soggetto Responsabile, il Responsabile del Trattamento è tenuto a trasmettere tempestivamente qualsiasi richiesta indirizzata allo stesso da parte dei soggetti interessati verso il soggetto responsabile per un adeguato trattamento. Laddove il Soggetto Responsabile e il Responsabile del Trattamento agiscono congiuntamente come soggetti responsabili esterni, il Responsabile del Trattamento sarà autorizzato a rispondere a tali richieste indipendentemente.

(c) Al Responsabile del Trattamento è inoltre richiesto di assistere il Soggetto Responsabile con adeguate misure tecniche e organizzative per soddisfare il suo obbligo a rispondere ai soggetti interessati.

(d) Conformemente alle istruzioni del Soggetto Responsabile, il Responsabile del Trattamento dovrà rettificare, sospendere e/o cancellare immediatamente i dati, non oltre cinque (5) giorni, ed informarlo entro tale termine.

2.8 Doveri del Responsabile del Trattamento

(a) Il Responsabile del Trattamento potrà raccogliere, trattare e utilizzare i dati esclusivamente nell'ambito dell'ordine e delle istruzioni documentate del Soggetto Responsabile.

(b) Il Responsabile del Trattamento dovrà adempiere alle misure tecniche e organizzative, in base a quanto stabilito dalla Clausola 2.6 del presente DPA ad intervalli regolari e inviarlo su richiesta.

(c) Il Responsabile per la protezione dei dati è designato come persona di contatto per la protezione dei dati dal Responsabile del Trattamento. Questo può essere contattato all'indirizzo e-mail privacy@hd.digital. Laddove necessario, il Responsabile del Trattamento potrà nominare anche un rappresentante ai sensi delle disposizioni dell'Art. 27 del RGDP.

(d) Il Responsabile del Trattamento è responsabile del mantenimento della riservatezza. A qualsiasi persona autorizzata dallo stesso ad accedere ai dati del Soggetto Responsabile sarà richiesto di essere vincolata a un obbligo di riservatezza o segreto professionale e dovrà essere informata degli specifici obblighi relativi alla protezione dei dati derivanti dal presente DPA, nonché delle istruzioni presenti e del loro scopo. Il Responsabile del Trattamento documenterà tali obblighi per iscritto e li fornirà su richiesta del Soggetto Responsabile.

2.9 Giustificazione delle condizioni di subappalto

(a) È consentita la giustificazione di rapporti di subappalto. Il Responsabile del Trattamento dovrà informare in anticipo il Soggetto Responsabile circa la corrispondente modifica. Quest'ultimo ha il diritto di opporsi.

(b) In caso di entrata in servizio di altri responsabili del trattamento, il Responsabile del Trattamento dovrà garantire per contratto che i suoi obblighi attribuiti ai sensi del presente DPA varranno anche per gli altri responsabili.

(c) Il Responsabile del Trattamento dovrà controllare le misure tecniche e organizzative adottate dagli altri responsabili, ad hoc e a cadenza regolare, durante il periodo di subappalto per proteggere i dati che ha fornito. Il trasferimento dei dati è consentito solo se l'altro responsabile ha implementato le dovute misure tecniche e organizzative conformemente alle specifiche del presente DPA.

(d) Il Responsabile del Trattamento sarà completamente responsabile dei subappaltatori a cui ricorrerà.

2.10 Diritto di controllo del Soggetto Responsabile

Il Soggetto Responsabile è autorizzato a verificare la conformità con i regolamenti applicabili in materia di protezione dei dati e con il DPA durante il normale orario di lavoro. Il Responsabile del Trattamento acconsente a fornire al Soggetto Responsabile tutte le informazioni ragionevolmente necessarie per eseguire il controllo entro un periodo di tempo ragionevole. Laddove il Soggetto Responsabile ritenga che sia necessaria un'ispezione in situ del Responsabile del Trattamento, quest'ultimo dovrà garantire che il soggetto responsabile dell'esecuzione della verifica abbia accesso ai suoi uffici e che possa svolgere l'ispezione in situ dei dati memorizzati e dei programmi per il trattamento dei dati. Il Soggetto Responsabile ha il diritto di far eseguire la verifica ad una terza parte (ispettore) che sarà designata per il singolo caso. Il Soggetto Responsabile dovrà annunciare l'esecuzione di tale verifica per iscritto con un preavviso di almeno venti (20) giorni lavorativi. Le spese per l'esecuzione della verifica e quelle sostenute dal Responsabile del Trattamento secondo i normali prezzi di mercato saranno a carico del Soggetto Responsabile.

2.11 Notifiche di Violazioni da parte del Responsabile del Trattamento

(a) Il Responsabile del Trattamento dovrà comunicare tempestivamente al Soggetto Responsabile, ed entro quarantotto (48) ore da tale scoperta, tutti i casi in cui lo stesso, o soggetti o subappaltatori impiegati da esso, hanno infranto le regole che disciplinano la protezione dei dati del Soggetto Responsabile o le condizioni stabilite nel presente DPA.

(b) Al Soggetto Responsabile dovrà essere comunicato ogni incidente che porti a una perdita di dati o a una loro trasmissione illecita o ricezione da parte di terzi, a prescindere dalla causa. Il Responsabile del Trattamento dovrà, consultandosi con il Soggetto Responsabile, adottare misure adeguate atte a salvaguardare i dati e a minimizzare le possibili conseguenze negative per le persone interessate. Nella misura in cui i soggetti responsabili soddisfano gli obblighi di comunicazione, il Responsabile del Trattamento dovrà assistere questi nell'adempiere tali obblighi.

2.12 Istruzioni da parte del Soggetto Responsabile

(a) Il trattamento dei dati del Soggetto Responsabile da parte del Responsabile del Trattamento dovrà essere eseguito esclusivamente nell'ambito del DPA e in base alle specifiche istruzioni comunicate dallo stesso.

(b) Il Responsabile del Trattamento dovrà adempiere tempestivamente alle (singole) istruzioni relative alla natura, all'entità e al metodo di trattamento, o, laddove applicabile, entro i termini stabiliti dal Soggetto Responsabile.

(c) Il Responsabile del Trattamento dovrà comunicare tempestivamente al Soggetto Responsabile se, le istruzioni rilasciate da quest'ultimo, a suo giudizio, violino i regolamenti in materia di protezione dei dati. Il Responsabile del Trattamento avrà diritto di sospendere l'esecuzione delle istruzioni pertinenti fino a quando non saranno confermate o modificate dal Soggetto Responsabile.

2.13 Cancellazione in seguito al completamento dell'ordine

Dopo il completamento dei lavori stabiliti dall'accordo, il Responsabile del Trattamento dovrà consegnare tutti i dati che ha trattato per il Soggetto Responsabile, o su previa autorizzazione di quest'ultimo, distruggerli conformemente alla protezione dei dati o cancellarli ai sensi delle pratiche correnti. Il diritto di conservazione è escluso relativamente ai documenti, dati, risultati del trattamento e all'utilizzo, nonché ai supporti di dati associati, fatto salvo laddove la legge EU o di uno stato membro EU richieda la conservazione dei dati.

3. Ulteriori obblighi da parte del Responsabile del Trattamento

3.1 Il Responsabile del Trattamento non dovrà utilizzare i dati forniti per il trattamento per altri scopi. Non potranno essere create copie e duplicati di cui il Soggetto Responsabile non è a conoscenza e senza il suo previo consenso per iscritto, a meno che ciò non sia previsto nei servizi richiesti nel DPA. Il Responsabile del Trattamento dovrà garantire che i dati trattati dallo stesso per il Soggetto Responsabile siano separati dagli altri dati. Il Responsabile del Trattamento non potrà trasmettere a terzi i dati del Soggetto Responsabile senza il consenso per iscritto di quest'ultimo.

3.2 Il Responsabile del Trattamento dovrà fornire un'assistenza ragionevole a coloro che sono responsabili nel rispondere alle richieste di indennizzo basate su una violazione presunta o effettiva dei requisiti in materia di protezione dei dati. Il Soggetto Responsabile dovrà, da parte sua, esaminare i reclami degli interessati nell'ambito della responsabilità sulla protezione dei dati dello stesso in maniera adeguata ed elaborare i reclami degli interessati.

3.3 Il Responsabile del Trattamento riconosce che le informazioni sono date alle persone interessate sulla base di un diritto di informazione esclusivamente tramite il Soggetto Responsabile o un soggetto da questo autorizzato. Il Responsabile del Trattamento è obbligato a fornire al Soggetto Responsabile le informazioni richieste nei tempi previsti e di assistere allo stesso. Se lo stesso Responsabile del Trattamento agisce anche da Soggetto Responsabile esterno, queste richieste possono essere evase di conseguenza e il Soggetto Responsabile può essere informato contestualmente.

3.4 Il Responsabile del Trattamento dovrà assistere il titolare del trattamento nella stesura degli indici di procedura necessari, laddove applicabile.

3.5 Il Responsabile del Trattamento dovrà assistere il Soggetto Responsabile nell'eseguire valutazioni sull'impatto delle misure di protezione dei dati laddove una tipologia di trattamento possa comportare un elevato rischio per i diritti e le libertà delle persone fisiche.

3.6 Il Responsabile del Trattamento acconsente a informare tempestivamente il Soggetto Interessato dei risultati delle ispezioni da parte delle autorità di supervisione per la protezione dei dati, nella misura in cui questi siano connessi al presente DPA. Il Responsabile del Trattamento comunicherà a questi soggetti responsabili eventuali reclami delle autorità di supervisione per la protezione dei dati che sono relazionati all'ambito di responsabilità dello stesso e porrà rimedio a qualsiasi reclamo accertato come richiesto dalla legge.

4. Responsabilità

4.1 Il Soggetto Responsabile è responsabile dell'ammissibilità del trattamento dei dati, nonché della protezione dei diritti degli interessati.

4.2 In deroga alla sezione 4.1, il Responsabile del Trattamento è responsabile dei reclami degli interessati a causa di violazioni di disposizioni legali applicabili o di quanto disposto dal DPA.

4.3 Nei confronti del Soggetto Responsabile, il Responsabile del Trattamento risponde esclusivamente per la colpa grave e il dolo nell'ambito dell'esclusione legalmente consentita di responsabilità e limitazioni.

5. Disposizioni finali

5.1 Il Titolare del Trattamento dovrà informare immediatamente e in maniera esauriente il Responsabile del Trattamento laddove rilevi errori o irregolarità nel trattamento dei dati da parte di quest'ultimo durante il controllo.

5.2 Il presente DPA potrà essere modificato e risolto alle stesse condizioni delle suddette Condizioni Generali.

5.3 L'invalidità di una o più disposizioni del presente DPA non pregiudica la validità del DPA. In caso di inefficacia di una o più disposizioni del presente DPA, le Parti dovranno adottare disposizioni sostitutive giuridicamente efficaci nel modo più economico possibile. Lo stesso principio si applica in caso di lacune.

5.4 Il DPA deve soddisfare gli stessi diritti delle suddette Condizioni Generali.

5.5 In caso di contraddizione tra il DPA e altri accordi tra le parti, prevarranno le disposizioni del presente DPA.

Stato: 2018/AG


Misure tecniche e organizzative

Tenendo conto delle pratiche correnti, i costi di implementazione, nonché la natura, l'ambito, le circostanze e gli scopi del trattamento e la diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento dovrà implementare misure tecniche e organizzative adeguate per garantire un livello di protezione commisurato al rischio. Tali misure includono, tra l'altro, quanto segue:

• la pseudonimizzazione e la cifratura dei dati;

• la capacità di garantire costantemente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi per il trattamento e dei relativi servizi;

• la capacità di ripristinare rapidamente la disponibilità e l'accessibilità dei dati nel caso di incidente fisico o tecnico;

• una procedura per una periodica revisione, analisi e valutazione dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Fatto salvo quanto precede, saranno adottate le specifiche misure qui di seguito riportate:

1. Controllo degli accessi

Misure atte a prevenire che soggetti non autorizzati riescano ad accedere al sistema di elaborazione dei dati utilizzato per il trattamento dei dati:

• Specificazione del gruppo di persone autorizzate e relativa documentazione;

• Controllo agli accessi elettronici;

• Rilascio di ID di accesso;

• Introduzione di linee guida per i soggetti esterni;

• Sistemi di allarme o sorveglianza al di fuori dell'orario di lavoro;

• Distribuzione delle proprietà in diverse aree di sicurezza;

• Introduzione di linee guida per la gestione delle chiavi (chiavi magnetiche);

• Porte di sicurezza (telecomandi elettronici, lettori ID, telecamere a circuito chiuso);

• Introduzione di misure per la sicurezza in situ (ad esempio rilevamento/comunicazione delle intrusioni).

2. Controllo degli accessi

Misure atte a prevenire che soggetti non autorizzati riescano ad utilizzare i sistemi e le procedure per il trattamento dei dati:

• Definizione del gruppo di persone che hanno accesso ai sistemi per il trattamento dei dati;

• Introduzione di linee guida per i soggetti esterni;

• Protezione mediante password per i computer personali.

3. Controllo degli accessi

Misure atte a garantire che i soggetti autorizzati a utilizzare le tecniche per il trattamento dei dati possano accedere solo ai dati per i quali hanno l'autorizzazione:

• Introduzione di diritti all'accesso limitato in base ai propri dati e alle proprie funzioni;

• Obbligo di identificarsi per poter utilizzare l'attrezzatura per il trattamento dei dati (ad esempio tramite ID e autenticazione);

• Introduzione di informative relative all'accesso e ai ruoli degli utenti;

• Valutazione dei protocolli in caso di evento dannoso.

4. Controllo dei trasferimenti

Misure atte a garantire che i dati non possano essere letti, copiati, alterati o rimossi durante la trasmissione elettronica o durante il loro trasporto o memorizzazione sui supporti di dati, e che sia possibile verificare e determinare lo stato di una trasmissione di dati mediante i dispositivi per la trasmissione dei dati.

• Cifratura

5. Controllo degli inserimenti

Misure atte a garantire la possibilità di verificare e determinare a posteriori se e da chi i dati sono stati inseriti o modificati nei sistemi informatici o da questi rimossi.

• Registrazione degli inserimenti dei dati.

6. Controllo degli ordini

Misure atte a garantire che i dati trattati per l'ordine possano essere trattati esclusivamente in conformità alle istruzioni del Soggetto Responsabile.

• Documentazione delle diverse competenze e obblighi tra il Soggetto Responsabile e il Responsabile del Trattamento;

• Entrata in servizio formale;

• Controllo dei risultati del lavoro.

7. Controllo della disponibilità

Misure atte a garantire che i dati siano protetti contro distruzioni o perdite accidentali.

• Implementazione di un piano per effettuare backup a cadenza regolare;

• Archiviazione sicura dei backup dei dati in armadi di sicurezza ignifughi e resistenti all'acqua;

• Adozione e verifica regolare di un sistema di alimentazione di emergenza, nonché di un sistema di protezione dagli sbalzi di tensione;

• Introduzione di un piano d'emergenza;

• Protocollo sull'introduzione della gestione delle crisi e/o delle emergenze.

8. Controllo della separazione

Misure atte a garantire che i dati raccolti per scopi diversi siano trattati separatamente.

• Separazione dei dati dei diversi clienti del Responsabile del Trattamento.

Stato: maggio 2018/AG