Addendum al Trattamento dei Dati

1. Definizioni

I termini utilizzati nel presente DPA hanno lo stesso significato attribuito loro dal Regolamento generale sulla protezione dei dati del Regno Unito e (ove applicabile) dal GDPR dell'UE. Laddove il presente DPA fa riferimento alla «Normativa Applicabile in Materia di Protezione dei Dati», si intende, a seconda del caso, il UK GDPR, il Data Protection Act 2018, il GDPR dell'UE, il Privacy and Electronic Communications Regulations 2003, e qualsiasi altra legge o orientamento in materia di protezione dei dati di un'autorità di vigilanza competente applicabile al trattamento delle parti.

2. Oggetto e ruoli

L'oggetto del trattamento ai sensi del presente DPA è costituito dai dati personali inviati ai Servizi dal Cliente o per conto del Cliente, come descritto più in dettaglio nell'Allegato A. Il Cliente è il titolare del trattamento e Specialist Electronics Ltd è il responsabile del trattamento di tali dati personali. Laddove Specialist Electronics Ltd tratti dati personali per proprie finalità (ad esempio, analisi interne, prevenzione delle frodi, o per adempiere a obblighi di legge quali la conservazione dei dati AML/KYC), Specialist Electronics Ltd agisce in qualità di titolare del trattamento e si applica l'Informativa sulla Privacy.

3. Obblighi del responsabile del trattamento

Ci impegniamo a:

• Trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Cliente, anche con riguardo ai trasferimenti verso un paese terzo, salvo obbligo di legge (nel qual caso informeremo il Cliente di tale obbligo legale prima del trattamento, a meno che la legge non lo vieti per motivi di interesse pubblico di rilievo).
• Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un appropriato obbligo di riservatezza previsto per legge.
• Adottare tutte le misure richieste ai sensi dell'Articolo 32 del GDPR UK/UE, come ulteriormente specificato nell'Allegato B.
• Rispettare le condizioni per il ricorso a sub-responsabili del trattamento stabilite nella clausola 6.
• Tenendo conto della natura del trattamento, assistere il Cliente, mediante adeguate misure tecniche e organizzative, nella misura del possibile, nell'adempimento del suo obbligo di rispondere alle richieste degli interessati che esercitano i propri diritti ai sensi della Normativa Applicabile in Materia di Protezione dei Dati.
• Assistere il Cliente nel garantire il rispetto degli obblighi derivanti dagli Articoli da 32 a 36 del GDPR UK/UE, tenendo conto della natura del trattamento e delle informazioni a nostra disposizione.
• Su scelta del Cliente, cancellare o restituire al Cliente tutti i dati personali al termine della fornitura dei Servizi, e cancellare le copie esistenti, salvo che la conservazione sia richiesta dalla Normativa Applicabile in Materia di Protezione dei Dati.
• Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto del presente DPA, e consentire e contribuire ad audit, incluse ispezioni, condotti dal Cliente o da un altro revisore incaricato dal Cliente (subordinatamente alle condizioni di cui alla clausola 8).

4. Obblighi del Cliente

Il Cliente dichiara e garantisce di aver fornito tutte le informative richieste e, ove pertinente, di aver ottenuto tutti i consensi necessari dagli interessati per consentire il trattamento dei loro dati personali da parte nostra nell'ambito dell'accordo e del presente DPA. Il Cliente è responsabile dell'accuratezza dei dati personali che trasmette, del fatto che le sue istruzioni siano conformi alla Normativa Applicabile in Materia di Protezione dei Dati, e della valutazione della liceità di qualsiasi comunicazione di dati personali a Specialist Electronics Ltd ai sensi del presente DPA.

5. Sicurezza

Implementeremo e manterremo le misure tecniche e organizzative indicate nell'Allegato B. Potremo aggiornare tali misure di volta in volta, a condizione che il livello di sicurezza non sia materialmente ridotto.

6. Sub-responsabili del trattamento

7. Trasferimenti internazionali

Laddove il trattamento dei dati personali ai sensi del presente DPA comporti un trasferimento di dati personali al di fuori del Regno Unito o dello Spazio Economico Europeo verso un paese che non è stato oggetto di una decisione di adeguatezza, le parti concordano di essere vincolate dall'UK International Data Transfer Agreement o dalle Clausole Contrattuali Standard dell'UE (Modulo Due: da titolare a responsabile del trattamento) (le «SCC»), integrate ove necessario dall'Addendum UK alle SCC. Le SCC sono incorporate per riferimento nel presente DPA. In caso di conflitto tra il presente DPA e le SCC, prevalgono le SCC.

8. Audit

Su richiesta del Cliente e non più di una volta per anno solare (salvo che sia richiesto a seguito di una violazione dei dati personali), metteremo a disposizione le informazioni ragionevolmente necessarie a dimostrare il rispetto del presente DPA, anche rispondendo a un questionario di audit scritto e condividendo i risultati di certificazioni e rapporti di audit di terze parti pertinenti (come ISO 27001 o SOC 2, ove disponibili). Qualsiasi audit in loco sarà condotto a spese del Cliente da un revisore terzo indipendente ragionevolmente accettabile per Specialist Electronics Ltd, con un preavviso di almeno 30 giorni, durante il normale orario lavorativo, e con modalità tali da non interferire irragionevolmente con le nostre operazioni né esporre i dati personali di altri clienti.

9. Violazione dei dati personali

Notificheremo al Cliente senza ingiustificato ritardo (e comunque entro 72 ore) dopo essere venuti a conoscenza di una violazione dei dati personali che interessa i dati personali del Cliente. La notifica descriverà, nella misura in cui le informazioni siano allora disponibili, la natura della violazione (comprese le categorie e il numero approssimativo di interessati e di registrazioni coinvolti), fornirà il punto di contatto per ulteriori informazioni, descriverà le probabili conseguenze e le misure adottate o proposte per far fronte alla violazione e attenuarne gli effetti negativi.

10. Richieste degli interessati

Qualora un interessato ci contatti direttamente con una richiesta di esercitare i propri diritti ai sensi della Normativa Applicabile in Materia di Protezione dei Dati in relazione ai dati personali che trattiamo per conto del Cliente, informeremo l'interessato di contattare direttamente il Cliente e (ove compatibile con i nostri obblighi di legge) trasmetteremo la richiesta al Cliente. Assisteremo il Cliente nel rispondere a tali richieste mediante adeguate misure tecniche e organizzative, tenendo conto della natura del trattamento.

11. Restituzione o cancellazione

In caso di risoluzione dell'accordo sottostante, e a scelta del Cliente comunicata a noi per iscritto entro 30 giorni dalla risoluzione, restituiremo o cancelleremo i dati personali del Cliente, incluse tutte le copie, salvo che la legge applicabile ne richieda la conservazione. Laddove i dati personali vengano conservati per ragioni di legge, continueremo ad applicare loro il presente DPA.

12. Responsabilità

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni di responsabilità previste dall'accordo sottostante, salvo che la Normativa Applicabile in Materia di Protezione dei Dati disponga diversamente.

13. Ordine di precedenza

In caso di conflitto tra il presente DPA e l'accordo sottostante, il presente DPA prevale nella misura del conflitto, salvo quanto espressamente previsto dalle SCC.

Allegato A — Descrizione del trattamento

Oggetto del trattamento

Fornitura dei Servizi al Cliente come stabilito nell'accordo sottostante.

Durata

Per il periodo dell'accordo più il periodo durante il quale conserviamo i dati personali in conformità al presente DPA o alla legge applicabile.

Natura e finalità

Hosting, trattamento, archiviazione, trasmissione e backup di dati personali in connessione con i Servizi; autenticazione degli utenti; inserimento, evasione e assistenza degli ordini; analisi; sicurezza.

Categorie di interessati

Gli utenti finali del Cliente (tipicamente persone fisiche che acquistano dal Cliente tramite i Servizi), il personale del Cliente e i contatti autorizzati, e qualsiasi altro soggetto i cui dati personali il Cliente trasmette ai Servizi.

Categorie di dati personali

Dati di contatto (nome, e-mail, telefono, indirizzo), dati dell'account, dati degli ordini, metadati di pagamento, contenuto delle comunicazioni, dati di verifica dell'identità ove applicabile, dati del dispositivo e di connessione, telemetria di sicurezza.

Categorie particolari

Immagini di documenti d'identità che possono contenere dati biometrici; informazioni sulla nazionalità che possono figurare nei documenti d'identità.

Allegato B — Misure tecniche e organizzative

• Cifratura: TLS 1.2 o superiore per i dati in transito; AES-256 per i dati a riposo in archiviazione cloud; cifratura a livello di colonna per i campi di alta sensibilità ove appropriato.
• Gestione delle identità e degli accessi: ID utente univoci; controlli di accesso basati sui ruoli secondo il principio del privilegio minimo; autenticazione a più fattori obbligatoria per gli account amministrativi.
• Segregazione: i documenti d'identità sono conservati in un archivio di oggetti cifrato isolato dal database applicativo; ambienti separati per sviluppo, staging e produzione.
• Registrazione e monitoraggio: log di audit strutturati per gli eventi sensibili alla sicurezza; allerta su pattern anomali; conservazione dei log con accesso limitato.
• Gestione delle vulnerabilità: scansione delle vulnerabilità delle dipendenze; scansione periodica dell'infrastruttura; cadenza di patching documentata con SLA più brevi per le vulnerabilità critiche.
• Risposta agli incidenti: piano di risposta agli incidenti documentato; turni di reperibilità; procedure operative per la notifica delle violazioni allineate al presente DPA.
• Backup: backup cifrati regolari; procedure di ripristino testate; accesso limitato ai supporti di backup.
• Personale: impegni di riservatezza all'assunzione; formazione annuale sulla sicurezza; revoca degli accessi all'uscita dall'azienda.
• Gestione dei fornitori: due diligence prima dell'onboarding dei responsabili del trattamento; accordi di trattamento scritti conformi all'Articolo 28 del UK GDPR; rivalutazione periodica.
• Continuità operativa: infrastruttura ridondante; obiettivi di ripristino documentati; esercitazioni periodiche di continuità.