Contratto per l'elaborazione di ordini per l'hosting e la manutenzione remota

 

Tra

ColorGATE Digital Output Solutions GmbH, Große Düwelstraße 1, 30171 Hannover

  • di seguito denominato "contraente" -

E

al cliente finale

  • di seguito denominato "cliente" -

 

Premessa

Il cliente desidera affidare al contraente i servizi descritti più dettagliatamente nell'ambito del contratto. Parte dell'esecuzione del contratto è il trattamento dei dati personali. In particolare, l'articolo 28 GDPR pone determinati requisiti per tale trattamento degli ordini. Al fine di rispettare tali requisiti, le parti concludono il seguente accordo:

 

  1. Definizioni
    1. Ai sensi dell'articolo 4, paragrafo 7, del GDPR, il responsabile del trattamento è l'organismo che decide, da solo o insieme ad altri responsabili del trattamento, le finalità e i mezzi del trattamento dei dati personali.
    2. Ai sensi dell'articolo 4, paragrafo 8, del GDPR, l'incaricato del trattamento è una persona fisica o giuridica, un'autorità, un organismo o un altro ente che elabora dati personali per conto del responsabile del trattamento.
    3. I dati personali sono, ai sensi dell'articolo 4, paragrafo 1, GDPR, qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito "interessato"); identificabile è una persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante associazione con un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o una o più caratteristiche specifiche che sono espressione dell'identità fisica, fisiologica, genetica, psicologica, economica, culturale o sociale di tale persona fisica.
    4. Dati personali particolarmente sensibili sono i dati personali ai sensi dell'art. 9 GDPR, che danno modo di conoscere l'origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o ideologiche o l'appartenenza sindacale degli interessati, i dati personali ai sensi dell'art. 10 GDPR sulle condanne penali e sui reati o sulle relative garanzie, nonché i dati genetici ai sensi dell'art. 4 sec. 13 GDPR, dati biometrici secondo l'art. 4 sec. 14 GDPR, dati sanitari ai sensi dell'art. 4 sec. 15 GDPR e i dati sulla vita sessuale o sull'orientamento sessuale di una persona fisica.
    5. Ai sensi dell'art. 4 par. 2 GDPR, per trattamento si intende qualsiasi operazione o serie di operazioni compiute con o senza l'ausilio di procedure automatizzate in relazione a dati personali, quali la raccolta, il rilevamento, l'organizzazione, l'ordinazione, la conservazione, l'adattamento o la modifica, la lettura, l'interrogazione, l'utilizzo, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o il collegamento, la limitazione, la cancellazione o la distruzione.
    6. Ai sensi dell'articolo 4(21) GDPR, l'autorità di controllo è un organismo pubblico indipendente istituito da uno Stato membro conformemente all'articolo 51 GDPR.
  1. Indicazione dell'autorità di controllo competente per la protezione dei dati
    1. L'autorità di controllo competente per il contraente e il cliente sono i rispettivi rappresentanti nazionali per la protezione dei dati.
    2. Il committente e il contraente collaborano con l'autorità di controllo su richiesta nello svolgimento dei loro compiti.
  1. Portata del contratto
    1. Il cliente ha incaricato il contraente di fornire il software, concesso in licenza dal contraente al cliente in base a un contratto di licenza software, tramite il suo server ("Hosting").
    2. L'Appaltatore svolgerà solo le attività necessarie per l'esecuzione dei servizi commissionati. Le esegue esclusivamente nell'ambito degli accordi presi e secondo le istruzioni del Cliente. Modifiche nel campo di attività e modifiche procedurali devono essere concordate per iscritto. Il mandatario memorizza o elabora i dati personali esclusivamente per conto e sotto la direzione del mandante.
    3. Il trattamento avviene solo nella misura in cui è stato concordato tra le parti. Ciò comprende anche le attività di migrazione dei dati da un sistema all'altro.
  1. Diritto di istruzione
    1. Il Contraente può raccogliere, elaborare o utilizzare i dati solo nell'ambito dell'accordo con il Committente; ciò vale in particolare per il trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale. Se il Contraente è obbligato dal diritto dell'Unione Europea o degli Stati membri a cui è soggetto a un'ulteriore elaborazione, prima dell'elaborazione deve informare il committente di tali requisiti legali.
    2. Le istruzioni del mandante sono determinate dal presente contratto e possono essere modificate, integrate o sostituite dal mandante in forma scritta o sotto forma di testo in qualsiasi momento con istruzioni individuali. Il cliente ha il diritto di impartire istruzioni appropriate in qualsiasi momento. Ciò include istruzioni relative alla correzione, alla cancellazione e al blocco dei dati.
    3. Se il Contraente ritiene che un'istruzione del Committente violi le norme sulla protezione dei dati, deve informare immediatamente il Committente. Il mandatario ha il diritto di sospendere l'esecuzione dell'istruzione in questione fino alla sua conferma o modifica da parte del mandante. Il mandatario può rifiutarsi di eseguire un'istruzione palesemente illegale.
  1. Tipo di dati trattati e cerchia delle persone interessate
    1. Nell'ambito dell'esecuzione del contratto principale, il Contraente ha accesso ai seguenti dati personali

- nome e cognome

- paese

- nome della società

- indirizzo e-mail

    1. Le seguenti categorie di persone sono interessate dal trattamento:

- Dipendenti dell'amministrazione aggiudicatrice

 

  1. Misure di protezione del contraente
    1. Il contraente è obbligato a rispettare le disposizioni di legge sulla protezione dei dati e a non trasmettere le informazioni ottenute dall'area del cliente a terzi o a sospenderne l'accesso. I documenti e i dati devono essere protetti contro la conoscenza di persone non autorizzate, tenendo conto dello stato della tecnica.
    2. Il contraente, nella sua area di responsabilità, progetterà l'organizzazione interna in modo tale che soddisfi i requisiti speciali della protezione dei dati. Prenderà tutte le misure tecniche e organizzative necessarie per proteggere adeguatamente i dati del contraente in conformità con l'articolo 32 GDPR, in particolare almeno le misure del

a) controllo degli ingressi

b) controllo dell'accesso fisico

c) controllo dell'accesso

d) controllo della comunicazione

e) controllo dell'input / controllo di plausibilità

f) supervisione degli ordini

g) controllo di disponibilità

h) controllo della separazione dei dati

Il Contraente si riserva il diritto di modificare le misure di sicurezza adottate, garantendo che il livello di protezione concordato contrattualmente non venga superato.

    1. Alle persone impiegate nell'elaborazione dei dati da parte dell'appaltatore è vietato raccogliere, elaborare o utilizzare dati personali senza autorizzazione. Il mandatario obbliga di conseguenza tutte le persone da lui incaricate dell'elaborazione e dell'esecuzione del presente contratto (di seguito denominate "collaboratori") e garantisce il rispetto di tale obbligo con la dovuta attenzione. Questi obblighi devono essere tali da rimanere in vigore anche dopo la cessazione del presente contratto o del rapporto di lavoro tra il dipendente e l'appaltatore. Su richiesta, l'amministrazione aggiudicatrice prova gli obblighi in modo adeguato.
  1. Obblighi di informazione dell'appaltatore
    1. In caso di malfunzionamenti, di sospetto di violazione dei dati o di violazione degli obblighi contrattuali da parte del contraente, di sospetto di incidenti legati alla sicurezza o di altre irregolarità nel trattamento dei dati personali da parte del contraente, delle persone da lui impiegate nell'ambito del contratto o di terzi, il contraente deve informare immediatamente il committente in forma scritta o per iscritto. Lo stesso vale per i controlli del contraente da parte dell'autorità di controllo della protezione dei dati. La notifica di una violazione della protezione dei dati personali deve contenere almeno le seguenti informazioni:

(a) una descrizione della natura della violazione della protezione dei dati personali, compresi, se possibile, le categorie e il numero di persone interessate, le categorie interessate e il numero di set di dati personali interessati;

b) una descrizione delle misure adottate o proposte dal contraente per porre rimedio alla violazione e, se del caso, le misure per attenuarne i potenziali effetti negativi.

    1. Il contraente deve adottare immediatamente le misure necessarie per mettere in sicurezza i dati e per ridurre le possibili conseguenze negative degli interessati, informare il cliente e richiedere ulteriori istruzioni.
    2. Il contraente è inoltre obbligato a fornire informazioni al cliente in qualsiasi momento, nella misura in cui i suoi dati sono soggetti a una violazione in conformità con la terza parte del 7.1 sono interessati.
    3. Se i dati del cliente vengono messi in pericolo da pignoramenti o sequestri, da procedure di insolvenza o di liquidazione o da altri eventi o misure di terzi, il contraente deve informare immediatamente il cliente, a meno che ciò non sia vietato da un tribunale o da un ordine ufficiale. In questo contesto, l'appaltatore informerà immediatamente tutte le autorità competenti che l'autorità decisionale sui dati spetta esclusivamente all'ente appaltante come "persona responsabile" ai sensi del GDPR.
    4. L'appaltatore deve informare immediatamente il cliente di qualsiasi modifica sostanziale delle misure di sicurezza ai sensi della sezione 6(2).
  1. Diritti di controllo del cliente
    1. Il contraente si impegna a fornire al cliente, entro un periodo di tempo ragionevole, tutte le informazioni e le prove necessarie per effettuare un controllo delle misure tecniche e organizzative del contraente.
    2. Il committente documenta il risultato del controllo e informa il contraente.
  1. Utilizzo di subappaltatori

Le prestazioni concordate contrattualmente o le prestazioni parziali descritte di seguito vengono eseguite con l'aiuto del seguente subappaltatore: ColorLogic GmbH, Robberkamp 40, 48432 Rheine. L'appaltatore è autorizzato, nell'ambito dei suoi obblighi contrattuali, a stabilire ulteriori rapporti di subappalto con i subappaltatori. L'appaltatore è tenuto a selezionare accuratamente i subappaltatori in base alla loro idoneità e affidabilità. L'appaltatore, quando ingaggia i subappaltatori, li obbliga in conformità con le disposizioni del presente accordo, garantendo che la Committente possa esercitare i suoi diritti ai sensi del presente accordo, in particolare i suoi diritti di verifica e controllo, direttamente nei confronti dei subappaltatori. Se i subappaltatori devono essere coinvolti in un paese terzo, il contraente deve assicurarsi che un livello adeguato di protezione dei dati sia garantito dal subappaltatore interessato.

 

  1. Responsabilità
    1. Il contraente e il committente sono responsabili in solido per il risarcimento dei danni subiti da una persona a causa di un trattamento dei dati errato o inammissibile nel corso dell'esecuzione del presente contratto.
    2. Se il mandatario sostiene che il danno non deriva da una circostanza di cui è responsabile, egli ha l'onere della prova nella misura in cui i relativi dati sono stati elaborati da lui nell'ambito del rapporto contrattuale. Il Contraente esonera il Committente da tutte le pretese avanzate nei suoi confronti in relazione al contratto, finché il Contraente non ha fornito la prova di cui al p. 1, e gli rimborsa tutte le spese sostenute per la difesa legale.
    3. Nel rapporto interno, l'Appaltatore è responsabile nei confronti della Committente dei danni che l'Appaltatore o il subappaltatore da lui incaricato provoca colposamente nel corso dell'esecuzione del presente Contratto.
  1. Durata del contratto e diritto straordinario di rescissione
    1. La durata del presente Contratto è regolata dai termini del Contratto di Licenza Software concluso tra le parti.
    2. Il cliente può rescindere il contratto principale in tutto o in parte senza preavviso se il contraente non adempie agli obblighi del presente contratto, viola intenzionalmente o per grave negligenza le disposizioni del GDPR o se il cliente non può o non vuole eseguire le istruzioni del cliente. In caso di violazioni semplici, cioè né intenzionali né per grave negligenza - il cliente fissa al contraente un termine ragionevole entro il quale il contraente può rinunciare alla violazione.
  1. Risoluzione del contratto
    1. L'appaltatore restituirà al committente dopo la cessazione del contratto o in qualsiasi momento su sua richiesta tutti i documenti, i dati e i supporti dati messi a sua disposizione o - su richiesta del committente, a meno che non sussista un obbligo di conservazione dei dati personali ai sensi del diritto dell'Unione o del diritto federale della Repubblica federale di Germania. Questo vale anche per eventuali salvataggi di dati presso il contraente. I documenti da smaltire devono essere distrutti con una triturazione secondo la norma DIN 32757-1. I supporti dati da smaltire devono essere distrutti secondo la norma DIN 66399.
    2. Il committente ha il diritto di verificare la restituzione o la cancellazione completa e contrattualmente adeguata dei dati presso il contraente in modo appropriato.
    3. Il mandatario è obbligato a trattare con riservatezza i dati a lui noti in relazione al contratto principale anche dopo la fine del contratto. Il presente accordo rimane valido anche dopo la fine del contratto principale, finché il mandatario dispone di dati personali che gli sono stati trasmessi o che ha raccolto per lui.
  1. Disposizioni finali
    1. Le parti concordano che l'obiezione del diritto di ritenzione da parte del contraente ai sensi del § 273 del codice civile tedesco (BGB) è esclusa per quanto riguarda i dati di elaborazione e i relativi supporti di dati.
    2. Modifiche e aggiunte al presente accordo devono essere fatte per iscritto. Questo vale anche per la rinuncia a questo requisito formale. Ciò non pregiudica il primato dei singoli accordi contrattuali.
    3. Se singole disposizioni del presente accordo non sono o diventano in tutto o in parte inefficaci o inapplicabili, ciò non pregiudica la validità delle restanti disposizioni.
    4. Il presente accordo è regolato dal diritto tedesco. Il foro competente esclusivo è Hannover, Germania.