Aggiornato al 2024-05-28
1 Introduzione
2 Accordi Documenti
3 Trattamento dei dati personali
4 Misure di sicurezza
5 Trasferimento al di fuori dell'UE/SEE
6 Utilizzo di subprocessori
7 Compiti del responsabile del trattamento
8 Violazione dei dati personali
9 Riservatezza
10 Remunerazione
11 Responsabilità
12 Termine e risoluzione
13 Restituzione e distruzione dei dati personali
14 Legge applicabile e risoluzione delle controversie
Appendice I - Elenco delle parti e descrizione del trattamento
Appendice II - Misure tecniche e organizzative
Appendice III - Elenco dei subappaltatori
Il presente contratto di elaborazione dei dati ("DPA") costituisce parte integrante dell'Accordo tra 360Player AB ("Responsabile del trattamento"), in qualità di incaricato del trattamento, e il cliente che è parte dell'Accordo ("Titolare"), in qualità di responsabile del trattamento. In caso di conflitto tra il presente DPA e l'Accordo, prevarrà il presente DPA in relazione al trattamento dei dati personali.
Il Titolare e il Responsabile del trattamento sono indicati congiuntamente come "Parti" e ciascuno di essi come "Parte".
1.1 Al fine di adempiere agli obblighi previsti dal Contratto, il Responsabile del trattamento tratterà i dati personali per conto del Titolare. Il presente DPA costituisce un'appendice al Contratto e disciplina il trattamento dei dati personali in conformità alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati "GDPR") e di qualsiasi legge nazionale o dell'Unione europea di volta in volta applicabile ("Legislazione applicabile in materia di protezione dei dati").
1.2 In caso di conflitto o incongruenza tra il Contratto e il presente DPA relativo al trattamento dei dati personali, prevarranno le disposizioni del DPA.
2.1 Le seguenti appendici sono incorporate per riferimento nel presente DPA:
Appendice I - ´Descrizione del trattamento
Appendice II - Misure tecniche e organizzative
Appendice III - Elenco dei subprocessori
3.1 L'oggetto, la durata, la natura e la finalità del trattamento sono indicati nell'Appendice I (Descrizione del trattamento).
3.2 Il Titolare del trattamento è responsabile di garantire che il trattamento sia effettuato in conformità alla legislazione applicabile in materia di protezione dei dati e di fornire al Responsabile del trattamento istruzioni accurate e sufficienti.
3.3 Il Responsabile del trattamento si impegna a trattare i dati personali solo in conformità alle istruzioni previste dal presente DPA, dal Contratto e dalle istruzioni documentate fornite di volta in volta dal Titolare, a meno che il trattamento non sia richiesto dalla Legislazione applicabile in materia di protezione dei dati. In tal caso, il Responsabile del trattamento informerà il Titolare del trattamento e dei requisiti legali su cui il trattamento si basa, prima di trattare i dati personali, a meno che la fornitura di tali informazioni non sia vietata dalla legislazione applicabile in materia di protezione dei dati.
3.4 Il Responsabile del trattamento dovrà informare tempestivamente il Titolare del trattamento se:
(i) il Responsabile del trattamento non è in grado di adempiere agli obblighi previsti dalla LPD;
(ii) l'Incaricato ritiene che le istruzioni fornite dal Titolare violino la legislazione applicabile in materia di protezione dei dati; oppure
(iii) L'Incaricato ritiene che le istruzioni fornite dal Titolare del trattamento siano inadeguate o errate.
In tal caso il Controllore adeguerà le proprie istruzioni.
4.1 Le Parti adottano le misure di sicurezza tecniche e organizzative necessarie a garantire un livello di sicurezza adeguato ai rischi presentati nel trattamento dei dati personali e, se necessario, attuano e mantengono le misure di sicurezza tecniche e organizzative di cui all'articolo 32 del GDPR.
4.2 Le misure di sicurezza tecniche e organizzative concordate tra le Parti sono riportate nell'Appendice II (Misure tecniche e organizzative). Il Controllore dovrà garantire che tali misure siano conformi alle disposizioni della Legislazione applicabile in materia di protezione dei dati.
5.1 Il Responsabile del trattamento può talvolta trasferire i dati personali in un paese al di fuori dell'UE/SEE in conformità alle istruzioni fornite dal Titolare del trattamento, come ulteriormente indicato nelle appendici della presente DPA, aggiornate di volta in volta. Se i dati personali vengono trasferiti in un paese al di fuori dell'UE/SEE, le Parti si assicureranno che il trasferimento sia soggetto a un meccanismo di trasferimento adeguato in conformità al Capitolo V del GDPR, ad esempio eseguendo il modulo applicabile delle Clausole contrattuali standard approvate dalla Commissione UE o delle norme vincolanti d'impresa. Nella misura necessaria a garantire un'adeguata protezione dei dati personali, le Parti concorderanno ulteriori garanzie nell'Appendice III (Elenco dei subprocessori).
6.1 Il Responsabile del trattamento ottiene dal Titolare del trattamento l'autorizzazione generale scritta a utilizzare subprocessori per il trattamento dei dati personali per conto del Titolare del trattamento. L'elenco dei subprocessori autorizzati dal Titolare per il trattamento dei dati personali alla data di entrata in vigore del presente DPA è riportato nell'Appendice III (Elenco dei subprocessori). Il Responsabile del trattamento informerà il Titolare del trattamento per iscritto dell'aggiunta o della sostituzione dei subprocessori almeno 30 giorni prima della modifica, in modo da dare al Titolare del trattamento la possibilità di opporsi alla modifica.
6.2 Il Titolare ha il diritto di opporsi per iscritto entro 20 giorni dal momento in cui il Responsabile del trattamento ha informato il Titolare della modifica. Il Titolare può opporsi all'utilizzo di un subprocessore solo se ha motivo di ritenere che il subprocessore non rispetti i requisiti della Legislazione applicabile in materia di protezione dei dati, indicando i motivi dell'obiezione. Il Responsabile del trattamento fornirà al Titolare del trattamento le informazioni necessarie per l'esercizio del diritto di opposizione.
6.3 Il Responsabile del trattamento dovrà garantire che un accordo scritto imponga ai subprocessori obblighi almeno equivalenti a quelli imposti al Responsabile del trattamento ai sensi del presente DPA. Il Responsabile del trattamento sarà pienamente responsabile nei confronti del Titolare del trattamento per l'adempimento da parte del subprocessore dei suoi obblighi, come per i propri ai sensi del presente DPA.
7.1 Il Responsabile del trattamento, su richiesta ragionevole del Titolare del trattamento, assisterà il Titolare del trattamento, per quanto ragionevolmente possibile e in relazione alla natura del trattamento, nell'adempimento dei propri obblighi di risposta alle richieste degli interessati di esercitare i propri diritti ai sensi della legislazione applicabile in materia di protezione dei dati. Il Responsabile del trattamento dovrà comunicare al Titolare del trattamento entro 30 giorni l'eventuale ricevimento di richieste da parte degli interessati. Il Responsabile del trattamento non può rispondere a nessuna richiesta senza una specifica istruzione scritta del Titolare del trattamento.
´7.2 Il Responsabile del trattamento dovrà, per quanto possibile, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile, assistere il Titolare nell'adempimento degli obblighi del Titolare ai sensi degli articoli 32-36 del GDPR.
7.3 ´Il Responsabile del trattamento, su ragionevole richiesta del Titolare del trattamento, fornirà al Titolare del trattamento le informazioni necessarie a dimostrare l'osservanza degli obblighi della DPA.
7.4 ´Nel caso in cui il Processore, in base alla legislazione applicabile in materia di protezione dei dati, sia tenuto a divulgare alle autorità di vigilanza i dati personali che il Processore tratta per conto del Titolare, il Processore ne informerà il Titolare e chiederà la riservatezza in relazione alla divulgazione delle informazioni richieste.
7.5 ´Su richiesta ragionevole del Titolare del trattamento o di un revisore esterno nominato dal Titolare del trattamento, il Responsabile del trattamento consentirà un audit allo scopo di verificare che il trattamento dei dati personali da parte del Responsabile del trattamento avvenga in conformità alla legislazione applicabile in materia di protezione dei dati e al presente DPA. Qualsiasi revisore esterno è a carico del Titolare del trattamento.
8.1 Il Processore comunicherà per iscritto al Titolare del trattamento, senza ritardi ingiustificati, la violazione dei dati personali trattati dal Processore per conto del Titolare del trattamento. Il Responsabile del trattamento, nella misura in cui tale violazione abbia avuto luogo presso il Responsabile, fornirà al Titolare del trattamento una descrizione della violazione, della sua natura, delle sue probabili conseguenze e informazioni sulle misure adottate o che si propone di adottare per rimediare e mitigare le conseguenze della violazione.
8.2 Se il Titolare del trattamento notifica una violazione all'autorità di vigilanza, il Responsabile del trattamento, su richiesta ragionevole del Titolare del trattamento, assiste il Titolare del trattamento e fornisce le informazioni richieste.
9.1 Il Responsabile del trattamento si impegna a non divulgare o rendere altrimenti disponibili a terzi i dati personali trattati ai sensi del presente DPA senza il previo consenso scritto del Titolare del trattamento, fatta eccezione per i subprocessori assunti in conformità al presente DPA.
9.2 Il Responsabile del trattamento dovrà garantire che solo il personale e gli altri rappresentanti che necessitano di accedere ai dati personali abbiano accesso a tali informazioni. Il Responsabile del trattamento dovrà assicurarsi che tali persone siano vincolate da un impegno di riservatezza o siano soggette a un obbligo di riservatezza previsto dalla legge.
9.3 Il Responsabile del trattamento si impegna a garantire l'esistenza di accordi di riservatezza con qualsiasi subprocessore assunto ai sensi del presente DPA.
10.1 Il Processore ha diritto a un compenso ragionevole per i costi e il lavoro sostenuti dal Processore in conseguenza dei suoi obblighi, come specificato di seguito:
(i) Il Controllore adegua le proprie istruzioni ai sensi della sezione 3.1 di cui sopra.
(ii) Il Controllore adegua le proprie istruzioni ai sensi della precedente sezione 4.2.
(iii) l'Elaboratore assiste il Controllore in un audit in conformità alla sezione 7.5 di cui sopra.
11.1 Le Parti riconoscono di essere rispettivamente responsabili, responsabilizzate e responsabilizzate nei rispettivi ruoli di Titolare e Responsabile del trattamento ai sensi dei requisiti previsti dal GDPR e dal presente DPA. Eventuali multe, tasse o sanzioni amministrative imposte dall'autorità di vigilanza e/o risarcimenti agli interessati saranno soggetti alle disposizioni in materia di responsabilità di cui agli articoli 82-84 del GDPR. Se una Parte tratta i dati personali in violazione del presente DPA o della Legislazione applicabile in materia di protezione dei dati, la Parte dovrà risarcire l'altra Parte per i danni diretti subiti a causa di tale trattamento illecito e/o violazione del presente DPA in conformità alle limitazioni di responsabilità stabilite nell'Accordo.
12.1 Il presente DPA entra in vigore al momento della sottoscrizione del Contratto da parte di entrambe le Parti e rimane in vigore successivamente per tutto il tempo in cui il Processore elabora i dati personali per conto del Controllore.
12.2 Il Responsabile del trattamento ha il diritto di risolvere immediatamente il DPA mediante comunicazione scritta al Titolare qualora le istruzioni impartite dal Titolare violino la legislazione applicabile in materia di protezione dei dati e il Titolare, dopo essere stato informato di tali circostanze, insista successivamente nell'applicare tali istruzioni.
13.1 Alla cessazione o alla scadenza del presente DPA, il Responsabile del trattamento interromperà senza indebito ritardo il trattamento dei dati personali e, su richiesta scritta del Titolare del trattamento, cancellerà tutti i dati personali del Titolare del trattamento ed eliminerà tutte le copie rimanenti, a meno che non sia richiesto dalla legislazione applicabile in materia di protezione dei dati.
14.1 Il DPA è disciplinato dalla legge svedese, con esclusione delle norme di conflitto di legge applicabili.
14.2 Qualsiasi controversia derivante da o in relazione al DPA sarà risolta in via definitiva in conformità alla disposizione sulla risoluzione delle controversie contenuta nell'Accordo.
1 Introduzione
L'Appendice I (Descrizione del trattamento) descrive il trattamento dei dati personali ai sensi della LPD.
2 Descrizione del trattamento
Per i controllori che hanno una legislazione locale in materia di privacy, è fondamentale che il controllore capisca quali sono i dati che hanno una classificazione speciale nella legge locale sulla privacy. Si raccomanda di ridurre al minimo la raccolta di dati sensibili e 360Player richiederà sempre il consenso degli utenti ai termini e alle norme sulla privacy.
Categorie di soggetti interessati
Il trattamento riguarderà le seguenti categorie di soggetti:
☐ Dipendenti/staff del Controllore
☐ Soci del controllore e tutore/i legale/i dei soci
Categorie di dati personali che il responsabile del trattamento tratterà
Saranno trattati i seguenti dati personali:
☐ Nome
☐ Data di nascita
☐ Numero di telefono
☐ Indirizzo
Categorie particolari di dati personali che i responsabili del trattamento possono trattare
Le seguenti categorie speciali di dati personali saranno incluse nel trattamento:
☐ Dati genetici
☐ Dati biometrici
☐ Dati relativi alla salute
☐ Altri dati che il controllore deve raccogliere (campi di dati personalizzati)
Natura e finalità del trattamento
Il Responsabile del trattamento tratta i dati personali per le seguenti finalità:
I dati personali saranno trattati per consentire al responsabile del trattamento di utilizzare il sistema in base alle finalità della piattaforma.
Durata del trattamento
I dati personali saranno trattati in conformità a quanto segue:
La durata del trattamento corrisponde alla durata dell'Accordo o fino alla rimozione dei dati da parte del responsabile del trattamento. In seguito, i dati personali saranno trattati per tutto il tempo richiesto dalla legislazione applicabile in materia di protezione dei dati.
1 Introduzione
L'Appendice II (Misure tecniche e organizzative) specifica le misure tecniche e organizzative adottate per garantire un elevato livello di sicurezza nel trattamento dei dati personali.
2 Elenco delle misure tecniche e organizzative
Le seguenti misure di sicurezza sono state esplicitamente concordate tra le Parti:
1 Introduzione
L'Appendice III (Elenco dei subincaricati) riporta i subincaricati del Responsabile del trattamento approvati dal Titolare. SCC sta per "Clausole contrattuali standard" e indica la versione più recente delle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi del GDPR.
2 Elenco dei subprocessori
Il Titolare del trattamento ha approvato i subprocessori elencati nella tabella sottostante alla data di entrata in vigore del DPA. La tabella viene aggiornata periodicamente: