Ultimo aggiornamento: 10 dicembre 2025
Il presente Allegato relativo al trattamento dei dati, compresi i suoi allegati (collettivamente, il «DPA»), costituisce parte integrante del Contratto stipulato tra la società OneStock nel relativo Ordine di acquisto ( OneStock ) e il cliente indicato nel corrispondente Ordine di acquisto («Cliente») che fa riferimento al presente DPA (il «Contratto»).
Il presente Accordo sui dati personali entra in vigore a partire dalla data di entrata in vigore del Contratto, oppure dalla data di firma dell'ultimo Ordine di acquisto da parte del Cliente, o di qualsiasi altro accordo elettronico o scritto debitamente stipulato tra le parti.
1.1 Descrizione del trattamento.
Il tipo di dati personali trattati ai sensi del presente Accordo di trattamento dei dati, nonché l'oggetto, la durata, la natura e la finalità del trattamento, nonché le categorie di interessati, sono descritti nell'Allegato 1 del presente Accordo di trattamento dei dati.
1.2 Ambito di applicazione e ruoli.
Le parti riconoscono e concordano che, per quanto riguarda il trattamento dei dati personali nell'ambito della fornitura dei servizi previsti dal Contratto, il Cliente e/o le sue affiliate agiscono in qualità di titolari del trattamento e OneStock in qualità di responsabile del trattamento.
1.3 Obblighi del Cliente.
Nell’ambito dell’utilizzo dei Servizi, il Cliente tratta i Dati Personali in conformità con i requisiti delle leggi sulla protezione dei dati. Le istruzioni del Cliente relative al trattamento dei Dati Personali devono essere conformi alle leggi sulla protezione dei dati, compreso, se del caso, qualsiasi obbligo di informazione degli Interessati in merito al ricorso a OneStock qualità di responsabile del trattamento. Il Cliente è l'unico responsabile dell'accuratezza, della qualità e della liceità dei Dati Personali, nonché dei mezzi con cui ha raccolto tali Dati Personali. Il Cliente garantisce di essere autorizzato a trasferire i Dati Personali in questione a OneStock OneStock i suoi Sub-responsabili del trattamento possano utilizzare, trattare e trasferire lecitamente tali Dati Personali in conformità al presente DPA e al Contratto, per conto del Cliente e delle sue Affiliate.
1.4 Obblighi di OneStock.
OneStock i dati personali in conformità con i requisiti delle leggi sulla protezione dei dati applicabili all'esecuzione del presente DPA, in particolare:
OneStock tratta i dati personali OneStock in conformità con il Contratto e il presente DPA. Con la stipula del Contratto, il Cliente incarica OneStock trattare i Dati Personali per le seguenti finalità: (i) Trattamento in conformità al Contratto, all’Ordine di Acquisto applicabile e a qualsiasi altro accordo elettronico o scritto debitamente stipulato, compreso l’aggiornamento della Piattaforma e la prevenzione o la risoluzione di incidenti tecnici o di servizio; (ii) Trattamento avviato dagli utenti del Cliente nell’ambito del loro utilizzo della Piattaforma; e (iii) Trattamento volto a conformarsi ad altre istruzioni ragionevoli fornite dal Cliente, quando tali istruzioni siano compatibili con le disposizioni del Contratto. Il presente DPA e il Contratto costituiscono le istruzioni documentate del Cliente a OneStock il Trattamento dei Dati Personali.
OneStock i dati personali come informazioni riservate e garantisce che ogni soggetto da essa autorizzato al trattamento dei dati personali abbia accettato, o sia soggetto a, obblighi di riservatezza analoghi a quelli OneStock da OneStock ai sensi del Contratto.
Su richiesta del Cliente e laddove richiesto dalle leggi sulla protezione dei dati, OneStock il Cliente nell’adempimento dei suoi obblighi relativi alle valutazioni d’impatto sulla protezione dei dati (qualora queste siano connesse ai Servizi, e solo nella misura in cui il Cliente non abbia altrimenti accesso alle informazioni pertinenti e tali informazioni siano disponibili presso OneStock), nonché, se del caso, nell’ambito delle consultazioni preliminari con l’autorità di controllo competente ai sensi del GDPR dell’UE e del GDPR del Regno Unito.
Il presente Accordo sulla protezione dei dati rimane in vigore fino alla data più tardiva tra: (i) la scadenza o la risoluzione del Contratto; e (ii) la restituzione o la cancellazione dei Dati personali.
3.1 Sicurezza.
OneStock e mantiene un programma completo di sicurezza delle informazioni volto a proteggere i Dati Personali da qualsiasi distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato, accidentale o illecito, a condizione che tali misure siano adeguate in relazione a: (a) le dimensioni, l’ambito e la natura dell’attività di OneStock (b) delle risorse a disposizione OneStock (c) della natura delle informazioni che OneStock ; e (d) dei requisiti di sicurezza e riservatezza di tali informazioni (collettivamente, le «Misure di sicurezza OneStock ). Le Misure di sicurezza OneStock descritte nell’Allegato 2 del presente DPA. OneStock regolarmente il rispetto di tali misure di protezione.
3.2 Notifica delle violazioni.
Nella misura consentita e richiesta dalla legge, OneStock per iscritto al Cliente, senza indebito ritardo, dopo aver ragionevolmente avuto conoscenza di una violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso non autorizzato a Dati Personali (una «Violazione dei Dati Personali»). Tale notifica descriverà, nella misura consentita e richiesta dalle leggi applicabili in materia di protezione dei dati: (a) la natura della Violazione dei Dati Personali, incluse, se note, le categorie e il numero approssimativo di Persone Interessate e di Dati Personali coinvolti; (b) le misure adottate o previste da OneStock rispondere alla Violazione dei Dati Personali e mitigarne gli effetti; (c) qualsiasi misura raccomandata da OneStock Cliente al fine di gestire la Violazione dei Dati Personali; e (d) i recapiti del referente di OneStock alla Violazione dei Dati Personali. Se OneStock è in grado di fornire tutte queste informazioni al momento della notifica iniziale, le trasmetterà al Cliente non appena saranno disponibili.
3.3 Verifica.
OneStock avvale di revisori esterni per verificare l'adeguatezza delle proprie misure di sicurezza relative al trattamento dei dati personali. Tali verifiche vengono effettuate almeno una volta all'anno, a spese di OneStock, da professionisti indipendenti nel campo della sicurezza, designati a discrezione di OneStock.
Il Cliente può richiedere una verifica da parte di OneStock di accertare la conformità di OneStock presente DPA qualora tale verifica sia richiesta dalle leggi sulla protezione dei dati e qualora la conformità di OneStock possa essere dimostrata con mezzi meno onerosi per OneStock compreso ai sensi dell’articolo 3.3.1). Tale verifica non potrà aver luogo più di una volta ogni dodici (12) mesi, salvo richiesta di un'autorità di controllo competente, e fatte salve le seguenti condizioni: (1) il Cliente deve notificarlo OneStock iscritto OneStock ; (2) dopo il ricevimento, il Cliente e OneStock congiuntamente l'ambito, il calendario e la durata dell'audit, nonché le tariffe di rimborso a carico del Cliente; (3) ogni audit è soggetto agli obblighi di riservatezza previsti dal Contratto o concordati diversamente per iscritto; (4) il Cliente rimborsa a OneStock tempo dedicato a qualsiasi audit in loco alle tariffe per i servizi professionali allora in vigore presso OneStock, comunicate al Cliente su richiesta. Tutte le tariffe di rimborso devono essere ragionevoli in relazione alle risorse impiegate da OneStock (5) ogni audit deve essere effettuato durante l’orario di lavoro, dal Cliente o da un revisore terzo indipendente dal Cliente che non sia un concorrente di OneStock, e deve essere limitato ai dati rilevanti per il Cliente; (6) il Cliente notificherà senza indugio OneStock non conformità riscontrata nel corso dell’audit, fornendo le informazioni corrispondenti.
4.1 Autorizzazione dei subappaltatori di secondo livello.
Il Cliente concede un'autorizzazione generale scritta: (a) che consente di ricorrere alle affiliate di OneStock qualità di subappaltatori di secondo livello; e (b) che autorizza OneStock coinvolgere subappaltatori di secondo livello terzi nell'ambito della fornitura dei Servizi.
4.2 Identificazione dei subappaltatori di secondo livello.
OneStock un elenco aggiornato dei sub-subappaltatori disponibile all'indirizzo www.onestock-retail.com/fr/mentions-legales/subprocessors (l'«Elenco dei sub-subappaltatori»). OneStock tale elenco in caso di nuovi Subappaltatori Successivi almeno trenta (30) giorni prima della data in cui tale Subappaltatore Successivo inizi il Trattamento dei Dati Personali. L'Elenco dei Sub-subappaltatori comprende un meccanismo che consente al Cliente di iscriversi alle notifiche relative ai nuovi Sub-subappaltatori o a quelli sostitutivi, in particolare tramite e-mail.
4.3 Opposizione a un subappaltatore di secondo livello.
Qualora il Cliente si opponga a un nuovo Subappaltatore Successivo, potrà opporsi all’utilizzo di tale Subappaltatore Successivo da parte di OneStock OneStock OneStock scritta OneStock entro dieci (10) giorni dalla data in cui OneStock aggiornato l’Elenco dei Subappaltatori Successivi. Tale comunicazione dovrà indicare motivi ragionevoli di opposizione. Al ricevimento di tale notifica, OneStock in misura ragionevole per proporre al Cliente una modifica dei Servizi o per raccomandare una modifica commercialmente ragionevole della configurazione o dell’utilizzo dei Servizi da parte del Cliente, al fine di evitare il Trattamento dei Dati Personali da parte del Subappaltatore Successivo contestato, senza imporre un onere irragionevole al Cliente. Se OneStock in grado di proporre tale modifica entro un termine ragionevole non superiore a trenta (30) giorni, il Cliente potrà, entro tale termine, recedere con effetto immediato dal/dagli Ordine/i di Acquisto applicabile/i, esclusivamente per i Servizi che non possono essere forniti da OneStock ricorrere al Subappaltatore Successivo contestato, dandone comunicazione OneStock . In caso di risoluzione, OneStock al Cliente i Prezzi pagati in anticipo relativi al periodo residuo del/i Ordine/i di Acquisto in questione a partire dalla data di efficacia della risoluzione per i Servizi risolti, senza applicare alcuna penale al Cliente a causa di tale risoluzione.
4.4 Requisiti applicabili ai subappaltatori di secondo livello.
OneStock con ciascun sub-responsabile del trattamento un accordo scritto che preveda obblighi in materia di protezione dei dati equivalenti a quelli previsti dal presente DPA. OneStock responsabile degli atti e delle omissioni dei propri sub-responsabili del trattamento nell’ambito dell’esecuzione del presente DPA, nella stessa misura in cui lo sarebbe se OneStock direttamente i Servizi.
Nella misura consentita dalla legge, OneStock tempestivamente il Cliente qualora OneStock una richiesta da parte di un interessato volta ad esercitare i seguenti diritti: accesso, rettifica, limitazione del trattamento, cancellazione («diritto all’oblio»), portabilità, opposizione al trattamento o diritto di non essere oggetto di una decisione automatizzata individuale (ciascuna, una «Richiesta dell’interessato»). Tenuto conto della natura del Trattamento, OneStock il Cliente con misure tecniche e organizzative appropriate, nella misura in cui ciò sia ragionevolmente possibile, al fine di consentire al Cliente di adempiere al proprio obbligo di rispondere a una Richiesta dell’Interessato in conformità con le leggi applicabili in materia di protezione dei dati. Inoltre, nella misura in cui il Cliente non disponga, tramite il suo utilizzo dei Servizi, della capacità di rispondere a una Richiesta dell’Interessato, OneStock , su richiesta del Cliente, sforzi commercialmente ragionevoli per assisterlo nella risposta a tale richiesta, nella misura in cui OneStock legalmente autorizzata a farlo e la risposta sia richiesta dalle leggi applicabili in materia di protezione dei dati.
In conformità al Contratto, in caso di risoluzione o scadenza del Contratto, OneStock o distruggere tutte le copie dei Dati del Cliente presenti nei sistemi di OneStock comunque in suo possesso o sotto il suo controllo, salvo che ciò sia vietato dalla legge.
Istruzioni.
Le parti concordano sul fatto che i trasferimenti di dati personali a OneStock una decisione di adeguatezza applicabile non richiedono un meccanismo di trasferimento separato approvato. Se un trasferimento di Dati Personali a OneStock beneficia di una decisione di adeguatezza applicabile (un «Trasferimento Limitato»), tale Trasferimento Limitato viene effettuato in conformità alle seguenti disposizioni:
7.1 Trasferimenti soggetti a restrizioni dal SEE o dalla Svizzera. Quando viene effettuato un trasferimento soggetto a restrizioni dal SEE o dalla Svizzera, le CCT sono incorporate per riferimento nel presente DPA e si applicano al trasferimento come segue:
Il Modulo 2 si applica quando il Cliente è il Titolare del trattamento e OneStock del trattamento;
Ai sensi della clausola 7 dei CCT, la clausola facoltativa di adesione («docking clause») non trova applicazione;
ai sensi della clausola 9, lettera a), dei CCT, si applica l’opzione 2 in conformità con i termini dell’articolo 4 del presente DPA;
Ai sensi della clausola 11, lettera a), dei contratti collettivi di lavoro, la formulazione facoltativa non si applica;
ai sensi dell'articolo 17 dei CCT, si applica l'opzione 1 e la legge applicabile è quella francese;
ai sensi della clausola 18, lettera b), dei contratti collettivi di lavoro, le controversie saranno sottoposte ai tribunali di Tolosa (Francia);
l'Allegato 1 del CCT è integrato dalle informazioni contenute nell'Allegato 1 del presente DPA;
l'Allegato 2 del CCT è integrato dalle informazioni contenute nell'Allegato 2 del presente DPA;
L'Allegato 3 dei CCT è integrato dalle informazioni contenute nell'Elenco dei subappaltatori di secondo livello.
7.2 Quando viene effettuato un trasferimento soggetto a restrizioni dal Regno Unito, l’Addendum britannico alle CCT («UK Transfer Addendum») è incorporato per riferimento nel presente DPA e si applica al trasferimento come segue:
il presente addendum è integrato dalle informazioni contenute nell’articolo 7.1.1, nell’elenco dei subappaltatori di secondo livello e negli allegati 1 e 2 del presente DPA;
Nella tabella 4 sono spuntate entrambe le caselle «Importa» ed «Esporta».
7.3 Applicazioni specifiche dei CCT. Ai CCT si applicano le seguenti disposizioni:
Il Cliente può esercitare i propri diritti di verifica ai sensi dei CCT in conformità all’articolo 3.3 del presente DPA;
OneStock designare subappaltatori di secondo livello ai sensi dei contratti di appalto, in conformità con l'articolo 4 del presente Accordo sui dati personali;
Per quanto riguarda i trasferimenti soggetti a restrizioni verso OneStock, OneStock può partecipare, né consentire a un subappaltatore di partecipare, a qualsiasi successivo trasferimento soggetto a restrizioni, a meno che tale trasferimento successivo non sia effettuato nel pieno rispetto delle leggi sulla protezione dei dati e in conformità con i CCT applicabili o con un meccanismo di trasferimento alternativo conforme.
Il presente DPA è soggetto alle limitazioni di responsabilità concordate tra le parti ai sensi del Contratto (ogni riferimento alla responsabilità di una parte si intende riferito a tale parte e alle sue affiliate in modo aggregato).
Per quanto riguarda l'oggetto del presente DPA, in caso di incongruenza tra le disposizioni del presente DPA e quelle del Contratto, prevalgono (in ordine di priorità): (i) i CCT; poi (ii) il presente DPA; poi (iii) il Contratto.
Il presente Accordo sui dati personali è regolato e interpretato in conformità alle disposizioni relative alla legge applicabile e alla giurisdizione competente previste nel Contratto, salvo diversamente previsto dalle leggi sulla protezione dei dati.
OneStock modificare il presente DPA qualora: (i) la modifica sia necessaria per conformarsi alle leggi sulla protezione dei dati; oppure (ii) la modifica è commercialmente ragionevole, non riduce in modo significativo la sicurezza dei Servizi, non modifica l'ambito del Trattamento dei Dati Personali effettuato da OneStock non ha un impatto negativo significativo sui diritti del Cliente ai sensi del presente DPA.
I termini che iniziano con la maiuscola e che non sono definiti nel presente DPA o nel Contratto hanno il seguente significato:
«Clausole contrattuali tipo» o «CCT»: (i) qualora si applichi il RGPD dell’UE o la legge federale svizzera sulla protezione dei dati, le clausole allegate alla decisione di esecuzione (UE) 2021/914 della Commissione europea del 4 giugno 2021 relative alle CCT per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR (le «CCT UE»); e (ii) quando si applica il GDPR del Regno Unito, le clausole standard di protezione dei dati adottate o autorizzate ai sensi dell'articolo 46 del GDPR del Regno Unito (le « CCT UK »).
«Dati personali»: qualsiasi informazione relativa a una persona identificata o identificabile che sia stata fornita dal Cliente o per suo conto alla Piattaforma, oppure raccolta e trattata dal Cliente o per suo conto tramite la Piattaforma.
«Normative sulla protezione dei dati»: l'insieme delle leggi, dei trattati e/o dei regolamenti locali, statali, nazionali e/o stranieri, inclusi il GDPR dell'UE e il GDPR del Regno Unito, nonché le leggi e i regolamenti della Svizzera e degli Stati Uniti (e dei loro Stati), applicabili: (i) a OneStock suo ruolo di fornitore di servizi che tratta i dati ai sensi del Contratto, oppure (ii) al Cliente e alle sue Affiliate, a seconda dei casi.
«Interessato»: la persona fisica identificata o identificabile alla quale si riferiscono i dati personali.
«Titolare del trattamento»: il soggetto che determina le finalità e le modalità del trattamento dei dati personali.
«RGPD dell'UE»: il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
«GDPR del Regno Unito»: il GDPR dell’UE così come recepito nell’ordinamento giuridico del Regno Unito ai sensi dell’articolo 3 dell’European Union (Withdrawal) Act 2018.
«Subappaltatore»: il soggetto che tratta i dati personali per conto del responsabile del trattamento.
«Subappaltatore secondario»: qualsiasi subappaltatore incaricato da OneStock trattamento dei dati personali nell'ambito della fornitura dei servizi.
«Trattamento»: qualsiasi operazione o insieme di operazioni effettuate su dati personali, con mezzi automatizzati o meno, quali la raccolta, la registrazione, l’organizzazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'utilizzo, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, l'incrocio o l'interconnessione, la limitazione, la cancellazione o la distruzione.
|
Esportatore di dati: il Cliente Dati di contatto: come indicato nel Contratto (compreso il Modulo d’ordine) Ruolo: le parti riconoscono e concordano che, per quanto riguarda il trattamento dei dati personali, il Cliente agisce in qualità di titolare del trattamento e OneStock qualità di responsabile del trattamento. |
|
Importatore di dati: OneStock Dati di contatto: come previsto nel Contratto Ruolo: le parti riconoscono e concordano che, per quanto riguarda il trattamento dei dati personali, il Cliente agisce in qualità di titolare del trattamento e OneStock qualità di responsabile del trattamento. |
| Categorie di soggetti interessati i cui dati vengono trasferiti |
L’esportatore di dati può trasmettere dati personali alla piattaforma dell’importatore di dati nella misura stabilita e controllata dall’esportatore di dati, limitatamente ai dati relativi alle seguenti categorie:
|
| Categorie di dati personali trasferiti |
L’esportatore di dati può trasmettere dati personali alla piattaforma dell’importatore di dati nella misura stabilita e controllata dall’esportatore, limitatamente a: Per gli utenti della piattaforma: nome utente; dati di contatto; mansione; indirizzo e-mail; indirizzo IP; numero di telefono; indirizzo postale del punto vendita di riferimento (se del caso). Per i clienti e i visitatori del Cliente:
|
| Dati sensibili trasferiti (se del caso) e restrizioni o garanzie applicate tenendo pienamente conto della natura dei dati e dei rischi connessi, quali, ad esempio, una rigorosa limitazione delle finalità, restrizioni di accesso (in particolare l’accesso riservato esclusivamente al personale che ha seguito una formazione specifica), la tenuta di un registro degli accessi ai dati, restrizioni ai trasferimenti successivi o misure di sicurezza supplementari. |
Nessuna (non consentite ai sensi del Contratto). |
| Frequenza del trasferimento (ovvero se i dati vengono trasferiti in modo sporadico o continuo). |
Per tutta la durata del Contratto, in base all’utilizzo dei Servizi da parte del Cliente. |
| Tipo di trattamento |
OneStock i dati personali nell'ambito della fornitura dei Servizi in conformità al Contratto. |
| Finalità del trasferimento e del trattamento successivo |
Trattamento necessario per l'esecuzione dei Servizi in conformità al Contratto. |
| Periodo di conservazione dei dati personali o, qualora non sia possibile determinarlo, i criteri utilizzati per stabilirlo. |
OneStock e conserverà i dati personali in conformità con l'articolo 6 del presente DPA (Restituzione e distruzione dei dati). |
| Per i trasferimenti a responsabili del trattamento, specificare inoltre l'oggetto, la natura e la durata del trattamento. |
L'oggetto, la natura e la durata del trattamento sono quelli indicati nell'elenco dei sub-responsabili del trattamento. |
| Identificare l'autorità di controllo competente ai sensi della clausola 13 delle CCT |
|
