Elaborazione dei dati e
politica di trasferimento
Aggiornato: 01.01.2021
introduzione
La presente Appendice sul trattamento dei dati ("Addendum") costituisce parte integrante dell'accordo di cooperazione, Termini e condizioni generali per i partner ("GTC") o qualsiasi altro accordo (GTC o qualsiasi altro accordo di questo tipo di seguito denominato anche "Accordo") concluso tra l'Affiliato di HOTELCONNECT Systems come definito nel rispettivo Contratto ("Sistemi HOTELCONNECT") e l'utente ("Partner"). Il presente Addendum integra i termini del Contratto concluso tra i Sistemi HOTELCONNECT e il Partner; considerando che in caso di condizioni contrastanti tra l'Accordo e il presente Addendum, quest'ultimo prevarrà a meno che le Parti non concordino esplicitamente per iscritto specifiche deroghe a questo Addendum nell'Accordo.
1. Definizioni
Ai fini della presente Appendice, i termini in maiuscolo avranno i seguenti significati. I termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato loro attribuito nell'Accordo o nelle CG.
"Affiliato / i" indica qualsiasi persona o entità che, direttamente o indirettamente, ha il controllo, è controllata da o è sotto il controllo comune di tale entità; Ai fini della presente definizione, "controllo" di un'entità significa il potere, direttamente o indirettamente, di: (a) votare il 10% o più dei titoli aventi potere di voto ordinario per l'elezione degli amministratori di tale entità; o (b) dirigere o determinare la direzione della gestione e delle politiche di tale entità sia per contratto che in altro modo;
"Utente autorizzato" indica una persona autorizzata dal Partner ad avere accesso alla Piattaforma HOTELCONNECT e / o all'Account HOTELCONNECT ea fornire istruzioni e ricevere comunicazioni dai Sistemi HOTELCONNECT, indipendentemente dal fatto che tramite la Piattaforma HOTELCONNECT, l'Account HOTELCONNECT, via e-mail o altro;
"Titolare" indica una persona o entità che determina le finalità e i mezzi del trattamento dei dati personali;
"Legislazione sulla protezione dei dati" indica il GDPR e / o qualsiasi altra legislazione applicabile sulla privacy dei dati del paese di registrazione dell'Affiliato di HOTELCONNECT Systems come definito nel Contratto;
"Soggetto dei dati" indica la persona identificata o identificabile a cui si riferiscono i Dati personali;
"GDPR" indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati, e che abroga la Direttiva 95/46 / CE (Regolamento generale sulla protezione dei dati);
"Dati personali" indica qualsiasi informazione relativa a (i) una persona fisica identificata o identificabile e / o, (ii) un'entità giuridica identificata o identificabile (laddove tali informazioni siano protette dalla legislazione sulla protezione dei dati in modo simile ai dati che identificano un individuo vivente) ; che, ai fini del presente Addendum, includerà i dati personali degli Ospiti es. dati contenuti nei moduli di contatto, informazioni di contatto e di identificazione, inclusi nome, titolo, e-mail e indirizzo, numeri di ID e / o passaporto, dettagli di pagamento, preferenze degli ospiti e dettagli dei servizi del partner e dati limitati di connessione e posizione (città). I dati personali non contengono categorie di dati speciali.
"Elaborazione" indica qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, anche con mezzi automatici, come raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione tramite trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione; a scanso di equivoci, il trattamento di informazioni diverse dai Dati Personali (es. dati anonimizzati) allo scopo di migliorare i servizi dei Sistemi HOTELCONNECT non rientra nell'ambito di applicazione di questa Appendice;
"Responsabile del trattamento" o "Sub-responsabile del trattamento" indica una persona o entità che elabora i dati personali per conto di un titolare e / o incaricato del trattamento, a seconda dei casi;
"Servizi" ai fini della presente Appendice indica i servizi forniti da HOTELCONNECT Systems al Partner ai sensi del Contratto;
"Clausole contrattuali standard" indica le clausole contrattuali standard (responsabili del trattamento) per il trasferimento dei dati personali stabilite nella Decisione della Commissione Europea del 5 febbraio 2010 (2010/87 / CE), come stabilito nella Tabella n. 1 del presente documento;
"Autorità di vigilanza" indica un'autorità pubblica indipendente istituita da uno Stato membro dell'UE, dagli Stati Uniti o da un altro paese ai sensi del GDPR, del quadro dello scudo per la privacy UE-USA o di una legge corrispondente.
2. Trattamento dei dati
2.1 Trattamento dei dati personali
I Sistemi HOTELCONNECT e il Partner riconoscono che il Partner è il Titolare o il principale Responsabile del trattamento per quanto riguarda il Trattamento dei Dati personali pertinenti. I sistemi HOTELCONNECT tratteranno i dati personali solo come incaricato del trattamento o sub-incaricato del trattamento (come applicabile all'uso dei Servizi da parte del Partner) per conto del Partner e solo nella misura e nel modo necessario per gli scopi specificati e in conformità con questo Addendum, Contratto o come altrimenti indicato dal Partner di volta in volta. Laddove i Sistemi HOTELCONNECT ritengano ragionevolmente che un'istruzione del Partner sia contraria a: (i) la legge e i regolamenti applicabili o (ii) le disposizioni dell'Accordo o dell'Appendice, i Sistemi HOTELCONNECT intraprenderanno ogni ragionevole sforzo per informare il Partner ed è autorizzato a differire il esecuzione dell'istruzione pertinente fino a quando non è stata modificata dal Partner nella misura richiesta dai Sistemi HOTELCONNECT per soddisfare che tale istruzione è lecita, o è reciprocamente concordata sia dal Partner che dai Sistemi HOTELCONNECT per essere lecita.
3. Elaborazione dei sistemi HotelConnect
3.1 Trattamento dei dati personali da parte di HOTELCONNECT Systems
I sistemi HOTELCONNECT tratteranno i dati personali come informazioni riservate e tratteranno i dati personali solo per conto e in conformità con le istruzioni documentate del partner per i seguenti scopi: (i) elaborazione in conformità con il contratto; (ii) Elaborazione avviata dagli Utenti Autorizzati nell'utilizzo dei Servizi; e (iii) Elaborazione per conformarsi ad altre ragionevoli istruzioni documentate fornite dal Partner (ad esempio, tramite e-mail) laddove tali istruzioni siano coerenti con i termini del Contratto. Il Partner con la presente incarica i Sistemi HOTELCONNECT di informare gli Interessati del Trattamento dei loro Dati Personali per conto del Partner tramite e-mail e sulla possibilità di utilizzare i servizi dei Sistemi HOTELCONNECT per gestire i dati degli Interessati, le prenotazioni ei servizi associati. I sistemi HOTELCONNECT conserveranno un registro delle operazioni di elaborazione effettivamente eseguite.
3.2 Misure tecniche e organizzative
I sistemi HOTELCONNECT devono mantenere e attuare misure tecniche e organizzative ragionevoli e appropriate volte a proteggere i Dati personali contro la distruzione accidentale o legale o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzato e in relazione alla sicurezza dei Dati personali e alle piattaforme utilizzate per fornire i Servizi come descritto nella legislazione sulla protezione dei dati. Nell'attuazione di tali misure, HOTELCONNECT Systems avrà il diritto di tenere in considerazione l'attuale prassi standard nel determinare ciò che è ragionevole, così come la proporzionalità del costo di mettere in atto tali misure quando ponderato contro il potenziale danno ai Soggetti dei dati rilevanti che la messa in atto al posto di tali misure è progettato per proteggere da.
3.3 Personale
I sistemi HOTELCONNECT assicureranno che il proprio personale impegnato nel trattamento dei dati personali sia informato sui suoi obblighi e responsabilità ai sensi del presente documento, abbia ricevuto una formazione adeguata e sia informato sulla natura riservata dei dati personali. Il "Personale" indica quei dipendenti e / o agenti, consulenti, subappaltatori o altre terze parti: (i) che sono ingaggiati da HOTELCONNECT Systems in modo che possa adempiere ai propri obblighi nei confronti del Partner ai sensi dell'Accordo o dell'Appendice, e (ii) che sono soggetto a obblighi di riservatezza sostanzialmente nella stessa misura di quanto stabilito nell'Accordo e nell'Addendum. I Sistemi HOTELCONNECT assicureranno che l'accesso del Personale ai Dati Personali sia limitato a coloro che eseguono i Servizi in conformità con l'Accordo, e gli obblighi di riservatezza del Personale sopravvivranno alla cessazione dell'incarico del Personale.
3.4 Notifiche
HOTELCONNECT Systems comunicherà al Partner non appena commercialmente ragionevole per iscritto:
3.4.1 di qualsiasi comunicazione ricevuta da un individuo relativa a (i) i diritti di un individuo di accedere, modificare, correggere, eliminare o bloccare i propri Dati personali; (ii) il diritto di un individuo di rettificare, limitare o cancellare i propri dati personali, alla portabilità dei dati, di opporsi al trattamento e di non essere soggetto a processi decisionali automatizzati; e (iii) qualsiasi reclamo sul trattamento dei dati personali da parte del partner; nella misura non vietata dalla legge, di qualsiasi citazione o altro ordine giudiziario o amministrativo o procedimento volto a ottenere l'accesso o la divulgazione di Dati personali;
3.4.2 nella misura non vietata dalla legge, di qualsiasi reclamo, avviso o altra comunicazione che si riferisce alla conformità del Partner alla protezione dei dati e alla legge sulla privacy e al trattamento dei dati personali. I Sistemi HOTELCONNECT forniranno al Partner cooperazione e assistenza commercialmente ragionevoli (a spese del Partner) in relazione a tale reclamo, avviso o comunicazione; e
3.4.3 di una violazione materiale della sicurezza dei Servizi che si traduce in un accesso non autorizzato ai Dati del Partner di cui veniamo a conoscenza, in conformità con la legge applicabile ("Violazione della sicurezza"). I Sistemi HOTELCONNECT compiranno ogni ragionevole sforzo per identificare la causa di tale violazione della sicurezza e intraprendano le misure necessarie e ragionevoli, e che sono accettabili per il Partner, al fine di porre rimedio alla causa di tale violazione della sicurezza nella misura in cui il rimedio è sotto il ragionevole controllo di HOTELCONNECT Systems . Gli obblighi qui contenuti non si applicano agli incidenti causati dal Partner.
3.5 Nessun riconoscimento
Il Partner accetta che l'obbligo di HOTELCONNECT Systems di notificare la violazione della sicurezza non è e non sarà interpretato come un riconoscimento da parte dei sistemi HOTELCONNECT di qualsiasi colpa o responsabilità dei sistemi HOTELCONNECT rispetto a tale violazione della sicurezza.
3.6 Restituzione e cancellazione dei dati
Fatte salve le limitazioni stabilite dalle leggi applicabili, i Sistemi HOTELCONNECT restituiranno al Partner tutti i Dati del Partner persistenti (se non già cancellati in conformità con la legge applicabile) seguendo procedure standardizzate ed entro scadenze commercialmente ragionevoli.
3.7 Conformità dei sistemi HOTELCONNECT
I sistemi HOTELCONNECT devono conformarsi alla legislazione sulla protezione dei dati applicabile alle proprie operazioni e alla fornitura dei Servizi ai sensi del Contratto e ai suoi obblighi ai sensi del presente Addendum.
3.8 Audit
Il Partner avrà il diritto di condurre un audit per verificare la conformità di HOTELCONNECT Systems ai propri obblighi di cui all'art. 28 GDPR e in questo Addendum. I sistemi HOTELCONNECT consentiranno al Partner di eseguire l'audit alle seguenti condizioni:
(i) il Partner richiede a HOTELCONNECT Systems di effettuare la verifica tramite comunicazione scritta con almeno 30 (trenta) giorni di anticipo;
(ii) il Partner specificherà l'ordine del giorno per tale verifica nella notifica al punto (i);
(iii) l'audit non deve aver luogo più di una volta all'anno;
(iv) tutti i costi e le spese associati saranno a carico del Partner e rimborsati ai Sistemi HOTELCONNECT su richiesta; e
(v) l'audit non durerà più dell'equivalente di 1 giorno lavorativo (8 ore) del rappresentante dei sistemi HOTELCONNECT.
Nel caso in cui il Partner richieda l'audit tramite una terza parte indipendente - revisore esterno autorizzato, HOTELCONNECT Systems può opporsi a un revisore esterno autorizzato nominato dal Partner per condurre la verifica se il revisore, a giudizio ragionevole di HOTELCONNECT Systems, non è adeguatamente qualificato o indipendente, un concorrente di HOTELCONNECT Systems, o altrimenti manifestamente inadatto. Qualsiasi obiezione di questo tipo richiederà al Partner di nominare un altro revisore. Nel caso in cui il Partner richieda più di un audit entro un anno solare, il Partner dovrà ottenere la previa autorizzazione scritta di HOTELCONNECT Systems e sosterrà il costo associato a tali audit e rimborserà i sistemi HOTELCONNECT tutti i costi ragionevolmente sostenuti per tali audit. Su richiesta del Partner, HOTELCONNECT Systems fornirà al Partner il costo stimato che si aspetta di sostenere durante tale audit secondo la misura specificata nell'agenda fornita dal Partner.
4. Elaborazione del partner
4.1 Elaborazione dei dati personali da parte del partner
Il Partner, nell'utilizzo dei Servizi, elaborerà i Dati personali in conformità con i requisiti della Legislazione sulla protezione dei dati. A scanso di equivoci, il Partner garantisce che le sue istruzioni per il trattamento dei dati personali saranno conformi alla legislazione sulla protezione dei dati e che non impartirà istruzioni o ordini che indirizzino i sistemi HOTELCONNECT a intraprendere azioni o linee di condotta illegali o di altro tipo non in conformità con la legislazione sulla protezione dei dati. Il Partner avrà la responsabilità esclusiva per l'accuratezza, la qualità e la legalità dei Dati personali e dei mezzi con cui il Partner ha acquisito i Dati personali.
4.2 Conformità del partner
Oltre agli obblighi del Partner stabiliti nel Contratto, il Partner è responsabile di (i) integrità, sicurezza, manutenzione e protezione adeguata dei Dati personali e (ii) garantire la sua conformità con qualsiasi legge e regolamento applicabile in materia di privacy, protezione dei dati e sicurezza relativa a : (a) il suo trattamento dei dati personali; (b) il suo utilizzo dei Servizi; e (c) tutti i requisiti di registrazione o notifica per l'elaborazione dei dati a cui il Partner è soggetto ai sensi della legge applicabile.
4.3 Notifiche
Il Partner accetta di effettuare tutte le notifiche richieste e di ottenere i consensi ei diritti richiesti da individui in relazione alla fornitura di Servizi al Partner da parte dei Sistemi HOTELCONNECT. Laddove HOTELCONNECT Systems riceva una comunicazione descritta nella sottosezione 3.4.1 o 3.4.3 e informi il Partner di tale comunicazione, è responsabilità del Partner rispondere e intraprendere tutte le altre azioni appropriate in relazione alla comunicazione. Il Partner accetta di notificare immediatamente ai Sistemi HOTELCONNECT qualsiasi utilizzo non autorizzato dei Servizi o dell'account del Partner o di qualsiasi altra violazione della sicurezza che coinvolge i Servizi.
4.4 Misure tecniche e organizzative
Il Partner è l'unico responsabile dell'implementazione e del mantenimento delle misure di sicurezza e di altre misure tecniche e organizzative appropriate alla natura e al volume dei Dati personali che il Partner memorizza o altrimenti elabora utilizzando i Servizi. Il Partner è anche responsabile dell'uso dei Servizi da parte dei suoi dipendenti, di qualsiasi persona che il Partner autorizza ad accedere o utilizzare i Servizi e qualsiasi persona che abbia accesso ai suoi Dati personali o ai Servizi a causa del suo mancato utilizzo di una ragionevole sicurezza precauzioni, anche se tale uso non è stato autorizzato dal Partner.
5. Cooperazione
5.1 Collaborazione tra partner e sistemi HOTELCONNECT
Il Partner e i Sistemi HOTELCONNECT accettano di cooperare in un modo commercialmente ragionevole come ragionevolmente richiesto per proteggere i Dati personali ai sensi delle leggi applicabili, degli articoli 35 e 36 del GDPR e del quadro dello scudo per la privacy UE-USA per effettuare una valutazione dell'impatto sulla protezione dei dati relativa al Partner utilizzo dei Servizi, nella misura in cui il Partner non ha altrimenti accesso alle informazioni pertinenti e nella misura in cui tali informazioni sono disponibili ai Sistemi HOTELCONNECT. Il Partner deve collaborare con le ragionevoli indagini di HOTELCONNECT Systems su interruzioni del servizio, problemi di sicurezza e qualsiasi sospetta violazione della sicurezza. Il Partner fornirà ragionevole assistenza ai Sistemi HOTELCONNECT in collaborazione o previa consultazione con l'Autorità di vigilanza nello svolgimento dei suoi compiti in relazione alla presente Sezione, nella misura richiesta dal GDPR o dalla legge applicabile.
5.2 Assistenza di HOTELCONNECT Systems con i requisiti di conformità del Partner
Durante il periodo del Contratto del Partner con i Sistemi HOTELCONNECT, il Partner può richiedere che i Sistemi HOTELCONNECT assista gli sforzi del Partner per ottemperare agli obblighi del Partner ai sensi delle leggi e dei regolamenti applicabili sulla protezione dei dati o sulla privacy, a condizione che (i) tale assistenza richiesta sia rilevante per i Servizi che supportano il trattamento dei dati personali Dati, (ii) tale assistenza richiesta è commercialmente ragionevole e proporzionata all'obiettivo dell'esercizio con cui si richiede a HOTELCONNECT Systems di assistere, e (iii) se HOTELCONNECT Systems accetta di assistere, che tutti i costi e le spese associati (inclusi il costo del tempo del suo personale) sarà a carico del Partner e rimborsato a HOTELCONNECT Systems su richiesta.
6. Sotto-elaborazione
6.1 In relazione a terze parti o subappaltando il trattamento dei dati personali, HOTELCONNECT Systems può autorizzare una terza parte (sub-responsabile) al trattamento dei dati personali solo con il previo consenso del partner e a condizione che le disposizioni relative al trattamento dei dati e la protezione dei dati nel contratto del sub-responsabile in relazione ai dati personali è a termini che sono sostanzialmente gli stessi di quelli stabiliti nella presente appendice, a condizione che il contratto del sub-responsabile in relazione ai dati personali si risolva automaticamente alla risoluzione del contratto per qualche ragione. Ai fini del presente documento, le seguenti persone sono approvate dal Partner firmando questa Appendice: (i) Sub-processori elencati nell'Allegato n. 2 del presente documento, (ii) Affiliati di HOTELCONNECT Systems e (iii) qualsiasi Sub-responsabile autorizzato dal Partner tramite il suo Utente autorizzato autorizzando un'integrazione con i servizi di sistema HOTELCONNECT tramite l'account HOTELCONNECT o altro. I Sistemi HOTELCONNECT possono durante il periodo del contratto coinvolgere nuovi Sub-processori nell'elaborazione, a condizione che tali Sub-processori accedano e utilizzino i Dati personali solo nella misura necessaria per adempiere agli obblighi subappaltati.
6.2 Diritto di opposizione per i nuovi sub-processori
Il Partner può opporsi all'uso da parte di HOTELCONNECT Systems di un nuovo Sub-responsabile del trattamento informando HOTELCONNECT Systems prontamente per iscritto entro dieci (10) giorni lavorativi dal ricevimento della notifica di HOTELCONNECT Systems e specificando le carenze. Nel caso in cui il Partner si opponga a un nuovo Sub-processore, HOTELCONNECT Systems si adopererà per aggiungere ulteriori garanzie (coprendo le carenze specificate) o cambiare il Sub-processore (nei confronti del Sub-processore); Qualora i Sistemi HOTELCONNECT non fossero in grado di farlo, i Sistemi HOTELCONNECT utilizzeranno ogni ragionevole sforzo per rendere disponibile al Partner una modifica dei Servizi o raccomanderanno una modifica commercialmente ragionevole alla configurazione del Partner o all'utilizzo dei Servizi per evitare l'elaborazione dei Dati personali da parte del soggetto opposto nuovo sub-processore senza appesantire irragionevolmente il partner. Se HOTELCONNECT Systems non è in grado di rendere disponibile tale modifica entro un periodo di tempo ragionevole, che non deve superare i trenta (30) giorni, il Partner può terminare solo quelle parti dei Servizi che non possono essere fornite da HOTELCONNECT Systems senza l'uso del nuovo Sub-processore fornendo comunicazione scritta a HOTELCONNECT Systems. I sistemi HOTELCONNECT rimborseranno al Partner tutte le tariffe prepagate che coprono il resto della durata del Contratto dopo la data effettiva di risoluzione in relazione a tale parte dei Servizi risolta, che rappresenterà l'unico ed esclusivo rimedio del Partner in relazione all'introduzione di nuovi Sub- processore.
6.3 Responsabilità
HOTELCONNECT Systems sarà responsabile per gli atti e le omissioni dei suoi sub-processori nella stessa misura in cui HOTELCONNECT Systems sarebbe responsabile se eseguisse i servizi di ciascun Sub-processor direttamente secondo i termini di questo Addendum, salvo quanto diversamente stabilito nel Contratto.
7. Trasferimento dei dati
7.1 Trasferimento dei dati
Le Parti convengono che i Dati personali possano essere trasferiti dall'Unione Europea / Spazio economico europeo a un paese terzo, solo se si verifica una delle seguenti condizioni: (a) esiste una decisione applicabile della Commissione europea che afferma che il paese terzo garantisce un livello di protezione adeguato; o (b) il trasferimento può avvenire perché HOTELCONNECT Systems ha fornito adeguate garanzie ai sensi dell'Art. 46 del GDPR, ea condizione che siano disponibili diritti esercitabili dall'interessato e rimedi legali effettivi per gli interessati; o (c) le deroghe per situazioni specifiche ai sensi dell'art. 49 del GDPR. Ai fini dell'Art. 7.1 della presente Appendice, le Clausole contrattuali standard, che costituiscono l'Allegato n. 1 (Clausole contrattuali standard) della presente Appendice, sono considerate garanzie adeguate. Il cliente autorizza i sistemi HOTELCONNECT a stipulare le clausole contrattuali standard al fine di trasferire i dati personali a paesi terzi.
7.2 Clausole contrattuali standard
Per consentire il trasferimento dei dati da / a paesi terzi verso / dall'Unione Europea / Spazio Economico Europeo, le Clausole Contrattuali Standard (Allegato n. 1 a questo Addendum) sono incorporate in questo Addendum e formeranno come parte inseparabile del presente Addendum.
8. Comunicazione
8.1 Il Partner accetta che qualsiasi Utente autorizzato del Partner possa essere contattato e avrà diritto a ricevere qualsiasi comunicazione in relazione al presente Addendum.
9. Disposizioni finali
9.1 Beneficiari di terze parti
Gli Interessati sono gli unici beneficiari terzi delle Clausole contrattuali standard e non ci sono altri beneficiari terzi dell'Accordo e del presente Addendum. Nonostante quanto sopra, il Contratto e i termini del presente Addendum si applicano solo alle parti e non conferiscono alcun diritto ad alcun affiliato del Partner, utente finale del Partner o Soggetti interessati di terze parti.
9.2 Legge applicabile
Nulla in questo Addendum modifica la sezione del Contratto di Legge Applicabile, che, a scanso di equivoci, disciplinerà tutti i reclami presentati ai sensi del Contratto e del presente Addendum. Nella misura in cui le clausole contrattuali standard sono applicabili e nella misura in cui un interessato presenta un reclamo ai sensi della clausola 3.2 delle clausole contrattuali standard in relazione al trattamento da parte dei sistemi di dati personali HOTELCONNECT, le clausole contrattuali standard devono essere regolate da e interpretato in conformità con la Clausola 9 (Legge applicabile) delle Clausole contrattuali standard.
9.3 Limitazione di responsabilità
I rimedi del Partner, inclusi quelli delle sue Affiliate, e la responsabilità dei Sistemi HOTELCONNECT, derivanti da o correlati a questo Addendum e alle Clausole contrattuali standard saranno soggetti alle limitazioni di responsabilità e alle esclusioni di responsabilità stabilite dall'Accordo o se non ci sono limitazioni di responsabilità prevista nel Contratto, le Parti convengono e dichiarano che il danno totale che può derivare dalla violazione del presente Addendum e / o delle Clausole Contrattuali Standard non dovrà superare i diecimila euro.
9.4 Durata
Il presente Addendum è concluso per il periodo pari alla durata del Contratto. Il presente Addendum terminerà contemporaneamente e automaticamente con la risoluzione del Contratto.
9.5 Risoluzione
I Sistemi HOTELCONNECT possono terminare questo Addendum se i Sistemi HOTELCONNECT offrono meccanismi alternativi al Partner che rispettano gli obblighi delle leggi sulla privacy dei dati applicabili.
9.6 Controparti
Questo Addendum può essere firmato in più copie, che prese insieme saranno considerate un originale.
Schema n. 1 Clausole contrattuali standard (incaricati del trattamento)
Ai fini dell'articolo 26, paragrafo 2, della direttiva 95/46 / CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati
L'entità partner che è parte dell'addendum a cui sono allegate le presenti clausole contrattuali standard.
Nome dell'organizzazione di esportazione dei dati:
Indirizzo:
Tel. ...; fax ...; e-mail: …
Altre informazioni necessarie per identificare l'organizzazione
...
(l'esportatore di dati)
E
Nome dell'organizzazione di importazione dei dati: ...
Indirizzo: ...
Tel. ...; fax ...; e-mail: …
Altre informazioni necessarie per identificare l'organizzazione:
...
(l'importatore o il sub-responsabile del trattamento dei dati (se applicabile))
ciascuno una "festa"; insieme "le parti",
HANNO CONVENUTO le seguenti Clausole Contrattuali (le Clausole) al fine di fornire adeguate garanzie rispetto alla protezione della privacy e dei diritti e delle libertà fondamentali delle persone per il trasferimento da parte dell'esportatore di dati all'importatore di dati dei dati personali specificati nell'Appendice 1 .
Clausola 1
Definizioni
Ai fini delle clausole:
"dati personali", "categorie speciali di dati", "elaborazione / elaborazione", "responsabile del trattamento", "persona interessata" e "autorità di controllo" hanno lo stesso significato della direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati;
"l'esportatore di dati": il responsabile del trattamento che trasferisce i dati personali;
`` l'importatore di dati '': il responsabile del trattamento che accetta di ricevere dall'esportatore di dati i dati personali destinati al trattamento per suo conto dopo il trasferimento conformemente alle sue istruzioni e ai termini delle clausole e che non è soggetto al sistema di un paese terzo protezione ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46 / CE;
`` il sub-responsabile del trattamento '' indica qualsiasi responsabile del trattamento incaricato dall'importatore di dati o da qualsiasi altro sub-responsabile dell'importatore di dati che acconsente a ricevere dall'importatore di dati o da qualsiasi altro sub-responsabile dell'importatore di dati dati personali destinati esclusivamente ad attività di trattamento da svolgere su per conto dell'esportatore di dati dopo il trasferimento in conformità con le sue istruzioni, i termini delle Clausole e i termini del contratto di subappalto scritto;
`` legge applicabile in materia di protezione dei dati '': la legislazione che tutela i diritti e le libertà fondamentali delle persone e, in particolare, il loro diritto alla vita privata in relazione al trattamento dei dati personali applicabile a un responsabile del trattamento nello Stato membro in cui l'esportatore dei dati si trova stabilito;
`` misure di sicurezza tecniche e organizzative '': quelle misure volte a proteggere i dati personali contro la distruzione accidentale o illegale o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati, in particolare laddove il trattamento comporti la trasmissione di dati su una rete e contro tutti gli altri forme di lavorazione.
Clausola 2
Dettagli del trasferimento
I dettagli del trasferimento ed in particolare le categorie speciali di dati personali ove applicabili sono specificati nell'Appendice 1 che costituisce parte integrante delle Clausole.
Clausola 3
Clausola di beneficiario di terze parti
L'interessato può far valere nei confronti dell'esportatore di dati la presente clausola, clausola 4 da (b) a (i), clausola 5 da (a) a (e) e da (g) a (j), clausola 6 (1) e (2) , Clausola 7, Clausola 8 (2) e Clausole da 9 a 12 in qualità di terzo beneficiario.
L'interessato può far valere nei confronti dell'importatore di dati la presente clausola, la clausola 5 da (a) a (e) e (g), la clausola 6, la clausola 7, la clausola 8 (2) e le clausole da 9 a 12, nei casi in cui l'esportatore di dati è effettivamente scomparso o ha cessato di esistere nella legge a meno che qualsiasi entità successore non abbia assunto tutti gli obblighi legali dell'esportatore di dati per contratto o per effetto di legge, a seguito della quale assume i diritti e gli obblighi dell'esportatore di dati, in in tal caso l'interessato può farli valere nei confronti di tale entità.
L'interessato può far valere nei confronti del sub-responsabile la presente clausola, clausola 5 da (a) a (e) e (g), clausola 6, clausola 7, clausola 8 (2) e clausole da 9 a 12, nei casi in cui sia l'esportatore di dati e l'importatore di dati è effettivamente scomparso o ha cessato di esistere in base alla legge o è diventato insolvente, a meno che qualsiasi entità successore non abbia assunto per contratto o per effetto di legge tutti gli obblighi legali dell'esportatore di dati a seguito del quale si assume i diritti e obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale entità. Tale responsabilità di terzi del sub-responsabile del trattamento sarà limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.
Le parti non si oppongono al fatto che un interessato sia rappresentato da un'associazione o altro organismo se l'interessato lo desidera espressamente e se consentito dalla legislazione nazionale.
Clausola 4
Obblighi dell'esportatore di dati
L'esportatore di dati accetta e garantisce:
che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere effettuato in conformità con le disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, ove applicabile, è stato notificato alle autorità competenti del Membro Stato in cui è stabilito l'esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;
che ha incaricato e per tutta la durata dei servizi di trattamento dei dati personali incaricherà l'importatore di dati di trattare i dati personali trasferiti solo per conto dell'esportatore di dati e in conformità con la legge sulla protezione dei dati applicabile e le Clausole;
che l'importatore di dati fornirà garanzie sufficienti rispetto alle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 del presente contratto;
che dopo la valutazione dei requisiti della legge sulla protezione dei dati applicabile, le misure di sicurezza sono adeguate per proteggere i dati personali contro la distruzione accidentale o illegale o la perdita accidentale, l'alterazione, la divulgazione o l'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su un rete, e contro ogni altra forma illecita di trattamento, e che tali misure garantiscano un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere tenuto conto dello stato dell'arte e del costo della loro implementazione;
che garantirà il rispetto delle misure di sicurezza;
che, se il trasferimento riguarda categorie speciali di dati, l'interessato è stato informato o sarà informato prima, o non appena possibile dopo, il trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo che non fornisce una protezione adeguata ai sensi della Direttiva 95/46 / CE;
inoltrare qualsiasi notifica ricevuta dall'importatore di dati o da qualsiasi sub-responsabile del trattamento ai sensi della Clausola 5 (b) e della Clausola 8 (3) all'autorità di controllo della protezione dei dati se l'esportatore dei dati decide di continuare il trasferimento o di revocare la sospensione;
mettere a disposizione degli interessati su richiesta una copia delle Clausole, ad eccezione dell'Appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di subelaborazione che deve essere stipulato in conformità con le Clausole, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;
che, in caso di subelaborazione, l'attività di trattamento è svolta in conformità alla Clausola 11 da un sub-responsabile che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato dell'importatore di dati ai sensi delle Clausole; e (j) che garantirà la conformità con la Clausola 4 da (a) a (i).
Clausola 5
Obblighi dell'importatore di dati
L'importatore di dati accetta e garantisce:
trattare i dati personali solo per conto dell'esportatore dei dati e nel rispetto delle sue istruzioni e delle Clausole; qualora non sia in grado di fornire tale adempimento per qualsiasi motivo, si impegna a informare tempestivamente l'esportatore dei dati della propria impossibilità di ottemperare, nel qual caso l'esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e / o risolvere il contratto;
che non ha motivo di ritenere che la legislazione ad esso applicabile gli impedisca di adempiere alle istruzioni ricevute dall'esportatore di dati e ai suoi obblighi contrattuali e che in caso di modifica di tale normativa potrebbe avere un effetto negativo sostanziale sulle garanzie e gli obblighi previsti dalle Clausole, comunicherà tempestivamente la modifica all'esportatore di dati non appena ne verrà a conoscenza, nel qual caso l'esportatore di dati ha facoltà di sospendere il trasferimento dei dati e / o risolvere il contratto;
di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'Allegato 2 prima del trattamento dei dati personali trasferiti;
che informerà tempestivamente l'esportatore di dati in merito a:
qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte di un'autorità di contrasto, salvo diversa proibizione, come il divieto ai sensi del diritto penale di preservare la riservatezza di un'indagine delle forze dell'ordine,
qualsiasi accesso accidentale o non autorizzato, e
qualsiasi richiesta ricevuta direttamente dagli interessati senza dar seguito a tale richiesta, salvo che non sia stato altrimenti autorizzato a farlo;
trattare tempestivamente e adeguatamente tutte le richieste dell'esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e attenersi al parere dell'autorità di controllo in merito al trattamento dei dati trasferiti;
su richiesta dell'esportatore dei dati di sottoporre le proprie strutture di elaborazione dati per la verifica delle attività di trattamento oggetto delle Clausole che devono essere svolte dall'esportatore dei dati o da un organismo di controllo composto da membri indipendenti e in possesso delle qualifiche professionali richieste vincolate da un obbligo di riservatezza, selezionato dall'esportatore dei dati, ove applicabile, in accordo con l'autorità di controllo;
mettere a disposizione dell'interessato su richiesta una copia delle Clausole, o di qualsiasi contratto esistente per il subelaborazione, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell'Appendice 2 che deve essere sostituito da una descrizione sintetica delle misure di sicurezza nei casi in cui l'interessato non è in grado di ottenere una copia dall'esportatore dei dati;
che, in caso di subelaborazione, abbia preventivamente informato l'esportatore di dati e ottenuto il suo previo consenso scritto;
che i servizi di elaborazione da parte del sub-responsabile saranno eseguiti in conformità con la clausola 11;
inviare tempestivamente all'esportatore di dati una copia dell'eventuale contratto di sub-incaricato del trattamento stipulato ai sensi delle Clausole.
Clausola 6
Responsabilità
Le parti convengono che qualsiasi persona interessata che abbia subito un danno in conseguenza di una violazione degli obblighi di cui alla clausola 3 o alla clausola 11 da parte di qualsiasi parte o sub-responsabile del trattamento ha diritto a ricevere un risarcimento dall'esportatore dei dati per il danno subito.
Se una persona interessata non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 nei confronti dell'esportatore di dati, derivante da una violazione da parte dell'importatore di dati o del suo sub-responsabile del trattamento di uno qualsiasi dei loro obblighi di cui alla clausola 3 o alla clausola 11, poiché l'esportatore di dati è effettivamente scomparso o ha cessato di esistere per legge o è diventato insolvente, l'importatore di dati accetta che l'interessato possa presentare un reclamo nei confronti dell'importatore di dati come se fosse l'esportatore di dati, a meno che obblighi legali dell'esportatore di dati per contratto o per effetto di legge, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale entità. L'importatore di dati non può fare affidamento su una violazione da parte di un sub-responsabile del trattamento dei propri obblighi al fine di evitare le proprie responsabilità.
Se una persona interessata non è in grado di presentare un reclamo contro l'esportatore di dati o l'importatore di dati di cui ai paragrafi 1 e 2, derivante da una violazione da parte del sub-responsabile di uno qualsiasi dei loro obblighi di cui alla clausola 3 o alla clausola 11 perché sia l'esportatore di dati che l'importatore di dati sono effettivamente scomparsi o hanno cessato di esistere nella legge o sono diventati insolventi, il sub-responsabile del trattamento accetta che l'interessato possa presentare un reclamo nei confronti del sub-responsabile del trattamento dei dati in relazione alle proprie operazioni di trattamento ai sensi delle Clausole come se erano l'esportatore di dati o l'importatore di dati, a meno che qualsiasi entità successore non abbia assunto tutti gli obblighi legali dell'esportatore o dell'importatore di dati per contratto o per effetto di legge, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale entità. La responsabilità del sub-responsabile sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.
Clausola 7
Mediazione e giurisdizione
L'importatore di dati accetta che se l'interessato invoca nei suoi confronti diritti di beneficiario di terzi e / o chiede il risarcimento dei danni ai sensi delle Clausole, l'importatore di dati accetterà la decisione dell'interessato:
deferire la controversia alla mediazione, da parte di una persona indipendente o, ove applicabile, dall'autorità di controllo;
deferire la controversia ai tribunali dello Stato membro in cui è stabilito l'esportatore di dati.
Le parti convengono che la scelta effettuata dall'interessato non pregiudicherà i suoi diritti sostanziali o procedurali di cercare rimedi in conformità con altre disposizioni del diritto nazionale o internazionale.
Clausola 8
Collaborazione con le autorità di vigilanza
L'esportatore di dati si impegna a depositare una copia del presente contratto presso l'autorità di controllo se lo richiede o se tale deposito è richiesto ai sensi della legge sulla protezione dei dati applicabile.
Le parti convengono che l'autorità di controllo ha il diritto di condurre un audit dell'importatore di dati e di qualsiasi sub-responsabile del trattamento, che ha lo stesso ambito ed è soggetto alle stesse condizioni che si applicherebbero a un audit dell'esportatore di dati in base ai dati applicabili legge sulla protezione.
L'importatore di dati informa tempestivamente l'esportatore di dati dell'esistenza di una legislazione ad esso applicabile o di qualsiasi sub-responsabile del trattamento che impedisca lo svolgimento di una verifica dell'importatore di dati, o di qualsiasi sub-responsabile del trattamento, ai sensi del paragrafo 2. In tal caso l'esportatore di dati ha il diritto adottare le misure previste nella clausola 5 (b).
Clausola 9
Legge governativa
Le Clausole sono regolate dalla legge dello Stato membro in cui è stabilito l'esportatore di dati.
Clausola 10
Variazione del contratto
Le parti si impegnano a non variare o modificare le Clausole. Ciò non preclude alle parti di aggiungere clausole su questioni relative al business, ove richiesto, a condizione che non siano in contraddizione con la Clausola.
Clausola 11
Sottoprocesso
L'importatore di dati non può subappaltare alcuna delle sue operazioni di trattamento eseguite per conto dell'esportatore di dati ai sensi delle Clausole senza il previo consenso scritto dell'esportatore di dati. Qualora l'importatore di dati subappalti i propri obblighi ai sensi delle Clausole, con il consenso dell'esportatore di dati, lo farà solo mediante un accordo scritto con il sub-responsabile del trattamento che impone al sub-responsabile gli stessi obblighi imposti all'importatore di dati ai sensi del Clausole. Qualora il sub-responsabile del trattamento non adempia ai propri obblighi in materia di protezione dei dati ai sensi di tale accordo scritto, l'importatore di dati resta pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub-responsabile in base a tale accordo.
Il precedente contratto scritto tra l'importatore di dati e il sub-responsabile del trattamento prevede anche una clausola di terzo beneficiario come stabilito nella clausola 3 per i casi in cui l'interessato non è in grado di presentare la domanda di risarcimento di cui al paragrafo 1 della clausola 6 nei confronti dell'esportatore di dati o dell'importatore di dati perché sono effettivamente scomparsi o hanno cessato di esistere per legge o sono diventati insolventi e nessun ente successore ha assunto per contratto o per legge tutti gli obblighi legali dell'esportatore o dell'importatore di dati. Tale responsabilità di terzi del sub-responsabile del trattamento sarà limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.
Le disposizioni relative agli aspetti della protezione dei dati per il subelaborazione del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore dei dati.
L'esportatore di dati deve tenere un elenco degli accordi di subelaborazione conclusi ai sensi delle Clausole e notificati dall'importatore di dati ai sensi della Clausola 5 (j), che deve essere aggiornato almeno una volta all'anno. L'elenco è a disposizione dell'autorità di controllo della protezione dei dati dell'esportatore dei dati.
Clausola 12
Obbligo dopo la cessazione dei servizi di trattamento dei dati personali
Le parti convengono che, alla cessazione della fornitura dei servizi di elaborazione dei dati, l'importatore di dati e il sub-responsabile del trattamento, a scelta dell'esportatore di dati, restituiranno tutti i dati personali trasferiti e le relative copie all'esportatore di dati o distruggeranno tutti i dati. dati personali e certificare all'esportatore di dati di averlo fatto, a meno che la legislazione imposta all'importatore di dati non gli impedisca di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l'importatore dei dati garantisce che garantirà la riservatezza dei dati personali trasferiti e non elaborerà più attivamente i dati personali trasferiti.
L'importatore di dati e il sub-responsabile del trattamento garantiscono che, su richiesta dell'esportatore di dati e / o dell'autorità di controllo, sottoporrà le proprie strutture di elaborazione dati per una verifica delle misure di cui al paragrafo 1.
Per conto dell'esportatore di dati:
Nome (scritto per intero):
Posizione: Indirizzo:
Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):
Firma……………………………………….
(timbro di organizzazione)
Per conto dell'importatore di dati:
Nome (scritto per intero):
Posizione: Indirizzo:
Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):
Firma……………………………………….
(timbro di organizzazione)
Appendice 1 alle clausole contrattuali standard
un. Esportatore di dati
L'esportatore di dati è HOTELCONNECT Systems, un fornitore di servizi come specificato nel Contratto (se applicabile).
b. Importatore di dati
L'importatore di dati è l'entità (un sub-responsabile del trattamento) che riceve i Dati personali al di fuori del SEE e fornisce determinati servizi ai Sistemi HOTELCONNECT in relazione ai Servizi al Partner.
c. Soggetti interessati
I dati personali trasferiti possono riguardare persone su cui i dati personali vengono trasmessi o archiviati dall'esportatore di dati tramite il sistema e / o servizi ospitati nei Sistemi HOTELCONNECT, che tipicamente includono individui (Ospiti o potenziali clienti) che utilizzano i servizi del Partner.
d. Categorie di dati
I dati personali trasferiti riguardano le seguenti categorie di dati: dati degli ospiti contenuti nei moduli di contatto, informazioni di contatto e di identificazione, inclusi nome, titolo, e-mail e indirizzo, numeri di carta d'identità e / o passaporto, dettagli di pagamento, preferenze degli ospiti e Dettagli dei servizi del partner e dati limitati di connessione e posizione (città) in formato elettronico che vengono trasferiti all'importatore di dati nel contesto dei servizi di HOTELCONNECT Systems (forniti dal sub-responsabile / importatore pertinente)
e. Operazioni di elaborazione
I dati personali trasferiti saranno oggetto delle seguenti attività di trattamento di base:
Raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
Il Partner deve utilizzare ragionevoli precauzioni di sicurezza in relazione al suo utilizzo dei servizi, inclusa la crittografia appropriata dei dati personali archiviati o trasmessi dal sistema ospitato.
Appendice 2 alle clausole contrattuali standard
La presente Appendice fa parte delle Clausole e deve essere completata e firmata dalle parti
Descrizione delle misure di sicurezza tecniche e organizzative implementate dall'importatore di dati in conformità con le clausole 4 (d) e 5 (c) (o documento / legislazione allegata):
L'importatore di dati deve attuare misure di sicurezza equivalenti a quelle richieste ai sensi dell'Accordo, dell'Addendum e di tutti i documenti accessori stipulati ai sensi dell'Accordo.