Allegato 1

Condivisione dei dati, trasferimenti di dati e dati condivisi

1 Condivisione dei dati

1.1 Entrambe le parti riconoscono che ciascuna di esse determinerà esclusivamente la base giuridica e le condizioni per le quali tratta i dati personali condivisi ai sensi del presente Contratto (i "Dati condivisi") come stabilito nella rispettiva Informativa sulla privacy o altro avviso richiesto ai sensi delle Leggi applicabili sulla protezione dei dati e successive modifiche

1.2 L'informativa sulla privacy di ComponentSource è disponibile qui.

1.3 Ciascuna parte e la sua squadra, lavoratori, agenti o consulenti ("Personale") rispetteranno i relativi obblighi ai sensi delle Leggi applicabili sulla protezione dei dati in merito al trattamento dei Dati condivisi e tratteranno i Dati condivisi in conformità con la rispettiva Informativa sulla privacy.

1.4 L'utente si assicurerà di disporre di una base legale per il trattamento dei Dati condivisi conforme alle Leggi applicabili sulla protezione dei dati e di non fornire a ComponentSource alcun Dato condiviso relativo a un interessato a cui non è stata fornita una copia dell'Informativa sulla privacy al momento della raccolta dei Dati condivisi;

1.5 Ciascuna parte dovrà:

1.5.1 fornire tempestivamente le informazioni, l'assistenza e/o l'accesso che l'altra parte può ragionevolmente richiedere nel rispondere a qualsiasi richiesta di un interessato e nel garantire il rispetto dei suoi obblighi ai sensi delle Leggi applicabili sulla protezione dei dati in materia di sicurezza, avvisi di violazioni, ispezioni, valutazioni d'impatto e consultazioni con autorità di vigilanza e/o autorità di regolamentazione;

1.5.2 garantire che i Dati condivisi siano accurati e completi;

1.5.3 avvisare l'altra parte per iscritto entro due (2) giorni lavorativi: (i) se non ha adempiuto a uno qualsiasi dei suoi obblighi ai sensi della clausola 1 del presente Allegato; (ii) se scopre che uno qualsiasi dei Dati condivisi è impreciso o incompleto; (iii) con i dettagli di qualsiasi richiesta dell'interessato a seguito dell'esercizio di uno qualsiasi dei suoi diritti ai sensi delle Leggi applicabili sulla protezione dei dati. In nessun caso l'utente risponderà direttamente a tali richieste o alla corrispondenza senza il previo consenso scritto di ComponentSource, a meno che non sia richiesto dalle Leggi applicabili sulla protezione dei dati o laddove non sia correlato alle attività di elaborazione di ComponentSource; e (iv) di qualsiasi violazione dei dati personali sospetta, potenziale, effettiva o minacciata che coinvolga qualsiasi Dato condiviso elaborato dallo stesso o per suo conto da terzi; e

1.5.4 indennizzare l'altra parte da tutte le responsabilità derivanti da o in connessione con qualsiasi violazione del presente Allegato, inclusi tutti gli importi pagati o pagabili dalla parte indennizzata a terzi (incluso il suo Personale) che non sarebbero stati pagati o pagabili se la violazione del presente Allegato non si fosse verificata. Al fine di evitare ogni dubbio, le parti concordano che qualsiasi limitazione o esclusione di responsabilità stabilita nel presente Contratto non si applicherà ai loro obblighi di indennizzo o rimborso ai sensi del presente Allegato.

1.6 L'utente dovrà:

1.6.1 stipulare tempestivamente con ComponentSource su sua richiesta scritta, qualsiasi ulteriore accordo e/o tutela appropriata richiesta dalle Leggi applicabili sulla protezione dei dati per il trasferimento internazionale dei Dati condivisi, come le clausole contrattuali standard nel modulo emesse dalla Commissione Europea o da altro organismo competente ai sensi delle Leggi applicabili sulla protezione dei dati;

1.6.2 garantire che per tutti i Dati condivisi ricevuti dagli interessati in giurisdizioni diverse dalla propria, siano messe in atto adeguate tutele di trasferimento internazionale in conformità con le Leggi applicabili sulla protezione dei dati;

2 TRASFERIMENTI INTERNAZIONALI DI DATI

Trasferimenti da paesi SEE a paesi non SEE

2.1 Qualora i Dati condivisi provenienti dal SEE siano trasferiti in un territorio al di fuori del SEE (incluso il Regno Unito) che non è stato designato come territorio adeguato, si riterrà che il modulo pertinente delle clausole contrattuali standard dell'UE venga applicato a tale trasferimento in conformità con i requisiti di cui alla presente clausola 2 e in aggiunta ai termini del presente Contratto come segue:

2.1.1 si riterrà che ciascuna parte abbia aderito al Modulo 1 delle clausole contrattuali standard dell'UE a proprio nome e per proprio conto in relazione ai Dati condivisi divulgati;

2.1.2 le disposizioni dell'Allegato 1 (Scopi consentiti) saranno considerate di cui all'Allegato I del Modulo 1 delle clausole contrattuali standard dell'UE;

2.1.3 le disposizioni dell'Allegato 2 (Misure di sicurezza) saranno considerate di cui all'Allegato II del Modulo 1 delle clausole tipo;

2.1.4 la clausola 7 (clausola di ancoraggio) non sarà selezionata;

2.1.5 l'elemento facoltativo della clausola 11(a) (ricorso) non sarà selezionato;

2.1.6 la seguente clausola facoltativa 13(a) (supervisione) sarà selezionata:

2.1.6.1 l'Irlanda, in qualità di autorità di controllo incaricata di garantire il rispetto del Regolamento (UE) 2016/679 da parte dell'esportatore di dati per quanto riguarda il trasferimento dei dati, come indicato nell'Allegato I, parte C, fungerà da autorità di controllo competente.

2.1.7 l'opzione [1] della clausola 17 (Legge applicabile) sarà selezionata e si applicherà la seguente legge applicabile:

2.1.7.1 le presenti clausole saranno disciplinate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta diritti di beneficiari di terze parti. Le parti convengono che tale legge sarà quella dell'Irlanda.

2.1.8 il seguente foro e giurisdizione saranno selezionati alla clausola 18(b) (Scelta del foro e giurisdizione):

2.1.8.1 le parti convengono che tali tribunali saranno quelli irlandesi (specificare lo Stato membro).

2.1.9 l'Importatore dei dati non divulgherà i Dati personali a terzi situati al di fuori del SEE nello stesso paese dell'Importatore dei dati o in un altro paese terzo (un "Trasferimento successivo") a meno che la terza parte non sia o accetti di essere vincolata dalle clausole contrattuali standard dell'UE, nell'ambito del modulo appropriato. In caso contrario, un Trasferimento successivo da parte dell'Importatore dei dati può avvenire solo se la terza parte garantisce altrimenti tutele adeguate ai sensi degli Articoli 46 o 47 del GDPR dell'UE in relazione al Trattamento;

2.1.10 in caso di omissione o conflitto tra il presente Contratto e il modulo applicabile delle clausole contrattuali standard dell'UE, prevarranno le disposizioni del modulo applicabile.

Trasferimenti dal Regno Unito a paesi non SEE

2.2 Nel caso in cui i Dati condivisi provenienti dal Regno Unito vengano trasferiti in un territorio al di fuori del Regno Unito che non è stato designato come territorio adeguato, le clausole contrattuali standard dell'UE come chiarito nella clausola 2 di cui sopra e l'addendum sul trasferimento internazionale dei dati del Regno Unito alle clausole contrattuali standard dell'UE (Addendum alle clausole contrattuali standard del Regno Unito) saranno considerate applicabili al trasferimento in aggiunta ai termini del presente Contratto e in aggiunta come segue:

2.2.1 si riterrà che ciascuna parte abbia aderito alle clausole contrattuali standard dell'UE e all'addendum alle clausole contrattuali standard del Regno Unito a proprio nome e per proprio conto in relazione ai Dati condivisi divulgati;

2.2.2 la descrizione del trasferimento e le misure tecniche e organizzative figureranno come nell'Allegato 1 e nell'Allegato 2 del presente Allegato;

2.2.3 le disposizioni dell'Allegato 2 (Misure di sicurezza) saranno considerate come stabilite nell'Appendice 2 delle Clausole del vecchio modello; e

2.2.4 in caso di conflitto tra il presente Contratto e le clausole contrattuali standard dell'UE e l'addendum alle clausole contrattuali standard del Regno Unito, quest'ultimo prevarrà.

Trasferimenti da paesi non SEE ad altri paesi non SEE

2.3 Laddove un Importatore di Dati condivisi elabori Dati condivisi che hanno avuto origine in un territorio non SEE (il "Territorio di esportazione") e il Trattamento avvenga in un territorio diverso dal Territorio di esportazione (il "Territorio di importazione"), l'Importatore di dati elaborerà i Dati condivisi secondo uno standard coerente con le Leggi sulla privacy applicabili del Territorio di esportazione. In particolare, l'Esportatore di dati informerà l'Importatore di dati su eventuali standard che potrebbero essere richiesti dalle Leggi sulla privacy applicabili e collaborerà pienamente con l'Importatore di dati per garantire che il suo Trattamento dei Dati condivisi sia coerente con tali standard.

2.4 In ogni caso, se una o più Leggi sulla privacy applicabili si trovano in conflitto con le disposizioni del presente Contratto, nella misura di un conflitto:

2.4.1 laddove lo standard di protezione dei dati richiesto dalle Leggi sulla privacy applicabili superi lo standard richiesto dal presente Contratto, l'Importatore dei dati elaborerà i Dati condivisi secondo uno standard coerente con le Leggi sulla privacy applicabili; e

2.4.2 laddove lo standard di protezione dei dati richiesto dal presente Contratto superi lo standard richiesto dalle Leggi sulla privacy applicabili, l'Importatore dei dati elaborerà i Dati condivisi secondo uno standard coerente con il presente Contratto.

Allegato 1

Lo Scopo consentito è come definito precedentemente.

Trattamento - Dati condivisi

Interessati

I Dati personali trasferiti riguardano le seguenti categorie di Interessati passati, presenti e potenziali:

  • Dipendenti
  • Utenti finali
  • Editori
  • Rivenditori

Categorie di dati

I Dati Personali trasferiti riguardano le seguenti categorie di dati:

  • Dati personali: Nome e dati di contatto
  • Dettagli di pagamento: Modalità di pagamento e dettagli; cronologia dei pagamenti e corrispondenza.
  • Informazioni sul profilo: Informazioni sull'account raccolte da o sull'Interessato in relazione ai servizi
  • Dati del dispositivo: Indirizzi IP, dati dei cookie, identificatori del dispositivo e informazioni simili relative al dispositivo.
  • Informazioni sull'utilizzo e sull'analisi: Dati statistici e analitici raccolti dall'utilizzo del servizio da parte del cliente.
  • Dati dell'indagine: Informazioni demografiche e feedback inviati volontariamente dall'Interessato nei sondaggi (inclusi i dati sulla razza/origine etnica).
  • Dati di corrispondenza: Corrispondenza e altre comunicazioni (compresi i dati delle comunicazioni telefoniche legalmente registrati) con l'Interessato allo scopo di fornire assistenza clienti.
  • Preferenze di marketing: iscrizioni a newsletter e altre preferenze in relazione al marketing o alla pubblicità.
  • Altre categorie di Dati personali che gli Esportatori di dati sono autorizzati a trasferire agli Importatori di dati.

Destinatari I Dati personali trasferiti potranno essere divulgati solo ai seguenti destinatari o categorie di destinatari:

  • Società dello stesso gruppo dell'Importatore di dati: Se necessario per gli scopi descritti e fatte salve le protezioni stabilite nelle presenti clausole.
  • Personale dell'Importatore di dati: Le vendite, l'assistenza clienti di marketing, l'informatica e altri dipendenti, dirigenti e direttori dell'Importatore di dati debitamente autorizzati avranno accesso ai Dati personali in base alla necessità di conoscere per l'adempimento dei loro ruoli e rigorosamente per le finalità sopra descritte.
  • Fornitori di servizi di terze parti: Ragionieri, revisori contabili, avvocati e altri consulenti professionali esterni; fornitori di servizi di call center; sistemi informatici, fornitori di servizi di supporto e hosting; elaboratori di transazioni con carta di credito; fornitori di servizi di pubblicità, marketing e ricerche e analisi di mercato; banche e istituti finanziari; fornitori di servizi di gestione di documenti e registri; simili fornitori terzi e fornitori di servizi di outsourcing che assistono l'Importatore di dati nello svolgimento delle attività commerciali.
  • Enti pubblici e autorità incaricate dell'applicazione della legge: Personale debitamente autorizzato presso enti pubblici e autorità incaricate dell'applicazione della legge che effettuano indagini o richiedono la segnalazione di informazioni da parte dell'Importatore dei dati in conformità con la legge applicabile.

Allegato 2

Misure di sicurezza

Misure di sicurezza tecniche e organizzative

ComponentSource impiega una serie di misure e procedure di sicurezza per proteggere i dati personali, comprese, a titolo esemplificativo ma non esaustivo:

  1. Dipendenti designati responsabili dell'implementazione delle procedure di sicurezza di ComponentSource.
  2. Mantenimento delle politiche di protezione, conservazione e sicurezza dei dati che vengono riviste regolarmente e almeno una volta all'anno.
  3. Controlli di sicurezza dei dati e della rete che includono l'accesso limitato e l'implementazione di tecnologie di crittografia standard del settore commerciale.
  4. Controlli delle password per garantire che password complesse e univoche vengano utilizzate e aggiornate regolarmente.
  5. Controlli di accesso che limitano l'accesso elettronico ai dati personali e alle funzionalità del sistema in base alle responsabilità lavorative e al livello di gestione e che includono la revoca dell'accesso ai dipendenti che lasciano l'azienda.
  6. Autenticazione a più fattori e utilizzo di una rete privata virtuale per qualsiasi accesso remoto a sistemi o Dati personali.
  7. Utilizzo di firewall e software di sicurezza per rilevare, filtrare e sconfiggere gli attacchi e implementazione di software di crittografia in relazione alla trasmissione di dati personali.
  8. Registrazione degli eventi e relative procedure di monitoraggio per registrare in modo proattivo l'attività del sistema e l'accesso degli utenti ai fini della revisione sia investigativa che di routine.
  9. Sicurezza fisica e ambientale della sala server e di altre aree contenenti dati personali per impedire l'accesso non autorizzato e proteggere i dati personali da pericoli quali incendi o danni causati dall'acqua.
  10. Pratiche operative e controlli per la configurazione, il monitoraggio e la manutenzione della tecnologia e dei sistemi di informazione secondo gli standard del settore, incluso lo smaltimento sicuro di sistemi e mezzi che rendono tutti i dati personali indecifrabili o irrecuperabili prima del rilascio finale dalla proprietà di ComponentSource.
  11. Controlli di sicurezza della rete, inclusi firewall aziendali e sistemi di rilevamento delle intrusioni, al fine di proteggere i sistemi dalle intrusioni e limitare la portata di qualsiasi attacco riuscito.
  12. Valutazione regolare delle vulnerabilità, gestione delle patch e altre procedure di monitoraggio per aiutare il rilevamento e la sconfitta o la mitigazione di minacce alla sicurezza identificate, virus e altro codice dannoso.
  13. Procedure di continuità aziendale progettate per mantenere l'erogazione dei servizi e la sicurezza dei dati personali in caso di situazioni di emergenza o calamità.

Ulteriori informazioni utili (limiti di archiviazione e altre informazioni pertinenti)

I Dati personali non saranno conservati più a lungo di quanto necessario per gli scopi sopra descritti o nella misura in cui ciò sia richiesto dai requisiti legali applicabili. In ogni caso, i Dati Personali non saranno mai conservati più a lungo di quanto consentito dalla legge applicabile.

Per qualsiasi domanda o richiesta relativa ai dati, contattare:
dpm@componentsource.com O se urgente
ComponentSource al numero: (770) 250 6105 o +44 1189 822108

CSWWLIC 11/2023A