👉 1° Libro bianco sulla digitalizzazione della gestione operativa nelle fabbriche 👈

Accordo sulla privacy dei dati 

ADDENDUM SULLA PROTEZIONE DEI DATI

Il presente Addendum sulla Protezione dei Dati ("Addendum") fa parte dei Termini di Servizio ("Termini") tra (i) Mercateam ("Mercateam") e (ii) il Cliente che si abbona a Mercateam, ciascuno dei quali è una"Parte" e insieme le"Parti", con data del giorno in cui il Cliente invia dati a Mercateam, o di caricamento dei dati in Mercateam, e con effetto dalla Data di entrata in vigore dell'Addendum (come di seguito definita),

. Le Parti convengono che i termini e le condizioni di seguito indicati saranno aggiunti come Addendum ai Termini e i riferimenti ai Termini contenuti nel presente Addendum si riferiscono ai Termini come modificati da, e inclusi, il presente Addendum.

1. Definizioni

1.1 Nel presente Addendum, i seguenti termini avranno il significato indicato di seguito e i termini corrispondenti saranno costruiti di conseguenza:

  • (a)"Data di entrata in vigore dell'Addendum" ha il significato attribuitogli nella sezione 2;
  • (b) Per "Affiliata" si intende un'entità che possiede o controlla, è posseduta o controllata da o è sotto controllo o proprietà comune con il Cliente o Mercateam (a seconda del contesto), dove per controllo si intende il possesso, diretto o indiretto, del potere di dirigere o causare la direzione della gestione e delle politiche di un'entità, sia attraverso il possesso di titoli con diritto di voto, sia per contratto o altro;
  • (c) Per"Dati personali del cliente" si intende qualsiasi Dato personale trattato da Mercateam (i) per conto del Cliente (incluso, per chiarezza, qualsiasi Affiliato del Cliente), o (ii) altrimenti trattato da Mercateam, in ogni caso ai sensi o in relazione alle istruzioni impartite per iscritto dal Cliente, in conformità con i Termini;
  • (d)"Controller to Processor s" indica le Clausole contrattuali standard (processori) ai fini dell'articolo 26, paragrafo 2, della Direttiva 95/46/CE di cui alla Decisione 2010/87/CE, come le stesse vengono riviste o aggiornate di volta in volta dalla Commissione europea;
  • (e)"Leggi sulla protezione dei dati" indica (i) la Direttiva 95/46/CE e, a partire dal 25 maggio 2018, il Regolamento (UE) 2016/679 ("GDPR") insieme alla legislazione applicabile che li attua o li integra o che è comunque relativa al trattamento dei dati personali delle persone fisiche, e (ii) nella misura in cui non è incluso nella sotto-clausola (i), il Data Protection Act 1998 del Regno Unito, come modificato di volta in volta, e compresa qualsiasi legislazione sostanzialmente simile che sostituisce il DPA 1998;
  • (f)"Scudo per la privacy" indica il quadro dello Scudo per la privacy UE-USA; e
  • (g)"Servizi" indica i servizi che Mercateam deve fornire al Cliente o agli Affiliati del Cliente ai sensi delle Condizioni.

1.2 I termini"Titolare del trattamento","Interessato","Dati personali","Violazione dei dati personali","Processo","Responsabile del trattamento" e"Autorità di vigilanza" hanno lo stesso significato descritto nelle leggi applicabili in materia di protezione dei dati e i termini corrispondenti devono essere interpretati di conseguenza.

1.3 I termini in maiuscolo non altrimenti definiti nel presente Addendum avranno il significato loro attribuito nelle Condizioni.

2. Formazione del presente Addendum

Il presente Addendum è considerato concordato dalle Parti, ed entra in vigore, alla"Data di entrata in vigore dell'Addendum", ovvero alla data più recente tra (i) la data di accettazione del presente Addendum da parte del Cliente; e (ii) Mercateam.

3. Ruoli delle Parti

Le Parti riconoscono e concordano che, per quanto riguarda il trattamento dei Dati personali del Cliente, e come descritto più dettagliatamente nell'Allegato 1 del presente documento, il Cliente agisce come Titolare del trattamento e Mercateam agisce come Responsabile del trattamento (come definito nella sezione 5.2.4 di seguito).

Le Parti convengono espressamente che il Cliente sarà l'unico responsabile di garantire comunicazioni tempestive alle Affiliate del Cliente o ai relativi Controllori che ricevono i Servizi, nella misura in cui tali comunicazioni possano essere richieste o utili alla luce delle leggi applicabili in materia di protezione dei dati per consentire alle Affiliate del Cliente o ai relativi Controllori di conformarsi a tali leggi.

4. Descrizione del trattamento dei dati personali

Nell'Allegato 1 al presente Addendum, le Parti hanno definito di comune accordo i dettagli del Trattamento dei Dati Personali del Cliente che Mercateam deve trattare ai sensi del presente Addendum, come richiesto dall'Articolo 28(3) del GDPR. Ciascuna Parte può apportare ragionevoli modifiche all'Allegato 1 mediante comunicazione scritta all'altra Parte e nella misura ragionevolmente necessaria per soddisfare tali requisiti. L'Allegato 1 non crea alcun obbligo o diritto per nessuna delle Parti.

5. Termini di elaborazione dei dati

5.1

Il Cliente dovrà rispettare tutte le leggi applicabili in materia di protezione dei dati in relazione all'esecuzione del presente Addendum. Tra le Parti, il Cliente sarà l'unico responsabile del rispetto delle Leggi sulla Protezione dei Dati applicabili per quanto riguarda la raccolta e il trasferimento a Mercateam dei Dati Personali del Cliente. Il Cliente si impegna a non fornire a Mercateam alcun dato relativo alla salute, alla religione o a qualsiasi categoria speciale di dati come definito nell'articolo 9 del GDPR.

5.2

Mercateam si atterrà a tutte le leggi applicabili in materia di protezione dei dati nel trattamento dei dati personali dei clienti e Mercateam dovrà:

5.2.1

trattare i Dati Personali del Cliente relativi alle categorie di Soggetti ai fini delle Condizioni e per le finalità specifiche, in ciascun caso, come indicato nell'Allegato 1 al presente Addendum e altrimenti esclusivamente su istruzioni documentate del Cliente, ai fini della fornitura dei Servizi e come altrimenti necessario per adempiere ai propri obblighi ai sensi delle Condizioni, anche per quanto riguarda il trasferimento dei Dati Personali del Cliente a un paese terzo al di fuori di un'organizzazione internazionale; Mercateam informerà immediatamente il Cliente se, a parere di Mercateam, un'istruzione viola le leggi sulla protezione dei dati applicabili

5.2.2

garantire che le persone autorizzate al trattamento dei Dati personali del cliente si siano impegnate alla riservatezza o siano soggette a un obbligo di riservatezza previsto dalla legge;

5.2.3

implementare e mantenere le misure tecniche e organizzative stabilite nei Termini e, tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, implementare ogni ulteriore misura tecnica e organizzativa appropriata necessaria a garantire un livello di sicurezza adeguato al rischio del Trattamento dei Dati Personali del Cliente, come di seguito indicato.

(a) pseudonimizzazione e crittografia dei Dati personali del cliente;

(b) garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione che trattano i Dati personali del cliente;

(c) ripristinare tempestivamente la disponibilità e l'accesso ai Dati personali del Cliente in caso di incidente fisico o tecnico; e

(d) testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei Dati personali del Cliente.

Qualsiasi modifica a tali misure concordate che sia richiesta dal Cliente sarà gestita attraverso un processo di controllo delle modifiche concordato tra Mercateam e il Cliente;

5.2.4

Il Cliente (per conto del/i relativo/i Titolare/i, a seconda dei casi), con la presente autorizza espressamente e specificamente Mercateam a incaricare un altro Responsabile del Trattamento dei Dati Personali del Cliente ("Altro Responsabile"), e in particolare gli Altri Responsabili del Trattamento elencati nell' Allegato 2 alla presente, subordinatamente all'impegno di Mercateam:

(a)

notificare al Cliente qualsiasi modifica che intenda apportare all'utilizzo degli Altri Responsabili del Trattamento elencati nell'Allegato 2, inviando al Cliente una notifica via e-mail della modifica prevista;

(b) includendo nel contratto con ciascun Altro Responsabile del trattamento obblighi di protezione dei dati che siano sostanzialmente identici a quelli stabiliti nel presente Addendum; e

(c) rimanere responsabile nei confronti del Cliente per qualsiasi inadempimento da parte di ciascun Altro Responsabile del Trattamento dei Dati Personali del Cliente.

In relazione a qualsiasi avviso ricevuto ai sensi della sezione 5.2.4 a., il Cliente avrà un periodo di 30 (trenta) giorni dalla data dell'avviso per informare Mercateam per iscritto di qualsiasi ragionevole obiezione all'uso di tale Altro Elaboratore. Le parti, per un periodo non superiore a 30 (trenta) giorni dalla data dell'obiezione del Cliente, collaboreranno in buona fede per cercare di trovare una soluzione commercialmente ragionevole per il Cliente che eviti l'uso dell'Altro Elaboratore contestato. Qualora non si riesca a trovare tale soluzione, ciascuna delle Parti potrà (nonostante qualsiasi disposizione contraria contenuta nei Termini) interrompere immediatamente i Servizi in questione mediante comunicazione scritta all'altra Parte, senza alcun risarcimento, penale o indennizzo di sorta;

5.2.5

nella misura consentita dalla legge, notificare tempestivamente al Cliente qualsiasi comunicazione da parte di un Interessato in merito al Trattamento dei Dati Personali del Cliente, o qualsiasi altra comunicazione (anche da parte di un'Autorità di Vigilanza) relativa a qualsiasi obbligo ai sensi delle Leggi sulla Protezione dei Dati applicabili in relazione ai Dati Personali del Cliente e, tenendo conto della natura del Trattamento, assistere il Cliente (o il relativo Titolare) con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Cliente, delle sue Affiliate o del/i relativo/i Titolare/i di rispondere alle richieste di esercizio dei diritti dell'interessato di cui al Capo III del GDPR; Il Cliente si impegna a pagare a Mercateam il tempo e le spese vive sostenute da Mercateam in relazione all'adempimento degli obblighi di cui alla presente Sezione 5.2.5;

5.2.6

nel momento in cui Mercateam viene a conoscenza di una Violazione dei Dati Personali che coinvolge i Dati Personali del Cliente, notificare al Cliente, senza indebito ritardo, qualsiasi Violazione dei Dati Personali che coinvolge i Dati Personali del Cliente, tale notifica deve includere tutte le informazioni ragionevolmente richieste dal Cliente (o dal relativo Titolare del Trattamento) per adempiere ai propri obblighi ai sensi delle Leggi sulla Protezione dei Dati applicabili;

5.2.7

nella misura richiesta dalle leggi applicabili in materia di protezione dei dati, fornire un'assistenza ragionevole al Cliente, alle sue Affiliate o al/i relativo/i Titolare/i del trattamento in relazione agli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del Trattamento e delle informazioni disponibili a Mercateam; il Cliente si impegna a pagare a Mercateam il tempo e le spese vive sostenute da Mercateam in relazione a qualsiasi assistenza fornita in relazione agli articoli 35 e 36 del GDPR;

5.2.8

cessare il trattamento dei Dati Personali del Cliente alla cessazione o alla scadenza dei Termini e, a discrezione del Cliente, delle sue Affiliate o dei relativi Titolari, restituire o cancellare (anche assicurando che tali dati siano in formato non leggibile) tutte le copie dei Dati Personali del Cliente trattati da Mercateam, a meno che (e solo nella misura e per il periodo in cui) la legge nazionale richieda la conservazione dei Dati Personali. Nonostante quanto sopra o qualsiasi cosa contraria contenuta nel presente documento, Mercateam potrà conservare i Dati Personali e non avrà alcun obbligo di restituire i Dati Personali nella misura richiesta dalle leggi o dagli obblighi regolamentari applicabili. Tali Dati personali conservati resteranno soggetti agli obblighi di riservatezza stabiliti nei Termini; e

5.2.9

mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità al presente Addendum e consentire e contribuire alle verifiche, comprese le ispezioni, da parte del Cliente o di un revisore incaricato dal Cliente. Ai fini della dimostrazione della conformità al presente Addendum ai sensi della presente sezione 5.2.9, le Parti concordano che una volta all'anno durante la durata dei Termini, Mercateam fornirà al Cliente, con ragionevole preavviso, le risposte alle valutazioni di cybersecurity e di altro tipo. Il Cliente accetta di pagare Mercateam per il tempo e per le spese vive sostenute da Mercateam in relazione all'assistenza fornita in relazione a tali audit, risposte alla cybersecurity e altre valutazioni.

6. Trasferimenti

Mercateam è certificata per la gestione della sicurezza delle informazioni secondo la norma ISO 27001:2013. Mercateam comunicherà per iscritto al Cliente senza indebito ritardo se non può più rispettare i suoi obblighi ai sensi della conformità alla Privacy e, in tal caso, Mercateam avrà la possibilità di (i) adottare prontamente misure ragionevoli per rimediare a qualsiasi inosservanza degli obblighi applicabili ai sensi del presente Addendum, o (ii) impegnarsi in un dialogo in buona fede con il Cliente per determinare un nuovo meccanismo di trasferimento dei dati per realizzare gli scopi dei Termini. Mercateam agisce in qualità di Responsabile del trattamento in relazione ai Dati personali ricevuti in seguito a un trasferimento di dati.

Nel caso in cui la Conformità alla Privacy sia invalidata, il Cliente e ciascuna Affiliata del Cliente (per conto del/i relativo/i Titolare/i del Trattamento, a seconda dei casi), se applicabile (in qualità di "esportatore di dati") e Mercateam (in qualità di "importatore di dati"), con effetto dall'inizio del relativo trasferimento, stipuleranno le SCC da Titolare a Responsabile del Trattamento (mutatis mutandis, a seconda dei casi) in relazione a qualsiasi trasferimento (o successivo trasferimento) dal Cliente o dall'Affiliata del Cliente a Mercateam, laddove tale trasferimento sarebbe altrimenti vietato dalle Leggi sulla Protezione dei Dati applicabili o dai termini degli accordi di trasferimento dei dati messi in atto per affrontare le Leggi sulla Protezione dei Dati applicabili. L'Appendice 1 delle SCC da Titolare del trattamento a Responsabile del trattamento si considera precompilata con le sezioni pertinenti dell'Allegato 1 al presente Addendum e le operazioni di trattamento si considerano quelle descritte nelle Condizioni. L'Appendice 2 delle SCC da Titolare a Responsabile del trattamento si intende precompilata con la seguente frase "Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità per i diritti e le libertà delle persone fisiche, Mercateam attuerà misure tecniche e organizzative adeguate come stabilito nell'Addendum."

7. Precedenza

Le disposizioni del presente Addendum sono aggiuntive rispetto alle disposizioni dei Termini. In caso di incongruenza tra le disposizioni del presente Addendum e quelle dei Termini, prevarranno le disposizioni del presente Addendum.

8. Indennità

Nella misura consentita dalla legge, il Cliente indennizzerà e terrà indenne Mercateam da tutte (i) le perdite, (ii) le richieste di risarcimento da parte di terzi, (iii) le sanzioni amministrative e (iv) i costi e le spese (incluse, senza limitazioni, le ragionevoli spese legali, di indagine e di consulenza) ragionevolmente sostenute in relazione a (i), (ii) o iii), subite da Mercateam e che derivano da qualsiasi violazione da parte del Cliente del presente Addendum o dei suoi obblighi ai sensi delle leggi sulla protezione dei dati applicabili.

9. Severità

Le Parti convengono che, qualora una sezione o sottosezione del presente Addendum sia ritenuta illegale o inapplicabile da un tribunale o da un'autorità competente, ciò non invaliderà o renderà inapplicabile qualsiasi altra sezione del presente Addendum.

9. Altri

L'organizzazione si assicura che il contratto per il trattamento delle PII riguardi il ruolo dell'organizzazione nel fornire assistenza agli obblighi del cliente.

L'Accordo considera quanto segue:

a. Privacy by Design e default

b. Raggiungere la sicurezza del trattamento

c. Notifica di violazioni che coinvolgono le PII a un'autorità di vigilanza.

d. Notifica delle violazioni che coinvolgono le PII ai clienti e ai responsabili delle PII.

e. Valutazione dell'impatto sulla privacy

f. Garanzia di assistenza da parte dei Responsabili del trattamento delle PII nel caso in cui siano necessarie consultazioni preliminari con le autorità competenti in materia di protezione delle PII.

g. Mercateam informerà il cliente se, a suo parere, un'istruzione di trattamento viola la legislazione o la normativa vigente.

h. L'organizzazione non utilizza le PII elaborate in base a un contratto per scopi di marketing e pubblicità.

i. Coordinarsi con i clienti per contribuire all'audit dei sistemi. L'organizzazione fornisce al cliente le informazioni appropriate in modo da poter dimostrare la conformità ai propri obblighi.

j. Mercateam utilizzerà AWS e PIPL come subelaboratori con requisiti di sicurezza e privacy pienamente soddisfatti.

k. L'organizzazione deve rispettare tutti i requisiti statutari e normativi, le norme ISO 27001:2013, ISO 27701:2019 e i requisiti GDPR dell'UE.

l. I Dati saranno cancellati o de-identificati al termine del trattamento (cioè al termine del periodo di conservazione selezionato).

m. Mercateam informerà i clienti con 24 ore di anticipo in caso di richieste legalmente vincolanti di divulgazione delle PII.

n. Per l'accesso, la correzione e/o la cancellazione delle PII degli interessati è possibile contattare il Responsabile della Protezione dei Dati (DPO) di seguito indicato. Anche per sollevare dubbi e/o reclami relativi alle PII è possibile contattare il Responsabile della protezione dei dati di seguito indicato:

Nome: Kévin Rouvière

ID e-mail: kevin@merca.team

Numero di contatto: +33 6 30 01 85 69

Allegato 1: Descrizione del trattamento dei dati personali del cliente

Il presente allegato contiene alcuni dettagli sul trattamento dei dati personali del cliente, come richiesto dall'articolo 28, paragrafo 3, del GDPR e, se del caso, dal controllore al responsabile del trattamento SCC.

Oggetto e durata del trattamento dei dati personali

L'oggetto e la durata del trattamento dei Dati personali del cliente sono indicati nella sezione 2 delle Condizioni.

Natura e finalità del trattamento dei dati personali

Due diligence e verifica del background dell'organizzazione e delle persone.

Le categorie di soggetti cui si riferiscono i Dati Personali del Cliente

    - Dipendenti e appaltatori dei clienti.

Tipi di dati personali del cliente da trattare

Nome, indirizzo, data di nascita, età, istruzione, e-mail, sesso, immagine, lingua, telefono, URL correlato, ID utente, competenze e autorizzazioni, formazione, lavoro e descrizione del lavoro, orari, restrizioni, documenti di certificazione. 

Categorie particolari di dati

Nessuno

Gli obblighi e i diritti del Cliente

Gli obblighi e i diritti del Cliente sono definiti nei Termini e nel presente Addendum.

Esportatore di dati (se applicabile)

L'esportatore dei dati è: il Cliente di Mercateam che utilizza i Servizi

Importatore di dati (se applicabile)

L'importatore dei dati è: PIPL, una società che fornisce servizi al cliente, che richiede di ricevere i dati della richiesta del cliente.

Operazioni di lavorazione (se del caso)

I dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base: La fornitura di Mercateam Limited al Cliente per la Due Diligence e la verifica del background come da requisiti del Cliente.

Allegato 2: Altri trasformatori autorizzati

Nome dell'altro processoreDescrizione del trattamentoPosizione dell'altro processore
Fornitore Google CloudHosting dell'ambiente di produzioneBelgio, Saint Ghislain
Automazione dello scrutinioPiattaforma GRCSTATI UNITI