Contratto di elaborazione dei dati degli ordini (ADV)

1. Scopo e ambito

(a) Scopo del presente accordo sull'elaborazione dei dati degli ordini (»ADV«) è necessario rispettare la legge federale svizzera sulla protezione dei dati (»DSG«) e, ove applicabile, per garantire ulteriori leggi sulla protezione dei dati (ad esempio il Regolamento generale europeo sulla protezione dei dati) (»leggi applicabili sulla protezione dei dati«), in relazione a ciascuna legge, solo se e nella misura applicabile alla rispettiva attività di trattamento.

(b) Per questo accordo, il cliente è la legge sulla protezione dei dati Persona responsabile o titolare del trattamento e Swissprime Technologies AG di Responsabile o responsabile del trattamento dei dati.

(c) Il presente ADV si applica al trattamento dei dati personali come descritto nell'Appendice 1 e tutti i termini definiti nell'Allegato 1 sono termini definiti nel presente ADV.

2. Interpretazione

(a) Laddove nel presente documento vengano utilizzati termini definiti nelle leggi applicabili sulla protezione dei dati, tali termini hanno lo stesso significato dei presenti termini.

(b) Il presente ADV deve essere letto e interpretato alla luce delle disposizioni delle leggi applicabili sulla protezione dei dati, in particolare del DSG, nella misura in cui sono applicabili.

(c) Queste clausole non devono essere interpretate in modo contrario ai diritti e agli obblighi previsti dalle leggi applicabili sulla protezione dei dati o che incida sui diritti o sulle libertà fondamentali degli interessati.

Terza gerarchia

(a) In caso di conflitto tra il presente ADV e i termini di qualsiasi altro accordo tra le parti esistente al momento dell'accordo del presente ADV o stipulato successivamente, prevarrà il presente ADV se non diversamente concordato espressamente per iscritto.

4. Descrizione del/dei trattamento/i

(a) I dettagli del trattamento, in particolare le categorie di dati personali e le finalità del trattamento per cui i dati personali sono trattati per conto del responsabile, sono indicati nell'allegato 1.

5. Obblighi delle parti contraenti

5.1 Generalità

(a) Il responsabile del trattamento tratta i dati personali solo su istruzioni scritte del responsabile, a meno che non sia legalmente obbligato a farlo ai sensi della legge a cui è soggetto il responsabile del trattamento. Il responsabile può inoltre impartire istruzioni successive per l'intera durata del trattamento dei dati personali. Tali istruzioni devono essere sempre documentate.

(b) Il responsabile del trattamento informerà immediatamente la persona responsabile se, a parere del titolare del trattamento, le istruzioni fornite dal titolare del trattamento violano il DSG o altre normative applicabili.

5.2 Stanziamento

(a) Il responsabile del trattamento può trattare i dati personali solo per gli scopi del trattamento specificati nell'Appendice 1.

5.3 Cancellazione o restituzione dei dati

(a) Il trattamento da parte del responsabile del trattamento può avvenire solo per il periodo specificato nell'Appendice 1.

(b) In caso di cessazione della fornitura dei servizi di trattamento dei dati personali o in caso di cessazione ai sensi della Sezione 8, il responsabile del trattamento restituisce tutti i dati personali alla persona responsabile e cancella le copie esistenti, a meno che le leggi sulla protezione dei dati applicabili o ulteriori regolamenti richiedano la conservazione dei dati personali.

5.4 Sicurezza del trattamento

(a) Il responsabile del trattamento dei dati adotta misure tecniche e organizzative (TOM) per garantire la sicurezza dei dati personali, inclusa la protezione contro la distruzione, la perdita, l'alterazione, il trasferimento o l'accesso non autorizzati a questi dati (violazione della protezione dei dati personali). Nel valutare il livello di sicurezza adeguato, tiene conto in particolare dei rischi associati al trattamento, del tipo di dati personali e della natura, dell'ambito, delle circostanze e delle finalità del trattamento.

(b) In caso di violazione dei dati personali per quanto riguarda i dati trattati dal responsabile del trattamento, il responsabile del trattamento ne informa immediatamente la persona responsabile, ma al più tardi entro 48 ore dalla venuta a conoscenza della violazione. La presente informativa include i dettagli di un punto di contatto presso il quale è possibile ottenere ulteriori informazioni sulla violazione dei dati personali, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo di interessati e set di dati), le sue probabili conseguenze e le misure che sono state adottate o devono essere adottate per mitigarne i potenziali effetti negativi. Se non è possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale includerà le informazioni disponibili in quel momento e ulteriori informazioni saranno fornite senza indebito ritardo non appena saranno disponibili.

(c) Il responsabile del trattamento collabora in buona fede con il responsabile del trattamento e lo assiste in tutti i modi necessari affinché il responsabile del trattamento sia in grado, se del caso, di informare l'autorità competente per la protezione dei dati e gli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.

(d) Il responsabile del trattamento concede ai suoi dipendenti l'accesso ai dati solo nella misura in cui ciò sia assolutamente necessario per l'esecuzione, l'amministrazione e il monitoraggio del contratto. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o siano soggette a un corrispondente obbligo legale di riservatezza.

5.5 Documentazione e conformità normativa

(a) Le parti devono essere in grado di dimostrare la conformità a questo ADV.

(b) Il responsabile del trattamento è tenuto a rispondere tempestivamente e correttamente a tutte le richieste ragionevoli del responsabile del trattamento relative al trattamento nel quadro delle leggi applicabili sulla protezione dei dati.

(c) Il responsabile del trattamento fornisce al responsabile del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nelle leggi applicabili sulla protezione dei dati e derivanti direttamente dalle leggi sulla protezione dei dati applicabili e, su richiesta del responsabile del trattamento, consente la verifica di file e documenti o gli audit delle attività di trattamento coperte da tali clausole e contribuisce a ciò, in particolare se vi sono segni di non conformità.

(d) Il responsabile può scegliere di effettuare personalmente l'audit, assumere un revisore indipendente a proprie spese o affidarsi a un audit indipendente commissionato dal responsabile del trattamento. Se il responsabile del trattamento commissiona un audit, deve sostenere i costi del revisore indipendente. I diritti di revisione, accesso e ispezione del titolare del trattamento ai sensi della presente clausola sono limitati esclusivamente ai registri del responsabile del trattamento dei dati (compresi i registri delle attività di trattamento) e non si applicano ai locali fisici del responsabile del trattamento. Qualsiasi revisione e richiesta di informazioni deve essere limitata alle informazioni necessarie ai fini del presente ADV e deve tenere debitamente conto degli obblighi di riservatezza del responsabile del trattamento dei dati e del suo legittimo interesse alla protezione dei segreti commerciali.

(e) Il responsabile del trattamento e il responsabile del trattamento forniscono le informazioni di cui alla presente clausola, compresi i risultati di eventuali audit, all'autorità di controllo competente su richiesta, se e nella misura richiesta dalle leggi applicabili sulla protezione dei dati.

(f) Il responsabile deve rimborsare al responsabile del trattamento le spese derivanti dalle attività di cui ai precedenti punti da b a d, a meno che i servizi non siano basati sul ragionevole sospetto di mancato rispetto della legislazione applicabile sulla protezione dei dati o causino sforzi irragionevoli.

5.6 Utilizzo di processori di dati secondari

(a) Il responsabile del trattamento ha il consenso del responsabile per la nomina dei sub-responsabili del trattamento (subfornitori). L'elenco dei subresponsabili del trattamento dei dati è riportato nell'Appendice 1. Il responsabile del trattamento informa per iscritto il responsabile del trattamento di qualsiasi modifica prevista a tale elenco aggiungendo o sostituendo i subresponsabili del trattamento, con almeno 30 giorni di anticipo, in modo che il responsabile del trattamento abbia la possibilità di opporsi a tali modifiche prima di dare istruzioni ai relativi sottoprocessori. Tale obiezione non deve essere ingiustificata. Le parti mantengono l'elenco aggiornato.

(b) Se il responsabile del trattamento dei dati incarica un subprocessore di svolgere determinate attività di trattamento (per conto del responsabile del trattamento), ciò avviene nell'ambito di un contratto che impone al sub-responsabile del trattamento dei dati gli stessi obblighi del responsabile del trattamento dei dati in conformità con le leggi applicabili sulla protezione dei dati. Il responsabile del trattamento garantisce che il subprocessore rispetti gli obblighi a cui è soggetto il responsabile del trattamento dei dati ai sensi del presente ADV e delle leggi applicabili sulla protezione dei dati.

(c) Il responsabile del trattamento dei dati rimane pienamente responsabile nei confronti della persona responsabile dell'adempimento degli obblighi del sub-responsabile del trattamento dei dati ai sensi del suo contratto con il responsabile del trattamento dei dati. Il responsabile del trattamento deve segnalare al responsabile del trattamento se il subresponsabile del trattamento non rispetta gli obblighi derivanti dal presente contratto.

5.7 Trasferimenti internazionali

(a) Qualsiasi trasferimento di dati a un»paese terzo«(qualsiasi paese al di fuori della Svizzera) o un'organizzazione internazionale da parte del responsabile del trattamento può aver luogo solo se approvata ai sensi dell'allegato 1 e deve essere effettuata in conformità con le leggi applicabili sulla protezione dei dati, nella misura applicabile. Potrebbe essere necessario aggiungere clausole contrattuali standard ed eseguire una valutazione d'impatto sulla protezione dei dati, con conseguenti requisiti aggiuntivi che devono essere adeguati.

(b) Il titolare del trattamento accetta che, nei casi in cui il responsabile del trattamento incarichi un sub-responsabile del trattamento ai sensi della clausola 5.6 per eseguire determinate attività di trattamento (per conto del responsabile del trattamento) in un paese terzo e tali attività di trattamento includono il trasferimento di dati personali, utilizzi una clausola standard di protezione dei dati approvata per soddisfare i requisiti delle leggi sulla protezione dei dati applicabili, a condizione che siano soddisfatte le condizioni per l'uso di tali clausole.

6. Diritti dell'interessato

(a) Il responsabile del trattamento informa immediatamente il responsabile di tutte le richieste fatte direttamente dall'interessato. Non risponde personalmente a questa richiesta, a meno che non sia stato autorizzato a farlo dalla persona responsabile.

(b) Il responsabile del trattamento aiuta il titolare del trattamento ad adempiere ai suoi obblighi di rispondere alle richieste degli interessati di esercitare i loro diritti, nella misura applicabile:

  1. il diritto di essere informati quando i dati personali vengono raccolti dall'interessato,
  2. il diritto di essere informati quando i dati personali non sono stati ricevuti dall'interessato,
  3. il diritto all'informazione della persona interessata,
  4. il diritto di rettifica,
  5. il diritto alla cancellazione («il diritto all'oblio»),
  6. il diritto di limitare il trattamento,
  7. l'obbligo di segnalazione di correggere o cancellare i dati personali o di limitare il trattamento,
  8. il diritto alla portabilità dei dati,
  9. il diritto di presentare un'obiezione
  10. il diritto a non essere soggetti a una decisione basata esclusivamente sul trattamento automatizzato, compresa la profilazione.

(c) Oltre all'obbligo del responsabile del trattamento di assistere il responsabile del trattamento ai sensi dell'articolo 6, lettera b), il responsabile del trattamento aiuta il responsabile del trattamento a rispettare i seguenti obblighi, tenendo conto della natura del trattamento e delle informazioni a sua disposizione:

  1. l'obbligo di segnalare una violazione dei dati personali all'autorità di controllo competente subito dopo averne preso conoscenza (a meno che non sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche);
  2. l'obbligo di notificare immediatamente all'interessato una violazione dei dati personali se è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche;
  3. l'obbligo di effettuare una valutazione dell'impatto del trattamento previsto sulla protezione dei dati personali (una «valutazione d'impatto sulla protezione dei dati») quando un tipo di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche;
  4. l'obbligo di consultare l'autorità di controllo competente prima del trattamento se una valutazione d'impatto sulla protezione dei dati dimostra che il trattamento comporterebbe un rischio elevato se il titolare del trattamento non adottasse misure per ridurre il rischio.

(d) La persona responsabile deve rimborsare al responsabile del trattamento le spese derivanti da qualsiasi servizio sulla base dei diritti sopra menzionati, a meno che i servizi non siano basati su un ragionevole sospetto di mancato rispetto della legislazione applicabile sulla protezione dei dati o lo sforzo sia irragionevole.

7. Segnalazione di violazioni della protezione dei dati personali

(a) In caso di violazione dei dati personali, il responsabile del trattamento collaborerà in buona fede con il responsabile del trattamento e lo assisterà in modo ragionevole per adempiere ai suoi obblighi in materia di valutazione dell'impatto sulla protezione dei dati, tenendo conto del tipo di trattamento e delle informazioni a disposizione del responsabile del trattamento. Spese eccessive devono essere pagate al responsabile del trattamento.

(b) Il responsabile del trattamento aiuta la persona responsabile a segnalare la violazione dei dati personali all'autorità di controllo competente, ove applicabile. In particolare, il responsabile del trattamento è tenuto a fornire assistenza nell'ottenimento delle seguenti informazioni, che, in conformità con le leggi applicabili sulla protezione dei dati, come l'articolo 22 paragrafo 2 DSG, devono essere fornite nella relazione del responsabile del trattamento:

  1. il tipo di dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo di record di dati personali interessati;
  2. le probabili conseguenze di una violazione della protezione dei dati personali;
  3. le misure che il titolare del trattamento ha adottato o intende adottare per porre rimedio alla violazione della protezione dei dati personali, comprese, se del caso, misure per mitigare i potenziali effetti negativi.

8. Cessazione

(a) Fatte salve le disposizioni delle leggi applicabili sulla protezione dei dati, il responsabile del trattamento può ordinare al responsabile del trattamento di interrompere temporaneamente il trattamento dei dati personali fino a quando non rispetta le leggi applicabili sulla protezione dei dati o il contratto viene risolto se il processore dei dati viola i suoi obblighi ai sensi del presente ADV o della corrispondente base giuridica. Il responsabile del trattamento informerà immediatamente la persona responsabile se, per qualsiasi motivo, non è in grado di rispettare le leggi applicabili sulla protezione dei dati.

(b) Il responsabile ha il diritto di annullare il presente ADV e il contratto di base se:

  1. il trattamento dei dati personali da parte del responsabile del trattamento è stato temporaneamente sospeso dal titolare del trattamento ai sensi della lettera a, la violazione da parte del titolare del trattamento è significativa e il rispetto della protezione dei dati non è ripristinato entro un periodo di tempo ragionevole, ma in ogni caso entro un mese;
  2. Il responsabile del trattamento sta violando in modo significativo o permanente la legge sulla protezione dei dati applicabile (in particolare il DSG) o i suoi obblighi ai sensi delle leggi sulla protezione dei dati applicabili e non si prevede che tale violazione venga risolta;
  3. il responsabile del trattamento non rispetta una decisione vincolante di un tribunale o di un'autorità di controllo competente in merito agli obblighi previsti dalle leggi sulla protezione dei dati applicabili.

(c) Questo ADV rimarrà in vigore fino a quando rimarrà in vigore l'accordo concluso tra le parti. Tutte le disposizioni del presente ADV che entrano in vigore o sono destinate a continuare in vigore, espresse o implicite, al momento o dopo la risoluzione dell'Accordo sulla protezione dei dati personali rimarranno in vigore a tutti gli effetti.

9. Responsabilità e risarcimento

(a) Fatta salva qualsiasi disposizione contraria contenuta nel presente ADV o in qualsiasi altro accordo tra le parti, il responsabile del trattamento, su richiesta, indennizzerà immediatamente e integralmente il responsabile del trattamento da tutti i costi, reclami, richieste, spese (comprese le spese legali ragionevoli), perdite, azioni legali, procedimenti e responsabilità di qualsiasi tipo presentati dal titolare del trattamento o dalle sue affiliate in relazione al mancato rispetto da parte del responsabile del trattamento delle disposizioni del presente Accordo e/o della legge applicabile sulla protezione dei dati o terze parti da lui incaricate sorgono nel trattamento dei dati personali per la persona responsabile.

Inoltre, si applicano le disposizioni del presente ADV e del Codice delle obbligazioni svizzero.

10. Giurisdizione e legge applicabile

Il foro competente è la sede legale della persona responsabile. È applicabile il diritto sostanziale svizzero.

11. Varie

Nella misura in cui nulla è concordato nel presente documento, si applica qualsiasi contratto (quadro) concluso.

Scopo del trattamento Gestione del contratto inclusi documenti aggiuntivi, condizioni d'uso e informativa sulla privacy (il “Contratto di base”)
Durata del trattamento Per tutto il tempo necessario all’esecuzione del Contratto di base
Categorie di persone interessate* Dipendenti o membri del Titolare del trattamento
Altre persone con diritti di accesso
Categorie di dati personali Dati di contatto (nome, cognome, e-mail), indirizzo IP, registri di accesso
Luogo di conservazione e trattamento Presso la sede del responsabile del trattamento e dei suoi sub-responsabili autorizzati, ovvero nei centri dati indicati nel presente DPA
Controlli in loco No

* Le categorie di dati personali e gli interessati sono definiti dal responsabile e senza l'intervento del responsabile del trattamento. L'elenco è fornito a titolo esemplificativo.

Responsabile del trattamento dei dati secondari

Fornitore di servizi Luogo del trattamento Tipo di servizio
Microsoft Ireland Operations Limited UE (possibile trasferimento dati da Microsoft negli USA) Archiviazione dati
Twilio Inc. USA Servizi SMS ed Email
Stripe Payments Europe, Limited USA Fornitore di pagamenti
Bexio Svizzera Fatturazione
Schüco International Germania Supporto
© 2025 Schüco Germania
tracciaProtezione dei datiTermini E CondizioniElaborazione dei dati dell'ordine