APPENDICE EMERGENETICS SUL TRATTAMENTO DATI

Language:

English | Español | Italiano | Français | Français Canadien | Deutsch | Nederlands | Română | العربية | 繁體中文 | 简体中文

QUESTA APPENDICE ("Appendice") EMERGENETICS SUL TRATTAMENTO DATI è stipulata e sottoscritta da e tra The Browning Group International, Inc. operante con la denominazione Emergenetics International e relative affiliate di legge, comprese, a titolo esemplificativo, STEP, LLC. Emergenetics Europe Limited ed Emergenetics Caelan & Sage PTE Ltd (collettivamente "Emergenetics", "noi", "ci", "nostro") e tu (il "Cliente" o "Partner"), a seconda dei casi, ognuno definito oltre) (ognuno una "Parte" e collettivamente "Parti"). Questo Addendum regola il trattamento dei dati personali sulla piattaforma Emergenetics. Se accetti i termini di questa Appendice per conto di un'entità, dichiari e garantisci a Emergenetics di avere l'autorità di vincolare tale entità e le sue affiliate, laddove applicabile, ai termini e alle condizioni di questa Appendice. Questa Appendice ha efficacia a decorrere dalla data in cui accetti sottoscrivendo il Contratto con gli utenti di Emergenetics (la "Data dell’Appendice").

PREMESSE

CONSIDERATO che Emergenetics e tu avete eseguito un contratto per servizi (il "Contratto di servizi") che comporta il trattamento di Dati personali (definiti oltre) di Soggetti dei dati (definiti oltre) che le Parti ora desiderano emendare nel modo illustrato nel presente;

CONSIDERATO che, nel corso della fornitura dei propri servizi ai sensi del Contratto di servizi, tu, in qualità di Controllore dei dati, tratti certi Dati personali di soggetti interessati;

CONSIDERATO che, come titolare del trattamento dei dati, Emergenetics richiede che tu e tutti i successivi destinatari di dati personali che, nel corso del tuo lavoro con Emergenetics, possano trattare i dati personali, adottiate tutte le misure necessarie per gestire tali informazioni in conformità con il GDPR (General Data Protection Regulation: regolamento generale sulla protezione dei dati) dell'UE e altre leggi e regolamenti vigenti;

CONSIDERATO che, quando entrambe le Parti determinano congiuntamente le finalità e i mezzi del Trattamento, esse agiscono come titolari del trattamento congiunti; e

CONSIDERATO che le Parti aderiscono alla presente Appendice desiderando rispettare i principi e le norme per la protezione dei dati come richiesto dal GDPR e altre leggi e regolamenti vigenti, in relazione al Trattamento dei Dati personali ai sensi del Contratto di Servizi.

ORA PERTANTO, in considerazione degli accordi reciproci enunciati nella presente Appendice e per altre considerazioni valide e di valore, la ricezione e l'adeguatezza delle quali entrambe le parti riconoscono, le Parti concordano quanto segue:

DEFINIZIONI

I termini in maiuscolo utilizzati ma non definiti in questa Appendice avranno i significati loro assegnati nel Contratto di servizi.

Ai fini della presente Appendice, i seguenti termini in maiuscolo avranno il significato attribuito ad essi di seguito ovunque essi compaiano all'interno delle disposizioni della presente Appendice:

TERMINI

Le parti concordano quanto segue:

  1. Data effettiva. Le Condizioni della presente Appendice entreranno in vigore il giorno posteriore tra la Data dell’appendice e il 25 maggio 2018 (la "Data di efficacia") e continueranno in concomitanza con la durata del Contratto di servizi.
  2. Ambito di applicazione. Questa Appendice funge da quadro per il trattamento dei dati personali ai sensi del Contratto di servizi, a seconda dei casi, da solo o congiuntamente e la condivisione dei dati personali tra le parti come controllori dei dati e definisce i principi e le procedure a cui le Parti aderiscono e le rispettive responsabilità delle Parti.
  3. Applicabilità. Questa Appendice non si applica al Trattamento di Dati personali, laddove tale trattamento non sia regolato dalle Leggi applicabili.
  4. Dichiarazioni e garanzie del controllore. Ogni parte dichiara, garantisce e pattuisce che:
    1. per quanto riguarda il trattamento dei dati personali nell'ambito del Contratto di servizi, si tratta di un controllore dei dati ai sensi della presente Appendice e del GDPR;
    2. tutti i Dati personali sono stati e saranno raccolti, trasferiti e altrimenti trattati in conformità con il GDPR;
    3. esegue solo trasferimenti di Dati personali, qualora tali trasferimenti siano oggetto di requisiti imposti dalle Leggi applicabili (e non vale alcuna esenzione o deroga di legge), in ottemperanza delle condizioni vigenti esposte nelleLeggi applicabili;
    4. essa, su richiesta dell’altra Parte, fornirà all'altra Parte copie di tutte le leggi sulla protezione dei dati pertinenti o riferimenti ad esse (se del caso e non includendo la consulenza legale).
  5. Dichiarazione e garanzie del controllo congiunto. Ogni Parte, nelle vesti di Controllore congiunto insieme all’altra Parte, garantisce e pattuisce che:
    1. Determinerà le sue rispettive responsabilità per l'adempimento degli obblighi previsti dalle Leggi applicabili;
    2. determinerà le sue rispettive responsabilità contattando direttamente gli interessati, tenendo conto delle circostanze di ciascuna specifica situazione di trattamento e, ove necessario, comunicherà debitamente tali informazioni al rispettivo altro Controllore dei dati nel contesto della funzione di controllo congiunto;
    3. in considerazione del fatto, esposto nel GDPR, che a prescindere dai termini pattuiti tra le Parti, gli interessati hanno facoltà di esercitare i loro diritti ai sensi del GDPR nel rispetto dei Controllori dei dati e contro ognuno di loro, ogni Controllore dei dati nel contesto della funzione di controllo congiunto fornirà di propria iniziativa, senza aver ricevuto richiesta di farlo, tutta la debita assistenza e informazione all’altro rispettivo Controllore dei dati nel contesto della funzione di controllo congiunto, compreso, tra l’altro, l’inoltro delle richieste presentate dagli interessati di esercitare i propri diritti sotto il capitolo III del GDPR. Laddove un Controllore dei dati non abbia adempiuto ai propri obblighi ai sensi della presente disposizione, egli sarà pienamente responsabile per quanto riguarda la risposta, o meno, alla rispettiva richiesta da parte del Soggetto dei dati di esercitare i propri diritti; e
    4. qualora si verifichi un conflitto di competenza in merito a una serie specifica di operazioni di trattamento nel contesto del controllo congiunto, ogni Controllore dei dati dovrà agire in buona fede per comunicare e risolvere tale conflitto con l’altro rispettivo Controllore dei dati in modo amichevole, mettendo in conto e rispettando in primis gli interessi e i diritti dei rispettivi interessati e, in secondo luogo, l’interesse reciproco di entrambe le Parti, in modo da evitare responsabilità in solido e individuale, qualora le parti ignorassero i diritti degli interessati, a motivo di un conflitto di competenza irrisolto.
  6. Registrazione delle attività di trattamento. Ogni Controllore dei dati si impegna a mantenere un registro delle attività di trattamento dei Dati personali sotto la propria responsabilità, in conformità con l’art. 30 del GDPR.
  7. Trattamento di Dati personali. Nell'ambito di questa Appendice le Parti sono Controllori congiunti dei Dati personali dei Soggetti dei dati. Clienti e partner controllano congiuntamente i Dati personali trattati tramite la piattaforma Emergenetics con Emergenetics. Il Trattamento di Dati personali da parte di ciascuno dei Controllori dei dati nell'ambito di questa Appendice è soggetta a quanto segue:
    1. Il trattamento è limitato a quei servizi e attività demarcati nel Contratto di servizi per servizi ed eventuali ordini successivi, resoconti di lavoro, o ordini di lavoro eseguiti tra le Parti.
    2. Ciascun Controllore dei dati garantisce che il Trattamento di Dati personali per le finalità indicate nel Contratto di servizi sia effettuata solo per motivi legittimi, previsti dall’art. 6 del GDPR e ulteriormente limitati dall’art. 9 del GDPR, o le disposizioni equivalenti di tutte le Leggi applicabili, a seconda dei casi.
    3. I rispettivi Controllori dei dati devono garantire che le persone autorizzate a trattare i Dati personali si siano impegnate a rispettare la riservatezza o che siano soggette a idoneo obbligo legale di riservatezza.
  8. Misure di sicurezza. Entrambe le parti attueranno misure di sicurezza tecniche e organizzative adeguate per garantire e poter dimostrare che il trattamento viene eseguito in conformità al GDPR e nelle modalità previste dall’art. 24 del GDPR.
  9. Richieste dei Soggetti dei dati. Ogni Parte sarà tenuta a rispondere alle richieste di esercizio dei diritti degli interessati ai sensi del capitolo III del GDPR o dei disposti equivalenti di altre Leggi applicabili, in merito ai Dati personali trattati da quella Ogni Parte designerà un punto di contatto appropriato per le richieste del Soggetto dei dati all'interno della rispettiva organizzazione. Ogni Parte conserverà una registrazione delle richieste dei Soggetti dei dati di esercitare i propri diritti, delle decisioni prese e di qualsiasi informazione scambiata. Nelle situazioni in cui le Parti sono Controllori congiunti, le Parti si informeranno reciprocamente di tutte le richieste dei Soggetti dei dati ricevute. Prima di cancellare i Dati personali o limitare il trattamento in risposta a una richiesta di un Soggetto dei dati, ogni Parte otterrà l'approvazione dell'altra Parte, che non dovrà essere negata irragionevolmente, in modo da evitare la possibilità che le azioni di una Parte causino all'altra Parte di violare la presente Appendice o eventuali leggi applicabili. Le Parti si impegnano a fornirsi reciprocamente assistenza tempestiva e ragionevole, se necessario, per consentire loro di adempiere alle richieste del Soggetto dei dati. Ogni Parte garantirà che i relativi avvisi sulla privacy, ove applicabile, siano pubblicati in conformità ai requisiti del GDPR e di altre Leggi applicabili e che non sussistano conflitti tra le comunicazioni sulla privacy delle Parti che creino confusione o inducano in errore i Soggetti dei dati. In particolare ogni Parte si assicurerà che i relativi avvisi di privacy, ove applicabile, contengano informazioni di contatto accurate a cui gli interessati possano inviare richieste alla rispettiva Parte di esercitare i propri diritti ai sensi del GDPR e di altre Leggi applicabili, a seconda del caso.
  10. Sicurezza di trattamento e notifiche di violazione dei dati personali. Entrambe le parti convengono di attuare e mantenere misure di sicurezza tecniche e organizzative per garantire che il livello di sicurezza dei Dati personali da essi trattati sia adeguato al rischio, in conformità agli artt. da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni disponibili a ogni Parte. Ogni Parte invierà notifica di violazione di Dati personali all’autorità vigilante di competenza o ai Soggetti dei dati coinvolti, ai sensi degli artt. 33 e 34 del GDPR, o le disposizioni equivalenti di altre Leggi applicabili, a seconda del caso che si presenta, come anche tutta la debita assistenza all’altra parte rispettiva, secondo necessità.
  11. Responsabili del trattamento. Ogni Parte può incaricare un solo responsabile del trattamento di trattare i Dati personali per suo conto se tale responsabile del trattamento di dati fornisce garanzie sufficienti, mediante un contratto scritto o altro atto giuridico ai sensi della normativa dell'Unione europea o degli Stati membri, che rispetterà gli stessi obblighi di protezione dei dati previsti in questa Appendice e i requisiti del GDPR. Tali obblighi comprendono, in particolare, l’attuazione da parte del Responsabile del trattamento dei dati di misure di sicurezza tecniche e organizzative appropriate in modo tale che il Trattamento soddisfi i requisiti del GDPR, inclusi, tra l’altro, i requisiti applicabili degli artt. 28, 29, e 30 del GDPR e garantire la protezione dei diritti del Soggetto dei dati. Laddove il Responsabile del trattamento di dati non rispetti gli obblighi in materia di protezione dei dati, la rispettiva parte rimarrà pienamente responsabile nei confronti dei Soggetti dei dati per l'adempimento degli obblighi del Responsabile del trattamento dei dati.
  12. Trasferimenti limitati. Emergenetics (in qualità di "esportatore di dati") e il Cliente (in qualità di "importatore di dati") stipulano, a partire dalla data dell’Appendice, le Clausole contrattuali standard (definite nell'Allegato A), che sono incorporate in questo riferimento e costituiscono un parte integrante di questa Appendice. Si considera che le Parti abbiano accettato, eseguito e firmato, ove necessario, le Clausole contrattuali standard nella loro interezza, incluse le appendici sulla data di entrata in vigore.
  13. In relazione a qualsiasi Trasferimento limitato da Emergenetics al Cliente nell'ambito di applicazione della presente Appendice, varrà uno dei seguenti meccanismi di trasferimento, nel seguente ordine di precedenza:
    1. le Clausole contrattuali standard; o
    2. qualsiasi altra base legale, secondo quanto previsto dalle Leggi applicabili, a seconda dei casi.
    Nei casi in cui valgono le Clausole contrattuali standard e vi è un conflitto tra i termini dell’Appendice e i termini delle Clausole contrattuali standard, i termini delle Clausole contrattuali standard prevarranno.
  14. Responsabilità. Fatta salva qualsiasi forma di responsabilità diretta di una Parte o di un Responsabile del trattamento dei dati dinanzi ai Soggetti dei dati, ogni Parte è responsabile nei confronti dell'altra Parte non inadempiente per i danni che la Parte inadempiente ha causato alla Parte non inadempiente per qualsiasi violazione dei suoi obblighi, come indicato nella presente Appendice.
  15. In caso di controversia o reclamo presentato da un Soggetto dei dati o un'autorità di protezione dei dati dell’SEE o del Regno Unito riguardante il trattamento di dati personali da una o entrambe le parti, le parti si informano reciprocamente in merito a tali controversie o richieste e coopereranno al fine di risolverle amichevolmente in modo tempestivo.
  16. Punti di contatto per richieste di protezione dei dati:

    Emergenetics:

    E-mail: privacy@emergenetics.com

    Nome: Brad Hoffman

    Titolo: direttore generale

    Il Cliente dovrà fornire i dettagli del proprio punto di contatto per le richieste di protezione dei dati nel modulo disponibile all'indirizzo https://plus.emergenetics.com/#/privacyInfo e https://esp.emergenetics.com/user/profile/privacyInfo (disponibile al momento dell’accesso). Il Cliente garantisce che aggiornerà tempestivamente, laddove necessario, tutte queste informazioni e terrà tutte le informazioni complete e aggiornate.
  17. Nessun ulteriore emendamento. A eccezione di quanto espressamente previsto nella presente Appendice, le Parti non intendono emendare né modificare il Contratto di servizi o qualsiasi altro documento firmato o altrimenti sottoscritto dalle Parti.
  18. Contratto principale. I termini del Contratto di servizi, insieme a qualsiasi appendice o contratto supplementare eseguito prima di questa Appendice, sono conservati e rimangono in vigore a tutti gli effetti. Nella misura in cui qualsiasi termine di questa Appendice è in conflitto con qualsiasi termine contenuto nel Contratto di servizi, i termini di questa Appendice prevalgono nella materia qui descritta.
  19. Riservatezza. Questa Appendice costituisce informazione riservata. Ogni parte conviene di:
    1. non divulgare questa Appendice a terze parti ad eccezione di (1) esponenti dell’ufficio legale o consulenti sulla privacy che abbiano firmato un accordo di non divulgazione o che siano soggetti a un obbligo legale di riservatezza; (2) quanto consentito o ragionevolmente anticipato da questa Appendice; o (3) quanto richiesto dal GDPR o da altre Leggi applicabili (ciascuna una "Divulgazione consentita"); e
    2. esercitare almeno lo stesso grado di attenzione che ogni Parte generalmente esercita per proteggere i propri dati di natura simile per proteggere questa Appendice da qualsiasi appropriazione, uso o divulgazione che non sia una Divulgazione consentita, ma in nessun caso inferiore a un grado ragionevole di cura.

Allegato A

Decisione della Commissione C (2004) 5721

SET II

Clausole contrattuali standard per il trasferimento di dati personali dalla Comunità verso paesi terzi (trasferimenti da controllore a controllore)

Contratto per il trasferimento dei dati
fra

The Browning Group International, Inc.
2 Inverness Dr East
Suite 189
Centennial, CO, 80112
Stati Uniti d'America

in seguito "esportatore di dati"

e

il Cliente definito nell’appendice sul Trattamento dei dati di Emergenetics ("Appendice") sopra

in seguito "importatore di dati"
ognuna una "parte"; insieme "le parti".

Definizioni

Ai fini delle clausole:

  1. "Dati personali", "categorie speciali di dati/dati sensibili", "trattemento/trattare", "controllore", "elaboratore", "soggetto dei dati" e "autorità/autorità di vigilanza" hanno lo stesso significato di cui alla direttiva 95/46/CE del 24 ottobre 1995 (in base alla quale "l'autorità" indica l'autorità competente per la protezione dei dati nel territorio in cui ha sede l'esportatore di dati);
  2. "l'esportatore di dati" indica il controllore che trasferisce i dati personali;
  3. "l’importatore di dati" indica il controllore che acconsente a ricevere dall'esportatore i dati personali per l'ulteriore trattamento in conformità ai termini di queste clausole e che non è soggetto a un sistema di un paese terzo per garantisce un'adeguata protezione;
  4. "clausole" indica queste clausole contrattuali, che sono un documento indipendente che non incorpora termini commerciali aziendali stabiliti dalle parti in accordi commerciali separati.

I dettagli del trasferimento (e i dati personali coperti) sono specificati nell'allegato B, che costituisce parte integrante delle clausole.

  1. Obblighi dell'esportatore di dati

    L'esportatore di dati garantisce e assicura che:

    1. I dati personali sono stati raccolti, trattati e trasferiti in conformità alle leggi valevoli per l'esportatore di dati.
    2. Ha fatto tutti gli sforzi ragionevoli per determinare che l'importatore di dati sia in grado di soddisfare i propri obblighi legali in base a queste clausole.
    3. Fornirà all'importatore dei dati, quando richiesto, copie delle pertinenti leggi sulla protezione dei dati o riferimenti ad esse (ove pertinente ed esclusa la consulenza legale) del paese in cui ha sede l'esportatore di dati.
    4. Risponderà alle richieste dei Soggetti dei dati e all'autorità in merito al trattamento dei dati personali da parte dell'importatore di dati, a meno che le parti non abbiano concordato che l'importatore di dati risponderà in tal modo, nel qual caso l'esportatore di dati risponderà comunque nella misura ragionevolmente possibile e con le informazioni ragionevolmente disponibili se l'importatore di dati non è disposto o non è in grado di rispondere. Le risposte saranno date entro un termine ragionevole.
    5. Metterà a disposizione, su richiesta, una copia delle clausole ai Soggetti dei dati che sono terzi beneficiari ai sensi della clausola III, a meno che le clausole non contengano informazioni riservate, nel qual caso ha facoltà di eliminare tali informazioni. In caso di eliminazione delle informazioni, l'esportatore di dati informa per iscritto i Soggetti dei dati dei motivi dell’eliminazione e del loro diritto di sottoporre l’eliminazione all'attenzione dell'autorità. Tuttavia l'esportatore di dati si atterrà a una decisione dell'autorità relativa all'accesso al testo integrale delle clausole da parte dei Soggetti dei dati, a condizione che questi abbiano accettato di rispettare la riservatezza delle informazioni riservate eliminate. L'esportatore di dati fornirà inoltre una copia delle clausole all'autorità, ove richiesto.

  2. Obblighi dell'importatore di dati

    L'importatore di dati garantisce e assicura che:

    1. Disporrà adeguate misure tecniche e organizzative per proteggere i dati personali da distruzione accidentale o illegittima o perdita accidentale, alterazione, divulgazione o accesso non autorizzati e che forniscono un livello di sicurezza adeguato al rischio rappresentato dal trattamento e dalla natura dei dati da proteggere.
    2. Avrà procedure in atto in modo che qualsiasi terza parte che sia autorizzata ad avere accesso ai dati personali, compresi il Responsabili del trattamento, rispetterà e manterrà la riservatezza e la sicurezza dei dati personali. Qualsiasi persona che agisca sotto l'autorità dell'importatore di dati, compreso un responsabile del trattamento dei dati, è obbligata a trattare i dati personali solo su istruzioni dell'importatore di dati. Questa disposizione non si applica alle persone autorizzate o tenute per legge o regolamento ad avere accesso ai dati personali.
    3. Non ha motivo di credere, al momento della sottoscrizione di tali clausole, all'esistenza di eventuali leggi locali che avrebbero un sostanziale effetto negativo sulle garanzie previste da tali clausole e informerà l'esportatore di dati (che passerà tale notifica all'autorità ove richiesto) se viene a conoscenza di tali leggi.
    4. Tratterà i dati personali per gli scopi descritti nell'Allegato B e avrà l'autorità legale di fornire le garanzie e adempiere agli impegni stabiliti in queste clausole.
    5. Indicherà all'esportatore dei dati un punto di contatto all'interno della sua organizzazione autorizzato a rispondere alle richieste relative al trattamento dei dati personali e coopererà in buona fede con l'esportatore di dati, il soggetto dei dati e l'autorità in merito a tali richieste entro un termine ragionevole. In caso di scioglimento legale dell'esportatore di dati, o se le parti lo hanno concordato, l'importatore di dati si assumerà la responsabilità per l'osservanza delle disposizioni della clausola I (e).
    6. Su richiesta dell'esportatore di dati fornirà all'esportatore di dati le prove di risorse finanziarie sufficienti per adempiere alle proprie responsabilità ai sensi della clausola III (che può comprendere la copertura assicurativa).
    7. Su ragionevole richiesta dell'esportatore di dati, presenterà le sue strutture per il trattamento dei dati, i file di dati e la documentazione necessari per il trattamento al controllo, alla verifica e/o alla certificazione da parte dell'esportatore di dati (o di qualsiasi ispettore indipendente o ispettore o controllore indipendente imparziale, selezionati dall’esportatore di dati e non ragionevolmente contestato dall'importatore di dati) per accertare la conformità con le garanzie e gli impegni in queste clausole, con ragionevole preavviso e durante il normale orario lavorativo. La richiesta sarà soggetta a qualsiasi consenso o approvazione necessari da parte di un'autorità di regolamentazione o di vigilanza all'interno del paese dell'importatore di dati, il cui consenso o approvazione l'importatore di dati tenterà di ottenere in modo tempestivo.
    8. Tratterà i dati personali, a sua discrezione, in conformità con:
      1. le leggi sulla protezione dei dati del paese in cui ha sede l'esportatore di dati, o
      2. le disposizioni pertinenti[1] di qualsiasi decisione della Commissione ai sensi dell’art. 25, paragrafo 6, della direttiva 95/46/CE, se l'importatore di dati è conforme alle pertinenti disposizioni di tale autorizzazione o decisione e ha sede in un paese a cui compete tale autorizzazione o decisione, ma non è coperto da tale autorizzazione o decisione ai fini dei trasferimenti dei dati personali[2], o
      3. i principi del trattamento dei dati di cui all'allegato A.

      L’importatore di dati deve indicare quale opzione seleziona: Sezione II (h) (iii);
    9. Non divulgherà o trasferirà i dati personali a un controllore di dati di terze parti situato al di fuori dello Spazio economico europeo (SEE) a meno che non notifichi all'esportatore di dati il trasferimento e
      1. il controllore di dati di terzi tratta i dati personali conformemente a una decisione della Commissione che constata che un paese terzo fornisce una protezione adeguata, oppure
      2. il controllore di dati di terzi diventa firmatario di queste clausole o di un altro contratto sul trasferimento dei dati approvato da un'autorità competente nell'UE o
      3. i Soggetti dei dati hanno avuto la possibilità di opporsi, dopo essere stati informati delle finalità del trasferimento, delle categorie di destinatari e del fatto che i paesi verso i quali vengono esportati i dati possono avere standard di protezione dei dati diversi, oppure
      4. per quanto riguarda i trasferimenti successivi di dati sensibili, i soggetti dei dati hanno dato il loro inequivocabile consenso al trasferimento successivo

  3. Responsabilità e diritti di terzi

    1. Ogni parte sarà responsabile nei confronti delle altre parti per i danni causati da eventuali violazioni di tali clausole. La responsabilità tra le parti è limitata al danno reale subito. I danni punitivi (cioè i danni destinati a punire una parte per la sua condotta oltraggiosa) sono espressamente esclusi. Ciascuna parte è responsabile nei confronti dei Soggetti dei dati dei i danni causati da qualsiasi violazione dei diritti di terzi in base a queste clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati ai sensi della sua legge sulla protezione dei dati.
    2. Le parti concordano che il soggetto dei dati ha il diritto di invocare come terzo beneficiario questa clausola e le clausole I (b), I (d), I (e), II (a), II (c), II (d ), II (e), II (h), II (i), III (a), V, VI (d) e VII nei confronti dell'importatore di dati o dell'esportatore di dati, per la loro rispettiva violazione degli obblighi contrattuali, riguardo i suoi dati personali e accetta la giurisdizione a tale scopo nel paese in cui ha sede l'esportatore di dati. Nei casi che comportano presunte violazioni da parte dell'importatore di dati, l'interessato deve prima chiedere all'esportatore di dati di adottare le misure appropriate per far valere i propri diritti nei confronti dell'importatore di dati; se l'esportatore di dati non intraprende tale azione entro un termine ragionevole (che in circostanze normali sarebbe di un mese), l'interessato può far valere direttamente i suoi diritti contro l'importatore di dati. Il soggetto dei dati ha il diritto di procedere direttamente contro un esportatore di dati che non ha compiuto sforzi ragionevoli per determinare che l'importatore di dati sia in grado di soddisfare i propri obblighi legali ai sensi di tali clausole (l'esportatore di dati avrà l'onere di dimostrare che ha compiuto sforzi ragionevoli).
  4. Legge applicabile alle clausole


    Queste clausole sono disciplinate dalla legge del paese in cui ha sede l'esportatore di dati, a eccezione delle leggi e dei regolamenti relativi al trattamento dei dati personali da parte dell'importatore di dati di cui alla clausola II (h), che si applica solo se così selezionato dall'importatore di dati in base a tale clausola.

  5. Risoluzione delle controversie con i Soggetti dei dati o l'autorità


    1. In caso di controversia o reclamo sollevato da una persona interessata o dall'autorità competente in merito al trattamento dei dati personali presso una o entrambe le parti, le parti si informano reciprocamente in merito a tali controversie o richieste e collaborano al fine di comporle amichevolmente in modo tempestivo.
    2. Le parti accettano di rispondere a qualsiasi procedura di mediazione non vincolante, generalmente disponibile, avviata da un soggetto dei dati o dall'autorità. Se partecipano al procedimento, le parti possono scegliere di farlo a distanza (ad esempio per telefono o altri mezzi elettronici). Le parti accettano inoltre di prendere in considerazione la possibilità di partecipare a qualsiasi altro arbitrato, mediazione o altra procedura di risoluzione delle controversie sviluppata per le controversie sulla protezione dei dati.
    3. Ogni parte si attiene alla decisione di un tribunale competente del paese in cui ha sede l’esportatore di dati o l'autorità che è definitiva e contro la quale non è possibile presentare ulteriore ricorso.
  6. Risoluzione

    1. Nel caso in cui l'importatore di dati abbia violato i suoi obblighi ai sensi delle presenti clausole, l'esportatore di dati può temporaneamente sospendere il trasferimento dei dati personali all'importatore dei dati fino a quando la violazione non viene riparata o il contratto viene risolto.
    2. Nel caso in cui:
      1. il trasferimento di dati personali all'importatore di dati è stato temporaneamente sospeso dall'esportatore di dati per un periodo superiore a un mese conformemente al paragrafo (a);
      2. la conformità da parte dell'importatore di dati con tali clausole violerebbe i suoi obblighi legali o regolamentari nel paese di importazione;
      3. l'importatore di dati è in violazione sostanziale o persistente di qualsiasi garanzia o impegno da esso assunto in base a queste clausole;
      4. una decisione definitiva in base alla quale non è possibile ricorrere a un tribunale competente del paese sede dell'esportatore di dati o alle regole dell'autorità asserendo che vi sia stata violazione delle clausole da parte dell'importatore di dati o dell'esportatore di dati; o
      5. viene presentata una petizione per l'amministrazione o la liquidazione dell'importatore di dati, che sia nella sua veste personale o commerciale, petizione che non è respinta entro il periodo previsto per tale eccezione in base alla legge vigente; viene effettuato un ordine di liquidazione; un liquidatore è nominato per tutti i suoi beni; viene nominato un curatore fallimentare, se l'importatore di dati è un individuo; da questi viene avviato un accordo volontario aziendale; o si verifica qualsiasi evento equivalente in qualche giurisdizione

      quindi l'esportatore di dati, fatti salvi eventuali altri diritti che potrebbe avere nei confronti dell'importatore di dati, ha il diritto di risolvere tali clausole, nel qual caso l'autorità deve essere informata ove richiesto. Nei casi coperti da (i), (ii) o (iv) sopra, l'importatore di dati può anche porre fine a queste clausole.
    3. Ciascuna parte può porre fine a queste clausole se (i) una decisione di adeguatezza positiva della Commissione ai sensi dell’art. 25, paragrafo 6, della direttiva 95/46/CE (o qualsiasi testo di sostituzione) è rilasciata in relazione al paese (o a un suo settore) a cui i dati sono trasferiti e trattati dall'importatore di dati o (ii) la direttiva 95/46/CE (o qualsiasi testo di sostituzione) diventa direttamente applicabile in tale paese.
    4. Le parti concordano che la risoluzione di tali clausole in qualsiasi momento, in qualsiasi circostanza e per qualsiasi ragione (ad eccezione della risoluzione ai sensi della clausola VI (c)) non le esenta dagli obblighi e/o dalle condizioni delle clausole relative al trattamento dei dati personali trasferiti.
  7. Variazione di queste clausole


    Le parti non possono modificare queste clausole se non per aggiornare le informazioni di cui all’allegato B, nel qual caso informeranno l'autorità ove richiesto. Ciò non preclude alle parti l'aggiunta di ulteriori clausole commerciali ove necessario.
  8. Descrizione del trasferimento


    I dettagli del trasferimento e dei dati personali sono specificati nell'allegato B. Le parti concordano che l'allegato B può contenere informazioni commerciali riservate che non divulgano a terzi, salvo nei casi previsti dalla legge o in risposta a un ente normativo o ministeriale competente o ai sensi della clausola I(e). Le parti possono eseguire ulteriori allegati per coprire ulteriori trasferimenti, che saranno presentati all'autorità ove richiesto. In alternativa l'allegato B può essere steso per coprire più trasferimenti.

ALLEGATO A

PRINCIPI DI TRATTAMENTO DEI DATI

  1. Limitazione di scopo: i dati personali possono essere trattati e successivamente utilizzati o ulteriormente comunicati solo per le finalità descritte nell'allegato B o successivamente autorizzati dal soggetto dei dati.
  2. Qualità dei dati e proporzionalità: i dati personali devono essere accurati e, se necessario, aggiornati. I dati personali devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trasferiti e ulteriormente trattati.
  3. Trasparenza: ai Soggetti dei dati devono essere fornite le informazioni necessarie per garantire un trattamento equo (quali informazioni sulle finalità del trattamento e sul trasferimento), a meno che tali informazioni non siano già state fornite dall'esportatore di dati.
  4. Sicurezza e riservatezza: il controllore dei dati deve adottare misure di sicurezza tecniche e organizzative adeguate ai rischi, quali la distruzione accidentale o illecita o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati presentati dal trattamento. Qualsiasi persona che agisca sotto l'autorità del controllore dei dati, incluso un responsabile del trattamento, non può elaborare i dati se non su istruzioni del controllore dei dati.
  5. Diritti di accesso, rettifica, eliminazione e opposizione: ai sensi dell’art. 12 della direttiva 95/46/CE, ai Soggetti dei dati devono essere fornite, direttamente o tramite terzi, le informazioni personali su di essi detenute da un'organizzazione, a eccezione di richieste che sono manifestamente abusive, basate su intervalli irragionevoli o sul loro numero o natura ripetitiva o sistematica, o per le quali non è necessario concedere l'accesso ai sensi della legge del paese dell'esportatore di dati. A condizione che l'autorità abbia dato la sua approvazione preventiva, non è necessario concedere l'accesso quando ciò potrebbe danneggiare gravemente gli interessi dell'importatore di dati o di altre organizzazioni che trattano con l'importatore di dati e tali interessi non sono esclusi dagli interessi per diritti e le libertà fondamentali dell'interessato. Le fonti dei dati personali non devono essere identificate quando ciò non è possibile con sforzi ragionevoli, o laddove sarebbero violati i diritti delle persone diverse dall'individuo. I Soggetti dei dati devono essere in grado di rettificare, correggere o eliminare le proprie informazioni personali laddove siano inaccurate o trattate contro questi principi. Se esistono motivi convincenti per dubitare della legittimità della richiesta, l'organizzazione può richiedere ulteriori giustificazioni prima di procedere alla rettifica, modifica o eliminazione. La notifica di qualsiasi rettifica, modifica o eliminazione a terzi a cui i dati sono stati comunicati non deve essere effettuata quando ciò comporti uno sforzo sproporzionato. Il soggetto dei dati deve inoltre potersi opporre al trattamento dei dati personali che lo riguardano qualora vi siano validi motivi legittimi relativi alla sua particolare situazione. L'onere della prova di un eventuale rifiuto spetta all'importatore dei dati e il soggetto dei dati può sempre contestare un rifiuto dinanzi all'autorità.
  6. Dati sensibili: l'importatore di dati adotterà le misure aggiuntive (ad esempio in materia di sicurezza) necessarie a proteggere tali dati sensibili conformemente ai suoi obblighi di cui al punto II.
  7. Dati utilizzati a fini di marketing: laddove i dati siano trattati ai fini del marketing diretto, devono esistere procedure efficaci che consentano in qualsiasi momento alla persona interessata di "rifiutarsi" dall’avere i propri dati usati a questi scopi.
  8. Decisioni automatizzate: ai fini del presente documento per "decisione automatizzata" si intende una decisione dell'esportatore di dati o dell'importatore di dati che produce effetti giuridici riguardanti un soggetto dei dati o che incide in modo significativo sull'interessato e che si basa esclusivamente sul trattamento automatizzato di dati personali intesi a valutare alcuni aspetti personali che lo riguardano, come ad esempio la sua prestazione sul lavoro, l’affidabilità creditizia, l’affidabilità, la condotta ecc. L'importatore di dati non deve prendere decisioni automatizzate riguardanti gli interessati, tranne quando:
    1. tali decisioni sono prese dall'importatore di dati nell'accettazione o nell'esecuzione di un contratto con il soggetto dei dati e
    2. all'interessato viene data l'opportunità di discutere i risultati di una decisione automatizzata pertinente con un rappresentante delle parti che prende tale decisione o altrimenti di presentare dichiarazioni a tali parti.
  9. o

  10. se diversamente previsto dalla legge dell'esportatore di dati.

ALLEGATO B

DESCRIZIONE DEL TRASFERIMENTO

Sottoscrivendo alle clausole contrattuali standard, ai sensi della sezione 12 dell’Appendice, si ritiene che le parti abbiano firmato il presente allegato B.

Soggetti dei dati
I dati personali trasferiti riguardano le seguenti categorie di interessati:
I dati personali trasferiti riguardano in genere le persone sottoposte a esame o valutate tramite la piattaforma Emergenetics.

Scopi dei trasferimenti
Il trasferimento viene effettuato per i seguenti scopi:
Consentire all'importatore di dati di offrire e/o fornire servizi di Emergenetics per conto dell'esportatore di dati.

Categorie di dati
I dati personali trasferiti riguardano in genere le seguenti categorie di dati:
I dati personali includono in genere dati biografici, dati di contatto, apprendimento/gestione e risultati della valutazione degli stili di personalità.

Destinatari I dati personali trasferiti possono essere divulgati solo ai seguenti destinatari o categorie di destinatari:
Parti che necessiterebbero di tali dati personali per facilitare la fornitura dei servizi di Emergenetics.

I punti di contatto per le richieste di protezione dei dati devono essere forniti da entrambe le parti, come indicato nell’Appendice.


[1] "Provvedimenti pertinenti" significa i provvedimenti di qualunque autorizzazione o decisione eccetto quelli di applicazione di un’autorizzazione o decisione (che sarà disciplinata dalle clausole). [2] Tuttavia le disposizioni dell'allegato A.5 relative ai diritti di accesso, rettifica, eliminazione e opposizione devono essere applicate quando viene scelta questa opzione e prevalgono su eventuali disposizioni comparabili della decisione della Commissione selezionata.