Allegato Trattamento Dati
EXHIBIT B
Data Processing Schedule
This Schedule addresses the obligations detailed in the GDPR (defined below) and applies to organisations which are either established in Europe; offer goods and services to individuals in Europe; or who monitor the behaviour of individuals in Europe, using SHL’s services provided to Company under an Order. This Schedule forms part of the Agreement. To the extent that an Order has terms inconsistent with this Schedule, this Schedule takes precedence.
Data Protection Legislation means the Data Protection Act 2003 and Directive 95/46/EC, and any other applicable law or regulation relating to the processing of personal data and to privacy, as such legislation shall be amended, revised or replaced from time to time, including by operation of the General Data Protection Regulation (EU) 2016/679 (“GDPR”).
A. Data Processing in accordance with Article 28 (Processor) of the GDPR
1. Article 28 (1) – Appropriate technical and organisational measures
This is addressed in Section 3.3 of the Terms as follows:
As the Data Processor, SHL shall: (i) process Personal Data in accordance with Company’s reasonable instructions or otherwise as permitted under the Agreement, and (ii) implement appropriate administrative, technical, and physical security controls to protect Personal Data from unauthorized access, use, or disclosure, unauthorized modification, or unlawful destruction or accidental loss. SHL Group shall cooperate with any Company request for Personal Data provided by or through Company to SHL Group, as applicable, provided that such request does not violate the terms of the Agreement.
2. Article 28 (2) – Sub-processor authorisation
This is addressed in Sections 3.4 and 10.5 of the Terms as shown in clauses (a) and (b) respectively below:
(a) SHL or its Affiliates may disclose Personal Data to Third Parties (as defined below) in the following limited circumstances: (i) if SHL or its applicable Affiliate buys or sells any business assets (this does not include any marketing lists or for any marketing purposes), (ii) if SHL or any Affiliate contracts with Third Parties to perform or provide certain services on behalf of SHL or one of its Affiliates, or (iii) if SHL or any Affiliate is under a duty to disclose or share Personal Data to comply with any legal obligation. SHL or its applicable Affiliate shall contractually require any buyer of SHL’s or its Affiliate’s assets that include Personal Data, or any Third Party performing services on SHL’s behalf, to provide the same level of protection for Personal Data required in the Agreement and under any applicable data protection laws. For purposes of this section, “Third Party” means any person or entity other than Company, SHL Group, the Data Controller or the Data Processor or other person authorized to process data for the Data Controller.
(b) For the purposes of performing its obligations under the Agreement, SHL may use its Affiliates, or qualified subcontractors, and in such event, such Affiliates shall not be considered subcontractors and SHL will at all times remain responsible.
(c) For the avoidance of doubt and for the purposes of subsection 2. (b) above, SHL will at all times remain responsible for all Affiliates and qualified subcontractors.
3. Article 28 (3) (a) – Instructions from the controller
SHL agrees that it shall process the Personal Data only in accordance with the terms of the Agreement, an applicable Order, and the reasonable written instructions of Company, unless required otherwise to do so by applicable laws. In such a case, SHL shall promptly inform Company of the legal requirement before processing the Personal Data, unless that law prohibits such information on important grounds of public interest.
4. Article 28 (3) (b) – Confidentiality
SHL agrees that it shall ensure that any personnel authorised to process Company’s Personal Data shall be subject to a binding duty of confidentiality in respect of such Personal Data.
5. Article 28 (3) (c) – Measures required pursuant to Article 32
(a) SHL agrees that it has and shall maintain an effective information security program that: (i) includes administrative, technical, and physical safeguards; and (ii) has appropriate technical and organisational measures; and in each case, is adequate to ensure the security and confidentiality of Personal Data, protect against any anticipated threats or hazards to the security or integrity of Personal Data, protect against unauthorised access to or use of Personal Data, protect Personal Data against unlawful processing or processing otherwise than in accordance with the terms of the Agreement, and protect against accidental loss, destruction, damage, alteration or disclosure of Personal Data.
(b) Without limiting the foregoing, such safeguards and measures shall be appropriate to protect against the harm that may result from unauthorised or unlawful processing, use or disclosure, or accidental loss, destruction or damage to or of Personal Data and the nature of the Personal Data, and shall include (as a minimum): (i) implementing the measures prescribed by data protection legislation, and/or any other relevant terms or provision of the Agreement or Order; (ii) taking reasonable steps to ensure the reliability of employees having access to the Personal Data; and (iii) implementing and maintaining reasonable disposal measures and training of SHL personnel accessing Personal Data.
6. Article 28 (3) (d) – Engaging a Sub-processor
SHL agrees that it shall, except to the extent set out in the Agreement, not subcontract any processing of the Company’s Personal Data without the Company’s prior written consent.
7. Article 28 (3) (e) – Appropriate technical and organizational measures regarding data subject’s rights
SHL agrees that is shall assist the Company, to the extent that it is reasonable possible, for the fulfilment of the Company’s obligation to respond to requests from a Candidate in relation to the exercising of the Candidate’s individual rights, as set out in Chapter III of the GDPR.
8. Article 28 (3) (f) – Compliance with Articles 32 to 36
SHL agrees that it shall provide such information and such assistance as reasonably requested by Company, and within the timescales reasonably specified by Company, to allow Company to comply with its obligations under the applicable Data Protection Legislation, including to the extent reasonably possible, assisting Company to: (i) Comply with Company’s obligations to ensure that Personal Data is processed and stored securely; (ii) Comply with Company’s obligations to inform Candidates about serious Personal Data breaches; (iii) Carry out data protection impact assessments and audit data protection impact assessment compliance; and (iv) Consult with the applicable supervisory authority if required, following a data protection impact assessment.
9. Article 28 (3) (g) – Data deletion
SHL agrees that it shall, upon written instruction from Company, promptly and securely either: (i) return the Personal Data to Company; or (ii) (unless its continued storage by SHL is required by applicable law) delete the Personal Data.
10. Article 28 (3) (h) – Audit
(a) SHL will make available to the Company all information necessary to demonstrate compliance with the obligations laid down in Article 28 (Processor) of the General Data Protection Regulation (EU) 2016/679. Company agrees that SHL’s current ISO 27001 certification will be used to satisfy any audit or inspection requests by or on behalf of Company, and SHL shall make such reports available to Company.
(b) SHL shall inform Company immediately if, in SHL’s opinion, any instruction issued by Company pursuant to Section A.10 (a) breaches any provision of the Data Protection Legislation.
B. Liability
1. Liability for breaches of the GDPR
Subject to Sections 5.1 and 5.3 of the Terms, SHL’s total aggregate liability directly arising out of SHL’s breach of its obligations as a Data Processor under the GDPR will be limited to the amount directly attributed to the actions of SHL or its failure to comply with the GDPR in the performance of its services. The following damages shall be considered direct damages recoverable under the Agreement and neither party shall claim or assert that such damages are indirect, special, incidental, consequential, or punitive damages or otherwise unrecoverable to the extent they result from a breach of the GDPR: (i) any costs and expenses incurred by Company to investigate and repair damage done to Company data; (ii) any costs incurred by Company in connection with legally-mandated notification to third parties (including affected individuals) of unauthorized access to or use of any Company data related to such persons; (iii) fines, penalties and interest assessed against Company as a consequence of the breach; and (iv) reasonable attorneys’ fees.
C. Processing Summary
1. The Parties agree the following sets out the information required by the GDPR
| Subject matter of processing | SHL talent assessment services |
| Duration of processing | Personal Data will be deleted or returned at the request of and as instructed by Company |
| Nature and Purpose of processing | The data subject will take the assessment using SHL’s online assessment systems. Assessment responses will be evaluated to produce an assessment report with results, which SHL will provide to Company. SHL may perform surveys or other processing operations at Company’s request. Company will have access to candidate data, including assessment results, and the platform interface |
| Type of personal data | Name, Email Address, Gender, Language, Company ID, employee demographic information, responses to assessments or survey and any other data requested by Company |
| Categories of data subjects | Company candidates and/or employees |
ALLEGATO B
Allegato Trattamento Dati
Il presente Allegato riguarda gli obblighi descritti nel GDPR (definito di seguito) e si applica alle organizzazioni stabilite in Europa; che offrono beni e servizi a ppersone in Europa; o che monitorano il comportamento delle persone in Europa, utilizzando i servizi di SHL forniti alla Società ai sensi di un Ordine. Questo Allegato è parte integrante dell’Accordo. Qualora un Ordine contenga disposizioni in contrasto con il presente Allegato, prevarrà l’Allegato.
Legislazione sulla Protezione dei Dati: la legge sulla protezione dei dati del 2003 e la direttiva 95/46 / CE e qualsiasi altra legge o regolamento applicabile in relazione al trattamento dei dati personali ed alla privacy cosi come modificata, rivista o sostituita di volta in volta, anche tramite il Regolamento Generale Sulla Protezione dei Dati (UE) 2016/679 (“GDPR”).
A. Trattamento dei Dati ai sensi dell’articolo 28 (Titolare) del GDPR
1. Articolo 28 (1) – Misure tecniche ed organizzative appropriate
In qualità di Responsabile del Trattamento Dati SHL: (i) provvederà al trattamento dei Dati Personali in conformità alle istruzioni ragionevolmente impartite, dalla Società o in altro modo ai sensi delle presenti Condizioni e (ii) implementerà adeguati controlli di sicurezza amministrativa, tecnica e fisica per proteggere i dati personali da accessi non autorizzati, l’uso, o divulgazione, modifiche non autorizzati, o la distruzione illegale o perdita accidentale. Il Gruppo Shl coopererà con qualsiasi richiesta della Società per i Dati Personali forniti da o tramite la Società al Gruppo SHL a seconda dei casi, a condizione che tale richiesta non violi l’articolo 3.2
2. Articolo 28 (2) – autorizzazione del Sub-responsabile
(a) SHL o le sue Affiliate potranno divulgare Dati Personali a Terze Parti (come di seguito definite) nei seguenti casi: (i) qualora SHL o la relativa Affiliata acquisti o venda qualsiasi attività aziendale (escluse le marketing list a fine di marketing) , (ii) qualora SHL o la relativa Affiliata concluda accordi con Terze Parti per l’esecuzione o la fornitura di certi servizi per conto di SHL o una delle sue Affiliate, o (iii) qualora SHL o una sua Affiliata sia legalmente obbligata a divulgare o condividere dati personali per adempiere ad un obbligo legale. SHL o la sua Affiliata richiederanno contrattualmente a qualsiasi acquirente di beni di proprietà di SHL o delle sue Affiliate che includano Dati Personali o a Terze Parti che svolgano attività per conto di SHL, di fornire lo stesso livello di protezione dei Dati Personali previsto nelle presenti Condizioni ed ai sensi di qualsiasi leggi applicabile in tema di protezione dati. Ai fini del presente articolo “Terze Parti” indica qualsiasi persona fisica o giuridica diversa dalla Società, dalle Affiliate di SHL, , dal Responsabile del Trattamento Dati o dal Titolare del Trattamento Dati, autorizzata al trattamento dati per il Titolare del Trattamento.
(b) Al fine di adempiere alle proprie obligazioni ai sensi dell’Accordo, SHL potrà servirsi delle sue Affiliate, o di subfornitori qualificati e din tal caso, tali Affiliate non saranno considerate subappaltatori ed SHL rimarrà in ogni momento responsabile.
(c) Onde evitare qualsiasi dubbio ed ai fini del comma 2. (b) di cui sopra, SHL rimarrà sempre responsabile per tutte le Affiliate ed I subappaltatori qualificati
3. Articolo 28, paragrafo 3, lettera a) – Istruzioni del responsabile del trattamento
SHL tratterà i Dati personali solo in conformità con I termini del Contratto, di un Ordine applicabile e delle ragionevoli istruzioni scritte della Società, salvo quanto diversamente richiesto dalle leggi vigenti. In tal caso, SHL informerà tempestivamente la Società dell’obbigo legale prima di trattare i Dati personali, a meno che tale legge non vieti di fornire tale informazione per importanti motivi di interesse pubblico.
4. Articolo 28 (3) (b) – Riservatezza
SHL garantirà che tutto il personale autorizzato a trattare i Dati personali della Società sia soggetto a un obbligo vincolante di riservatezza con riguardo a tali Dati Personali.
5. Articolo 28 (3) (c) – Misure richieste a norma dell’Articolo 32
(a) SHL conferma di avere e mantenere un efficace programma di sicurezza delle informazioni che: (i) includa garanzie amministrative, tecniche e fisiche; e (ii) abbia adeguate misure tecniche e organizzative; e in ogni caso, sia adeguato per garantire la sicurezza e la riservatezza dei Dati Personali, proteggea da eventuali minacce o pericoli previsti per la sicurezza o l’integrità dei Dati Personali, protegga da accessi o utilizzi non autorizzati dei Dati personali, protegga i Dati personali dall’elaborazione illecita o di trattamento diverso da quella previsto in conformità con i termini del Contratto e protegga contro la perdita accidentale, la distruzione, il danneggiamento, la modifica o la divulgazione di Dati Personali.
(b) Senza limitare quanto precede, tali garanzie e misure devono essere idonee a tutelare contro il danno che potrebbe derivare da trattamento, uso o divulgazione non autorizzati o illeciti, o perdita accidentale, distruzione o danneggiamento dei Dati personali e della natura dei Dati personali e includerà (come minimo): (i) l’attuazione delle misure prescritte dalla legislazione sulla protezione dei dati e / o qualsiasi altra clausola o disposizione pertinente del Contratto o dell’Ordine; (ii) l’adozione di misure ragionevoli per garantire l’affidabilità dei dipendenti che hanno accesso ai Dati Personali; e (iii) l’implementazione ed il mantenimento di misure di smaltimento adeguate e la formazione del personale SHL che accede ai Dati personali.
6. Articolo 28 (3) (d) – Nomina di un Sub-Responsabile
SHL, salvo quanto stabilito nell’Accordo, non subappalterà alcun trattamento dei Dati Personali della Società senza il preventivo consenso scritto della Società.
7. Articolo 28, paragrafo 3, lettera e) – Misure tecniche e organizzative appropriate relative ai diritti dell’interessato
SHL assisterà la Società, nella misura in cui sia ragionevolmente possibile, per l’adempimento dell’obbligo della Società di rispondere alle richieste di un Candidato in relazione all’esercizio dei diritti individuali del Candidato, come stabilito nel Capitolo III del GDPR
8. Articolo 28, paragrafo 3, lettera f) – Conformità agli articoli da 32 a 36
SHL fornirà quelle informazioni ed assistenza ragionevolmente richieste dalla Società, e nei termini ragionevolmente specificati dalla Società, per consentire alla Società di adempiere ai propri obblighi ai sensi della legislazione sulla Protezione dei Dati applicabile, anche, assistendo la Società nella misura ragionevolmente possibile a: (i) rispettare gli obblighi della Società di garantire che i Dati Personali siano elaborati e archiviati in modo sicuro; (ii) rispettare gli obblighi della Società di informare i Candidati in caso di gravi violazioni dei Dati Personali; (iii) eseguire le valutazioni d’impatto sulla protezione dei dati e verificare la conformità della valutazione d’impatto della protezione dei dati; e (iv) consultare l’autorità di vigilanza applicabile, se necessario, in seguito a una valutazione d’impatto sulla protezione dei dati.
9. Articolo 28, – Cancellazione dei dati
SHL dovrà, previa istruzione scritta della Società, itempestivamente ed in modo sicuro: (i) restituire i Dati Personali alla Società; o (ii) (a meno che la sua conservazione da parte di SHL sia richiesta dalla legge applicabile) cancellare i Dati Personali.
10. Articolo 28, (3) (h) – Audit
(a) SHL metterà a disposizione della Società tutte le informazioni necessarie a dimostrare la conformità con gli obblighi di cui all’articolo 28 (Titolare) del Regolamento Generale sulla Protezione Dati (UE) 2016/679. La Società accetta che l’attuale certificazione ISO 27001 di SHL venga utilizzata per soddisfare qualsiasi richiesta di revisione o ispezione da parte o per conto della Società, e SHL renderà tali rapporti disponibili alla Società.
(b) SHL informerà tempestivamente la Società se, a giudizio di SHL, qualsiasi istruzione emessa dalla Società ai sensi della Sezione A.10 (a) violi qualsiasi disposizione della Legislazione sulla Protezione dei Dati
B. Responsabilità
1. Responsabilità per violazioni del GDPR
1. Subordinatamente agli artcioli delle Condizioni, la responsabilità totale aggregata di SHL derivante direttamente dalla violazione da parte di SHL dei suoi obblighi in qualità di Responsabile del Trattamento ai sensi del GDPR sarà limitata all’importo direttamente attribuito alle azioni di SHL o ai suoi inadempimenti del GDPR nello svolgimento dei suoi servizi. I seguenti danni devono essere considerati come danni diretti recuperabili ai sensi del Contratto e nessuna delle parti potrà rivendicare o asserire che tali danni sono danni indiretti, speciali, incidentali, consequenziali o punitivi o altrimenti irrecuperabili nella misura in cui derivano da una violazione del GDPR: (i) eventuali costi e spese sostenute dalla Società per indagare e riparare il danno arrecato ai dati della Società; (ii) eventuali costi sostenuti dalla Società in connessione con la notifica obbligatoria a terzi (incluse le persone interessate) di accesso non autorizzato o utilizzo di dati aziendali relativi a tali persone; (iii) ammende, sanzioni e interessi valutati nei confronti della Società in conseguenza della violazione; e (iv) ragionevoli spese legali.
C. Riepilogo del trattamento
1. Le parti concordano che quanto segue fornisce le informazioni richieste dal GDPR
| Oggetto del trattamento | Servizi di talent assessment di SHL |
| Durata del trattamento | I Dati Personali saranno cancellati o restituiti a richiesta e secondo le istruzioni della Società |
| Natura e Finalità del trattamento | L’ interessato sarà valutato utilizzando i sistemi di valutazione online di SHL. Le risposte di valutazione saranno valutate per produrre un rapporto di valutazione con i risultati, che SHL fornirà alla Società. SHL potrà eseguire sondaggi o altre operazioni di elaborazione su richiesta della Società. La Società avrà accesso ai dati dei candidati, inclusi i risultati delle valutazioni e l’interfaccia della piattaforma |
| Tipogia di dati personali | Nome, Indirizzo email, Sesso, Lingua, ID della Società, informazioni demografiche sui dipendenti, risposte a valutazioni o sondaggi e qualsiasi altro dato richiesto dalla Società |
| Categorie di interessati | Candidati della Società e/o dipendenti |