Accordo di Jimdo sul trattamento dei dati personali (Data Processing Agreement - “DPA”) per Partner

Preambolo

Jimdo GmbH, con sede a Stresemannstrasse 375, 22761 Amburgo, Germania, e la persona giuridica che accetta questo accordo (indicata di seguito come “Partner”), hanno stipulato un contratto di partnership con il programma di affiliazione Jimdo (a fronte dell’accettazione delle condizioni di partecipazione al programma di affiliazione Jimdo da parte del Partner e la successiva ricezione della conferma del contratto da parte di Jimdo), con il quale il Partner è entrato nel programma di affiliazione Jimdo. Entrambe le parti di questo accordo sul trattamento dei dati personali sono di seguito denominate singolarmente “Parte” e congiuntamente “Parti”.

Questo accordo sul trattamento dei dati personali è stipulato dalle succitate Parti e integra le condizioni di partecipazione del programma di affiliazione Jimdo.

Il Partner è a conoscenza del fatto che Jimdo offre i suoi servizi di affiliazione a vari Partner. Con il presente accordo si limita pertanto la possibilità del Partner di sottoscrivere direttive supplementari, ad es. in forma di un accordo personalizzato sul trattamento dei dati personali, che influiscano o limitino i servizi del programma di affiliazione Jimdo per altri Partner o utenti. La considerazione di varie direttive individuali dei Partner renderebbe impossibile il funzionamento del programma di affiliazione Jimdo.

1. Considerazioni generali

1.1 In questo DPA i seguenti termini significano quanto indicato di seguito:

  • GDPR è il Regolamento generale sulla protezione dei dati 2016/679 dell’Unione Europea (GDPR).
  • Norme sulla protezione dei dati sono tutte le leggi applicabili sulla protezione dei dati e altre norme e leggi che trovano applicazione riguardo al trattamento dei dati in relazione al presente accordo, per i cittadini dell’UE, tra cui il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito denominato GDPR) (a seconda dei casi) e la direttiva sulla protezione dei dati nel settore delle comunicazioni elettroniche 2002/58/CE.
  • Subcontraente è qualsiasi persona (esclusi i dipendenti delle Parti) che è stata incaricata da o per conto di una delle Parti di trattare i dati personali per conto di tale Parte o in altro modo in relazione ai Termini di partecipazione del programma di affiliazione Jimdo.

1.2 Ove in tale accordo sia utilizzato il termine “trattamento dei dati” o “trattamento” (dei dati), la definizione di “trattamento” è data sulla base e ai sensi dell’Art. 4 N. 2 del GDPR.

1.3 I termini “titolare del trattamento”, “interessato”, “stato membro”, “dati personali”, “violazione dei dati personali”, “trattamento” e “profili”, sono intesi secondo quanto stabilito nel GDPR.

1.4 I termini nelle condizioni di partecipazione al programma di affiliazione Jimdo rimangono pienamente efficaci se non diversamente specificato.

1.5 In caso di discrepanze tra le disposizioni del presente DPA e le condizioni di partecipazione (relative al trattamento dei dati), prevale quanto esposto in questo DPA.

1.6 Questo DPA si applica solo relativamente al trattamento dei dati personali da parte delle Parti nell’ambito del programma di affiliazione Jimdo.

2. Obblighi e diritti delle Parti

2.1 Il Partner e Jimdo adempiono ai rispettivi obblighi in conformità con le norme sulla protezione dei dati. Ciascuna Parte coopera ragionevolmente con l’altra Parte per consentirle l’osservanza del presente comma 2.

2.2 In conformità con le norme per la tutela dei dati personali, il Partner è tenuto a ottenere dai visitatori un consenso all’uso dei cookie preventivo, volontario, specifico, informato, inequivocabile e revocabile, che sarà assegnato al visitatore di Jimdo come risultato di un clic.

2.3 Il Partner non fornisce alcun dato personale a Jimdo a eccezione di quanto previsto da Jimdo nel quadro dell’esercizio normale del suo programma di affiliazione Jimdo.

2.4 Rispetto al trattamento nel quadro delle condizioni di partecipazione al programma di affiliazione Jimdo, per i quali il Partner e Jimdo sono congiuntamente titolari del trattamento, si applicano i seguenti obblighi:

Trasparenza

2.4.1 Il Partner deve adottare delle misure appropriate per fornire informazioni agli interessati riguardo alle modalità di trattamento dei dati personali da parte o per conto del Partner. Questo include almeno tutte le informazioni prescritte dagli articoli 13, 14 e 26 del GDPR. Il Partner fornirà queste informazioni in una forma accurata, trasparente, comprensibile e facilmente accessibile in un linguaggio chiaro e semplice (avvertenza del Partner sul trattamento).

2.4.2 Jimdo deve adottare delle misure appropriate per fornire informazioni agli interessati riguardo alle modalità del trattamento dei dati personali da parte o per conto di Jimdo. Questo include almeno tutte le informazioni prescritte dagli articoli 13, 14 e 26 del GDPR. L’Informativa sulla protezione dei dati di Jimdo fornirà queste informazioni in una forma accurata, trasparente, comprensibile e facilmente accessibile in un linguaggio chiaro e semplice.

2.4.3 L’avvertenza del Partner sul trattamento dei dati deve contenere un link all’informativa sulla protezione dei dati di Jimdo aggiornata.

Personale

2.4.4 Ciascuna delle Parti adotta misure opportune per garantire l’affidabilità di tutti i dipendenti, i rappresentanti e i subcontraenti che possono avere accesso ai dati personali. In ogni caso, deve essere garantito che l’accesso:

  • sia limitato alle persone che necessitano di accedere ai dati personali rilevanti e/o che devono conoscerli, e
  • sia essenziale ai fini del contratto principale e del rispetto della legge applicabile nell’ambito degli obblighi di queste persone.

2.4.5 Ciascuna Parte garantisce che tutte le persone di cui al paragrafo 2.4 siano soggette all’obbligo di riservatezza o a obblighi professionali o legali per mantenere la riservatezza.

Sicurezza e riservatezza dei dati

2.4.6 Ciascuna delle Parti adotta misure tecniche e organizzative appropriate in relazione ai dati personali per garantire un adeguato livello di protezione. Ciò include, a seconda dei casi, le misure elencate all’articolo 32(1) del GDPR. Inoltre, le Parti prendono in considerazione quanto segue:

  • lo stato della tecnologia, i costi di attuazione e la natura, l’entità, le circostanze e le finalità del trattamento e
  • la diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche.

2.4.7 Nel valutare il livello appropriato di protezione, le Parti tengono conto, in particolare, dei rischi associati al trattamento. Ciò include, tra le altre cose, la distruzione, perdita o alterazione (involontaria o illegale) o la divulgazione di dati personali che sono stati trasmessi, archiviati o altrimenti trattati.

Titolazione del trattamento

2.4.8 Per quanto riguarda il trattamento demandato a un subcontraente, le Parti hanno i seguenti obblighi:

a.) Prima che il subcontraente inizi a trattare i dati personali, le Parti devono prestare la dovuta attenzione per garantire che il subcontraente sia in grado di assicurare la protezione dei dati personali richiesta dalle norme sulla protezione dei dati.

b.) Le Parti devono garantire che il trattamento con tale subcontraente sia regolato da un accordo scritto che incorpori le condizioni stabilite dall’articolo 28(3) del GDPR.

c.) Ciascuna Parte deve selezionare attentamente il subcontraente e verificare, prima della designazione, che sia in grado di rispettare gli accordi convenuti tra le Parti. In particolare, le Parti devono verificare in anticipo e regolarmente durante la durata dell’accordo che il subcontraente abbia adottato le misure tecniche e organizzative per proteggere i dati personali ai sensi dell’articolo 32 del GDPR. Il risultato del controllo è documentato dalla Parte responsabile e deve essere trasmesso all’altra Parte su richiesta.

Diritti degli interessati

2.4.9 Ciascuna Parte adempie ai propri obblighi di rispondere alle richieste e all’esercizio dei diritti degli interessati in conformità con le norme sulla protezione dei dati. Ciascuna Parte coopera ragionevolmente con l’altra Parte per consentirle l’osservanza del presente comma.

Violazione dei dati personali

2.4.10 Ciascuna Parte:

a.) deve, prontamente e al più tardi entro 48 ore dalla scoperta, informare l’altra Parte in forma scritta (fax / e-mail) dopo aver saputo di una violazione dei dati personali (“violazione dei dati in rete”), e

b.) deve fornire all’altra Parte informazioni sufficienti per adempiere ai propri obblighi di segnalare o comunicare agli interessati la violazione dei dati in rete nel quadro o in correlazione con le norme sulla protezione dei dati, e

c.) deve consultare l’altra Parte in merito alla strategia di comunicazione esterna e di pubbliche relazioni relative alla violazione dei dati in rete, e

d.) nel rispetto delle leggi vigenti, non può informare le autorità competenti per la protezione dei dati sulla violazione della protezione dei dati in rete, senza il preventivo consenso scritto dell’altra Parte, e

e.) non può emettere un comunicato stampa o parlare a un rappresentante della stampa in merito alla violazione dei dati in rete senza il preventivo consenso scritto dell’altra Parte.

f.) informerà istantaneamente l’altra Parte qualora un’autorità di vigilanza dovesse agire nei confronti di una delle Parti ai sensi dell’articolo 58 del GDPR e ciò potesse riguardare anche un controllo del trattamento dei dati personali trattati congiuntamente dalle Parti nell’ambito del programma di affiliazione Jimdo.

2.4.11 La notifica di cui al comma 2.4.10 (a) deve soddisfare almeno le seguenti condizioni:

a.) deve specificare il tipo di violazione dei dati in rete, (ove possibile indicando le categorie), la specie e il numero di interessati, le tipologie e il numero di dati personali interessati.

b.) Deve descrivere le possibili conseguenze della violazione dei dati in rete,

c.) deve descrivere le misure adottate, proposte o progettate per affrontare la violazione dei dati in rete e, eventualmente, le misure per mitigarne i potenziali effetti negativi.

2.4.12 Il Partner deve collaborare con Jimdo e adottare le misure appropriate richieste da Jimdo per aiutare a indagare, mitigare e porre rimedio a qualsiasi violazione dei dati in rete.

Trasferimento di dati

2.4.13 Nessuna delle Parti può trasferire dati personali in paesi al di fuori dell’UE in violazione delle norme sulla protezione dei dati.

2.5 Durante la durata del contratto principale, il Partner assicura e si impegna a garantire che:

  • il trattamento dei termini di partecipazione al programma di affiliazione Jimdo condotto da Jimdo, in qualità di titolare del trattamento, compreso il trattamento dei dati personali relativi al Partner e a tutti gli utenti autorizzati, rispettino le norme sulla protezione dei dati personali;
  • abbia tutti i diritti o il consenso di Jimdo necessari per il trasferimento dei dati personali al di fuori dell’UE.

Controllo dei diritti e degli obblighi

2.6 Nella misura in cui Jimdo agisce come titolare del trattamento e il Partner come incaricato del trattamento (o, se applicabile, Jimdo è l’incaricato del trattamento e il Partner è il subcontraente), il Partner:

a.) tratterà i dati personali solo su istruzioni documentate di Jimdo, anche per quanto riguarda la cancellazione o la restituzione dei dati personali.

b.) fornirà a Jimdo qualsiasi informazione sui dati personali, e consentirà anche, nella misura in cui ne abbia dato notifica scritta al Partner con almeno 30 giorni di anticipo, che Jimdo, o i suoi revisori o consulenti, durante il normale orario lavorativo, entrino nella sede del Partner per indagare sui sistemi e i registri del Partner, che (su avviso di Jimdo) sono necessari per dimostrare che il Partner osservi quanto esposto in questo comma 2. Ciascuna Parte assicurerà che i controlli vengano eseguiti solo in misura tale da garantire che essi non interferiscano con le attività dell’altra Parte attraverso controlli sproporzionati. L’ispezione è limitata a un giorno per anno civile per ciascuna Parte. Ciascuna Parte è tenuta a conservare le informazioni riservate interne dell’altra Parte, in particolare i dettagli sulle misure tecniche e organizzative, appresi nel contesto o in occasione di tale ispezione, in modo strettamente confidenziale, di non rivelarle a terzi o renderle accessibile a terzi, a meno che ciò non avvenga ai fini del rapporto contrattuale tra le Parti.

c.) osserverà i comma 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.4.12 e 2.4.13.

d.) Affinché le Parti, qualora applicabile, possano esercitare i loro diritti e obblighi di controllo prima e durante il rapporto contrattuale, una Parte metterà a disposizione dell’altra Parte, su richiesta, un rapporto degli incaricati della protezione dei dati sulle misure tecniche e organizzative adottate da ciascuna Parte e nei centri informatici utilizzati dalla Parte. Il rapporto verrà aggiornato almeno ogni 24 mesi.

2.7 Il Partner non utilizzerà i rapporti generati dall’uso della piattaforma esterna di affiliazione fornita da Jimdo per creare profili dei visitatori.

3. Obblighi di riservatezza

3.1 Entrambe le Parti si impegnano a mantenere riservate tutte le informazioni ottenute in relazione all’esecuzione del presente accordo, per un periodo di tempo indefinito e a usarle unicamente per l’esecuzione dell’accordo.

3.2 L’obbligo di cui sopra non vale per le informazioni che una delle Parti ha ottenuto in modo comprovabile da terzi senza obbligo di riservatezza, ossia per le informazioni di pubblico dominio.

4. Limitazione di responsabilità

4.1 Ciascuna Parte è responsabile per qualsiasi violazione delle norme sulla protezione dei dati di cui è responsabile e, di conseguenza, le Parti non sono responsabili in solido.

4.2 Le Parti si informano tempestivamente se una Parte dovesse identificare errori o irregolarità in relazione al trattamento dei dati personali da parte dell’altra Parte.

5. Legge applicabile e foro competente

5.1 La legge applicabile e il foro competente di questo DPA corrispondono a quelli indicati nelle condizioni di partecipazione del programma di affiliazione Jimdo.

6. Durata del contratto

6.1 Il presente accordo inizia con la ricezione della conferma del contratto da parte di Jimdo (sezione 2.3 delle condizioni di partecipazione al programma di affiliazione Jimdo) e si estende per la durata dell’accordo principale tra le Parti o per la durata della partecipazione al programma di affiliazione Jimdo. Può essere revocato entro 5 giorni dalla fine della relativa scadenza. Con la fine della partecipazione al programma di affiliazione Jimdo, termina automaticamente anche questo accordo sul trattamento dei dati personali.

7. Disposizioni finali

7.1 Per accordi accessori è richiesta la forma scritta.

7.2 Qualora singole parti di questo DPA risultino inefficaci, ciò non influisce sulla validità delle restanti norme dell’accordo.

7.3 In caso di discrepanze con la versione tradotta, prevale il testo in lingua tedesca.

Versione:

16.01.2019