Questo sito Web utilizza i cookie per migliorare la tua esperienza. Per accettare l'uso dei cookie e continuare a utilizzare il sito normalmente, fare clic su "accetta" qui di seguito. Se desideri saperne di più sui cookie utilizzati sul sito Web, consulta la nostra Politica sui Cookie.
Termini
Condizioni relative ai consumatoriCondizioni relative alle Organizzazioni Non-ProfitCondizioni per i donatoriJoint Controller AddendumCondizioni per i commerciantiRegolamento dei PACPolitiche
Policy di CookieTariffe & FatturazioneRegole per l'uso correttoPolicy di ClassificazionePolicy di PrivacyAltro
URL delle istruzioni per l'eliminazione dei dati di Facebook1. Il presente Joint Controller Addendum è incorporato e soggetto ai termini e alle condizioni delle Condizioni relative ai Commercianti.
2. TMU ha sviluppato un plugin che i Commercianti possono scegliere di installare sul loro Online Store. Lo scopo e la portata del plugin è quello di identificare in modalità del tutto anonimo gli utenti di TMU che accedono al Negozio Online attraverso la Vetrina e subito dopo completano una transazione su tale Negozio Online.
3. In termini di GDPR il Plugin non trasferisce nessun dato personale degli utenti TMU, ne tantomeno ne riceve dal Commerciante. Le informazioni espressamente trasferite sono un OTP (One Time Password) completamente randomizzato ed anonimo per indicare allo Store del Commerciante che si tratta di un utente TMU e di ritorno invia dati di numero e nome dei prodotti acquistati. Entrambe le entità, TMU e Commerciante, trattano i dati personali dei propri utenti in maniera del tutto indipendente.
4. Non vengono raccolti e trasmessi dati personali degli utenti tramite il Plugin sopra descritto.
I dati non personali trasferiti sono:
- OTP: codice identificativo randomizzato anonimo utente TMU;
- Prodotti / Offerte dello Store e di TMU;
- Saldo PAC disponibile per ogni acquisto;
- Numero, Nome, Prezzo prodotti acquistati.
5. I Dati non Personali gestiti dal Plugin riguarderanno esclusivamente le transazioni svolte dagli Utenti di TMU e tali dati saranno utilizzati dalle Parti per calcolare determinate commissioni dovute a TMU dal Commerciante.
6. In conformità alle disposizioni dell'articolo 26 del GDPR, TMU e il Commerciante concordano quanto segue:
a) Sia TMU che il Commerciante saranno tenuti, in modo indipendente, a:
(i) Assicurarsi che la rispettiva parte abbia una base legale per il trattamento dei dati personali
(ii) Fornire agli interessati tutte le informazioni richieste nei termini degli articoli 13 e 14 del GDPR
(iii) Garantire che (a) i dettagli di questo accordo e (b) il riferimento al controllo congiunto ma indipendente siano forniti e resi disponibili agli interessati, preferibilmente attraverso le rispettive privacy policy.
b) Le Parti riconoscono che gli interessati hanno il diritto di esercitare i rispettivi diritti in relazione ai dati personali di ciascuna delle parti, come meglio specificato negli articoli dal 15 al 22 (entrambi inclusi) del GDPR ("Diritti degli interessati"). Al fine di facilitare l'esercizio dei diritti degli interessati, le Parti convengono di stabilire un unico punto di contatto a cui inoltrare tutte le richieste di questo tipo. Le Parti concordano espressamente che la responsabilità di agire come unico punto di contatto sarà assegnata a TMU. TMU terrà il Commerciante pienamente e tempestivamente informato sui dettagli di contatto pertinenti. Il Commerciante è tenuto a garantire che la sua informativa sulla privacy includa i dettagli dell'accordo tra le Parti per stabilire un unico punto di contatto, come stabilito nella presente clausola.
c) Le Parti riconoscono che, nonostante la nomina dell'unico punto di contatto, il Commerciante stesso può anche ricevere richieste da (i) soggetti interessati a esercitare i diritti degli interessati, o (ii) dalle autorità di protezione dei dati che richiedono informazioni che si riferiscono, direttamente o indirettamente, al trattamento dei Dati personali.
Al fine di snellire questo processo e garantire che tali richieste siano gestite in modo efficiente, le Parti concordano di seguire e osservare la procedura di seguito indicata:
(i) Se la notifica o la richiesta viene ricevuta da TMU, TMU determinerà se il contributo e l'assistenza del Commerciante sono necessari per essere in grado di rispettare di fornire le informazioni richieste dalla legge. Il Commerciante si adopererà per fornire tutta l'assistenza ragionevolmente richiesta a tale riguardo in modo tempestivo, ma in ogni caso non oltre sette (7) giorni del calendario.
(ii) Se la notifica viene ricevuta dal Commerciante, Il Commerciante è tenuto a notificare tempestivamente a TMU il ricevimento di tale richiesta e a fornire tutte le informazioni rilevanti a tale riguardo. Se TMU stabilisce che è necessaria ulteriore assistenza o informazioni da parte del Commerciante, TMU invierà al Commerciante una notifica in tal senso. Il Commerciante si impegnerà a fornire tutta l'assistenza ragionevolmente richiesta a tale riguardo in modo tempestivo, ma in ogni caso non oltre sette (7) giorni di calendario.
(iii) Nella misura in cui è applicabile, qualsiasi risposta o notifica fornita da TMU a questo proposito sarà considerata come fornita e data anche da e per conto del Commerciante.
(iv) A scanso di equivoci, il Commerciante non è autorizzato ad agire o rispondere per conto di TMU.
d) Se, a seguito dell'esercizio dei diritti degli interessati, una parte è tenuta a cancellare o limitare il trattamento dei dati personali precedentemente condivisi ai sensi dell'articolo 16, 17(1) e 18 del GDPR, si conviene espressamente che tale parte invierà una notifica in tal senso all'altra parte non appena ragionevolmente possibile.
e) Ciascuna parte si impegna, ad attuare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, comprese, se del caso, le misure di cui all'articolo 32, paragrafo 1, del GDPR, che in ogni caso non sono inferiori alle misure definite nell'appendice 1 di seguito allegata. Nel valutare il livello di sicurezza adeguato, le parti tengono conto in particolare dei rischi presentati dal trattamento dei dati personali, in particolare da una violazione degli stessi.
f) Ciascuna parte deve notificare l'altra parte immediatamente dopo essere venuta a conoscenza di una violazione dei dati personali riguardante i dati personali. Tale notifica dovrà come minimo:
(i) Descrivere la natura della violazione dei dati personali, le categorie e il numero di persone interessate nonché le categorie e i numeri dei registri dei dati personali interessati;
(ii) descrivere le probabili conseguenze della violazione dei dati personali;
(iii) descrivere le misure adottate o proposte per affrontare la violazione dei dati personali; e
(iv) i dettagli di un recapito dove si possano ottenere maggiori informazioni sulla violazione dei dati personali.
g) Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni sopra menzionate contestualmente, la notifica iniziale conterrà le informazioni disponibili in quel momento e ulteriori informazioni, man mano che saranno disponibili, saranno fornite in seguito con la massima tempestività. Le Parti collaboreranno tra loro e adotteranno le ragionevoli misure commerciali necessarie per assistere nell'indagine, nella mitigazione e nel rimedio di ciascuna di tali violazioni dei dati personali.
h) Le parti (a) si forniranno reciprocamente tutta l'assistenza ragionevole per preparare qualsiasi valutazione d'impatto sulla protezione dei dati che possa essere richiesta in relazione al trattamento dei dati personali e (b) manterranno registrazioni integre e complete di tutti i trattamenti effettuati in relazione ai dati personali, in conformità con le disposizioni dell'articolo 30 del GDPR.
7. Non esiste un controllo congiunto, e quindi il presente Addendum non si applica (a) a qualsiasi trattamento per il quale TMU e lo specifico Commerciante non determinano congiuntamente le finalità e i mezzi del trattamento degli stessi.
1. Appendice
1. Crittografia (articolo 32, paragrafo 1, lettera a) GDPR
| Obiettivo: | Assicurare che i dati personali siano criptati. |
| Metodologia: | Crittografia dei dati. |
2. Riservatezza ( Articolo 32, paragrafo 1, punto (b) GDPR)
Controllo dell'accesso fisico
| Obiettivo: | Assicurarsi che persone non autorizzate non ottengano l'accesso a qualsiasi luogo in cui sono conservati i dati personali. |
| Metodologia: | I locali principali devono essere protetti da una porta di sicurezza. La porta viene tenuta chiusa in ogni momento; per accedere ai locali principali è necessaria una tessera di sicurezza; i locali sono ulteriormente protetti da sistemi di allarme e da una sorveglianza con telecamera 24 ore su 24, 7 giorni su 7; i visitatori dei locali devono registrare la loro presenza alla reception. I visitatori devono essere accompagnati da personale autorizzato per poter accedere ai locali. Ai visitatori è vietato vagare per i locali se non accompagnati da personale autorizzato. |
Sistema di controllo degli accessi
| Obiettivo: | Garantire che le persone non autorizzate non abbiano accesso ai sistemi di trattamento dei dati |
| Metodologia: | Si può accedere ai sistemi solo inserendo un nome utente e una password, dove la password è soggetta a restrizioni per quanto riguarda la lunghezza, i caratteri speciali, ecc; Gli account sono rilasciati individualmente a un utente specifico e non devono essere condivisi; I tentativi di accesso errati portano al blocco dell'utente, che sarà sbloccato solo dopo la verifica e la simultanea assegnazione di una nuova password. |
Controllo dell' accesso ai dati
| Obiettivo: | Assicurarsi che persone non autorizzate non abbiano accesso a nessun sito dove sono conservati i dati personali. |
| Metodologia: | Deve essere introdotto un concetto di autorizzazione (diritti dell'utente e di amministrazione) in modo che l'accesso ai dati nel sistema sia abilitato solo nella misura necessaria all'utente per completare il compito pertinente secondo la distribuzione interna dei compiti dell'utente e la separazione delle funzioni; La portata delle autorizzazioni deve essere limitata al minimo necessario per eseguire i compiti e le funzioni della persona autorizzata; La politica di Clear desk e Clear screen deve essere implementata; Quando l'attrezzatura deve essere eliminata che contiene dati personali del plugin, devono essere prese le misure necessarie per assicurare che i dati siano cancellati e sovrascritti in modo sicuro; I documenti contenenti i dati personali del plugin devono essere distrutti prima di essere eliminati. |
3. Integrità (articolo 32, paragrafo 1, lettera b) GDPR)
Controllo dei trasferimenti
| Obiettivo: | Proteggere i dati personali dalla lettura, copia, modifica o cancellazione non autorizzata e garantire la tracciabilità delle operazioni di trasferimento dei dati. |
| Metodologia: | Formazione dei dipendenti interessati al trattamento dei dati personali e in conformità con il GDPR; Controllo degli accessi con IP whitelists e firewall. |
Controllo dell'inserimento dei dati
| Obiettivo: | Misure per garantire che possa essere successivamente verificato e stabilito se e da chi siano stati inseriti, modificati o rimossi i dati personali nei sistemi di trattamento dei dati. |
| Metodologia: | Formazione dei dipendenti interessati in relazione al trattamento dei dati personali e in conformità con il GDPR; L'accesso ai sistemi di elaborazione dei dati è possibile solo dopo il login; Le password sono assegnate agli account individualmente (a livello personale) e non possono essere condivise; La Password Policy in atto è conforme alle buone pratiche del settore; Tutte le attività sui sistemi di elaborazione dei dati sono registrate in modo tale che sia possibile controllare in qualsiasi momento quali dati sono stati memorizzati, elaborati o trasmessi da chi; I file di registro vengono analizzati in caso di evento sospetto. |
4. Disponibilità e resilienza (articolo 32, paragrafo 1, punto (b) GDPR)
Controllo della disponibilità
| Obiettivo: | Misure per garantire che i dati personali siano protetti e disponibili contro la distruzione o la perdita accidentale. |
| Metodologia: | Il backup dei dati viene effettuato almeno una volta al giorno; Uso di gruppi di continuità e generatori di emergenza; Sito per il ripristino da catastrofi; Piano di continuità aziendale in atto; Piano di backup e piani di ripristino da catastrofi devono essere testati su base regolare. |
5. Altro
| Obiettivo: | Fornire ulteriori garanzie. |
| Metodologia: | Impegno dei dipendenti a rispettare la segretezza dei dati, la riservatezza, la privacy e la politica di sicurezza. |
Scorciatoie
AppendiceIscriviti
Esplora
Noi
Contatto
