Termini & Condizioni

Condizioni Generali di Contratto di Hospitality Digital GMBH (Servizi Internet)
Hospitality Digital GmbH Metro-Strasse 1, 40235 Düsseldorf (di seguito "H.d") offre ad aziende operanti nella ristorazione e nell' accoglienza (di seguito "Ordinante") servizi gratuiti, forniti esclusivamente via Internet, di seguito descritti nel dettaglio (di seguito "Servizi"). Alcuni Servizi possono essere disponibili solo all'avvenuta registrazione dell’Ordinante.

1. Campo di Applicazione

1.1 H.d fornisce i Servizi e altri servizi basati unicamente sulle condizioni generali a seguire ("CGC").
1.2 Non si applica alcuna condizione dell'Ordinante in disaccordo con esse, anche in caso di mancato specifico rifiuto di esse da parte di H.d e/o fornitura dei Servizi e/o di altri servizi, senza riserva, nella piena consapevolezza del contrario e/o condizioni in disaccordo dell'Ordinante.

2. Estensione dei Servizi

2.1 I Servizi includono i seguenti servizi forniti da H.d secondo le presenti condizioni contrattuali:
(a) H.d fornisce all'Ordinante uno Spazio di Archiviazione da usare nei sistemi di H.d stesso, ai quali l'Ordinante avrà accesso via Internet (di seguito Spazio di Achiviazione), come da articolo 4.
(b) H.d garantisce all'Ordinante l'accesso online a software che permettono all'Ordinante stesso di creare semplici siti web, con dei lay out predefiniti e di archiviarli nello Spazio diArchiviazione, di gestire lo Spazio di Archiviazione web e/o di renderlo accessibile a terzi ("Software") come da articolo 5.
(c) H.d offre al committente un sottodominio (eatbu.com) con un’estensione finale che segue il modello xyz.nome del dominio, che il committente può scegliere in base alla disponibilità e che viene collegato allo spazio nella memoria (“sottodominio“), vedi paragrafo 6.
2.2 H.d può offrire all'Ordinante servizi addizionali, l'estensione dei quali è da concordarsi con l'Ordinante stesso e che sono fornite ai sensi delle disposizioni delle presenti CGC.
2.3 H.d può adattare i Servizi e altri servizi allo stato di avanguardia e allo sviluppo tecnologico o alle necessità, fermo restando che i rispettivi adattamenti siano ragionevoli per l'Ordinante. H.d può sospendere il Servizi ed altri servizi con un tempo di preavviso ragionevole. H.d deve informare l'Ordinante della sospensione dei Servizi in maniera tempestiva.

3. Obbligazioni dell'Ordinante

3.1 L'Ordinante deve mantenere le informazioni riguardo l'attività commerciale e i contatti forniti alla conclusione del contratto, attivi per l'intera durata del contratto stesso e deve informare tempestivamente H.d di qualsiasi cambiamento. L'Ordinante deve inoltre e assicurare che l'indirizzo di posta elettronica fornito a H.d sia consultato regolarmente, così da ottenere le informazioni rilevanti per il contratto.
3.2 L'Ordinante deve proteggere tutte le informazioni d'accesso da lui ricevute da parte di H.d, dall'accesso da parte di terzi non autorizzati. L'Ordinante deve informare prima possibile H.d non appena l'Ordinante stesso abbia un ragionevole sospetto o consapevolezza di un potenziale uso scorretto delle informazioni di accesso fornite.
3.3 L'Ordinante è al corrente che il loro sito web può essere associato ad H.d. Per questa ragione, l'Ordinante deve intraprendere ogni azione necessaria per mantenere i servizi offerti dall'Ordinante stesso e dei servizi offerti da H.d o da terzi, separati quanto al loro contenuto.
3.4 Qualora l'Ordinante scopra che l'uso dei Servizi o di altri servizi portano a una violazione della legge, all'Ordinante stesso deve essere richiesto di cessare immediatamente e di desistere dalla violazione della legge e di cancellare qualsivoglia contenuto illegale.

4. Disposizioni speciali per lo Spazio di Archiviazione.

4.1 Lo Spazio di Archiviazione è fornito all'Ordinante a titolo gratuito. Di conseguenza, H.d non può garantire una particolare disponibilità dello Spazio di Archiviazione. Inoltre, lo Spazio di Archiviazionenon sarà disponibile durante i necessari lavori di manutenzione. H.d si impegna a mantenere al minimo possibile, qualsiasi malfunzionamento causato dai lavori di manutenzione. H.d deve fornire all'Ordinante le specifiche delle altre prestazioni dello Spazio diArchiviazione, prima della conclusione del contratto.
4.2 L'Ordinante si impegna e garantisce che tutti i file, inclusi HTML e altri documenti, testi, immagini, grafica, caratteri, video eccetera, (di seguito Il “Contenuto”) devono essere archiviati, pubblicati e/o resi disponibili sullo Spazio di Archiviazione e/o con l'aiuto del Software, in ottemperanza alla legge applicabili. L'Ordinante deve nello specifico soltanto specificatamente archiviare il Contenuto nello Spazio di Archiviazione e/o con l'aiuto del Software di cui l'Ordinante detiene i diritti richiesti, inclusi l'utilizzo e lo sfruttamento dei diritti su cui vige la legge del copyright, e che tale Contenuto non viola alcun diritto personale di terzi. Inoltre, l'Ordinante non deve archiviare, né pubblicare e/o rendere disponibile nello Spazio di Archiviazione e/o con l'aiuto del Software, qualsivoglia Contenuto di natura immorale, in particolare di natura pornografica, razzista o discriminatoria. H.d detiene la facoltà di cancellare ogni contenuto archiviato nello Spazio di Archiviazione e/o con l'aiuto del Software in violazione dell'articolo 4 e di cui H.d sia informata da agenzie governative, tribunali, detentore dei diritti o da altre terze parti di cui viene a conoscenza in altra modalità.
4.3 L'Ordinante deve garantire a H.d i diritti necessari ad ogni Contenuto che l'Ordinante stesso archivia, pubblica e/o rende disponibile al pubblico nello Spazio di Archiviazionee/o con l'aiuto del Software, in particolare i diritti richiesti per archiviare il Contenuto, per eseguire su di esso adattamenti tecnici, al fine di renderlo disponibile al pubblico o di effettuarne copie. H.d può avere accesso al Contenuto dell'Ordinante sullo Spazio di Archiviazione, solo nella misura in cui esso si renda necessario tecnicamente per la pubblicazione, per fornire e/o pubblicare il Contenuto e nella misura in cui questo corrisponde alle autorizzazioni garantite dal presente contratto.
4.4 Inoltre l'Ordinante non può effettuare o concertare di effettuare alcun tipo di processo automatizzato, script, software o altri dati e/o Contenuto sullo Spazio Hosting e di Archiviazione web o compiere qualsiasi azione o farla compiere (con l'aiuto del Software) che possa ledere, anche in maniera poco significativa, il sistema, le reti e/o altri hardware e software, come i componenti di H.d e/o di terze parti. Nel caso in cui H.d venga a conoscenza di tali danneggiamenti, H.d stessa ha il diritto di bloccare tali danneggiamenti e/o prevenirli.
4.5 L'Ordinante effettuerà il back up dei dati quotidianamente, così da essere in grado di recuperare il Contenuto dello Spazio di Archiviazione senza costi aggiuntivi.
4.6 L'Ordinante può rendere i siti web disponibili al pubblico sullo Spazio di Archiviazione, solo se creati con l'aiuto del Software

5. Disposizioni Speciali per il Software.

5.1 L'Ordinante deve avere accesso garantito al Software esclusivamente per la creazione di un sito web per l'Ordinante stesso e per l'amministrazione del proprio Spazio di Archiviazione. H.d deve garantire l'accesso al punto di trasferimento alla rete pubblica.
5.2 L'Ordinante non può accedere o usare il software per conto di terzi o per altri scopi. L’Ordinante deve essere specificatamente non autorizzato a copiare il software, renderlo disponibile a terzi, smantellare il software o modificarlo in altro modo.

6. Disposizioni speciali per il Sottodominio.

6.1 Il committente, al momento della registrazione del sottodominio su H.d, è tenuto ad osservare le direttive previste dall’Internet Corporation for Assigned Names and Numbers (“ICANN“), in qualità di ente gestore del domino .com, e le direttive previste da ciascun ente gestore degli altri “domini di primo livello”. Il committente può registrare al massimo tre sottodomini su H.d.
6.2 L'Ordinante si impegna e garantisce che il Sottodominio sarà scelto solo ai sensi delle leggi vigenti e che, in particolare, l'Ordinante sceglie solo il nome per il Sottodominio di cui l'Ordinante detiene i rispettivi diritti, incluso marchio commerciale e/o i diritti quanto al nome. L'Ordinante non deve inoltre registrare nessun nome di dominio per il Sottodominio che sia contrario all'ordine pubblico o immorale. H.d è autorizzata a cancellare qualsiasi Sottodominio scelto in violazione al presente articolo 6.2 e in merito al quale H.d è informata tramite agenzie governative, tribunali, detentore dei diritti, o da altre terze parti di cui viene a conoscenza in altra modalità.

7. Disposizioni Speciali per Servizi Aggiuntivi

7.1 Fermo restando l'articolo 2.1(c), l'Ordinante può registrare il proprio dominio e/o usare un il nome di un dominio già registrato e collegarlo allo Spazio di Archiviazione. H.d segnalerà l'Ordinante a un fornitore di servizi esterno per la registrazione Il contratto per la registrazione del nome di tale dominio è concluso fra l'ordinante e un fornitore di servizi esterno. H.d non è né parte contrattuale né altra parte in tale contratto.
7.2 H.d fornirà all'Ordinante supporto tecnico per il collegamento del nome del proprio dominio con lo Spazio di Archiviazione.

8. Conclusione del contratto, Durata e Terminazione.

8.1 Il contratto sarà considerato concluso quando l'Ordinante accetta l'offerta per la conclusione di un contratto che regola i Servizi e altri servizi da parte di H.d. L'Accettazione avviene generalmente con l'emissione da parte di H.d dei Servizi.
8.2 Il presente accordo può essere concluso per un lasso di tempo indefinito e può essere terminato in qualunque momento dall'Ordinante e da H.d con un preavviso di due (2) settimane.
8.3 H.d deve comunicare la terminazione in forma scritta o via posta elettronica. L'Ordinante termina generalmente selezionando nel Software la rispettiva opzione per cancellare il suo contenuto e poi confermandola.
8.4 Questo non inficia il diritto delle Parti di terminare il contratto per giusta causa senza preavviso.Per giusta causa si intende in particolare quando l'Ordinante non adempie a una delle obbligazioni espresse negli articoli 3,4 ,5,6 ,10.1 e 10.3.
8.5 Non appena terminato il contratto, indipendentemente dalle motivazioni, H.d deve cancellare tutti i dati conservati dall'Ordinante sullo Spazio di Archiviazione nel contesto della relazione contrattuale, così come il Sottodominio, entro trenta (30) giorni, salvo che l'Ordinante non effettui per proprio conto la cancellazione con l'aiuto del Software.

9. Garanzia e Responsabilità, Indennizzo

9.1 Quanto ai Servizi e servizi aggiuntivi che H.d fornisce a titolo gratuito all'Ordinante, H.drisarcisce l'ordinante solo per i danni provocati all'Ordinante a causa di difetti nascosti in modo fraudolento. H.d declina qualsiasi ulteriore responsabilità per difetti di titolo e/o di qualità per i Servizi e i servizi aggiuntivi forniti a titolo gratuito
9.2 H.d, i propri agenti rappresentanti, o i propri legali sono responsabili dei Servizi e servizi aggiuntivi forniti da H.d all'Ordinante a titolo gratuito, solo in caso di dolo, grave negligenza o decesso colposo, lesioni personali, o danni alla salute, nonché difetti nascosti in modo fraudolento. In caso di perdita dei dati, la responsabilità di H.d è da limitarsi solo al recupero delle spese in cui si sarebbe incorsi in caso di back up quotidiano. La responsabilità in ottemperanza alla Legge Tedesca della Responsabilità sul Prodotto e alla Legge sul Salario Minimo, rimangono invariate.
9.3 L'Ordinante è il solo responsabile del Contenuto e del nome del Sottodominio. Perciò, all'Ordinante viene richiesto innanzitutto di sollevare dalla responsabilità e rispondere degli obblighi contrattuali ed extracontrattuali verso terzi di H.d, dei suoi agenti e dei i suoi rappresentati legali e le aziende affiliate con H.d stessa in ottemperanza all'Art. 15 della Legge Tedesca sulle Società per Azioni (di seguito LTSA) in caso di reclami verso i sopracitati dovuti a o collegati ai Servizi e ai servizi aggiuntivi. Quanto detto si applica specificatamente per tutti i marchi commerciali, copyright, la protezione dei dati e le violazioni della concorrenza. Tale indennizzo comprende le spese legali necessarie, inclusi i costi per il procedimento di arbitrato.

10. Protezione dei Dati, Riservatezza.

10.1 H.d è responsabile dell’elaborazione dei dati personali raccolti dal committente. H. elabora i dati personali esclusivamente ai fini dell’esecuzione del presente contratto, ad esempio per stabilire contatti e fornire servizi. In mancanza di tali dati personali, non sarà possibile l’esecuzione del contratto. I dati personali sono elaborati in accordo all’articolo 6. paragrafo 1, comma 1 (b) del Regolamento Generale sulla Protezione dei dati (GDPR). I dati personali del committente saranno eliminati alla cessazione del contratto, a meno che non sussistano obblighi giuridici che prevedano la conservazione di tali dati per un periodo di tempo maggiore. In questo caso, i dati personali non possono essere impiegati per altri scopi e saranno cancellati non appena scadrà il periodo di conservazione. Ai fini dell’applicazione del contratto, H.d si avvale del supporto di fornitori di servizi, ad esempio nel campo dell’hosting, per la manutenzione e l’esecuzione di altri servizi. I suddetti fornitori di servizi possono essere sia aziende esterne sia aziende affiliate a H.d in ottemperanza agli articoli 15 e seguenti della Legge Tedesca sulle Società per Azioni (di seguito LTSA). Per mezzo di accordi contrattuali con i fornitori di servizi, H.d garantisce che i dati personali siano elaborati in ottemperanza a quanto disposto dal GDPR. Ciò si applica anche nel caso in cui i dati personali dovessero essere elaborati al di fuori dell’UE/SEE. Per esercitare i propri diritti di committente sanciti dal GDPR, ossia

· per ricevere informazioni sull’elaborazione dei dati personali nonché una copia di tali dati (art. 15 del GDPR);

· per far apportare correzioni ai dati incorretti o far completare i dati personali incompleti (art. 16 del GDPR);

· per la cancellazione dei dati personali e, qualora resi pubblici, per far sì che H.d informi i responsabili terzi in merito alla richiesta di cancellazione (art. 17 del GDPR);

· per limitare l’elaborazione dei dati personali (art. 18 del GDPR);

· per la portabilità dei dati, ossia per ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivi automatici e per il diritto di trasmettere tali dati a responsabili terzi senza impedimento da parte di H.d (art. 20 del GDPR) e

  • per presentare ricorso contro l’elaborazione dei dati (art. 21 del GDPR)

il committente può contattare in qualsiasi momento il responsabile della protezione dei dati di H.d ( privacy@hd.digital). Il cliente ha inoltre il diritto di presentare un reclamo all’autorità di vigilanza competente, nella misura in cui ritiene che il trattamento dei dati sia incompatibile con il GDPR (art. 77 del GDPR).


10.2 Con riferimento ai dati personali di titolarità di terze parti, l’Ordinante è responsabile esclusivamente del rispetto delle disposizioni in materia di protezione dei dati, inclusa la conformità alla normativa vigente nel trattamento dei dati nell’ambito dei servizi disponibili nel sito web che l’Ordinante.
10.3 Le parti non rendono accessibili a terzi alcuna informazione riservata per la durata del presente contratto e dei due anni successivi e non usano tali informazioni per alcuno scopo non funzionale al presente contratto. Tutte le informazioni inerenti a informazioni tecniche e know-how forniti all’ Ordinante, così come le informazioni identificate da una delle due parti come riservate e che detengono un di valore economico sono da considerarsi riservate.
10.4 L'obbligo di riservatezza non si estende alle informazioni che divengono note all'altra parte, senza che nessuna delle Parti abbia infranto la riservatezza o che diventano o sono già di dominio pubblico o che devono essere rese note a terze parti a per via di disposizioni legali o di un ordine del tribunale, di un ordine amministrativo o che è revisionato da una terza parte, che ha giurato segretezza e che intende acquistare una delle aziende

11. Compenso

11.1 L'Ordinante non deve alcun compenso per la fornitura dei Servizi da parte di H.d. I Servizi sono erogati a titolo gratuito.
11.2 Qualsiasi servizio offerto da una terza parte nel contesto di un servizio ampliato non è interessato dall' articolo 11.1

12. Altre Disposizioni

12.1 H.d può affidare una parte delle obbligazioni che deve ottemperare ai sensi del presente contratto, in particolare i Servizi, a subappaltatori. H.d intende affidare tali servizi dalla propria sussidiaria Hospitality.systems GmbH.
12.2 H.d può modificare le presenti CGC su preavviso, incluse le modifiche pianificate. H.d può modificare le presenti CGC nella misura in cui è ragionevole per l'Ordinante. Tale modifica non si applica a una delle principali obbligazioni contrattuali nella misura in cui l'Ordinante sia messo in condizioni di subalternità generale da tale modifica. Il trasferimento di diritti e obbligazioni, già pianificato, come descritto sopra, alla sussidiaria Hospitality.systems GmbH va giudicato come ragionevole. L'Ordinante può eccepire una modifica delle CGC entro sei (6) settimane dalla ricezione della notifica o risolvere il presente contratto senza preavviso. Se l'Ordinante non eccepisce la modifica delle CGC o comunque non entro il periodo di preavviso, si deduce il suo consenso alla modifica delle CGC. H.d deve informare l'Ordinante delle conseguenze di un fallimento dell'eccezione e del diritto di risolvere il contratto senza preavviso, in tutte le notifiche riguardanti una modifica delle CGC.
12.3 Se una disposizione del presente contratto è e o diviene, del tutto o in parte, non valida, non efficace, non praticabile, non applicabile ("Disposizione Errata"), l'efficacia e l'attuabilità delle altre disposizioni del presente contratto non viene inficiata. Al contrario, le Parti si impegnano ad accordarsi, secondo le possibilità consentite dalla legge, a sostituire la Disposizione errata, con una disposizione che sia quanto più vicina possibile al volere delle Parti in materia del senso e dello scopo del presente contratto, se avevano riconosciuto l'errore nella disposizione di cui sopra. Se la disposizione è errata quanto all'ambito del servizio o dei termini (date di scadenza o di consegna) in essa disposti, la disposizione dovrebbe essere concordata per un ambito della legge, che sia quanto più vicino all’ ambito originale, nei termini previsti dalla legge. Lo stesso si applica a qualsivoglia ambiguità del presente contratto. E' espressa intenzione delle parti che la clausola salvatoria non sia costituita da un mero ribaltamento dell'onere della prova, ma che l'art Art. 139 del Codice Civile Tedesco (BGB) nella sua totalità, non si applica.
12.4 Il presente contratto e tutte le controversie e i diritti basati su o in connessione al presente contratto, sono esclusivamente regolamentate dalla legge tedesca e sono da interpretarsi ed porre in atto ai sensi della legge tedesca. Non si applica Il conflitto di disposizioni legislative. Non si applica La Convenzione Internazionale sul Contratto per la vendita di beni delle Nazioni Unite.
12.5 Il Presente contratto è stato concluso anche in lingua Inglese e Francese. Al fine di fugare ogni dubbio, le Parti concordano che la versione inglese prevale.
12.6 La sola giurisdizione per tutte le controversie derivanti da o in connessione al presente contratto, la sua conclusione, o la sua esecuzione è Düsseldorf - secondo i termini previsti dalle legge.

Versione: Maggio 2018/ AG

TRATTAMENTO DEGLI ORDINI

Confermando le suddette Condizioni Generali, il Mandante ("Soggetto Responsabile") e H.d. ("Responsabile del Trattamento"), collettivamente indicati come le "Parti", individualmente come la "Parte", sottoscrivono anch'essi il seguente Accordo per il Trattamento dei Dati (Data Processing Agreement , "DPA").

Preambolo

Nell'ambito delle sue attività commerciali e conformemente alle precedenti Condizioni Generali, il Responsabile del Trattamento riceve i dati personali per i quali al Soggetto Responsabile spetta la responsabilità. Le Parti concordano sulle disposizioni del presente DPA, al fine di rispettare gli obblighi delle parti relativi alla protezione dei dati, ai sensi della legislazione europea in materia di protezione dei dati, nello specifico il Regolamento Generale sulla Protezione dei Dati (Articolo 28 RGDP).

1. Definizioni

1.1 Con Dati Personali s'intende qualsiasi informazione relativa a una persona fisica identificata o identificabile ("Soggetto Interessato"). Una persona fisica è ritenuta essere identificabile laddove può essere identificata direttamente o indirettamente mediante un'associazione con un identificatore, come nome, numero di identificazione, dati relativi all'ubicazione, identificativo online o una o più caratteristiche specifiche che precisano l'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica (di seguito "Dati").

1.2 Il trattamento dei dati per conto di un'altra persona è la raccolta, il trattamento o l'utilizzo dei dati da parte del Responsabile del Trattamento per conto del Soggetto Responsabile.

2. Oggetto e contenuto dell'ordine

2.1 Oggetto e durata dell'ordine

I dettagli e la durata dell'ordine derivano dalle suddette Condizioni Generali.

2.2 Tipologia dei dati

La tipologia dei dati è descritta in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.3 Scopo della raccolta, del trattamento o dell'utilizzo dei dati

Lo scopo della raccolta, del trattamento o dell'utilizzo dei dati è descritto in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.4 Natura ed entità della raccolta, del trattamento o dell'utilizzo dei dati

La natura e l'entità della raccolta, del trattamento o dell'utilizzo dei dati è descritto in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.5 Categoria dei Soggetti Interessati

(a) Dati propri del Soggetto Responsabile

(b) Clienti

2.6 Misure tecniche e organizzative

(a) Le misure tecniche e organizzative da implementare da parte del responsabile del trattamento dovranno essere stabilite nell'Allegato (fare riferimento qui di seguito) al presente DPA. Il Responsabile del Trattamento adatterà a cadenza regolare tali misure alle pratiche correnti a suo carico, fermo restando che il livello concordato di protezione non venga ridotto e i Soggetti Responsabili vengano immediatamente informati.

(b) Al Responsabile del Trattamento è richiesto di consentire al Soggetto Responsabile di verificare l'applicazione in situ delle misure tecniche e organizzative prima dell'avvio delle attività per il trattamento ai sensi del presente contratto. Il diritto di controllo da parte del Soggetto Responsabile conformemente al paragrafo 2.10 resta inalterato. (c) Il responsabile del trattamento dovrà garantire che i sistemi per il trattamento dei dati utilizzati nel quadro del DPA siano conformi agli standard di "privacy by design" e "privacy by default" conformemente alle pratiche correnti.

2.7 Correzione, cancellazione e blocco dei dati, diritto alla portabilità dei dati e diritto di opposizione

(a) I diritti dei soggetti coinvolti nel trattamento dei dati da parte del responsabile del trattamento, in particolare il diritto di rettifica, cancellazione e blocco, il diritto alla portabilità dei dati, nonché il diritto di opposizione dovranno essere esercitati nei confronti del responsabile del trattamento. Soltanto lui è responsabile per la protezione di tali diritti.

(b) Nell'esercizio delle sue mansioni per il Soggetto Responsabile, il Responsabile del Trattamento è tenuto a trasmettere tempestivamente qualsiasi richiesta indirizzata allo stesso da parte dei soggetti interessati verso il soggetto responsabile per un adeguato trattamento. Laddove il Soggetto Responsabile e il Responsabile del Trattamento agiscono congiuntamente come soggetti responsabili esterni, il Responsabile del Trattamento sarà autorizzato a rispondere a tali richieste indipendentemente.

(c) Al Responsabile del Trattamento è inoltre richiesto di assistere il Soggetto Responsabile con adeguate misure tecniche e organizzative per soddisfare il suo obbligo a rispondere ai soggetti interessati.

(d) Conformemente alle istruzioni del Soggetto Responsabile, il Responsabile del Trattamento dovrà rettificare, sospendere e/o cancellare immediatamente i dati, non oltre cinque (5) giorni, ed informarlo entro tale termine.

2.8 Doveri del Responsabile del Trattamento

(a) Il Responsabile del Trattamento potrà raccogliere, trattare e utilizzare i dati esclusivamente nell'ambito dell'ordine e delle istruzioni documentate del Soggetto Responsabile.

(b) Il Responsabile del Trattamento dovrà adempiere alle misure tecniche e organizzative, in base a quanto stabilito dalla Clausola 2.6 del presente DPA ad intervalli regolari e inviarlo su richiesta.

(c) Il Responsabile per la protezione dei dati è designato come persona di contatto per la protezione dei dati dal Responsabile del Trattamento. Questo può essere contattato all'indirizzo e-mail privacy@hd.digital. Laddove necessario, il Responsabile del Trattamento potrà nominare anche un rappresentante ai sensi delle disposizioni dell'Art. 27 del RGDP.

(d) Il Responsabile del Trattamento è responsabile del mantenimento della riservatezza. A qualsiasi persona autorizzata dallo stesso ad accedere ai dati del Soggetto Responsabile sarà richiesto di essere vincolata a un obbligo di riservatezza o segreto professionale e dovrà essere informata degli specifici obblighi relativi alla protezione dei dati derivanti dal presente DPA, nonché delle istruzioni presenti e del loro scopo. Il Responsabile del Trattamento documenterà tali obblighi per iscritto e li fornirà su richiesta del Soggetto Responsabile.

2.9 Giustificazione delle condizioni di subappalto

(a) È consentita la giustificazione di rapporti di subappalto. Il Responsabile del Trattamento dovrà informare in anticipo il Soggetto Responsabile circa la corrispondente modifica. Quest'ultimo ha il diritto di opporsi.

(b) In caso di entrata in servizio di altri responsabili del trattamento, il Responsabile del Trattamento dovrà garantire per contratto che i suoi obblighi attribuiti ai sensi del presente DPA varranno anche per gli altri responsabili.

(c) Il Responsabile del Trattamento dovrà controllare le misure tecniche e organizzative adottate dagli altri responsabili, ad hoc e a cadenza regolare, durante il periodo di subappalto per proteggere i dati che ha fornito. Il trasferimento dei dati è consentito solo se l'altro responsabile ha implementato le dovute misure tecniche e organizzative conformemente alle specifiche del presente DPA.

(d) Il Responsabile del Trattamento sarà completamente responsabile dei subappaltatori a cui ricorrerà.

2.10 Diritto di controllo del Soggetto Responsabile

Il Soggetto Responsabile è autorizzato a verificare la conformità con i regolamenti applicabili in materia di protezione dei dati e con il DPA durante il normale orario di lavoro. Il Responsabile del Trattamento acconsente a fornire al Soggetto Responsabile tutte le informazioni ragionevolmente necessarie per eseguire il controllo entro un periodo di tempo ragionevole. Laddove il Soggetto Responsabile ritenga che sia necessaria un'ispezione in situ del Responsabile del Trattamento, quest'ultimo dovrà garantire che il soggetto responsabile dell'esecuzione della verifica abbia accesso ai suoi uffici e che possa svolgere l'ispezione in situ dei dati memorizzati e dei programmi per il trattamento dei dati. Il Soggetto Responsabile ha il diritto di far eseguire la verifica ad una terza parte (ispettore) che sarà designata per il singolo caso. Il Soggetto Responsabile dovrà annunciare l'esecuzione di tale verifica per iscritto con un preavviso di almeno venti (20) giorni lavorativi. Le spese per l'esecuzione della verifica e quelle sostenute dal Responsabile del Trattamento secondo i normali prezzi di mercato saranno a carico del Soggetto Responsabile.

2.11 Notifiche di Violazioni da parte del Responsabile del Trattamento

(a) Il Responsabile del Trattamento dovrà comunicare tempestivamente al Soggetto Responsabile, ed entro quarantotto (48) ore da tale scoperta, tutti i casi in cui lo stesso, o soggetti o subappaltatori impiegati da esso, hanno infranto le regole che disciplinano la protezione dei dati del Soggetto Responsabile o le condizioni stabilite nel presente DPA.

(b) Al Soggetto Responsabile dovrà essere comunicato ogni incidente che porti a una perdita di dati o a una loro trasmissione illecita o ricezione da parte di terzi, a prescindere dalla causa. Il Responsabile del Trattamento dovrà, consultandosi con il Soggetto Responsabile, adottare misure adeguate atte a salvaguardare i dati e a minimizzare le possibili conseguenze negative per le persone interessate. Nella misura in cui i soggetti responsabili soddisfano gli obblighi di comunicazione, il Responsabile del Trattamento dovrà assistere questi nell'adempiere tali obblighi.

2.12 Istruzioni da parte del Soggetto Responsabile

(a) Il trattamento dei dati del Soggetto Responsabile da parte del Responsabile del Trattamento dovrà essere eseguito esclusivamente nell'ambito del DPA e in base alle specifiche istruzioni comunicate dallo stesso.

(b) Il Responsabile del Trattamento dovrà adempiere tempestivamente alle (singole) istruzioni relative alla natura, all'entità e al metodo di trattamento, o, laddove applicabile, entro i termini stabiliti dal Soggetto Responsabile.

(c) Il Responsabile del Trattamento dovrà comunicare tempestivamente al Soggetto Responsabile se, le istruzioni rilasciate da quest'ultimo, a suo giudizio, violino i regolamenti in materia di protezione dei dati. Il Responsabile del Trattamento avrà diritto di sospendere l'esecuzione delle istruzioni pertinenti fino a quando non saranno confermate o modificate dal Soggetto Responsabile.

2.13 Cancellazione in seguito al completamento dell'ordine

Dopo il completamento dei lavori stabiliti dall'accordo, il Responsabile del Trattamento dovrà consegnare tutti i dati che ha trattato per il Soggetto Responsabile, o su previa autorizzazione di quest'ultimo, distruggerli conformemente alla protezione dei dati o cancellarli ai sensi delle pratiche correnti. Il diritto di conservazione è escluso relativamente ai documenti, dati, risultati del trattamento e all'utilizzo, nonché ai supporti di dati associati, fatto salvo laddove la legge EU o di uno stato membro EU richieda la conservazione dei dati.

3. Ulteriori obblighi da parte del Responsabile del Trattamento

3.1 Il Responsabile del Trattamento non dovrà utilizzare i dati forniti per il trattamento per altri scopi. Non potranno essere create copie e duplicati di cui il Soggetto Responsabile non è a conoscenza e senza il suo previo consenso per iscritto, a meno che ciò non sia previsto nei servizi richiesti nel DPA. Il Responsabile del Trattamento dovrà garantire che i dati trattati dallo stesso per il Soggetto Responsabile siano separati dagli altri dati. Il Responsabile del Trattamento non potrà trasmettere a terzi i dati del Soggetto Responsabile senza il consenso per iscritto di quest'ultimo.

3.2 Il Responsabile del Trattamento dovrà fornire un'assistenza ragionevole a coloro che sono responsabili nel rispondere alle richieste di indennizzo basate su una violazione presunta o effettiva dei requisiti in materia di protezione dei dati. Il Soggetto Responsabile dovrà, da parte sua, esaminare i reclami degli interessati nell'ambito della responsabilità sulla protezione dei dati dello stesso in maniera adeguata ed elaborare i reclami degli interessati.

3.3 Il Responsabile del Trattamento riconosce che le informazioni sono date alle persone interessate sulla base di un diritto di informazione esclusivamente tramite il Soggetto Responsabile o un soggetto da questo autorizzato. Il Responsabile del Trattamento è obbligato a fornire al Soggetto Responsabile le informazioni richieste nei tempi previsti e di assistere allo stesso. Se lo stesso Responsabile del Trattamento agisce anche da Soggetto Responsabile esterno, queste richieste possono essere evase di conseguenza e il Soggetto Responsabile può essere informato contestualmente.

3.4 Il Responsabile del Trattamento dovrà assistere il titolare del trattamento nella stesura degli indici di procedura necessari, laddove applicabile.

3.5 Il Responsabile del Trattamento dovrà assistere il Soggetto Responsabile nell'eseguire valutazioni sull'impatto delle misure di protezione dei dati laddove una tipologia di trattamento possa comportare un elevato rischio per i diritti e le libertà delle persone fisiche.

3.6 Il Responsabile del Trattamento acconsente a informare tempestivamente il Soggetto Interessato dei risultati delle ispezioni da parte delle autorità di supervisione per la protezione dei dati, nella misura in cui questi siano connessi al presente DPA. Il Responsabile del Trattamento comunicherà a questi soggetti responsabili eventuali reclami delle autorità di supervisione per la protezione dei dati che sono relazionati all'ambito di responsabilità dello stesso e porrà rimedio a qualsiasi reclamo accertato come richiesto dalla legge.

4. Responsabilità

4.1 Il Soggetto Responsabile è responsabile dell'ammissibilità del trattamento dei dati, nonché della protezione dei diritti degli interessati.

4.2 In deroga alla sezione 4.1, il Responsabile del Trattamento è responsabile dei reclami degli interessati a causa di violazioni di disposizioni legali applicabili o di quanto disposto dal DPA.

4.3 Nei confronti del Soggetto Responsabile, il Responsabile del Trattamento risponde esclusivamente per la colpa grave e il dolo nell'ambito dell'esclusione legalmente consentita di responsabilità e limitazioni.

5. Disposizioni finali

5.1 Il Titolare del Trattamento dovrà informare immediatamente e in maniera esauriente il Responsabile del Trattamento laddove rilevi errori o irregolarità nel trattamento dei dati da parte di quest'ultimo durante il controllo.

5.2 Il presente DPA potrà essere modificato e risolto alle stesse condizioni delle suddette Condizioni Generali.

5.3 L'invalidità di una o più disposizioni del presente DPA non pregiudica la validità del DPA. In caso di inefficacia di una o più disposizioni del presente DPA, le Parti dovranno adottare disposizioni sostitutive giuridicamente efficaci nel modo più economico possibile. Lo stesso principio si applica in caso di lacune.

5.4 Il DPA deve soddisfare gli stessi diritti delle suddette Condizioni Generali.

5.5 In caso di contraddizione tra il DPA e altri accordi tra le parti, prevarranno le disposizioni del presente DPA.

Stato: 2018/AG


Misure tecniche e organizzative

Tenendo conto delle pratiche correnti, i costi di implementazione, nonché la natura, l'ambito, le circostanze e gli scopi del trattamento e la diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento dovrà implementare misure tecniche e organizzative adeguate per garantire un livello di protezione commisurato al rischio. Tali misure includono, tra l'altro, quanto segue:

• la pseudonimizzazione e la cifratura dei dati;

• la capacità di garantire costantemente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi per il trattamento e dei relativi servizi;

• la capacità di ripristinare rapidamente la disponibilità e l'accessibilità dei dati nel caso di incidente fisico o tecnico;

• una procedura per una periodica revisione, analisi e valutazione dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Fatto salvo quanto precede, saranno adottate le specifiche misure qui di seguito riportate:

1. Controllo degli accessi

Misure atte a prevenire che soggetti non autorizzati riescano ad accedere al sistema di elaborazione dei dati utilizzato per il trattamento dei dati:

• Specificazione del gruppo di persone autorizzate e relativa documentazione;

• Controllo agli accessi elettronici;

• Rilascio di ID di accesso;

• Introduzione di linee guida per i soggetti esterni;

• Sistemi di allarme o sorveglianza al di fuori dell'orario di lavoro;

• Distribuzione delle proprietà in diverse aree di sicurezza;

• Introduzione di linee guida per la gestione delle chiavi (chiavi magnetiche);

• Porte di sicurezza (telecomandi elettronici, lettori ID, telecamere a circuito chiuso);

• Introduzione di misure per la sicurezza in situ (ad esempio rilevamento/comunicazione delle intrusioni).

2. Controllo degli accessi

Misure atte a prevenire che soggetti non autorizzati riescano ad utilizzare i sistemi e le procedure per il trattamento dei dati:

• Definizione del gruppo di persone che hanno accesso ai sistemi per il trattamento dei dati;

• Introduzione di linee guida per i soggetti esterni;

• Protezione mediante password per i computer personali.

3. Controllo degli accessi

Misure atte a garantire che i soggetti autorizzati a utilizzare le tecniche per il trattamento dei dati possano accedere solo ai dati per i quali hanno l'autorizzazione:

• Introduzione di diritti all'accesso limitato in base ai propri dati e alle proprie funzioni;

• Obbligo di identificarsi per poter utilizzare l'attrezzatura per il trattamento dei dati (ad esempio tramite ID e autenticazione);

• Introduzione di informative relative all'accesso e ai ruoli degli utenti;

• Valutazione dei protocolli in caso di evento dannoso.

4. Controllo dei trasferimenti

Misure atte a garantire che i dati non possano essere letti, copiati, alterati o rimossi durante la trasmissione elettronica o durante il loro trasporto o memorizzazione sui supporti di dati, e che sia possibile verificare e determinare lo stato di una trasmissione di dati mediante i dispositivi per la trasmissione dei dati.

• Cifratura

5. Controllo degli inserimenti

Misure atte a garantire la possibilità di verificare e determinare a posteriori se e da chi i dati sono stati inseriti o modificati nei sistemi informatici o da questi rimossi.

• Registrazione degli inserimenti dei dati.

6. Controllo degli ordini

Misure atte a garantire che i dati trattati per l'ordine possano essere trattati esclusivamente in conformità alle istruzioni del Soggetto Responsabile.

• Documentazione delle diverse competenze e obblighi tra il Soggetto Responsabile e il Responsabile del Trattamento;

• Entrata in servizio formale;

• Controllo dei risultati del lavoro.

7. Controllo della disponibilità

Misure atte a garantire che i dati siano protetti contro distruzioni o perdite accidentali.

• Implementazione di un piano per effettuare backup a cadenza regolare;

• Archiviazione sicura dei backup dei dati in armadi di sicurezza ignifughi e resistenti all'acqua;

• Adozione e verifica regolare di un sistema di alimentazione di emergenza, nonché di un sistema di protezione dagli sbalzi di tensione;

• Introduzione di un piano d'emergenza;

• Protocollo sull'introduzione della gestione delle crisi e/o delle emergenze.

8. Controllo della separazione

Misure atte a garantire che i dati raccolti per scopi diversi siano trattati separatamente.

• Separazione dei dati dei diversi clienti del Responsabile del Trattamento.

Stato: maggio 2018/AG