Le versioni tradotte di accordi e informative legali vengono fornite solo al fine di facilitare la lettura e la comprensione delle versioni in inglese. La fornitura delle traduzioni di accordi e informative legali non ha come obbiettivo quello di creare un contratto legalmente vincolante, né quello di sostituire la validità legale delle versioni in inglese. In caso di controversie o conflitti, le versioni in inglese di accordi e informative legali regolano il nostro rapporto e prevarranno sui termini tradotti in altre lingue.
CLAUSOLE INTEGRATIVE SUL TRATTAMENTO DEI DATI (CLIENTI)
Le presenti Clausole integrative sul trattamento dei dati ("Clausole integrative") sono stipulate da e tra GoDaddy.com, LLC, a Delaware limited liability company e le sue società affiliate ("GoDaddy") e l'Utente ("Cliente") e si aggiungono e si affiancano a Termini di utilizzo universali, Politica sulla privacy e a qualsiasi altro accordo che regolamenti i Servizi previsti (collettivamente, "Termini di utilizzo"). Salvo ove diversamente specificato nelle presenti Clausole integrative, tutti i termini in maiuscolo non definiti in questo documento faranno riferimento a quanto illustrato nei Termini di servizio.
1. DefinizioniPer "Società affiliate" si intende qualsiasi entità controllata da, controllante o compartecipata con GoDaddy.
Con "CCPA" si intende il California Consumer Privacy Act, ovvero gli articoli del codice civile della California 1798.100 e ss, nonché tutti i relativi regolamenti di applicazione ed emendamenti entrati in vigore in corrispondenza di o dopo l'entrata in vigore delle presenti Clausole integrative sul trattamento dei dati.
Con "Servizi previsti" si intendono i servizi di hosting che potrebbero comportare il Trattamento dei Dati personali e sono soggetti a termini e condizioni dei seguenti Accordi: (1) Servizi di Marketing via email, (2) Hosting, (3) Negozio online/Carrello rapido, (4) Servizi per siti web, (5) Servizio Workspace.
Per "Dati del cliente" si intendono i dati personali di qualsiasi Soggetto interessato trattati da GoDaddy nelle Reti di GoDaddy per conto del Cliente conformemente o in relazione ai Termini di utilizzo.
Con il termine "Titolare del trattamento dei dati" si fa riferimento al Cliente, in qualità di persona giuridica che determina le finalità e i mezzi del Trattamento dei Dati personali.
Per "Responsabile del trattamento dei dati" si intende GoDaddy, in qualità di entità incaricata del trattamento dei dati personali per conto del Titolare del trattamento.
Per "Normative sulla protezione dei dati" si intendono tutte le normative e i regolamenti di privacy e protezione dei dati applicabili al Trattamento dei Dati personali in base al presente Accordo, inclusi (i) gli Australian Privacy Principles e l'Australian Privacy Act (1988), (ii) la Lei Geral de Proteção de Dados (LGPD) del Brasile, (iii) il California Consumer Privacy Act (CCPA), (iv) il Federal Personal Information Protection and Electronic Documents Act (PIPEDA) del Canada, (v) il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea, (vi) qualsiasi normativa nazionale in materia di protezione dei dati in base al GDPR, (vii) l'EU e-Privacy Directive, (viii) il Personal Data Protection Act del 2012 (PDPA) di Singapore, (ix) il Swiss Federal Data Protection Act del 19 giugno 1992 e l'omonima ordinanza, (x) l'UK GDPR o Data Protection Act del 2018; da modificarsi o sostituirsi in base al caso.
Per "Soggetto interessato" si intende l'individuo i cui Dati personali sono oggetto di trattamento.
"SEE" indica lo Spazio Economico Europeo.
Per "GDPR" si intende il regolamento (UE) n. 2016/679 del Parlamento e del Consiglio Europeo del 27 Aprile 2016 sulla protezione delle persone fisiche in relazione al trattamento e alla libera circolazione dei dati personali, che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
Con il termine "Rete di GoDaddy" si fa riferimento a strutture, server, attrezzature di rete e sistemi di hosting dei software (ad esempio, firewall virtuali) di GoDaddy che sono sotto il controllo di GoDaddy e vengono utilizzati per fornire i Servizi previsti.
Per "Dati personali" si intende qualsiasi informazione che riguarda una persona o un nucleo familiare identificabile o identificato ai sensi delle Normative sulla protezione dei dati
Per "Trattamento" si intende qualsiasi operazione o serie di operazioni effettuate sui Dati personali, tramite mezzi automatici o non, quali raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o modifica, recupero, consultazione, uso, divulgazione tramite trasmissione, diffusione o messa a disposizione, allineamento o combinazione, limitazione, cancellazione o distruzione. I termini "trattare", "trattano", "trattati" e similari avranno il medesimo significato. I dettagli del Trattamento vengono esposti nell'Appendice 1.
Per "Incidente di sicurezza" si intende (a) qualsiasi violazione degli Standard di sicurezza di GoDaddy che comporti la distruzione, perdita, alterazione illegale o accidentale, la divulgazione o l'accesso non autorizzati ai Dati del cliente; (b) l'accesso non autorizzato ad attrezzature o strutture di GoDaddy, laddove tale accesso comporti distruzione, perdita, divulgazione non autorizzata o alterazione dei Dati del cliente.
Per "Standard di sicurezza" si intendono gli standard di sicurezza acclusi alle presenti Clausole integrative come Appendice 2.
Per "Dati sensibili" si intendono (a) il numero di previdenza sociale, il numero di passaporto, il numero di patente di guida o un identificatore simile (o una parte di esso); (b) il numero di carta di credito o debito (diverso dalla parte troncata (le ultime quattro cifre) di una carta di credito o debito), le informazioni finanziarie, numeri o password di conti bancari; (c) le informazioni finanziarie, genetiche, biometriche o su impiego e salute; (d) l'affiliazione razziale, etnica, politica o religiosa, l'appartenenza sindacale, o informazioni sulla vita o l'orientamento sessuale; (e) password di account, la data di nascita o il nome da nubile della madre; (f) precedenti penali; o (g) qualsiasi altra informazione o combinazione di informazioni che rientrano nella definizione di "categorie speciali di dati" in base al GDPR o a qualsiasi altro regolamento o normativa applicabile in materia di privacy e protezione dei dati.
Per "Clausole contrattuali standard" o "CCS" si intendono le clausole di protezione standard dei dati per il trasferimento di dati personali da un titolare a un responsabile del trattamento situato in Paesi terzi che non assicurano un livello adeguato di protezione dei dati, come descritto nell'articolo 46 del GDPR e approvato dalla decisione 2021/914 della Commissione europea del 4 giugno 2021. Le Clausole contrattuali standard (da Titolare a Responsabile del trattamento) del modulo due sono riportate nell'Appendice 4.
Per "Sub-responsabile" si intende qualsiasi Responsabile del trattamento dei dati incaricato dal Responsabile del trattamento di gestire il trattamento per conto del Titolare del trattamento.
Per "Clausole contrattuali standard del Regno Unito" si intendono le clausole di protezione standard dei dati per il trasferimento di dati personali a responsabili del trattamento situati in Paesi terzi che non assicurano un livello adeguato di protezione dei dati, come descritto nell'articolo 46 dell'UK GDPR e approvato dalla decisione 2010/87/UE della Commissione europea. Le Clausole contrattuali standard del Regno Unito sono riportate nell'Appendice 4.
2. Trattamento dati2.1 Ambito e ruoli. Le presenti Clausole integrative si applicano quando i Dati del cliente vengono trattati da GoDaddy, laddove GoDaddy agisce in qualità di Responsabile del trattamento per conto del Cliente in qualità di Titolare del trattamento in relazione ai Dati del cliente.
2.2 Dettagli sul trattamento dati. L'oggetto del trattamento dei Dati del cliente da parte di GoDaddy è la fornitura dei Servizi previsti in base ai Termini di utilizzo. GoDaddy tratterà i Dati del cliente solo per conto del Cliente e conformemente alle sue istruzioni documentate, per le seguenti finalità: (i) Trattamento dei dati in conformità ai Termini di utilizzo; (ii) Trattamento avviato dagli utenti finali durante il loro utilizzo dei Servizi previsti; (iii) Trattamento finalizzato al rispetto di altre istruzioni, ragionevoli e documentate, fornite dal Cliente (ad esempio tramite email), laddove tali istruzioni siano coerenti con i Termini di utilizzo. GoDaddy non potrà: (a) Trattare, conservare, usare, vendere o divulgare i Dati del cliente, salvo se necessario per fornire i Servizi previsti come stabilito nei Termini di utilizzo, o se richiesto per legge; (b) vendere i Dati del cliente a terze parti; (c) conservare, usare o divulgare i Dati del cliente al di fuori del rapporto commerciale diretto tra GoDaddy e il Cliente.
Per evitare ambiguità, le istruzioni del Cliente relativamente al Trattamento dei dati personali dovranno rispettare le leggi applicabili sulla privacy dei dati. Il Cliente sarà l'unico responsabile dell'accuratezza, della qualità e legalità dei propri Dati personali e dei mezzi tramite i quali li ha acquisiti. GoDaddy non sarà tenuta a rispettare o seguire le istruzioni del Cliente se queste violano le Normative sulla protezione dei dati. La durata, la natura e la finalità del Trattamento, le tipologie di Dati Personali e le categorie di Soggetti interessati sottoposti a trattamento secondo le presenti Clausole integrative sono illustrate in dettaglio nell'Appendice 1 ("Dettagli sul trattamento") delle presenti Clausole integrative.
3. Riservatezza dei dati del ClienteGoDaddy non divulgherà i Dati del cliente ad alcun ente pubblico o parte terza, salvo se necessario per ottemperare alle leggi vigenti o a un'ordinanza valida e vincolante di un'autorità preposta al rispetto della legge (ad esempio, un mandato di comparizione o un ordine di tribunale). Nel caso in cui GoDaddy riceva un valido mandato di comparizione in sede civile, e nella misura consentita dalla legge, GoDaddy si impegnerà a informare il Cliente dell'istanza con ragionevole preavviso, tramite e-mail o servizio postale, in modo da consentire allo stesso di richiedere un'ordinanza cautelare o altro opportuno rimedio.
4. Sicurezza4.1 GoDaddy ha implementato e gestirà le misure tecniche e organizzative per la Rete di GoDaddy, secondo quanto descritto in questa Sezione e quanto ulteriormente illustrato nell'Appendice 2 delle presenti Clausole integrative, Standard di sicurezza. In particolare, GoDaddy ha implementato e gestirà le seguenti misure tecniche e organizzative che riguardano (i) sicurezza della Rete di GoDaddy; (ii) sicurezza fisica delle strutture; (iii) controlli sull'accesso di dipendenti e collaboratori a (i) e/o (ii); (iv) procedure per testare, valutare e verificare l'efficacia delle misure tecniche e organizzative implementate da GoDaddy. Qualora l'Azienda non fosse in grado di rispettare uno qualunque dei propri obblighi descritti in questa sede, fornirà un avviso scritto (tramite sito web ed email) non appena possibile.
4.2 GoDaddy rende disponibile una serie di funzioni e funzionalità di sicurezza che il Cliente può scegliere in relazione ai Servizi previsti. Il Cliente è responsabile di: (a) configurare opportunamente i Servizi previsti, (b) utilizzare i controlli disponibili in relazione ai Servizi previsti (inclusi i controlli di sicurezza) per garantire riservatezza, integrità, disponibilità e resilienza continue di servizi e sistemi di trattamento dei dati, (c) utilizzare i controlli disponibili in relazione ai Servizi previsti (inclusi i controlli di sicurezza) per consentire il ripristino tempestivo della disponibilità e dell'accesso ai Dati del cliente in caso di incidente tecnico o fisico (ad esempio, backup e archiviazione standard dei Dati del Cliente), (d) prendere le misure ritenute necessarie dal Cliente per garantire sicurezza, protezione ed eliminazione adeguati dei Dati del cliente, incluso l'uso di tecnologie di crittografia per proteggere tali dati dall'accesso non autorizzato e di misure atte a controllare i diritti di accesso ai Dati del cliente.
5. Diritti dei soggetti interessatiTenendo conto della natura dei Servizi previsti, GoDaddy offriamo al Cliente determinati controlli, secondo quanto descritto alla sezione "Sicurezza" delle presenti Clausole integrative, utilizzabili dal Cliente per recuperare, correggere, eliminare, limitare l'uso e la condivisione dei Dati del cliente, secondo quanto descritto nei Servizi previsti. Il Cliente può utilizzare tali controlli come misure tecniche e organizzative per l'assistenza in connessione ai suoi obblighi previsti dalle leggi sulla privacy in vigore, inclusi gli obblighi circa la necessità di rispondere alle richieste dei Soggetti interessati. Secondo quanto commercialmente ragionevole e nella misura necessaria o consentita dalle leggi, GoDaddy notificherà tempestivamente il Cliente se GoDaddydovesse ricevere una richiesta da un Soggetto interessato a esercitare tali diritti in base alle leggi sulla privacy dei dati applicabili ("Richiesta dei soggetti interessati"). Inoltre, laddove l'uso dei Servizi previsti da parte del Cliente limiti la possibilità di soddisfare una Richiesta dei soggetti interessati, GoDaddy può, ove legalmente consentito, applicabile e su specifica richiesta del Cliente, fornire assistenza commercialmente ragionevole nel rispondere alla richiesta, di cui il Cliente sosterrà (se applicabile) i costi.
6. Sub-responsabili del trattamento6.1 Sub-responsabili autorizzati. Il Cliente accetta che GoDaddypossa avvalersi di sub-responsabili per rispettare i suoi obblighi contrattuali in base ai presenti Termini di utilizzo e alle Clausole integrative per somministrare determinati servizi per suo conto, ad esempio servizi di assistenza. Il Cliente in questa sede acconsente all'impiego di sub-responsabili da parte di GoDaddy, secondo quanto descritto in questa Sezione. Ad eccezione di quanto stabilito in questa Sezione o in base a quanto altrimenti autorizzato esplicitamente dall'utente, GoDaddy non permetterà altre attività ai sub-responsabili.
6.2 Obblighi del sub-responsabile. Laddove GoDaddy si avvalga di qualsiasi Sub-responsabile autorizzato, secondo quanto descritto alla Sezione 6.1:
(i)GoDaddy limiterà l'accesso del Sub-responsabile ai Dati del cliente a quanto necessario per gestire i Servizi previsti o per somministrare i Servizi previsti al Cliente e a qualsiasi utente finale in conformità ai Servizi previsti. GoDaddy impedirà al Sub-responsabile di accedere ai Dati del cliente per qualsiasi altro scopo;
(ii)GoDaddy sottoscriverà un accordo scritto con il Sub-responsabile e, nella misura in cui il Sub-responsabile somministri i medesimi servizi di trattamento dei dati forniti da GoDaddy in base alle presenti Clausole integrative, GoDaddy imporrà al Sub-responsabile gli stessi obblighi di GoDaddy in base alle Clausole integrative;
(iii)GoDaddyrimarrà responsabile della sua conformità agli obblighi delle presenti Clausole integrative e per eventuali azioni od omissioni del Sub-responsabile a causa del quale GoDaddy viola uno qualsiasi degli obblighi di GoDaddy in base alle presenti Clausole integrative.
6.3 Nuovi sub-responsabili. Di volta in volta, possiamo coinvolgere nuovi sub-responsabili e soggetti in base ai termini delle presenti Clausole integrative sul trattamento dei dati. In tal caso, forniremo un preavviso di 30 giorni (tramite il nostro sito web e via email) prima che qualsiasi nuovo Sub-responsabile ottenga l'accesso ai Dati del cliente. Se il Cliente non approva un nuovo Sub-responsabile, il Cliente può recedere da qualsiasi Servizio da noi coperto senza alcuna penalità fornendo, entro 10 giorni dalla ricezione del nostro avviso, una comunicazione scritta della sua intenzione di risolvere il contratto che includa una spiegazione dei motivi della mancata approvazione da parte del Cliente. Se i Servizi coperti fanno parte di un pacchetto o di un acquisto in pacchetto, la risoluzione si applicherà a tutto il pacchetto nel suo complesso.
7. Incidenti di sicurezza7.1 Incidenti di sicurezza. Qualora GoDaddy venisse a conoscenza di un Incidente di sicurezza, GoDaddy procederà senza indugio a: (a) informare il Cliente dell'Incidente di sicurezza; (b) adottare ragionevoli misure per ridurre gli effetti e i danni risultanti dall'Incidente di sicurezza.
7.2 Assistenza GoDaddy. Per assistere il Cliente con le notifiche di eventuali violazioni dei dati personali che lo stesso è tenuto inviare in base alle vigenti leggi sulla privacy, GoDaddy includerà nella notifica le informazioni sull'Incidente di sicurezza che GoDaddy è ragionevolmente in grado di divulgare al Cliente, tenendo conto della natura dei Servizi previsti, delle informazioni di cui GoDaddy dispone e di eventuali limitazioni previste per la divulgazione delle informazioni, ad esempio la riservatezza.
7.3 Mancati Incidenti di sicurezza. Il Cliente accetta che:
(i) Un mancato Incidente di sicurezza non sarà soggetto ai termini delle presenti Clausole integrative. Per mancato Incidente di sicurezza si intende un incidente che non comporta alcun accesso non autorizzato ai Dati del cliente o alle attrezzature di rete o strutture in cui sono conservati i Dati del cliente di GoDaddy e può includere, a titolo esemplificativo, ping e altri attacchi broadcast su firewall o server edge, scansione delle porte, tentativi di accesso non riusciti, attacchi DDoS, sniffing di pacchetti (o altro tipo di accesso non autorizzato ai dati sul traffico che non vada oltre alle intestazioni) o incidenti simili; e
(ii) L'obbligo di GoDaddy di segnalare o rispondere a un Incidente di sicurezza in base a quanto illustrato in questa Sezione non rappresenta e non sarà interpretato come l'accettazione da parte di GoDaddy di alcuna colpa o responsabilità di GoDaddy in merito all'Incidente di sicurezza.
7.4 Notifica. Eventuali Notifiche di Incidenti di sicurezza saranno inviate a uno o più amministratori del Cliente, tramite qualsiasi mezzo scelto da GoDaddy, anche tramite email. È esclusiva responsabilità del Cliente garantire che gli amministratori mantengano aggiornati e accurati i recapiti nella console di gestione di GoDaddy in modo da consentire la trasmissione sicura in qualsiasi momento.
8. Diritti del Cliente8.1 Determinazione indipendente. Il Cliente è responsabile di revisionare le informazioni rese disponibili da GoDaddy in merito alla sicurezza dei dati e agli Standard di sicurezza e di determinare in modo indipendente se i Servizi previsti rispondano ai requisiti e agli obblighi di legge del Cliente nonché agli obblighi del Cliente in base alle presenti Clausole integrative. Le informazioni rese disponibili hanno lo scopo di assistere il Cliente nell'assolvimento dei suoi obblighi ai sensi delle leggi vigenti in materia di privacy, incluso il Regolamento generale sulla protezione dei dati, dal punto di vista della valutazione dell'impatto della protezione dei dati e previa consultazione.
8.2 Diritti di verifica del cliente. Il Cliente ha il diritto di verificare la conformità di GoDaddy alle presenti Clausole integrative, secondo quanto applicabile ai Servizi previsti, inviando un'esplicita richiesta per iscritto, a intervalli ragionevoli, all'indirizzo indicato nei Termini di utilizzo. Qualora GoDaddy rifiutasse di seguire qualsiasi istruzione fornita dal Cliente circa una verifica o un'ispezione richiesta tramite mezzi idonei, il Cliente ha il diritto di risolvere le presenti Clausole integrative e i Termini di utilizzo.
9. Trasferimenti dei dati dei clienti9.1 Trattamento dei dati effettuato negli Stati Uniti. Ad eccezione di quanto specificamente indicato nei presenti Termini di utilizzo, i Dati del cliente saranno trasferiti al di fuori del Regno Unito e del SEE e trattati negli Stati Uniti.
9.2 Applicazione delle Clausole contrattuali standard. Le Clausole contrattuali standard si applicano ai Dati del cliente trasferiti all'esterno del SEE, sia direttamente sia tramite trasferimento successivo, in Paesi che la Commissione europea non giudica in grado di fornire un livello adeguato di protezione dei Dati del cliente. Le Clausole contrattuali standard non si applicano ai Dati del cliente che non vengono trasferiti, né direttamente né tramite trasferimento successivo, al di fuori del SEE. In deroga a quanto sopra esposto, le Clausole contrattuali standard non si applicano laddove i dati vengano trasferiti secondo uno standard di conformità riconosciuto inerente al trasferimento lecito dei Dati personali al di fuori del SEE, ad esempio se necessario ai fini dell'esecuzione dei Servizi previsti in base ai Termini di utilizzo o con il consenso dell'utente.
9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
10. Risoluzione delle Clausole integrativeLe presenti Clausole integrative resteranno in vigore fino alla terminazione del trattamento, in base ai Termini di utilizzo ("Data di risoluzione").
11. Restituzione o eliminazione dei Dati del clienteSecondo quanto descritto nei Servizi previsti, al Cliente possono essere messi a disposizione i controlli utilizzabili per recuperare o eliminare i Dati del cliente. L'eliminazione dei Dati del cliente avverrà trenta (30) giorni dopo la Data di risoluzione, soggetta ai termini dei particolari Servizi previsti.
12. Limitazione di responsabilitàLa responsabilità di ciascuna parte in base alle presenti Clausole integrative sarà soggetta alle esclusioni e limitazioni stabilite nei Termini di utilizzo. Il Cliente accetta che qualsiasi sanzione dovuta alle normative vigenti imposta a GoDaddy in relazione ai Dati del cliente risultante da o correlata al mancato adempimento degli obblighi previsti per il Cliente descritti nelle presenti Clausole integrative e in qualsiasi legge in materia di privacy conterà ai fini di e ridurrà la responsabilità di GoDaddy, in base ai Termini di utilizzo come se fosse responsabilità del Cliente in base ai Termini di utilizzo.
13. Termini di utilizzo completi; conflittiLe presenti Clausole integrative annullano e sostituiscono tutti i precedenti o contemporanei intendimenti, dichiarazioni, accordi o comunicazioni tra il Cliente e GoDaddy, sia scritte sia verbali, in merito all'oggetto delle presenti Clausole integrative, incluse eventuali aggiunte circa il trattamento dei dati sottoscritte da GoDaddy e dal Cliente in merito al trattamento dei dati personali e alla libera circolazione di tali dati. Fatto salvo quanto specificamente previsto dalle presenti Clausole integrative, i Termini di utilizzo rimarranno in pieno vigore. In caso di conflitti tra i Termini di utilizzo e le presenti Clausole integrative, prevalgono i termini delle presenti Clausole integrative.
Appendice 1
DETTAGLI SUL TRATTAMENTO
1. Natura e scopo del trattamento. GoDaddy tratterà i Dati del cliente secondo quanto necessario per la fornitura dei Servizi previsti in conformità ai Termini di utilizzo e secondo quanto richiesto dal Cliente nell'ambito dell'utilizzo dei Servizi previsti.
2. Durata del trattamento. Ai sensi della Sezione 10 e 11 delle presenti Clausole integrative, GoDaddy tratterà i Dati del cliente durante il periodo di validità dei Termini di utilizzo. Ciò nonostante, GoDaddy può conservare i Dati del cliente, integralmente o in parte, se richiesto dalle normative o dal regolamento applicabili, comprese le Normative sulla protezione dei dati applicabili, purché tali Dati del cliente rimangano tutelati in conformità ai termini delle presenti Clausole integrative e delle Normative sulla protezione dei dati applicabili.
3. Categorie di Soggetti interessati. Il Cliente può caricare dati personali durante l'utilizzo dei Servizi previsti, la cui entità viene determinata e controllata dal Cliente stesso a sua esclusiva discrezione e potrebbe includere, a titolo esemplificativo, Dati personali circa le seguenti categorie di Soggetti interessati:
- Potenziali clienti, clienti, partner commerciali e fornitori del Cliente (persone fisiche)
- Dipendenti o referenti di potenziali clienti, clienti, partner commerciali e fornitori del Cliente
- Dipendenti, operatori, consulenti, collaboratori freelance del Cliente (considerate come persone fisiche)
- Utenti del Cliente autorizzati dal Cliente stesso a utilizzare i Servizi previsti
4. Categorie di dati personali. Il Cliente può caricare dati personali durante il suo utilizzo dei Servizi previsti, la tipologia e le finalità dei quali vengono determinate e controllate dal Cliente stesso a sua esclusiva discrezione e potrebbero includere, a titolo esemplificativo, le seguenti categorie di Dati personali dei Soggetti interessati:
- Nome
- Indirizzo
- Numero di telefono
- Data di nascita
- Indirizzo email
- Altri dati raccolti che potrebbero direttamente o indirettamente identificare i soggetti interessati.
5. Dati sensibili o Categorie speciali di dati. Il Cliente può caricare dati personali durante il suo utilizzo dei Servizi previsti, la tipologia e le finalità dei quali vengono determinate e controllate dal Cliente stesso a sua esclusiva discrezione. Il Cliente è responsabile per l'applicazione di limitazioni e salvaguardie che prendono pienamente in considerazione la natura dei dati e i rischi coinvolti prima della trasmissione o del trattamento di qualsiasi Dato sensibile tramite i Servizi previsti.
Appendice 2
Standard di sicurezza
I. Misure tecniche e organizzative
Ci impegniamo a proteggere i dati dei clienti. Tenendo conto di best practice, costi di implementazione, natura, finalità, circostanze e obiettivi del trattamento oltre alla diversa probabilità di ricorrenza e alla gravità dei rischi per i diritti e le libertà delle persone fisiche, prendiamo le seguenti misure tecniche e organizzative. Al momento di decidere le azione da mettere in atto, prendiamo in considerazione riservatezza, integrità, disponibilità e resilienza dei sistemi. A seguito di un incidente tecnico o fisico, è garantito il ripristino rapido dei sistemi.
II. Programma sulla privacy dei dati
Il nostro Programma sulla privacy dei dati è stato redatto per gestire una struttura globale per la governance dei dati e proteggere le informazioni durante il loro intero ciclo di vita. Il programma è condotto dall'ufficio del Data Protection Officer che sovrintende l'implementazione delle prassi per la privacy e delle misure di sicurezza. Testiamo, valutiamo e verifichiamo con regolarità l'efficacia del Programma sulla privacy dei dati e degli Standard di sicurezza.
1. Riservatezza. "Riservatezza indica che i dati personali sono protetti contro la divulgazione non autorizzata".
Impieghiamo una serie di misure fisiche e logiche per proteggere la riservatezza dei dati personali dei clienti. Tali misure includono:
Sicurezza fisica
- Sistemi fisici per il controllo degli accessi (controllo degli accessi tramite badge, monitoraggio degli eventi di sicurezza e altro)
- Sistemi di sorveglianza, inclusi allarmi e, ove appropriato, monitoraggio mediante monitor a circuito chiuso
- Politiche e controlli per tenere le scrivanie sgombre (blocco dei computer lasciati incustoditi, armadi bloccati e altro)
- Controllo degli accessi dei visitatori
- Distruzione dei dati su supporti fisici e documenti (tramite tritura documenti, demagnetizzazione e così via)
Controllo degli accessi e prevenzione degli accessi non autorizzati
- Limitazioni per l'accesso utente applicate e autorizzazioni di accesso basate sul ruolo fornite/revisionate in base al principio di separazione delle funzioni
- Metodi efficaci di autorizzazione e autenticazione (autenticazione a più fattori, autorizzazione basata su certificato, disattivazione/disconnessione automatica e così via)
- Gestione centralizzata delle password e politiche severe/complesse per le password (numero minimo di caratteri, complessità dei caratteri, scadenza delle password e così via)
- Accesso controllato a email e Internet
- Gestione degli antivirus
- Gestione del sistema di prevenzione delle intrusioni
Crittografia
- Crittografia delle comunicazioni esterne e interne tramite severi protocolli di crittografia
- Crittografia dei dati PII/SPII a riposo (database, cartelle condivise e così via)
- Crittografia completa del disco per PC e laptop aziendali
- Crittografia dei supporti multimediali per l'archiviazione dei dati
- Le connessioni remote alle reti aziendali sono crittografate tramite VPN
- Protezione del ciclo di vita delle chiavi di crittografia
Minimizzazione dei dati
- Minimizzazione dei dati PII/SPI nei registri di applicazioni, debug e sicurezza
- Pseudononimizzazione dei dati personali per impedire l'identificazione diretta di un individuo
- Segregazione dei dati archiviati per funzione (test, staging, live)
- Segregazione logica dei dati tramite diritti di accesso basati sui dati
- Periodi definiti per la conservazione dei dati personali
Test per la sicurezza
- Test di penetrazione per reti e piattaforme aziendali critiche su cui sono ospitati i dati personali
- Scansioni regolari di rete e vulnerabilità
2. Integrità. “Integrità significa garantire la correttezza (completezza) dei dati e il corretto funzionamento dei sistemi. Laddove il termine integrità sia usato in connessione con il termine "dati", indica che i dati sono completi e inalterati."
Sono stati implementati gli opportuni controlli per la gestione di registri e modifiche, oltre ai controlli di accesso per poter garantire l'integrità dei dati personali quali:
Change management e release management
- Procedure di change e release management, inclusi analisi dell'impatto, approvazioni, test, revisioni di sicurezza, staging, monitoraggio e così via.
- Provisioning degli accessi basato su ruoli e funzioni (separazione delle funzioni) negli ambienti di produzione
Registrazione e monitoraggio
- Registrazione di accesso e modifiche ai dati
- Registri di controllo e sicurezza centralizzati
- Monitoraggio della completezza e correttezza del trasferimento dei dati (controllo end-to-end)
3. Disponibilità. "La disponibilità dei servizi e dei sistemi IT, delle funzioni di applicazioni e reti IT e delle informazioni è garantita se l'utente è in grado di utilizzare questi strumenti in qualsiasi momento, secondo quanto previsto".
Implementiamo opportune misure di sicurezza e continuità per garantire la disponibilità dei servizi e dei dati che risiedono nei servizi:
- Verifiche di failover regolari applicate ai servizi critici
- Monitoraggio e reportistica completi di prestazioni/disponibilità per i sistemi critici
- Programma di risposta agli incidenti
- Dati critici replicati o sottoposti a backup (backup su cloud/replica di hard disk/database e così via.)
- Manutenzione programmata di software, infrastruttura e sicurezza (aggiornamenti software, applicazione di patch per la sicurezza e così via)
- Sistemi ridondanti e resilienti (cluster di server, database replicati, configurazioni ad alta disponibilità e così via) situati esternamente o in località geograficamente separate
- Uso di fonti di alimentazione senza interruzioni, hardware e sistemi di rete ridondanti in caso di guasti
- Sistemi di allarme e di sicurezza implementati
- Misure di protezione fisica implementate per i siti critici (protezione da sbalzi di tensione, pavimenti sopraelevati, sistemi di raffreddamento, rilevatori di incendi e/o fumo, sistemi di eliminazione degli incendi e così via)
- Protezione da attacchi DDoS per garantire la disponibilità
- Prove di carico e di sforzo
4. Istruzioni per il trattamento dei dati. Con il termine "Istruzioni per il trattamento dei dati" si intendono le misure atte a garantire che i dati personali siano trattati esclusivamente nel rispetto delle istruzioni del Titolare del trattamento e delle misure della relativa azienda".
Abbiamo implementato politiche interne e accordi sulla privacy e somministriamo regolarmente formazione sulla privacy ai nostri dipendenti per garantire che i dati personali siano trattati in conformità alle preferenze e alle istruzioni dei clienti.
- Termini relativi a privacy e riservatezza previsti all'interno dei contratti dei dipendenti
- Sessioni di formazione regolari in materia di privacy e sicurezza dei dati per i dipendenti
- Disposizioni contrattuali adeguate per gli accordi con i sub-collaboratori per conservare diritti di controllo regolativo
- Regolari verifiche sulla privacy per service provider esterni
- Concessione del controllo completo ai clienti sulle preferenze circa il trattamento dei loro dati
- Controlli regolari sulla sicurezza
Appendice 3 - Sub-responsabili GoDaddy
Nome azienda | Stato di costituzione | Descrizione servizio | Categorie di dati |
---|---|---|---|
Acronis International GmbH | Svizzera | Backup cliente | Istantanee di backup. |
Automattic Inc | Stati Uniti d'America | Plug-in e componenti aggiuntivi WooCommerce in WordPress eCommerce. | Profili utente WordPress del cliente (tra cui nome e indirizzo email) e di eventuali dipendenti/collaboratori. |
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc | Regno Unito, Germania, Stati Uniti d'America | Fornisce e gestisce le soluzioni di rete nell'ambito della nostra rete; inclusa l'analisi dei metadati. | Tratta metadati di indirizzi IP, timestamp e traffico di rete |
cPanel Inc | Stati Uniti d'America | Software di gestione cPanel per prodotti di hosting e server. | Tutti i dati del cliente presenti in cPanel. |
DENIC eG | Germania | Registrazione di domini .de | Tutte le informazioni sull'account necessarie per fornire il dominio. Informazioni WHOIS. |
Equinix Netherlands BV | Paesi Bassi | Strutture di coubicazione dei centri dati nei Paesi Bassi. | Nessun dato personale viene trattato intenzionalmente. |
EURid vzw | Belgio | Registrazione di domini .eu | Tutte le informazioni sull'account necessarie per fornire il dominio. Informazioni WHOIS. |
Juniper Networks Inc | Stati Uniti d'America | Fornisce e gestisce le soluzioni di rete nell'ambito della nostra rete; inclusa l'analisi dei metadati. | Indirizzi IP, timestamp, traffico di rete |
LivePerson Inc | Stati Uniti d'America | Strumento per chattare "LiveEngage" nel nostro sito web. | Trascrizioni di chat, informazioni automatizzate, come indirizzo IP, sistema operativo e tipo di dispositivo. |
LvivIT | Ucraina | Fornitura di supporto per la piattaforma operativa. | Tutte le informazioni sull'account cliente. |
OVH Grouppe SAS | Francia | Strutture di coubicazione dei centri dati in Germania, rivendita di prodotti server. | Dati in hosting del cliente inclusi, a titolo esemplificativo, i siti web, le applicazioni e i dati dei clienti del cliente. Può anche essere compreso il traffico di rete. |
Plesk International GmbH | Germania | Pannello di controllo Plesk per VPS e server dedicati e Website Builder Plus. | Tutti i dati del cliente presenti nel pannello di controllo Plesk così come tutti dati del cliente presenti in un sito web in hosting. |
Datadock SARL | Francia | Strutture di coubicazione dei centri dati in Francia. | Servizi hardware e di rete. Nessun dato personale trattato intenzionalmente. |
GoDaddy Media Temple Inc d/b/a Sucuri | Stati Uniti d'America | Prodotto SAAS: Protegge i siti web del cliente da malware |
Tutte le informazioni sull'account richieste per il provisioning del sito web, così come tutti i dati archiviati nel sito web in hosting. |
GoDaddy Media Temple Inc d/b/a Sucuri | Stati Uniti d'America | Interno: Web Application Firewall nei siti web del nostro brand e nei pannelli di controllo del cliente per proteggere l'IT del brand e i dati del cliente. | Ispezione del traffico del sito web. Metadati di indirizzi IP, timestamp e traffico di rete. |
Starfield Technologies LLC | Stati Uniti d'America | Certificati SSL. | Tutte le informazioni sull'account cliente necessarie per un certificato SSL. |
DomainsByProxy LLC | Stati Uniti d'America | Servizi di privacy del dominio. | Registrazione del dominio e informazioni di contatto. |
GoDaddy Sellbrite, Inc. | Stati Uniti d'America | Strumento di vendita al dettaglio online | Dati su transazioni e prodotti del negozio online. |
GoDaddy Payments LLC | Stati Uniti d'America | Strumenti di elaborazione dei pagamenti. |
Fare riferimento alla Sezione 9.2 delle Clausole integrative per l'applicabilità delle presenti Clausole contrattuali standard
Clausole contrattuali standard (da Titolare a Responsabili del trattamento)
SEZIONE I
Clausola 1
Scopo e ambito
- Lo scopo delle presenti clausole contrattuali standard è di assicurare il rispetto dei requisiti del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche in merito al trattamento dei dati personali e alla libera circolazione di tali dati personali (Regolamento generale sulla protezione dei dati) per il trasferimento dei dati a un Paese terzo.
- Le Parti:
- le persone fisiche o giuridiche, le autorità pubbliche, le agenzie o altri enti (di seguito "enti") che trasferiscono i dati personali, come elencato nell'Allegato I.A. (di seguito "esportatore dei dati") e
- gli enti in un Paese terzo che ricevono i dati personali dall'esportatore dei dati, direttamente o indirettamente tramite un altro ente che è anche Parte delle presente Clausole, come elencato nell'Allegato I.A.(di seguito "importatore dei dati") hanno convenuto le seguenti clausole contrattuali standard (di seguito: "Clausole").
- Le presenti Clausole si applicano al trasferimento di dati personali come specificato nell'Allegato I.B.
- L'Appendice alle presenti Clausole contenente gli Allegati in esso menzionati costituisce parte integrante delle presenti Clausole.
Clausola 2
Effetto e invariabilità delle Clausole
- Le presenti Clausole stabiliscono salvaguardie pertinenti, inclusi i diritti esercitabili del soggetto interessato e i ricorsi giurisdizionali efficaci, in base all'articolo 46(1) e all'articolo 46(2)(c) del regolamento (UE) n. 2016/679 e, rispetto ai trasferimenti di dati da titolari a responsabili del trattamento e/o da responsabili a responsabili del trattamento, clausole contrattuali standard in base all'articolo 28(7) del regolamento (UE) n. 2016/679, purché non subiscano modifiche, salvo per selezionare i Moduli pertinenti o per aggiungere informazioni all'Appendice o per aggiornarle. Questo non impedisce alle Parti di includere le clausole contrattuali standard previste dalle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o salvaguardie aggiuntive, purché non contraddicano, in modo diretto o indiretto, le presenti Clausole o pregiudichino i diritti o le libertà fondamentali dei soggetti interessati.
- Le presenti Clausole non pregiudicano gli obblighi a cui l'esportatore dei dati è soggetto in virtù del regolamento (UE) n. 2016/679.
Clausola 3
Beneficiari terzi
- I soggetti interessati possono invocare e attuare le presenti Clausole, in veste di beneficiari terzi, nei confronti dell'esportatore dei dati e/o dell'importatore dei dati, salvo per le seguenti eccezioni:
- Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;
- Clausola 8.1(b), 8.9(a), (c), (d) e (e);
- Clausola 9(a), (c), (d) e (e);
- Clausola 12(a), (d) e (f);
- Clausola 13;
- Clausola 15.1(c), (d) e (e);
- Clausola 16(e); (viii) Clausola 18(a) e (b).
- Il paragrafo (a) non pregiudica i diritti dei soggetti interessati in base al regolamento (UE) n. 2016/679.
Clausola 4
Interpretazione
- Laddove le presenti Clausole contengano termini definiti nel regolamento (UE) n. 2016/679, tali termini avranno lo stesso significato di quello presente in tale regolamento.
- Le presenti Clausole devono essere lette e interpretate alle luce delle disposizioni del regolamento (UE) n. 2016/679.
- Le presenti Clausole non dovranno essere interpretate in un modo non compatibile con i diritti e gli obblighi previsti dal regolamento (UE) n. 2016/679.
Clausola 5
Gerarchia
In caso di contraddizione tra le presenti Clausole e le disposizioni dei relativi accordi tra le Parti, già esistenti al momento delle stipulazione delle presenti Clausole o assunte successivamente, le presenti Clausole prevarranno.
Clausola 6
Descrizione dei trasferimenti
I dettagli sui trasferimenti, e in particolare le categorie dei dati personali trasferiti e gli scopi per cui vengono trasferiti, sono specificati nell'Allegato I.B.
Clausola 7 - OMISSIONI INTENZIONALI
SEZIONE II - OBBLIGHI DELLE PARTI
Clausola 8
Salvaguardie per la protezione dei dati
L'esportatore dei dati garantisce di aver compiuto ragionevoli sforzi per determinare che l'importatore dei dati sia in grado, tramite l'attuazione di misure tecniche e organizzative pertinenti, di adempiere ai propri obblighi ai sensi delle presenti Clausole.
8.1 Istruzioni
- L'importatore dei dati tratterà i dati personali solo su istruzioni documentate da parte dell'esportatore dei dati. L'esportatore dei dati può fornire tali istruzioni nel corso della durata del contratto.
- L'importatore dei dati informerà immediatamente l'esportatore dei dati nel caso in cui non dovesse essere in grado di attenersi a tali istruzioni.
8.2 Limitazione degli scopi
L'importatore dei dati tratta i dati personali solo per gli scopi specifici del trasferimento, come illustrato nell'Allegato I.B., fatte salve ulteriori istruzioni da parte dell'esportatore dei dati.
8.3 Trasparenza
Su richiesta, l'esportatore dei dati deve mettere a disposizione una copia delle presenti Clausole, compresa l'Appendice come prevista dalle Parti, a favore del soggetto interessato a titolo gratuito. Nella misura necessaria a tutelare i segreti commerciali o altre informazioni riservate, comprese le misure illustrate nell'Allegato II e i dati personali, l'esportatore dei dati può rivedere parte del testo dell'Appendice alle presenti Clausole prima di condividerne una copia, ma dovrà fornire un resoconto sommario nel caso in cui il soggetto interessato non fosse in grado di comprenderne il contenuto o esercitare i propri diritti. Su richiesta, le Parti forniranno al soggetto interessato le motivazioni delle revisioni, nella misura possibile senza rivelare le informazioni redatte. La presente Clausola non pregiudica gli obblighi dell'esportatore dei dati in base agli articoli 13 e 14 del regolamento (UE) n. 2016/679.
8.4 Accuratezza
Qualora l'importatore dei dati venisse a conoscenza del fatto che i dati personali ricevuti sono inaccurati o obsoleti, informerà l'esportatore dei dati senza indebito ritardo. In questo caso, l'importatore dei dati collaborerà con l'esportatore dei dati per eliminare o rettificare i dati.
8.5 Durata del trattamento ed eliminazione o restituzione dei dati
Il trattamento da parte dell'importatore dei dati ha luogo per la durata specificata nell'Allegato I.B. Dopo il termine della prestazione dei servizi di trattamento, l'importatore dei dati, su decisione dell'esportatore dei dati, eliminerà tutti i dati personali trattati per conto dell'esportatore dei dati e invierà relativa certificazione all'esportatore dei dati, oppure restituirà all'esportatore dei dati tutti i dati personali trattati per suo conto e ne eliminerà le copie esistenti. Fino all'eliminazione o alla restituzione dei dati, l'importatore dei dati continuerà a ottemperare alle presenti Clausole. In caso di normative locali applicabili all'importatore dei dati che vietano la restituzione o l'eliminazione dei dati personali, l'importatore dei dati garantisce che continuerà a ottemperare alle presenti Clausole e li tratterà solo nella misura e per il tempo necessario in base alla normativa locale. Questo non pregiudica la Clausola 14, in particolare il requisito per l'importatore dei dati ai sensi della Clausola 14(e) di avvisare l'esportatore dei dati nel corso della durata del contratto qualora avesse motivo di ritenere di essere soggetto a normative o prassi non conformi ai requisiti ai sensi della Clausola 14(e).
8.6 Sicurezza del trattamento
- L'importatore dei dati e, durante la trasmissione, anche l'esportatore dei dati attuano misure tecniche e organizzative pertinenti per garantire la sicurezza dei dati, inclusa la protezione dalla violazione di sicurezza che comporta accidentalmente o in modo illecito la perdita, la modifica, la rivelazione o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nella valutazione del livello di sicurezza pertinente, le Parti tengono debitamente conto delle conoscenze tecniche, dei costi di attuazione, della natura, dell'ambito, del contesto e degli scopi del trattamento e dei rischi coinvolti nel trattamento per i soggetti interessati. Le Parti, in particolare, prendono in considerazione il ricorso alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, se lo scopo del trattamento può essere raggiunto con tale modalità. In caso di pseudonimizzazione, le informazioni aggiuntive per l'attribuzione dei dati personali a un soggetto interessato specifico rimangono, ove possibile, sotto l'esclusivo controllo dell'esportatore dei dati. Nell'adempimento dei propri obblighi in base al presente paragrafo, l'importatore dei dati quanto meno attua le misure tecniche e organizzative specificate nell'Allegato II. L'importatore dei dati esegue verifiche periodiche per assicurare che tali misure continuino a prestare un livello di sicurezza appropriato.
- L'importatore dei dati concederà l'accesso ai dati personali ai membri del proprio personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Garantirà che i soggetti autorizzati a trattare i dati personali si siano impegnati a rispettare la riservatezza o abbiano sottoscritto un obbligo contrattuale pertinente di riservatezza.
- Nel caso di una violazione dei dati personali concernente i dati personali trattati dall'importatore dei dati ai sensi delle presenti Clausole, l'importatore dei dati adotterà misure pertinenti per affrontare la violazione, comprese misure per mitigarne gli effetti negativi. L'importatore dei dati avviserà anche l'esportatore dei dati senza indebito ritardo dopo essere venuto a conoscenza della violazione. Tale notifica conterrà i dettagli di un punto di contatto dove è possibile reperire maggiori informazioni, una descrizione della natura della violazione (compresi, per quanto possibile, le categorie e il numero approssimativo dei soggetti interessati e dei record dei dati personali interessati), le relative probabili conseguenze e le misure attuate o proposte per affrontare la violazione, ivi comprese, eventualmente, misure per mitigarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, l'avviso iniziale conterrà le informazioni allora disponibili e ulteriori informazioni, non appena disponibili, dovranno essere fornite successivamente senza indebito ritardo.
- L'importatore dei dati collaborerà con e assisterà l'esportatore dei dati per consentirgli di ottemperare ai propri obblighi in base al regolamento (UE) n. 2016/697, in particolare l'obbligo di notificare l'autorità di controllo competente e i soggetti interessati coinvolti, tenendo conto della natura del trattamento e delle informazioni disponibili all'importatore dei dati.
8.7 Dati sensibili
Se il trasferimento coinvolge dati personali che rivelano l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici o i dati biometrici allo scopo di identificare in modo univoco una persona fisica, i dati concernenti la salute o la vita o l'orientamento sessuale di una persona, o i dati relativi alle infrazioni o alle condanne penali (di seguito "dati sensibili"), l'importatore dei dati applicherà le limitazioni specifiche e/o le salvaguardie aggiuntive descritte nell'Allegato I.B.
8.8 Trasferimenti successivi
L'importatore dei dati divulgherà i dati personali a una terza parte solo in seguito a disposizione da parte dell'esportatore dei dati. Inoltre, i dati possono essere divulgati a una terza parte situata al di fuori dell'Unione Europea (nello stesso Paese dell'importatore dei dati o in un altro Paese, di seguito "trasferimento successivo") se la terza parte è o accetta di essere vincolata dalle presenti Clausole, in base al Modulo pertinente, o se:
- il trasferimento successivo avviene verso un Paese che vanta una decisione di adeguatezza in base all'articolo 45 del regolamento (UE) n. 2016/679 che disciplina il trasferimento successivo;
- la terza parte garantisce altrimenti salvaguardie pertinenti in base all'articolo 46 o 47 del regolamento (UE) n. 2016/679 in relazione al trattamento in questione;
- il trasferimento successivo è necessario per stabilire, esercitare o difendere le azioni legali nell'ambito di procedimenti amministrativi, normativi o giudiziari; o (iv) il trasferimento successivo è necessario al fine di tutelare gli interessi vitali del soggetto interessato o di un'altra persona fisica.
- Qualsiasi trasferimento successivo è soggetto alla conformità da parte dell'importatore dei dati a tutte le altre salvaguardie ai sensi delle presenti Clausole, in particolare in relazione alla limitazione degli scopi.
8.9 Documentazione e conformità
- L'importatore dei dati risponderà in modo tempestivo e adeguato alle richieste dell'esportatore dei dati relativamente al trattamento ai sensi delle presenti Clausole.
- Le Parti dovranno essere in grado di dimostrare la conformità alle presenti Clausole. In particolare, l'importatore dei dati dovrà conservare una documentazione pertinente delle attività di trattamento svolte per conto dell'esportatore dei dati.
- L'importatore dei dati dovrà mettere a disposizione dell'esportatore dei dati tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nelle presenti Clausole e su richiesta dell'esportatore dei dati, consentirà e contribuirà allo svolgimento di verifiche delle attività di trattamento previste dalle presenti Clausole, a intervalli ragionevoli o qualora sussistano indicazioni di inosservanze. Nel decidere in merito a una revisione o una verifica, l'esportatore dei dati può tenere conto di certificazioni pertinenti in possesso dell'importatore dei dati.
- L'esportatore dei dati può scegliere di svolgere la verifica in modo autonomo o incaricare un revisore indipendente. Le verifiche possono includere ispezioni presso le strutture fisiche dell'importatore dei dati e devono essere svolte, ove necessario, con ragionevole preavviso.
- Le Parti metteranno a disposizione le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di tutte le verifiche, all'autorità di controllo competente su richiesta.
Clausola 9
Coinvolgimento di sub-responsabili
- L'importatore dei dati dispone dell'autorizzazione generale dell'esportatore dei dati per il coinvolgimento di sub-responsabili tratti da un elenco concordato. L'importatore dei dati informerà specificamente l'esportatore dei dati per iscritto in merito alle modifiche che intende apportate a tale elenco tramite aggiunta o sostituzione di sub-responsabili almeno quindici (15) giorni in anticipo, dando così all'esportatore dei dati tempo a sufficienza per poter obiettare tali modifiche prima di coinvolgere i sub-responsabili. L'importatore dei dati fornirà all'esportatore dei dati le informazioni necessarie per consentire all'esportatore dei dati di esercitare il proprio diritto all'opposizione.
- Se l'importatore dei dati affida a un sub-responsabile lo svolgimento di attività di trattamento specifiche (per conto dell'esportatore dei dati), procederà con un contratto scritto che fornisce, in sostanza, gli stessi obblighi di protezione dei dati di quelli vincolanti l'importatore dei dati ai sensi delle presenti Clausole, ivi compresi i diritti di beneficiario di terze parti per i soggetti interessati. Le Parti convengono che, rispettando la presente Clausola, l'importatore dei dati adempie agli obblighi ai sensi della Clausola 8.8. L'importatore dei dati si assicurerà che il sub-responsabile ottemperi agli obblighi di cui l'importatore dei dati è soggetto ai sensi delle presenti Clausole.
- L'importatore dei dati fornirà, su richiesta dell'esportatore dei dati, una copia di tale accordo stipulato con il sub-responsabile e di eventuali modifiche successive all'esportatore dei dati. Nella misura necessaria a tutelare segreti commerciali o altre informazioni riservate, dati personali compresi, l'importatore dei dati può redigere il contenuto dell'accordo prima di condividerne una copia.
- L'importatore dei dati rimarrà pienamente responsabile nei confronti dell'esportatore dei dati delle prestazioni degli obblighi del sub-responsabile derivanti dal contratto stipulato con l'importatore dei dati. L'importatore dei dati notificherà l'esportatore dei dati in caso di inadempienza da parte del sub-responsabile degli obblighi derivanti da tale contratto.
- L'importatore dei dati accetterà una clausola di beneficiario di terze parti con il sub-responsabile per cui, nel caso in cui l'importatore dei dati sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l'esportatore dei dati avrà il diritto di risolvere il contratto del sub-responsabile e invitare il sub-responsabile a eliminare o restituire i dati personali.
Clausola 10
Diritti dei soggetti interessati
- L'importatore dei dati avvisa l'esportatore dei dati di qualsiasi richiesta ricevuta da un soggetto interessato. Non risponderà alla richiesta stessa a meno che autorizzato in tal senso dall'esportatore dei dati.
- L'importatore dei dati assisterà l'esportatore dei dati nell'adempimento dei propri obblighi di rispondere alle richieste dei soggetti interessati per l'esercizio dei propri diritti in base al regolamento (UE) n. 2016/679. A tale riguardo, le Parti stabiliranno nell'Allegato II le misure tecniche e organizzative pertinenti, tenendo conto della natura del trattamento, mediante cui viene fornita assistenza, nonché l'ambito e la portata dell'assistenza necessaria.
- Nell'adempimento dei propri obblighi in base ai paragrafi (a) e (b), l'importatore dei dati osserverà le istruzioni dell'esportatore dei dati.
Clausola 11
Indennizzo
- L'importatore dei dati dovrà informare i soggetti interessati in formato trasparente e facilmente accessibile, tramite avviso individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami. Dovrà affrontare tempestivamente qualsiasi reclamo ricevuto da parte di un soggetto interessato.
- In caso di controversia tra un soggetto interessato e una delle Parti in merito alla conformità alle presenti Clausole, tale Parte dovrà adoperarsi tempestivamente per risolvere il problema in modo amichevole. Le Parti si impegnano a tenersi reciprocamente informate in merito a tali controversie ed eventualmente a collaborare per risolverle.
- Qualora il soggetto interessato invocasse il diritto di beneficiario di terze parti ai sensi della Clausola 3, l'importatore dei dati accetterà la decisione del soggetto interessato a:
- presentare un ricorso all'autorità di controllo nello Stato membro della sua residenza abituale o del suo posto di lavoro o all'autorità di controllo competente ai sensi della Clausola 13;
- riferire la controversia ai tribunali competenti ai sensi della Clausola 18.
- Le Parti convengono che il soggetto interessato potrà essere rappresentato da un ente, un'organizzazione o un'associazione no-profit in base alle condizioni di cui all'articolo 80(1) del regolamento (UE) n. 2016/679.
- L'importatore dei dati accetta qualsiasi decisione ai sensi delle legge applicabile dell'UE o dello Stato membro.
- L'importatore dei dati riconosce che la scelta presa dal soggetto interessato non pregiudicherà i diritti sostanziali o procedurali spettanti allo/a stesso/a relativamente ai rimedi previsti dalle normative applicabili.
Clausola 12
Responsabilità
- Ciascuna delle Parti sarà responsabile nei confronti dell'altra Parte per eventuali danni derivanti dall'inadempimento delle presenti Clausole.
- L'importatore dei dati sarà responsabile nei confronti del soggetto interessato, e il soggetto interessato avrà diritto a ottenere un risarcimento, per danni materiali o immateriali che l'importatore dei dati o il sub-responsabile arrecheranno al soggetto interessato violando i diritti di beneficiario di terze parti ai sensi delle presenti Clausole.
- Fatte salve le disposizioni del paragrafo (b), l'esportatore dei dati sarà responsabile nei confronti del soggetto interessato e il soggetto interessato avrà diritto a ottenere un risarcimento, per danni materiali o immateriali che l'esportatore dei dati o l'importatore dei dati (o il sub-responsabile) arrecheranno al soggetto interessato violando i diritti di beneficiario di terze parti ai sensi delle presenti Clausole. Questo non pregiudica la responsabilità dell'esportatore dei dati e, laddove l'esportatore dei dati funge da responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento conformemente al regolamento (UE) n. 2016/679 o al regolamento (UE) n. 2018/1725, a seconda dei casi.
- Le Parti convengono che se l'esportatore dei dati viene riconosciuto responsabile ai sensi del paragrafo (c) di danni arrecati dall'importatore dei dati (o dal sub-responsabile), avrà diritto a rivendicare dall'importatore dei dati parte della remunerazione corrispondente alla responsabilità dell'importatore dei dati per i danni.
- Qualora più di una Parte sia responsabile di eventuali danni arrecati al soggetto interessato per violazione delle presenti Clausole, tutte le Parti coinvolte saranno ritenute responsabili in solido e il soggetto interessato avrà diritto di adire il tribunale contro le Parti.
- Le Parti convengono che se una Parte viene ritenuta responsabile ai sensi del paragrafo (e), avrà diritto a rivendicare dall'altra la parte della remunerazione corrispondente alla rispettiva responsabilità per i danni.
- L'importatore dei dati non può invocare la condotta di un sub-responsabile per escludere la propria responsabilità.
Clausola 13
Supervisione
- L'autorità di controllo responsabile del rispetto della conformità da parte dell'esportatore dei dati al regolamento (UE) n. 2016/679, per quanto riguarda il trasferimento dei dati, come indicato nell'Allegato I.C, fungerà da autorità di controllo competente.
- L'importatore dei dati accetta di rimettersi alla giurisdizione dell'autorità di controllo competente e cooperare con la stessa in qualsiasi procedura finalizzata a garantire la conformità alle presenti Clausole. In particolare, l'importatore dei dati accetta di rispondere alle richieste, sottoporsi a verifiche e rispettare le misure adottate dall'autorità di controllo, incluse misure correttive e compensative. Fornirà all'autorità di controllo la conferma scritta che le azioni necessarie sono state intraprese.
SEZIONE III - NORMATIVE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE
Clausola 14
Normative e prassi locali che modificano le condizioni delle Clausole
- Le Parti garantiscono di non aver motivo di ritenere che le normative o le prassi nel Paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore dei dati, inclusi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l'accesso alle autorità pubbliche, possano impedire all'importatore dei dati di adempiere ai propri obblighi ai sensi delle presenti Clausole. Ciò si basa sulla consapevolezza che le normative e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e non superano quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell'articolo 23(1) del regolamento (UE) n. 2016/679, non sono in contraddizione con le presenti Clausole.
- Le Parti dichiarano che assicurando la garanzia nel paragrafo (a), hanno debitamente tenuto conto in particolare dei seguenti elementi:
- le circostanze specifiche del trasferimento, inclusa la lunghezza della catena di trattamento, il numero delle parti interessate e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; lo scopo del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di memorizzazione dei dati trasferiti;
- le normative e le prassi del Paese terzo di destinazione, incluse quelle che richiedono la divulgazione dei dati alle autorità pubbliche o l'autorizzazione dell'accesso da parte di tali autorità, pertinenti alla luce delle circostanze specifiche del trasferimento e le limitazioni e salvaguardie applicabili;
- qualsiasi salvaguardia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le salvaguardie ai sensi delle presenti Clausole, incluse le misure applicate durante la trasmissione e al trattamento dei dati personali nel Paese di destinazione.
- L'importatore dei dati garantisce che, nello svolgimento della valutazione di cui al paragrafo (b), ha fatto del suo meglio per fornire all'esportatore dei dati le informazioni pertinenti e accetta di continuare a cooperare con l'esportatore dei dati per garantire l'osservanza alle presenti Clausole.
- Le Parti accettano di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell'autorità di controllo competente su richiesta.
- L'importatore dei dati accetta di avvisare tempestivamente l'esportatore dei dati se, dopo aver accettato le presenti Clausole e per la durata del contratto, ha motivo di credere di essere diventato soggetto a normative o prassi non conformi ai requisiti di cui al paragrafo (a), come a seguito di una variazione delle normative del Paese terzo o un provvedimento (ad esempio una richiesta di divulgazione) che indica l'applicazione di tali normative in vigore che non rispetta i requisiti di cui al paragrafo (a).
- A seguito di una notifica in base al paragrafo (e) o se l'esportatore dei dati ha altro motivo di ritenere che l'importatore dei dati non può più adempiere ai suoi obblighi ai sensi delle presenti Clausole, l'esportatore dei dati deve identificare tempestivamente provvedimenti pertinenti (ad es. provvedimenti tecnici o organizzativi per garantire la sicurezza e la riservatezza) che l'esportatore dei dati e/o l'importatore dei dati deve adottare per risolvere la situazione. L'esportatore dei dati sospenderà il trasferimento dei dati se ritiene che le salvaguardie pertinenti per tale trasferimento non possano essere garantite o se incaricato in tal senso dell'autorità di controllo competente. In questo caso, l'esportatore dei dati avrà il diritto di risolvere il contratto, nella misura in cui concerne il trattamento dei dati personali ai sensi delle presenti Clausole. Se il contratto coinvolge più di due Parti, l'esportatore dei dati può esercitare il diritto alla risoluzione solo relativamente alla Parte pertinente, a meno che le Parti non abbiamo diversamente convenuto. Se il contratto viene risolto in base alla presente Clausola, verranno applicate le Clausole 16(d) ed (e).
Clausola 15
Obblighi dell'importatore dei dati in caso di accesso da parte di autorità pubbliche
15.1 Notifica
- L'importatore dei dati accetta di avvisare tempestivamente l'esportatore dei dati e, ove possibile, il soggetto interessato (se necessario con l'aiuto dell'esportatore dei dati) qualora:
- ricevesse una richiesta legalmente vincolante da parte di un'autorità pubblica, incluse le autorità giuridiche, in base alle normative del Paese di destinazione per la divulgazione dei dati personali trasferiti ai sensi delle presenti clausole; tale notifica dovrà includere informazioni sui dati personali richiesti, sull'autorità richiedente, sulle basi legali per la richiesta e sulla risposta fornita; oppure
- venisse a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità alle leggi del Paese di destinazione; tale notifica dovrà includere tutte le informazioni a disposizione dell'importatore.
- Qualora all'importatore dei dati venisse proibito di avvisare l'esportatore dei dati e/o il soggetto interessato in base alle leggi del Paese di destinazione, l'importatore dei dati accetterà di adoperarsi per ottenere la rinuncia al divieto, al fine di comunicare tempestivamente tutte le informazioni disponibili. L'importatore dei dati accetta di documentare i propri sforzi al fine di dimostrarli su richiesta dell'esportatore dei dati.
- Se consentito dalle normative del Paese di destinazione, l'importatore dei dati accetta di fornire all'esportatore dei dati, periodicamente per la durata del contratto, quante più informazioni pertinenti possibili relative alle richieste ricevute (in particolare, numero di richieste, tipo di dati richiesti, autorità richiedente/i, se tali richieste siano state oggetto di contestazione e l'esito di tali contestazioni e così via).
- L'importatore dei dati accetta di conservare le informazioni in base ai paragrafi da (a) a (c) per la durata del contratto e metterle a disposizione dell'autorità di controllo competente su richiesta.
- I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'importatore dei dati ai sensi della Clausola 14(e) e della Clausola 16 di informare tempestivamente l'esportatore dei dati qualora non sia in grado di rispettare le presenti Clausole.
15.2 Controllo di legittimità e minimizzazione dei dati
- L'importatore dei dati accetta di controllare la legittimità della richiesta per la divulgazione, in particolare se resta nell'ambito dei poteri conferiti all'autorità pubblica richiedente, e di contestare la richiesta se, previa un'attenta valutazione, conclude che vi sono ragionevoli motivi di ritenere che la richiesta non è lecita in base alle leggi del Paese di destinazione, agli obblighi applicabili nel rispetto del diritto internazionale e ai principi di correttezza internazionale. L'importatore dei dati esercita, alle medesime condizioni, la possibilità di presentare ricorso. Nell'ambito della contestazione di una richiesta, l'importatore dei dati adotterà provvedimenti provvisori al fine di sospendere gli effetti della richiesta finché l'autorità giudiziaria competente non avrà deciso a riguardo. Quest'ultima non rivelerà i dati personali richiesti fino a quando non sarà tenuta a farlo nel rispetto delle norme procedurali applicabili. Tali requisiti non pregiudicano gli obblighi dell'importatore dei dati ai sensi della Clausola 14(e).
- L'importatore dei dati accetta di documentare la propria valutazione legale ed eventuali contestazioni alla richiesta di divulgazione e, nella misura consentita dalle leggi del Paese di destinazione, mettere la documentazione a disposizione dell'esportatore dei dati. Su richiesta, la metterà anche a disposizione dell'autorità di controllo competente.
- L'importatore dei dati accetta di fornire il numero minimo di informazioni consentite per rispondere a una richiesta di divulgazione, in base a un'interpretazione ragionevole della richiesta.
SEZIONE IV - DISPOSIZIONI FINALI
Clausola 16
Inadempimento alle Clausole e risoluzione
- L'importatore dei dati informerà tempestivamente l'esportatore dei dati nel caso in cui non sia in grado di adempiere alle presenti Clausole, per qualsivoglia ragione.
- Nel caso in cui l'importatore dei dati violi le presenti Clausole o non sia in grado di adempiere alle stesse, l'esportatore dei dati sospenderà il trasferimento dei dati personali verso l'importatore dei dati fino al ripristino della conformità o alla risoluzione del contratto. Questo non pregiudica la Clausola 14(f).
- L'esportatore dei dati avrà il diritto di risolvere il contratto, per quanto riguarda il trattamento dei dati personali ai sensi delle presenti Clausole, qualora:
- l'esportatore dei dati abbia sospeso il trasferimento dei dati personali verso l'importatore dei dati in base al paragrafo (b) e la conformità alle presenti Clausole non sia stata ristabilita in tempi ragionevoli e in ogni caso entro un mese dalle sospensione;
- l'esportatore dei dati violi in modo sostanziale o permanente le presenti Clausole; o
- l'importatore dei dati non rispetti una decisione vincolante di un tribunale o un'autorità di controllo competente in merito ai relativi obblighi ai sensi delle presenti Clausole. In tali casi, informa l'autorità di controllo competente di tale inadempienza. Laddove il contratto coinvolgesse più di due Parti, l'esportatore dei dati può esercitare il diritto di risoluzione solo in merito alla Parte pertinente, se non diversamente convenuto dalle Parti.
- I dati personali trasferiti prima della risoluzione del contratto in base al paragrafo (c) verranno, a scelta dell'esportatore dei dati, immediatamente restituiti all'esportatore dei dati o interamente eliminati. Lo stesso si applicherà a eventuali copie dei dati. L'importatore dei dati certificherà l'eliminazione dei dati in favore dell'esportatore dei dati. Fino all'eliminazione o alla restituzione dei dati, l'importatore dei dati continuerà a ottemperare alle presenti Clausole. Nel caso in cui siano presenti normative locali applicabili all'importatore dei dati che vietano la restituzione o l'eliminazione dei dati personali trasferiti, l'importatore dei dati garantisce che continuerà a ottemperare alle presenti Clausole e tratterà solo i dati nella misura e per il tempo necessario in base alla normativa locale.
- Ciascuna Parte ha diritto di rifiutare di essere vincolata dalle presenti Clausole qualora (i) la Commissione Europea adottasse una decisione conformemente all'articolo 45(3) del regolamento (UE) n. 2016/679 che copra il trasferimento dei dati personali a cui si applicano le presenti Clausole; o (ii) il regolamento (UE) n. 2016/679 entrasse a far parte del quadro legale del Paese in cui i dati personali vengono trasferiti. Questo non pregiudica gli altri obblighi applicabili al trattamento in questione in base al regolamento (UE) n. 2016/679.
Clausola 17
Legislazione vigente
Le presenti Clausole sono disciplinate dalla legislazione di uno degli Stati membri dell'Unione Europea, a condizione che tale legislazione consenta i diritti di beneficiario di terze parti. Le Parti convengono che questa sarà la legislazione della Repubblica federale di Germania.
Clausola 18
Scelta di forum e giurisdizione
- Qualsiasi controversia derivante dalle presenti Clausole viene risolta dai tribunali di uno Stato membro dell'UE.
- Le Parti convengono che questi sono i tribunali delle Repubblica federale di Germania.
- Un soggetto interessato può anche citare in giudizio l'esportatore dei dati e/o l'importatore dei dati dinnanzi ai tribunali dello Stato membro in cui ha la sua residenza abituale.
- Le Parti accettano di rimettersi alla giurisdizione di tali tribunali.
Allegato I alle Clausole contrattuali standard
A. ELENCO DELLE PARTI
Esportatori dei dati: l'esportatore dei dati rappresenta l'entità identificata come "Cliente" nelle Clausole integrative
Firma e data: a decorrere dalla data dell'accettazione elettronica da parte dell'Esportatore dei dati dei Termini di utilizzo dell'Importatore dei dati, le presenti clausole contrattuali standard si intenderanno firmate dall'Esportatore dei dati.
Ruolo: Titolare del trattamento
Importatori dei dati: GoDaddy.com, LLC
Dettagli di contatto: Office of the Data Protection Officer – privacy@godaddy.com
Firma e data: a decorrere dalla data dell'accettazione elettronica da parte dell'Esportatore dei dati dei Termini di utilizzo dell'Importatore dei dati, le presenti clausole contrattuali standard si intenderanno firmate dall'Importatore dei dati.
Ruolo: Responsabile del trattamento
B. DESCRIZIONE DEL TRASFERIMENTO Le categorie dei soggetti interessati i cui dati personali vengono trasferiti sono illustrate nell'Appendice 1 delle Clausole integrative.
Le categorie dei dati personali trasferiti sono illustrate nell'Appendice 1 delle Clausole integrative.
I dati sensibili trasferiti sono illustrati nell'Appendice 1 delle Clausole integrative.
La frequenza del trasferimento è continua per la durata dei Termini di utilizzo.
La natura del trattamento è illustrata nella Sezione 2.2, Appendice 1 delle Clausole integrative.
Gli scopi del trasferimento dei dati e del successivo trattamento sono descritti nella Sezione 2.2, Appendice 1 delle Clausole integrative.
Il periodo durante il quale i dati personali verranno conservati è descritto nell'Appendice 1 delle Clausole integrative.
Per trasferimenti a (sub-)responsabili, l'oggetto, la natura e la durata del trattamento sono descritti nell'Allegato III alle Clausole contrattuali standard.
C. AUTORITÀ DI CONTROLLO COMPETENTE Il North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ("LDI NRW") è l'autorità di controllo competente.
Allegato II alle Clausole contrattuali standard
Le misure di sicurezza tecniche e organizzative attuate dall'Importatore dei dati sono come specificato nell'Allegato 2 delle Clausole integrative.
Allegato III alle Clausole contrattuali standard
L'elenco di sub-responsabili è contenuto nell'Appendice 3 delle Clausole integrative.
Annex I to the Standard Contractual Clauses
A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller
Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor
B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.
Categories of personal data transferred are described in Appendix 1 of the Addendum.
Sensitive data transferred are described in Appendix 1 of the Addendum.
The frequency of the transfer is a continuous basis for the duration of the Terms of Service.
Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.
Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.
The period for which the personal data will be retained described in Appendix 1 of the Addendum.
For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.
C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.
Annex II to the Standard Contractual Clauses
The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.
Annex III to the Standard Contractual Clauses
List of sub-processors are in Appendix 3 of the Addendum.
Le versioni tradotte di accordi e informative legali vengono fornite solo al fine di facilitare la lettura e la comprensione delle versioni in inglese. La fornitura delle traduzioni di accordi e informative legali non ha come obbiettivo quello di creare un contratto legalmente vincolante, né quello di sostituire la validità legale delle versioni in inglese. In caso di controversie o conflitti, le versioni in inglese di accordi e informative legali regolano il nostro rapporto e prevarranno sui termini tradotti in altre lingue.