TERMINI DI TRATTAMENTO DEI DATI
Termini di trattamento dei dati
I presenti Termini per il trattamento dei dati ("Termini") fanno parte dei Termini di servizio tra ZARO Inc. e le sue società affiliate e controllate come AS ZARO Lettonia, ZARO Custom Printing, SL e altri ("ZARO") e i Commercianti (definiti di seguito) per quanto riguarda i servizi di ZARO. I presenti Termini sono vincolanti tra ZARO e i Commercianti e costituiscono un accordo sul trattamento dei dati. In caso di conflitto tra i presenti Termini e il Contratto, prevarranno questi Termini. Se non accetti i presenti Termini, non utilizzare il Servizio (entrambi definiti di seguito).
1. Definizioni
I termini in maiuscolo non altrimenti definiti nel presente documento avranno lo stesso significato stabilito nel Contratto.
"Accordo" indica i Termini di servizio stipulati da ZARO e dal Commerciante in merito all'utilizzo del Servizio di ZARO.
“Interessato”, “Titolare”, “Responsabile”, “Autorità di Controllo” e “Trattamenti” hanno il significato attribuito nel GDPR.
Per "Leggi sulla protezione dei dati" si intende (a) il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (“GDPR”) e qualsiasi legge nazionale di attuazione o integrazione applicabile, incluso il Data Protection Act del Regno Unito 2018 (ove applicabile); (b) la Direttiva e-Privacy 2002/58/CE e tutte le leggi nazionali di attuazione applicabili; e (c) il Regolamento e-Privacy 2017/003 (una volta entrato in vigore); in ogni caso come modificato, consolidato, rievocato o sostituito di volta in volta.
Per "Commerciante" si intende qualsiasi persona, persona giuridica o persona fisica, che utilizza il Servizio ZARO per eseguire ordini e/o consegnare i propri prodotti ai destinatari, compresi i clienti del Commerciante.
Per “Clausole modello” si intendono le clausole contrattuali tipo (dal titolare al responsabile) stabilite nella decisione della Commissione del 5 febbraio 2010 (C (2010) 593), come modificata, aggiornata o sostituita di volta in volta.
"Parti" indica ZARO e il Commerciante.
Per “Dati personali” si intendono i Dati personali soggetti al GDPR e a qualsiasi legislazione nazionale che implementa il GDPR, incluso il Data Protection Act del Regno Unito 2018 (ove applicabile), compresi i Dati personali dei Commercianti di ZARO a cui vengono offerti beni e servizi nel SEE e nel Regno Unito (i “Paesi GDPR”);
Per "Programma di Scudo per la Privacy" si intendono i quadri di Scudo per la Privacy UE-USA e Svizzera-USA progettati dal Dipartimento del Commercio degli Stati Uniti e approvati dalla Commissione Europea e dall'Amministrazione Svizzera (rispettivamente) in quanto forniscono una protezione adeguata riguardo alla raccolta, all'uso e alla conservazione dei dati informazioni personali trasferite dall'UE, dal Regno Unito e/o dalla Svizzera (a seconda dei casi) agli Stati Uniti.
Per "Servizio" si intendono i servizi di stampa su richiesta offerti da ZARO ai Commercianti, inclusa la stampa per uso personale o l'outsourcing della stampa e della consegna di prodotti ai clienti del Commerciante, nonché branding, immagazzinamento e realizzazione, progettazione, merchandising e altri servizi offerti da ZARO può fornire in conformità con i requisiti del Commerciante.
Per “Paesi Terzi” si intendono tutti i paesi al di fuori dello Spazio Economico Europeo (“SEE”), esclusi i paesi approvati di volta in volta dalla Commissione Europea come fornitori di protezione adeguata dei dati personali, che alla data del presente Accordo includono Andorra, Argentina, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Giappone, Jersey, Nuova Zelanda, Svizzera e Uruguay.
2. Oggetto delle Condizioni
I presenti Termini regolano il rapporto tra ZARO e il Commerciante in relazione a qualsiasi trattamento dei dati personali da parte di ZARO per conto del Commerciante.
Nella misura in cui ZARO tratta i dati personali per conto del Commerciante, il Commerciante è il Titolare del trattamento e ZARO è il Responsabile del trattamento, elaborando questi Dati personali solo per conto del Commerciante.
Il Commerciante nomina e incarica ZARO di trattare i Dati personali come prescritto dai presenti Termini, anche per quanto riguarda il trasferimento dei Dati personali verso un Paese terzo o un'organizzazione internazionale.
3. Dettagli del trattamento
3.1 Nella misura in cui ZARO tratta i dati personali per conto del Commerciante, si applicano i seguenti dettagli di elaborazione:
Categorie di Interessati. Clienti del Commerciante (utenti finali dei Servizi ZARO) e potenziali clienti del Commerciante o altri utenti finali dei Servizi ZARO, i cui dati personali il Commerciante ha autorizzato ZARO al trattamento.
Tipologia di dati personali. Dati personali relativi ai clienti del Commerciante e tutti i Dati personali nei contenuti stampati del Commerciante (ove applicabile) e Dati personali rivelati durante l'utilizzo di qualsiasi Servizio ZARO, inclusi nome, indirizzo e-mail, numero di telefono, indirizzo di spedizione e altre informazioni sui clienti del Commerciante .
Natura e finalità del trattamento. ZARO tratta i dati in conformità con le presenti Condizioni al fine di fornire il servizio al commerciante e garantire in altro modo l'adempimento degli obblighi stabiliti nel contratto tra il commerciante e ZARO nella misura in cui ciò comporta il trattamento di dati personali. ZARO ha accesso solo ai dati personali forniti dal Commerciante e utilizza tali dati personali in conformità con le istruzioni del Commerciante stabilite nei presenti Termini.
Durata del trattamento. I dati verranno trattati per tutta la durata del contratto.
4. Obblighi del Commerciante
Il Commerciante garantisce di aver rispettato e continua a rispettare le Leggi sulla protezione dei dati, comprese quelle stabilite nella Clausola 4(b).
Il Commerciante conferma che i Dati personali trasferiti a ZARO sono stati raccolti dal Commerciante su una base legale valida e che il Commerciante ha ottenuto tutti i consensi necessari o fornito tutte le comunicazioni necessarie come prescritto dalle Leggi sulla protezione dei dati, e che il Commerciante ha il diritto di fornire i dati Dati personali a ZARO.
Il Commerciante conferma che i presenti Termini contengono istruzioni sufficienti per ZARO in merito al trattamento dei dati personali, nonché alla portata e alle finalità dello stesso.
Se ragionevolmente necessario, il Commerciante può fornire a ZARO ulteriori istruzioni relative al trattamento dei Dati personali diverse da quelle prescritte dai presenti Termini. Tali istruzioni aggiuntive devono essere ragionevoli da eseguire per ZARO, adeguatamente documentate e conformi alle leggi sulla protezione dei dati e devono essere accettate anche da ZARO.
Il Commerciante sarà responsabile dell'accuratezza dei Dati personali e del loro aggiornamento e informerà ZARO in caso di eventuali modifiche dei Dati personali.
ZARO non sarà responsabile per eventuali reclami o reclami da parte degli Interessati in merito a qualsiasi azione intrapresa da ZARO a seguito dell'azione in conformità con le istruzioni ricevute dal Commerciante. Inoltre, il Commerciante accetta di risarcire e tenere indenne ZARO su richiesta da e contro tutte le pretese, responsabilità, costi, spese, perdite o danni (comprese perdite consequenziali, perdita di profitto e perdita di reputazione e tutti gli interessi, sanzioni e spese legali e altri costi e spese professionali) sostenuti da ZARO derivanti direttamente o indirettamente da una violazione della presente Clausola 4.
5. Obblighi di ZARO
ZARO tratterà i Dati personali solo per conto del Commerciante e seguirà sempre le istruzioni del Commerciante prescritte dai presenti Termini o come altrimenti fornito a ZARO per iscritto in conformità alla Clausola 4(e); se ZARO non può garantire tale conformità per qualsiasi motivo (incluso se l'istruzione viola le leggi sulla protezione dei dati), si impegna a informare il Commerciante della sua incapacità di conformarsi non appena ragionevolmente possibile.
ZARO ha implementato le misure tecniche e organizzative adeguate specificate nell'Allegato 1 (Misure di sicurezza tecniche e organizzative) dei presenti Termini e continuerà a rispettarle durante la durata dei presenti Termini e del Contratto.
ZARO monitora e garantisce che tutto il personale autorizzato di ZARO coinvolto nel trattamento dei dati ai sensi dei presenti Termini si sia impegnato a rispettare obblighi di riservatezza o sia soggetto a un adeguato obbligo legale di riservatezza.
Ulteriori obblighi di ZARO sono stabiliti nelle clausole da 6 a 9.
6. Assistenza al Commerciante
Considerando la natura del trattamento, ZARO fornirà tutta l'assistenza ragionevole al Commerciante con la predisposizione di misure tecniche o organizzative, per quanto possibile, per l'adempimento degli obblighi del Commerciante in qualità di Titolare del trattamento in relazione a:
Eventuali richieste degli interessati in merito all'accesso, alla rettifica, alla cancellazione, alla restrizione, alla portabilità, al blocco o alla cancellazione dei loro dati personali che ZARO elabora per conto del Commerciante. Nel caso in cui un Interessato invii tale richiesta direttamente a ZARO, ZARO inoltrerà tempestivamente tale richiesta al Commerciante;
L'indagine su qualsiasi violazione della sicurezza che porta alla distruzione, perdita, alterazione, alterazione, divulgazione non autorizzata o accesso agli stessi accidentalmente o illegalmente dei dati personali appartenenti al Commerciante o qualsiasi accesso accidentale o non autorizzato o qualsiasi altro evento che compromette l'integrità, la disponibilità o riservatezza dei Dati Personali appartenenti al Commerciante (una “Violazione dei Dati”) e la notifica all'Autorità di Controllo competente e agli Interessati in merito a tale Violazione dei Dati (ove richiesto); inoltre, ZARO notificherà tempestivamente al Commerciante qualsiasi violazione dei dati; E
Ove opportuno, la predisposizione di valutazioni d’impatto sulla protezione dei dati e, ove necessario, lo svolgimento di consultazioni con eventuali Autorità di Controllo.
7. Sub-responsabili e trasferimento dei dati
Affinché ZARO possa adempiere ai propri obblighi prescritti dal Contratto e amministrare e fornire il Servizio, il Commerciante concede a ZARO l'autorizzazione generale scritta a coinvolgere sub-responsabili del trattamento. Il commerciante può ottenere l'elenco degli attuali sub-responsabili incaricati da ZARO inserendo l'indirizzo e-mail dell'account registrato nella sezione sottostante. L'elenco includerà le identità dei sub-responsabili, i servizi forniti e il paese di ubicazione.
Il commerciante verrà informato della nomina o di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione dei sub-responsabili del trattamento di ZARO in questa sezione del sito web di ZARO. Tale notifica apparirà 10 (dieci) giorni prima dell'assunzione del sub-responsabile. Durante questo periodo il Commerciante può opporsi alla nomina o alla sostituzione del subresponsabile inviando una comunicazione scritta a privacy@ZARO.shop, fornendo ragionevoli motivi di opposizione (ad esempio, in caso di possibile violazione delle leggi sulla protezione dei dati). Se il Commerciante non si oppone, ZARO potrà procedere alla nomina o alla sostituzione.
ZARO conferma con la presente che i suoi sub-responsabili sono contrattualmente o altrimenti in forma vincolante tenuti a rispettare gli obblighi di trattamento dei dati che non sono meno onerosi per il relativo sub-responsabile rispetto agli obblighi su ZARO come prescritto dai presenti Termini.
Laddove ZARO tratti, acceda e/o memorizzi dati personali in qualsiasi Paese terzo, ZARO dovrà:
rispettare gli obblighi dell'importatore di dati stabiliti nelle Clausole modello, che sono qui incorporate e fanno parte di questi Termini con i dettagli di trattamento di cui alla Clausola 3 (Dettagli del trattamento) e le misure di sicurezza tecniche e organizzative di cui all'Allegato 1 (Misure di sicurezza tecniche e organizzative) applicabili ai fini dell'Appendice 1 e dell'Appendice 2, rispettivamente, delle Clausole modello, e il Commerciante rispetterà gli obblighi dell'Esportatore di dati nelle Clausole modello; E
Il Commerciante riconosce e accetta che ZARO possa nominare un affiliato o un subappaltatore terzo per elaborare i dati personali del Commerciante in un Paese terzo, a condizione che garantisca che tale trattamento avvenga in conformità con i requisiti delle leggi sulla protezione dei dati. Le Parti convengono che i Dati personali possano essere trasferiti a un subappaltatore affiliato o terzo certificato per elaborare tali dati nell'ambito del Programma Scudo per la privacy. In alternativa, il Commerciante conferisce a ZARO il mandato di eseguire le Clausole modello con i dettagli del trattamento di cui alla Clausola 3 (Dettagli del trattamento) e le misure di sicurezza tecniche e organizzative di cui all'Allegato 1 (Misure di sicurezza tecniche e organizzative) applicabili per le finalità dell'Appendice 1 e dell'Appendice 2, rispettivamente, delle Clausole Modello, con qualsiasi subappaltatore o affiliato rilevante nominato per conto del Commerciante.
8. Controllo
Su richiesta scritta del Commerciante, ZARO fornirà informazioni sufficienti per dimostrare il rispetto degli obblighi stabiliti nei presenti Termini e nelle Leggi sulla protezione dei dati. Queste informazioni saranno fornite nella misura in cui tali informazioni sono sotto il controllo di ZARO e a ZARO non è impedito di divulgarle dalla legge applicabile, da un obbligo di riservatezza o da qualsiasi altro obbligo dovuto a terzi.
Se le informazioni fornite su richiesta del Commerciante secondo il ragionevole giudizio del Commerciante non sono sufficienti per confermare la conformità di ZARO ai presenti Termini, allora ZARO si impegna a consentire e contribuire alle verifiche dell'elaborazione dei dati.
Tali audit possono essere eseguiti da una terza parte indipendente con una buona reputazione sul mercato, a condizione che abbia sufficiente esperienza e competenza per effettuare audit sull'elaborazione dei dati, e l'elezione di tale revisore deve essere concordata di comune accordo sia dal Commerciante che da ZARO.
I tempi e gli altri aspetti pratici relativi a tali controlli o ispezioni sono determinati da ZARO e tali informazioni e assistenza sono fornite solo a spese del Commerciante. ZARO si riserva il diritto di addebitare al Commerciante qualsiasi lavoro aggiuntivo o altri costi sostenuti in relazione a tali controlli. Il Commerciante può richiedere tale verifica non più di una volta ogni 2 anni.
Il revisore dovrà firmare un accordo di riservatezza, che comprende l'obbligo di non divulgare informazioni aziendali nella sua relazione di audit, e la relazione finale dovrà essere fornita anche a ZARO.
9. Restituzione e cancellazione dei Dati
A scelta del Commerciante, ZARO cancellerà o restituirà tutti i Dati personali al Commerciante dopo la scadenza del Contratto e cancellerà le copie esistenti, a meno che una legge applicabile non imponga a ZARO di archiviare tali Dati personali.
10. Legge applicabile
Le presenti Condizioni sono regolate dalle leggi della Repubblica di Lettonia e sono soggette alla procedura di risoluzione delle controversie come prescritto dal Contratto.
11. Modifiche
ZARO si riserva il diritto, a sua discrezione, di modificare i presenti Termini. In caso di modifiche sostanziali, ZARO avviserà per iscritto il Commerciante, dando al Commerciante il diritto di recedere dal Contratto.
Programma 1
Misure di Sicurezza Tecniche ed Organizzative
ZARO adotta, tra le altre, le seguenti misure tecniche e organizzative per garantire la sicurezza fisica dei Dati personali e controllare l'immissione, l'accesso, il trasferimento, l'inserimento, la disponibilità e la separazione dei Dati personali nel sistema di controllo:
1. per stabilire l'identità delle persone autorizzate e impedire l'accesso non autorizzato ai locali e alle strutture di ZARO in cui vengono trattati i Dati Personali:
Tutti gli ingressi sono protetti o bloccati e sono accessibili solo con l'apposita chiave/chip card/chiavi digitali interne;
I locali sono protetti da un sistema di allarme;
Tutti i visitatori sono tenuti a identificarsi e a farsi registrare dal personale autorizzato;
Monitoraggio video dei locali;
I visitatori sono sempre accompagnati dal personale ZARO;
Guardie di sicurezza addestrate sono di stanza all'interno e nei dintorni dell'edificio 24 ore su 24, 7 giorni su 7,
2. per impedire l'accesso non autorizzato ai sistemi di elaborazione dei dati:
Utilizzo di software antivirus all'avanguardia che include il filtraggio della posta elettronica e il rilevamento di malware;
Utilizzo di firewall;
Durante i periodi di inattività, i PC degli utenti e degli amministratori sono bloccati;
Gli utenti sono tenuti a impostare password complesse e 2FA in tutti i sistemi possibili;
Concetto di privilegio minimo, che consente agli utenti solo l'accesso necessario per svolgere la propria funzione lavorativa. L'accesso al di sopra di questi privilegi minimi richiede un'autorizzazione adeguata;
I processi di pulizia in entrata, in uscita e in uscita che coprono i diritti di accesso dipendono dalle mansioni lavorative;
Autenticazione a 2 fattori RSA/ed25519 per le connessioni remote più critiche;
Scansione e risoluzione delle vulnerabilità in atto;
Programma di test di penetrazione del data center e del sito Web in atto.
3. prevenire attività non autorizzate nei sistemi di trattamento dei dati al di fuori dell'ambito delle autorizzazioni eventualmente concesse:
L'accesso degli utenti e degli amministratori alla rete si basa su un modello di diritti di accesso basato su gruppi/ruoli. Esiste un concetto di autorizzazione che garantisce i diritti di accesso ai dati solo in base alla “necessità di sapere”;
Amministrazione dei diritti utente tramite amministratori di sistema o proprietari di sistema;
Verifiche di governance e controlli IT intrapresi regolarmente da terze parti esterne;
Audit di controllo interno svolti regolarmente.
4. garantire che i dati personali non possano essere letti, copiati, alterati o rimossi da persone non autorizzate durante la loro trasmissione elettronica o durante il trasporto o la registrazione su supporti dati e garantire che sia possibile esaminare e stabilire dove i dati personali sono o sono stati da trasmettere mediante apparecchiature di trasmissione dati
I presenti Termini per il trattamento dei dati ("Termini") fanno parte dei Termini di servizio tra ZARO Inc. e le sue società affiliate e controllate come AS ZARO Lettonia, ZARO Custom Printing, SL e altri ("ZARO") e i Commercianti (definiti di seguito) per quanto riguarda i servizi di ZARO. I presenti Termini sono vincolanti tra ZARO e i Commercianti e costituiscono un accordo sul trattamento dei dati. In caso di conflitto tra i presenti Termini e il Contratto, prevarranno questi Termini. Se non accetti i presenti Termini, non utilizzare il Servizio (entrambi definiti di seguito).
1. Definizioni
I termini in maiuscolo non altrimenti definiti nel presente documento avranno lo stesso significato stabilito nel Contratto.
"Accordo" indica i Termini di servizio stipulati da ZARO e dal Commerciante in merito all'utilizzo del Servizio di ZARO.
“Interessato”, “Titolare”, “Responsabile”, “Autorità di Controllo” e “Trattamenti” hanno il significato attribuito nel GDPR.
Per "Leggi sulla protezione dei dati" si intende (a) il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (“GDPR”) e qualsiasi legge nazionale di attuazione o integrazione applicabile, incluso il Data Protection Act del Regno Unito 2018 (ove applicabile); (b) la Direttiva e-Privacy 2002/58/CE e tutte le leggi nazionali di attuazione applicabili; e (c) il Regolamento e-Privacy 2017/003 (una volta entrato in vigore); in ogni caso come modificato, consolidato, rievocato o sostituito di volta in volta.
Per "Commerciante" si intende qualsiasi persona, persona giuridica o persona fisica, che utilizza il Servizio ZARO per eseguire ordini e/o consegnare i propri prodotti ai destinatari, compresi i clienti del Commerciante.
Per “Clausole modello” si intendono le clausole contrattuali tipo (dal titolare al responsabile) stabilite nella decisione della Commissione del 5 febbraio 2010 (C (2010) 593), come modificata, aggiornata o sostituita di volta in volta.
"Parti" indica ZARO e il Commerciante.
Per “Dati personali” si intendono i Dati personali soggetti al GDPR e a qualsiasi legislazione nazionale che implementa il GDPR, incluso il Data Protection Act del Regno Unito 2018 (ove applicabile), compresi i Dati personali dei Commercianti di ZARO a cui vengono offerti beni e servizi nel SEE e nel Regno Unito (i “Paesi GDPR”);
Per "Programma di Scudo per la Privacy" si intendono i quadri di Scudo per la Privacy UE-USA e Svizzera-USA progettati dal Dipartimento del Commercio degli Stati Uniti e approvati dalla Commissione Europea e dall'Amministrazione Svizzera (rispettivamente) in quanto forniscono una protezione adeguata riguardo alla raccolta, all'uso e alla conservazione dei dati informazioni personali trasferite dall'UE, dal Regno Unito e/o dalla Svizzera (a seconda dei casi) agli Stati Uniti.
Per "Servizio" si intendono i servizi di stampa su richiesta offerti da ZARO ai Commercianti, inclusa la stampa per uso personale o l'outsourcing della stampa e della consegna di prodotti ai clienti del Commerciante, nonché branding, immagazzinamento e realizzazione, progettazione, merchandising e altri servizi offerti da ZARO può fornire in conformità con i requisiti del Commerciante.
Per “Paesi Terzi” si intendono tutti i paesi al di fuori dello Spazio Economico Europeo (“SEE”), esclusi i paesi approvati di volta in volta dalla Commissione Europea come fornitori di protezione adeguata dei dati personali, che alla data del presente Accordo includono Andorra, Argentina, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Giappone, Jersey, Nuova Zelanda, Svizzera e Uruguay.
2. Oggetto delle Condizioni
I presenti Termini regolano il rapporto tra ZARO e il Commerciante in relazione a qualsiasi trattamento dei dati personali da parte di ZARO per conto del Commerciante.
Nella misura in cui ZARO tratta i dati personali per conto del Commerciante, il Commerciante è il Titolare del trattamento e ZARO è il Responsabile del trattamento, elaborando questi Dati personali solo per conto del Commerciante.
Il Commerciante nomina e incarica ZARO di trattare i Dati personali come prescritto dai presenti Termini, anche per quanto riguarda il trasferimento dei Dati personali verso un Paese terzo o un'organizzazione internazionale.
3. Dettagli del trattamento
3.1 Nella misura in cui ZARO tratta i dati personali per conto del Commerciante, si applicano i seguenti dettagli di elaborazione:
Categorie di Interessati. Clienti del Commerciante (utenti finali dei Servizi ZARO) e potenziali clienti del Commerciante o altri utenti finali dei Servizi ZARO, i cui dati personali il Commerciante ha autorizzato ZARO al trattamento.
Tipologia di dati personali. Dati personali relativi ai clienti del Commerciante e tutti i Dati personali nei contenuti stampati del Commerciante (ove applicabile) e Dati personali rivelati durante l'utilizzo di qualsiasi Servizio ZARO, inclusi nome, indirizzo e-mail, numero di telefono, indirizzo di spedizione e altre informazioni sui clienti del Commerciante .
Natura e finalità del trattamento. ZARO tratta i dati in conformità con le presenti Condizioni al fine di fornire il servizio al commerciante e garantire in altro modo l'adempimento degli obblighi stabiliti nel contratto tra il commerciante e ZARO nella misura in cui ciò comporta il trattamento di dati personali. ZARO ha accesso solo ai dati personali forniti dal Commerciante e utilizza tali dati personali in conformità con le istruzioni del Commerciante stabilite nei presenti Termini.
Durata del trattamento. I dati verranno trattati per tutta la durata del contratto.
4. Obblighi del Commerciante
Il Commerciante garantisce di aver rispettato e continua a rispettare le Leggi sulla protezione dei dati, comprese quelle stabilite nella Clausola 4(b).
Il Commerciante conferma che i Dati personali trasferiti a ZARO sono stati raccolti dal Commerciante su una base legale valida e che il Commerciante ha ottenuto tutti i consensi necessari o fornito tutte le comunicazioni necessarie come prescritto dalle Leggi sulla protezione dei dati, e che il Commerciante ha il diritto di fornire i dati Dati personali a ZARO.
Il Commerciante conferma che i presenti Termini contengono istruzioni sufficienti per ZARO in merito al trattamento dei dati personali, nonché alla portata e alle finalità dello stesso.
Se ragionevolmente necessario, il Commerciante può fornire a ZARO ulteriori istruzioni relative al trattamento dei Dati personali diverse da quelle prescritte dai presenti Termini. Tali istruzioni aggiuntive devono essere ragionevoli da eseguire per ZARO, adeguatamente documentate e conformi alle leggi sulla protezione dei dati e devono essere accettate anche da ZARO.
Il Commerciante sarà responsabile dell'accuratezza dei Dati personali e del loro aggiornamento e informerà ZARO in caso di eventuali modifiche dei Dati personali.
ZARO non sarà responsabile per eventuali reclami o reclami da parte degli Interessati in merito a qualsiasi azione intrapresa da ZARO a seguito dell'azione in conformità con le istruzioni ricevute dal Commerciante. Inoltre, il Commerciante accetta di risarcire e tenere indenne ZARO su richiesta da e contro tutte le pretese, responsabilità, costi, spese, perdite o danni (comprese perdite consequenziali, perdita di profitto e perdita di reputazione e tutti gli interessi, sanzioni e spese legali e altri costi e spese professionali) sostenuti da ZARO derivanti direttamente o indirettamente da una violazione della presente Clausola 4.
5. Obblighi di ZARO
ZARO tratterà i Dati personali solo per conto del Commerciante e seguirà sempre le istruzioni del Commerciante prescritte dai presenti Termini o come altrimenti fornito a ZARO per iscritto in conformità alla Clausola 4(e); se ZARO non può garantire tale conformità per qualsiasi motivo (incluso se l'istruzione viola le leggi sulla protezione dei dati), si impegna a informare il Commerciante della sua incapacità di conformarsi non appena ragionevolmente possibile.
ZARO ha implementato le misure tecniche e organizzative adeguate specificate nell'Allegato 1 (Misure di sicurezza tecniche e organizzative) dei presenti Termini e continuerà a rispettarle durante la durata dei presenti Termini e del Contratto.
ZARO monitora e garantisce che tutto il personale autorizzato di ZARO coinvolto nel trattamento dei dati ai sensi dei presenti Termini si sia impegnato a rispettare obblighi di riservatezza o sia soggetto a un adeguato obbligo legale di riservatezza.
Ulteriori obblighi di ZARO sono stabiliti nelle clausole da 6 a 9.
6. Assistenza al Commerciante
Considerando la natura del trattamento, ZARO fornirà tutta l'assistenza ragionevole al Commerciante con la predisposizione di misure tecniche o organizzative, per quanto possibile, per l'adempimento degli obblighi del Commerciante in qualità di Titolare del trattamento in relazione a:
Eventuali richieste degli interessati in merito all'accesso, alla rettifica, alla cancellazione, alla restrizione, alla portabilità, al blocco o alla cancellazione dei loro dati personali che ZARO elabora per conto del Commerciante. Nel caso in cui un Interessato invii tale richiesta direttamente a ZARO, ZARO inoltrerà tempestivamente tale richiesta al Commerciante;
L'indagine su qualsiasi violazione della sicurezza che porta alla distruzione, perdita, alterazione, alterazione, divulgazione non autorizzata o accesso agli stessi accidentalmente o illegalmente dei dati personali appartenenti al Commerciante o qualsiasi accesso accidentale o non autorizzato o qualsiasi altro evento che compromette l'integrità, la disponibilità o riservatezza dei Dati Personali appartenenti al Commerciante (una “Violazione dei Dati”) e la notifica all'Autorità di Controllo competente e agli Interessati in merito a tale Violazione dei Dati (ove richiesto); inoltre, ZARO notificherà tempestivamente al Commerciante qualsiasi violazione dei dati; E
Ove opportuno, la predisposizione di valutazioni d’impatto sulla protezione dei dati e, ove necessario, lo svolgimento di consultazioni con eventuali Autorità di Controllo.
7. Sub-responsabili e trasferimento dei dati
Affinché ZARO possa adempiere ai propri obblighi prescritti dal Contratto e amministrare e fornire il Servizio, il Commerciante concede a ZARO l'autorizzazione generale scritta a coinvolgere sub-responsabili del trattamento. Il commerciante può ottenere l'elenco degli attuali sub-responsabili incaricati da ZARO inserendo l'indirizzo e-mail dell'account registrato nella sezione sottostante. L'elenco includerà le identità dei sub-responsabili, i servizi forniti e il paese di ubicazione.
Il commerciante verrà informato della nomina o di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione dei sub-responsabili del trattamento di ZARO in questa sezione del sito web di ZARO. Tale notifica apparirà 10 (dieci) giorni prima dell'assunzione del sub-responsabile. Durante questo periodo il Commerciante può opporsi alla nomina o alla sostituzione del subresponsabile inviando una comunicazione scritta a privacy@ZARO.shop, fornendo ragionevoli motivi di opposizione (ad esempio, in caso di possibile violazione delle leggi sulla protezione dei dati). Se il Commerciante non si oppone, ZARO potrà procedere alla nomina o alla sostituzione.
ZARO conferma con la presente che i suoi sub-responsabili sono contrattualmente o altrimenti in forma vincolante tenuti a rispettare gli obblighi di trattamento dei dati che non sono meno onerosi per il relativo sub-responsabile rispetto agli obblighi su ZARO come prescritto dai presenti Termini.
Laddove ZARO tratti, acceda e/o memorizzi dati personali in qualsiasi Paese terzo, ZARO dovrà:
rispettare gli obblighi dell'importatore di dati stabiliti nelle Clausole modello, che sono qui incorporate e fanno parte di questi Termini con i dettagli di trattamento di cui alla Clausola 3 (Dettagli del trattamento) e le misure di sicurezza tecniche e organizzative di cui all'Allegato 1 (Misure di sicurezza tecniche e organizzative) applicabili ai fini dell'Appendice 1 e dell'Appendice 2, rispettivamente, delle Clausole modello, e il Commerciante rispetterà gli obblighi dell'Esportatore di dati nelle Clausole modello; E
Il Commerciante riconosce e accetta che ZARO possa nominare un affiliato o un subappaltatore terzo per elaborare i dati personali del Commerciante in un Paese terzo, a condizione che garantisca che tale trattamento avvenga in conformità con i requisiti delle leggi sulla protezione dei dati. Le Parti convengono che i Dati personali possano essere trasferiti a un subappaltatore affiliato o terzo certificato per elaborare tali dati nell'ambito del Programma Scudo per la privacy. In alternativa, il Commerciante conferisce a ZARO il mandato di eseguire le Clausole modello con i dettagli del trattamento di cui alla Clausola 3 (Dettagli del trattamento) e le misure di sicurezza tecniche e organizzative di cui all'Allegato 1 (Misure di sicurezza tecniche e organizzative) applicabili per le finalità dell'Appendice 1 e dell'Appendice 2, rispettivamente, delle Clausole Modello, con qualsiasi subappaltatore o affiliato rilevante nominato per conto del Commerciante.
8. Controllo
Su richiesta scritta del Commerciante, ZARO fornirà informazioni sufficienti per dimostrare il rispetto degli obblighi stabiliti nei presenti Termini e nelle Leggi sulla protezione dei dati. Queste informazioni saranno fornite nella misura in cui tali informazioni sono sotto il controllo di ZARO e a ZARO non è impedito di divulgarle dalla legge applicabile, da un obbligo di riservatezza o da qualsiasi altro obbligo dovuto a terzi.
Se le informazioni fornite su richiesta del Commerciante secondo il ragionevole giudizio del Commerciante non sono sufficienti per confermare la conformità di ZARO ai presenti Termini, allora ZARO si impegna a consentire e contribuire alle verifiche dell'elaborazione dei dati.
Tali audit possono essere eseguiti da una terza parte indipendente con una buona reputazione sul mercato, a condizione che abbia sufficiente esperienza e competenza per effettuare audit sull'elaborazione dei dati, e l'elezione di tale revisore deve essere concordata di comune accordo sia dal Commerciante che da ZARO.
I tempi e gli altri aspetti pratici relativi a tali controlli o ispezioni sono determinati da ZARO e tali informazioni e assistenza sono fornite solo a spese del Commerciante. ZARO si riserva il diritto di addebitare al Commerciante qualsiasi lavoro aggiuntivo o altri costi sostenuti in relazione a tali controlli. Il Commerciante può richiedere tale verifica non più di una volta ogni 2 anni.
Il revisore dovrà firmare un accordo di riservatezza, che comprende l'obbligo di non divulgare informazioni aziendali nella sua relazione di audit, e la relazione finale dovrà essere fornita anche a ZARO.
9. Restituzione e cancellazione dei Dati
A scelta del Commerciante, ZARO cancellerà o restituirà tutti i Dati personali al Commerciante dopo la scadenza del Contratto e cancellerà le copie esistenti, a meno che una legge applicabile non imponga a ZARO di archiviare tali Dati personali.
10. Legge applicabile
Le presenti Condizioni sono regolate dalle leggi della Repubblica di Lettonia e sono soggette alla procedura di risoluzione delle controversie come prescritto dal Contratto.
11. Modifiche
ZARO si riserva il diritto, a sua discrezione, di modificare i presenti Termini. In caso di modifiche sostanziali, ZARO avviserà per iscritto il Commerciante, dando al Commerciante il diritto di recedere dal Contratto.
Programma 1
Misure di Sicurezza Tecniche ed Organizzative
ZARO adotta, tra le altre, le seguenti misure tecniche e organizzative per garantire la sicurezza fisica dei Dati personali e controllare l'immissione, l'accesso, il trasferimento, l'inserimento, la disponibilità e la separazione dei Dati personali nel sistema di controllo:
1. per stabilire l'identità delle persone autorizzate e impedire l'accesso non autorizzato ai locali e alle strutture di ZARO in cui vengono trattati i Dati Personali:
Tutti gli ingressi sono protetti o bloccati e sono accessibili solo con l'apposita chiave/chip card/chiavi digitali interne;
I locali sono protetti da un sistema di allarme;
Tutti i visitatori sono tenuti a identificarsi e a farsi registrare dal personale autorizzato;
Monitoraggio video dei locali;
I visitatori sono sempre accompagnati dal personale ZARO;
Guardie di sicurezza addestrate sono di stanza all'interno e nei dintorni dell'edificio 24 ore su 24, 7 giorni su 7,
2. per impedire l'accesso non autorizzato ai sistemi di elaborazione dei dati:
Utilizzo di software antivirus all'avanguardia che include il filtraggio della posta elettronica e il rilevamento di malware;
Utilizzo di firewall;
Durante i periodi di inattività, i PC degli utenti e degli amministratori sono bloccati;
Gli utenti sono tenuti a impostare password complesse e 2FA in tutti i sistemi possibili;
Concetto di privilegio minimo, che consente agli utenti solo l'accesso necessario per svolgere la propria funzione lavorativa. L'accesso al di sopra di questi privilegi minimi richiede un'autorizzazione adeguata;
I processi di pulizia in entrata, in uscita e in uscita che coprono i diritti di accesso dipendono dalle mansioni lavorative;
Autenticazione a 2 fattori RSA/ed25519 per le connessioni remote più critiche;
Scansione e risoluzione delle vulnerabilità in atto;
Programma di test di penetrazione del data center e del sito Web in atto.
3. prevenire attività non autorizzate nei sistemi di trattamento dei dati al di fuori dell'ambito delle autorizzazioni eventualmente concesse:
L'accesso degli utenti e degli amministratori alla rete si basa su un modello di diritti di accesso basato su gruppi/ruoli. Esiste un concetto di autorizzazione che garantisce i diritti di accesso ai dati solo in base alla “necessità di sapere”;
Amministrazione dei diritti utente tramite amministratori di sistema o proprietari di sistema;
Verifiche di governance e controlli IT intrapresi regolarmente da terze parti esterne;
Audit di controllo interno svolti regolarmente.
4. garantire che i dati personali non possano essere letti, copiati, alterati o rimossi da persone non autorizzate durante la loro trasmissione elettronica o durante il trasporto o la registrazione su supporti dati e garantire che sia possibile esaminare e stabilire dove i dati personali sono o sono stati da trasmettere mediante apparecchiature di trasmissione dati
