Accordo sul Trattamento dei Dati Personali

Il presente DPA costituisce un contratto che regola il rapporto tra l'Utente (l'Utente), in qualità di titolare del trattamento, e Noi (il Fornitore del Servizio), in qualità di responsabile del trattamento definito nel Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) (Utente).

Fatta eccezione per le modifiche apportate dal presente DPA, i TERMINI e CONDIZIONI e l'Informativa sulla privacy rimangono invariati e in vigore a tutti gli effetti. In caso di conflitto tra il presente DPA e i TERMINI e CONDIZIONI o l'Informativa sulla privacy, il presente accordo sul trattamento dei dati prevarrà nella misura in cui tale conflitto si verifichi.

Fatta eccezione per le modifiche apportate dal presente DPA, i TERMINI e CONDIZIONI e l'Informativa sulla privacy rimangono invariati e in vigore a tutti gli effetti. In caso di conflitto tra il presente DPA e i TERMINI e CONDIZIONI o l'Informativa sulla privacy, il presente accordo sul trattamento dei dati prevarrà nella misura in cui tale conflitto si verifichi.

I dati personali dell'Utente e le informazioni della sua azienda sono riportati automaticamente nel presente DPA dall'account dell'Utente, previa accettazione dell'Informativa sulla privacy, dei TERMINI e CONDIZIONI con il presente DPA ad essi allegato. Le sue informazioni saranno sempre visualizzate come da Lei inviate e trattate da Noi come "attuali", a meno che Lei non ci fornisca i dati modificati.

Questo DPA è concluso da e tra:

(l'Utente o il Titolare del trattamento), e

PNL Fintech BV (operante con il nome commerciale "FINOM"), Jachthavenweg 109H, 1081 KM Amsterdam, Paesi Bassi (il Fornitore del Servizio o Responsabile del trattamento),

ognuna viene definita "la parte" e collettivamente "le parti".

Le parti concordano come SEGUE:

Oggetto

Le parti cercano di attuare il presente DPA per conformarsi ai requisiti del quadro giuridico vigente in materia di trattamento dei dati personali e di GDPR.

Le parti, pertanto, ACCETTANO i termini del presente "DPA" per regolare i loro rapporti in qualità di titolare del trattamento e di responsabile del trattamento dei dati personali in conformità al GDPR.

Natura e finalità del trattamento

Il Fornitore del Servizio fornisce i Servizi definiti nei TERMINI e CONDIZIONI come concordato dall'Utente. Quando l'Utente agisce in qualità di azienda, imprenditore, datore di lavoro o consulente, può trattare i dati personali degli interessati che sono clienti, dipendenti, collaboratori, rappresentanti, consulenti dell'Utente (le "relazioni dell'Utente") caricandoli, modificandoli, condividendoli, cancellandoli dalla Piattaforma del Fornitore del Servizio. La fornitura dei Servizi può richiedere al Fornitore del Servizio di trattare i dati personali delle relazioni dell'Utente. Pertanto, l'Utente agirà in qualità di titolare del trattamento dei dati in un significato definito nel GDPR. Il Fornitore del Servizio opererà quindi in qualità di responsabile del trattamento, elaborando i dati per conto dell'Utente.

Il trattamento dei dati personali ha la finalità di fornire e ricevere i Servizi in conformità ai TERMINI e CONDIZIONI.

Il Titolare del trattamento, pertanto, incarica il Responsabile del trattamento di elaborare tutti i dati personali come indicato nel presente DPA, in conformità con il GDPR e la legislazione applicabile.

Durata del trattamento

Fino alla risoluzione del presente DPA in conformità con i suoi termini, a meno che non sia richiesto un periodo più lungo per l'adempimento degli obblighi delle parti in conformità con il GDPR e la legislazione applicabile in materia.

Tipo di dati personali e categorie di soggetti interessati

"Dati personali" (indicati nel presente DPA come "dati" o "dati personali") e "trattamento" (indicato nel presente DPA come "trattamento") si intendono come definiti nel GDPR. Non si considerano trattati i "dati personali sensibili", così come definiti nel GDPR.

1. Categorie di dati personali che possono essere trattati:
1. nome;
2. indirizzo;
3. numero/i di telefono;
4. indirizzo/i email;
5. indirizzo/i;
6. qualsiasi numero di conto e/o coordinate bancarie;
7. altri dati personali strettamente necessari per l'erogazione dei Servizi ai sensi dei TERMINI e CONDIZIONI.
2. Categorie di soggetti i cui dati personali possono essere trattati:
1. i clienti, dipendenti, collaboratori, rappresentanti, consulenti del Titolare del trattamento;
2. i Contatti del Titolare del trattamento (telefono, email, indirizzi, ecc.);
3. gli Utenti del Titolare del trattamento;
4. le Informazioni bancarie del Titolare del trattamento;
5. i Dipendenti dei suoi Utenti;
6. i Contatti dei suoi Utenti (telefono, email, indirizzi, ecc.);
7. gli Utenti dei suoi Utenti;
8. le Informazioni bancarie degli Utenti dei suoi Utenti.

Responsabilità

Il Responsabile del trattamento:

• tratterà e farà trattare a tutti i suoi subappaltatori tutti i dati personali per conto del Titolare come da istruzioni del Titolare del trattamento:
1. come descritto nel presente DPA;
2. in conformità con il GDPR;
3. come potrà essere ulteriormente ed esplicitamente indicato dal Titolare del trattamento;
• agirà in conformità con il GDPR, adotterà tutte le misure necessarie e rispetterà tutti gli obblighi previsti dal GDPR e dalle leggi applicabili;
• tenuto conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento dei dati, nonché del rischio di variazione della probabilità e della gravità dei diritti e delle libertà delle persone fisiche, in relazione ai dati personali, dovrà attuare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato a tale rischio, comprese, se del caso, le misure di cui all'articolo 32, paragrafo 1, del GDPR;
• qualora ne venga a conoscenza, dovrà informare immediatamente il Titolare del trattamento di eventuali interruzioni o violazioni della sicurezza;
• assisterà il Titolare del trattamento con adeguate misure tecniche ed organizzative, per quanto possibile, per l'adempimento dell'obbligo del Titolare di rispondere alle richieste di esercizio dei diritti del soggetto interessato di cui al capitolo III del GDPR. Il Titolare del trattamento sarà responsabile di tutti i costi associati a tali richieste;
• per quanto possibile e lecito, dovrà informare il Titolare del trattamento non appena riceverà le richieste dei soggetti interessati relative all'esercizio dei loro diritti ai sensi di GDPR. Il Responsabile del trattamento risponderà a tali richieste una volta autorizzato dal Titolare del trattamento. Il Responsabile del trattamento non divulgherà le informazioni a meno che non sia richiesto dalla legge;
• dovrà adottare misure ragionevoli per garantire l'affidabilità di qualsiasi dipendente, agente o appaltatore che possa avere accesso ai dati personali, assicurando in ogni caso che l'accesso sia strettamente limitato a quegli individui che hanno bisogno di conoscere/accedere ai dati personali pertinenti, come strettamente necessario per gli scopi definiti nel GDPR e nel presente DPA, e per rispettare le leggi applicabili, assicurando che tutti questi individui o aziende siano soggetti a impegni di riservatezza o a obblighi professionali o legali di riservatezza.

Il Titolare del trattamento:

• agirà in conformità con il GDPR, adotterà tutte le misure necessarie e rispetterà tutti gli obblighi come previsti dal GDPR e dalle leggi applicabili;
• conferma che ha diritto ad un accesso legittimo a tutti i dati personali che vengono elaborati in conformità al presente DPA e che manterrà l'accesso legittimo in conformità con il GDPR, i TERMINI e CONDIZIONI, l'Informativa sulla privacy e tutte le leggi applicabili;
• è responsabile in ogni momento per l'accuratezza, l'integrità, il contenuto e l'affidabilità dei dati personali trattati dal presente DPA;
• deve disporre di un elenco accurato delle categorie di dati personali fornite al Titolare del trattamento e trattate ai sensi del presente DPA;
• deve informare il Responsabile del trattamento se l'elaborazione dei dati personali differisce dalle categorie elencate nel DPA e nell'Informativa sulla privacy;
• deve rispondere a qualsiasi richiesta del soggetto interessato di esercitare i propri diritti ai sensi del GDPR;
• deve attuare misure tecniche e organizzative adeguate per garantire un livello adeguato di sicurezza dei dati;
• deve informare il Responsabile del trattamento se riceve richieste, domande o reclami dai soggetti interessati in relazione ai dati personali trattati dal Responsabile del trattamento;
• soddisferà in ogni momento tutti i requisiti obbligatori in relazione alla notifica o all'ottenimento del permesso delle autorità pubbliche competenti in materia di trattamento dei dati personali;
• adempirà ai suoi obblighi di comunicazione alle autorità competenti per quanto riguarda il trattamento dei dati personali in conformità al GDPR e a tutta la legislazione applicabile in materia di protezione dei dati;
• otterrà e manterrà il consenso esplicito al trattamento dei propri dati personali e dei dati personali delle relazioni dell'Utente i cui dati personali vengono trattati per la fornitura e la ricezione dei Servizi ai sensi dei TERMINI e CONDIZIONI. Il Titolare del trattamento può revocare tale consenso in qualsiasi momento, in tal caso la fornitura dei Servizi ai sensi dei TERMINI e CONDIZIONI all'Utente e ai suoi rappresentanti cesserà automaticamente con effetto immediato.

Audit

Fermi restando i termini descritti nella presente sezione, il Responsabile del trattamento mette a disposizione del Titolare, su richiesta, tutte le informazioni necessarie a dimostrare il rispetto del presente DPA e consente e contribuisce agli audit, comprese le ispezioni, da parte del Titolare o di un auditor scelto come indicato nella presente sezione.

I diritti di informazione e di audit del Titolare del trattamento si applicano ai sensi della presente sezione solo nella misura in cui il DPA non fornisca in altro modo al Titolare informazioni e diritti di audit ai sensi dei requisiti pertinenti del GDPR.

Il Titolare del trattamento ha il diritto di avviare periodicamente una verifica in relazione al trattamento dei dati personali da parte del Responsabile del trattamento. Le parti concordano sul fatto che, nel corso di un regolare svolgimento dell'attività, dovrebbe essere sufficiente una verifica annuale da parte del Titolare del trattamento. Il Titolare del trattamento dovrà fornire un piano di audit dettagliato che specifichi la data di inizio, la portata e la durata almeno quattro settimane prima della data di inizio proposta. Le Parti decidono insieme se una terza parte debba condurre l'audit. Tuttavia, il Titolare del trattamento può consentire al Responsabile di sottoporsi al controllo di sicurezza da parte di un soggetto terzo neutrale di sua scelta, visto che si tratta di un ambito di elaborazione con molteplici titolari del trattamento.

Se l'ambito dell'audit proposto segue un rapporto di certificazione ISAE, ISO o simile condotto da un auditor terzo qualificato e il Responsabile del trattamento conferma che non vi sono state modifiche sostanziali delle disposizioni in esame nei dodici mesi precedenti a tale audit, ciò dovrebbe essere sufficiente.

Gli audit non devono interferire in modo ingiustificato con le normali attività del Responsabile del trattamento. Il Titolare del trattamento sarà responsabile di tutti i costi associati agli audit.

Uso di Subappaltatori
e
Trasferimenti di dati

Uso di Subappaltatori: Al fine di fornire i Servizi all'Utente/Titolare del trattamento, il Responsabile del trattamento può utilizzare i subappaltatori ("subappaltatori"). I subappaltatori incaricati dal Responsabile del trattamento si trovano all'interno e all'esterno dell'UE/SEE e sono elencati nelle sezioni pertinenti che descrivono ciascuna attività di trattamento nell'Informativa sulla privacy, che può essere modificata di volta in volta. I nomi dei privati, che agiscono in qualità di subappaltatori (collaboratori, dipendenti, freelancer del Responsabile del trattamento) non sono riportati nell'Informativa sulla privacy a tutela della loro privacy, ma possono essere forniti su legittima richiesta del Titolare del trattamento o delle autorità. Il Titolare del trattamento acconsente a che il Responsabile del trattamento possa impegnare tutti i suddetti subappaltatori a trattare i dati personali per conto del Responsabile e/o del Titolare alle condizioni stabilite dal presente DPA e in conformità con il GDPR.

Il Responsabile del trattamento dei dati: i) stipula accordi scritti con tutti i subappaltatori (attuali e nuovi) con cui stabilisce condizioni di protezione dei dati che impongono ai subappaltatori di proteggere i dati privati al livello richiesto dal GDPR; e ii) su base continuativa, monitora e controlla il rispetto del GDPR da parte dei suoi subappaltatori. La documentazione o le prove di tale monitoraggio e controllo possono essere fornite al Titolare del trattamento su sua richiesta scritta, salvo diversa disposizione di legge, e iii) rimane responsabile di eventuali atti od omissioni dei subappaltatori che inducano le parti a violare gli obblighi previsti dal presente DPA.

Trasferimenti di dati:

Nel corso del normale svolgimento dell'attività, il Responsabile del trattamento non trasferirà i dati, che sono stati trasferiti dal Titolare del trattamento al Responsabile a fini di elaborazione, in paesi al di fuori dello Spazio Economico Europeo ("SEE") o quelli approvati per le finalità della Legge Applicabile dalla Commissione Europea ("Territori Approvati dalla Commissione").

In alcuni casi, i dati personali saranno salvati su soluzioni di archiviazione che dispongono di server al di fuori dello Spazio economico europeo (SEE) o di Territori Approvati dalla Commissione (ad esempio, Dropbox o Google). Il Responsabile utilizzerà solo le soluzioni di archiviazione che forniscono servizi sicuri con adeguate salvaguardie di sicurezza.

Qualora il Responsabile del trattamento sia tenuto a trasferire i dati personali ricevuti dal Titolare del trattamento al di fuori del SEE o dei Territori Approvati dalla Commissione, ne informerà il Titolare per dargli la possibilità di opporsi a tale trasferimento. Se tale trasferimento non è contestabile per il Titolare del trattamento, il Responsabile del trattamento deve assicurarsi di disporre di adeguati Contratti di trasferimento di dati da Paesi terzi con tali subappaltatori. Tale accordo deve essere reso disponibile per la revisione da parte del Titolare del trattamento, se richiesto.

Alla data di sottoscrizione del DPA, il Titolare del trattamento dichiara di essere stato informato che le seguenti attività di trattamento dei dati, svolte da subappaltatori del Responsabile del trattamento, si svolgeranno al di fuori del SEE. Tali attività di trattamento, che sono qui espressamente autorizzate dal Titolare del trattamento, avverranno nei Paesi di seguito elencati e nel rigoroso rispetto delle basi legali per il trasferimento dei dati di cui al GDPR a ciascuna attività di trattamento.

A scanso di equivoci, si sottolinea che il Titolare del trattamento conferisce al Responsabile del trattamento un chiaro mandato per l'inserimento, in nome e per conto del Titolare, delle Clausole contrattuali tipo (Modello di clausole 2010/87/UE, disponibile sul sito: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087) in cui il Responsabile sarà l'esportatore dei dati e ogni subappaltatore sarà l'importatore dei dati. Il Titolare del trattamento ha esaminato e accetta il contenuto delle Appendici 1 e 2 delle Clausole contrattuali tipo (Modello di clausole 2010/87/UE) qui allegate.

Il Responsabile del trattamento potrà modificare di volta in volta l'elenco dei sottoprocessi nelle relative sezioni dell'Informativa sulla privacy che saranno debitamente comunicati al Titolare del trattamento. I nomi dei privati, che agiscono in qualità di subappaltatori (collaboratori, dipendenti, freelancer del Responsabile del trattamento) verranno omessi nell'Informativa sulla privacy a tutela della loro privacy, ma possono essere forniti su legittima richiesta del Titolare del trattamento o delle autorità.

Qualora il Titolare del trattamento desideri opporsi all'utilizzo di un eventuale subappaltatore, dovrà darne immediata comunicazione scritta al Responsabile del trattamento. L'assenza di obiezioni da parte del Titolare del trattamento sarà considerata come un pieno consenso all'utilizzo di subappaltatori come indicato nel presente DPA. Nel caso in cui il Titolare si opponga all'utilizzo di un qualsiasi subappaltatore e il Responsabile del trattamento non possa accogliere l'obiezione del Titolare, il Fornitore del Servizio offrirà di interrompere la fornitura dei Servizi all'Utente.

Durata e Risoluzione

Il presente DPA rimane in vigore fintantoché il Responsabile del trattamento tratta i dati personali per gli scopi previsti dal presente DPA.

Al termine dei Servizi l'Utente/Titolare del trattamento può avviare una procedura di cancellazione dei dati personali memorizzati presso il Responsabile del trattamento o richiederne la restituzione se tecnicamente possibile/fattibile, e salvo quanto diversamente previsto dalle disposizioni di legge applicabili, in tal caso i dati personali saranno conservati in conformità con le garanzie tecniche e organizzative del Responsabile del trattamento/Fornitore del Servizio.

Il Titolare del trattamento è abilitato a recuperare tutti i suoi dati personali idonei presso la piattaforma/applicazione del Fornitore del Servizio. Inoltre, se il Titolare dovesse richiedere assistenza per il recupero dei dati, i costi associati saranno determinati in base alla complessità del trattamento e al tempo necessario per svolgerlo nel formato prestabilito.

Modifiche al DPA

Le Parti convengono che il Fornitore del Servizio ha il diritto in qualsiasi momento di modificare i termini del presente DPA con il dovuto rispetto dei legittimi interessi del Titolare del trattamento. Il Fornitore del Servizio informerà l'Utente delle modifiche a tempo debito, come indicato e concordato dall'Utente/Titolare del trattamento nei TERMINI e CONDIZIONI. In caso di disaccordo con le modifiche, l'Utente/Titolare del trattamento è libero di terminare i Servizi e questo DPA in qualsiasi momento tramite l'account dell'Utente o comunicandolo all'indirizzo email del Fornitore del Servizio hello@finom.co (o altro indirizzo email annunciato sul sito Web del Fornitore del Servizio).

Disposizioni finali

Le responsabilità per violazioni del presente DPA sono regolate dal GDPR, dai TERMINI e CONDIZIONI e dalla legge applicabile.

Il presente DPA è regolato e interpretato in conformità alle leggi dei Paesi Bassi, e i Tribunali dei Paesi Bassi hanno giurisdizione esclusiva per risolvere qualsiasi controversia riguardante questo DPA e/o i relativi contenuti.

L'eventuale nullità o inefficacia di qualsiasi disposizione del presente DPA non pregiudica la validità delle restanti disposizioni.

Appendici 1 e 2

Appendice 1
alle Clausole contrattuali tipo

La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti.

Gli Stati membri hanno facoltà di integrare o specificare ulteriormente, conformemente alle rispettive procedure nazionali, qualsiasi altra informazione che debba fare parte della presente appendice.

Esportatore dei dati

L'esportatore dei dati (specificare brevemente le attività pertinenti al trasferimento):

• fornisce all'importatore i dati personali necessari per la fornitura di prodotti e servizi all'esportatore e ai suoi utenti.

Importatore dei dati

L'importatore dei dati (specificare brevemente le attività pertinenti al trasferimento):

• tratta i dati personali dell'esportatore secondo le sue istruzioni al fine di fornire prodotti e servizi all'esportatore di dati e ai suoi utenti.

Soggetti interessati

I dati personali trasferiti interessano le seguenti categorie di persone (specificare):

• clienti
• potenziali clienti
• utenti di internet
• dipendenti, collaboratori, membri del personale
• consulenti interni

Categorie di dati oggetto di trasferimento

I dati trasferiti interessano le seguenti categorie di dati (specificare):

• informazioni di identificazione personale (ad es. nome, cognome, email, numero di telefono)
• dati statistici o di altro utilizzo osservati su Internet (ad es. tramite analisi, servizi ecc.)
• cronologia del cliente
• piani e prezzi, dati di fatturazione e pagamento

Categorie particolari di dati (se del caso)

Il trasferimento interessa le seguenti categorie particolari di dati (specificare):

• N/A

Trattamento

I dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento (specificare):

• Fornitura dei servizi: analisi end-to-end di un progetto, che include analisi dell'efficacia pubblicitaria, analisi web, CRM e ridimensionamento.

Appendice 2
alle Clausole contrattuali tipo

La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti.

Descrizione delle misure tecniche e organizzative di sicurezza attuate dall'importatore in conformità della clausola 4(d), e della clausola 5(c) (o del documento/atto legislativo allegato):

1. Misure organizzative e di sicurezza

   L'importatore dei dati dichiara che:

   • L'importatore dei dati ha adottato politiche interne per l'elaborazione dei dati personali. Ogni dipendente dell'Importatore dei dati è obbligato a familiarizzare con le politiche prima di accedere ai dati personali.
   • Ogni dipendente dell'Importatore è tenuto a firmare un accordo di non divulgazione prima di iniziare il proprio lavoro presso l'Importatore dei dati.
   • Le politiche vengono riesaminate annualmente per mantenerle aggiornate in conformità con gli standard del settore. La revisione si basa sulla verifica, la determinazione e la valutazione dell'efficacia delle misure previste per garantire la sicurezza del trattamento dei dati personali.
   • A seconda del danno causato, la violazione delle politiche da parte di un dipendente può comportare sanzioni che vanno dalla notifica scritta al licenziamento.
   • Le violazioni della sicurezza vengono segnalate ai vertici dell'azienda.
   • Per ottenere la conformità con gli standard di sicurezza aggiornati, l'Importatore dei dati esegue controlli di sicurezza per le applicazioni business-critical.
   • L'Importatore dei dati mantiene una politica di trattamento dei dati personali e ne garantisce la ragionevole consapevolezza all'interno dell'azienda.
   • L'Importatore dei dati garantisce il rispetto delle norme vigenti in materia di protezione dei dati da parte dei subappaltatori e dei partner di elaborazione dati.
   • L'Importatore dei dati garantisce una ragionevole consapevolezza delle norme applicabili in materia di protezione dei dati all'interno dell'azienda.

2. Accesso ai dati

   1. Accesso fisico all'ambiente di produzione

      • I fornitori di hosting impiegati utilizzano locali sicuri per l'archiviazione e canali di comunicazione fisici crittografati conformi ai recenti standard di sicurezza.

   2. Disponibilità

      • L'Importatore dei dati utilizza applicazioni scalabili per funzionalità business-critical per fornire la piena disponibilità dei suoi prodotti e servizi ai suoi utenti.
      • L'Importatore dei dati utilizza l'infrastruttura stabile di terzi fornitori di hosting per migliorare la disponibilità dei suoi prodotti e servizi.
      • I fornitori di servizi impiegati forniscono all'Importatore la funzionalità di ripristino da backup per i processi business-critical e di ripristino della disponibilità e dell'accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico.

   3. Accesso al sistema

      • L'accesso ai sistemi di produzione è limitato ai dipendenti autorizzati che richiedono l'accesso per svolgere le loro mansioni.
      • Gli account utilizzati per l'accesso ai sistemi di produzione vengono chiusi quando un dipendente lascia l'Importatore dei dati.

   4. Gestione delle autorizzazioni

      • L'accesso ai dati o ai sistemi viene fornito in base alla "necessità di sapere".
      • I dati personali sono pseudonimizzati laddove potrebbero migliorare sensibilmente la sicurezza dei dati.
      • I dipendenti coinvolti nello sviluppo non hanno accesso all'infrastruttura di produzione, a meno che non sia necessaria per il supporto o la fornitura di servizi.
   5. L'Importatore dei dati tiene traccia di (registri) di ogni importante attività di trattamento dei dati, come ad esempio la copia, la modifica, la cancellazione, ecc., al fine di consentire all'Importatore dei dati e al Cliente di dimostrare la dovuta protezione dei dati personali trattati e il rispetto della normativa sulla protezione dei dati in generale.

3. Sicurezza dei dati

   • L'Importatore dei dati compie sforzi commercialmente ragionevoli per proteggere i dati personali trattati da accessi non autorizzati e per garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione.
   • Gli archivi di dati sono criptati quando la criptazione migliora sensibilmente la sicurezza dei dati. Il trasferimento dei dati al di fuori dei locali dell'Importatore dei dati o dei locali che l'Importatore mantiene è assicurato con certificati delle versioni aggiornate di TLS, al fine di impedire a qualsiasi soggetto non autorizzato di acquisire e leggere i dati personali che sono oggetto del trasferimento.

4. Gestione degli incidenti

   Per rispettare la privacy dei suoi utenti e proteggere l'azienda dai rischi imposti dagli incidenti di sicurezza, l'Importatore dei dati:

   • Mantiene le politiche di risposta e di notifica delle violazioni.
   • Mantiene un registro delle violazioni dei dati.

   • Applica sforzi commercialmente ragionevoli per:

     • Mantenere la consapevolezza delle normative vigenti all'interno dell'azienda.
     • Attività di audit relative ai dati personali.
   • Informerà il Titolare del trattamento (e, se questo lo desidera, l'autorità o gli interessati corrispondenti, questi ultimi soggetti a limitazioni ai sensi dell'art. 34 par. 3 del GDPR) di un incidente senza indebito ritardo e in conformità con il GDPR.