Accordo sul trattamento dei dati

Questo documento è un derivato del Termini standard DPA cartacei comuni (versione 1.0) e sono state apportate le seguenti modifiche:

1. Legge applicabile e tribunali scelti è stato incluso come sezione seguente con Governing State sopra individuati.
2. Rapporto con il fornitore di servizi è stato incluso come sezione seguente.

1. Fornitore in qualità di responsabile del trattamento

Nelle situazioni in cui Cliente è titolare del trattamento dei dati personali del cliente, Fornitore sarà considerato un responsabile del trattamento che tratta i dati personali per conto di Cliente.

2. Fornitore come sub-responsabile

Nelle situazioni in cui Cliente è un responsabile del trattamento dei dati personali del cliente, Fornitore sarà considerato un sub-responsabile dei dati personali del cliente.

1. Dettagli del trattamento

L'Allegato I(B) sulla Copertina descrive l'oggetto, la natura, lo scopo e la durata del Trattamento, nonché le Categorie di dati personali raccolto e Categorie di Interessati.

2. Istruzioni per la lavorazione

Cliente istruisce Fornitore Trattare i dati personali del cliente: (a) fornire e mantenere il Servizio; (b) come meglio specificato sub Clienti utilizzo del Servizio; (c) come documentato nel Accordo; e (d) come documentato in qualsiasi altra istruzione scritta fornita da Cliente e riconosciuto da Fornitore sul trattamento dei dati personali del cliente ai sensi del presente DPA. Fornitore si atterrà a queste istruzioni a meno che ciò non sia vietato dalle Leggi applicabili. Fornitore informerà immediatamente Cliente se non è in grado di seguire le istruzioni di elaborazione. Cliente ha dato e darà solo istruzioni conformi alle Leggi Applicabili.

3. Trattamento da parte del Fornitore

Fornitore tratterà i dati personali del cliente solo in conformità con il presente DPA, compresi i dettagli nella copertina. Se Fornitore aggiorna il Servizio per aggiornare esistenti o includere nuovi prodotti, caratteristiche o funzionalità, Fornitore potrebbe cambiare il Categorie di Interessati, Categorie di dati personali, Dati di categoria speciale, Restrizioni o salvaguardie relative ai dati di categorie speciali, Frequenza del trasferimento, Natura e finalità del trattamento, e Durata del trattamento secondo necessità per riflettere gli aggiornamenti mediante notifica Cliente degli aggiornamenti e delle modifiche.

4. Elaborazione del cliente

Dove Cliente è un processore e Fornitore è un sub-responsabile, Cliente rispetterà tutte le leggi applicabili a Clienti Trattamento dei dati personali del cliente. Clienti l'accordo con il suo Titolare richiederà analogamente Cliente rispettare tutte le leggi applicabili a Cliente in qualità di Responsabile del trattamento. Inoltre, Cliente rispetterà i requisiti del Subresponsabile del trattamento Clienti accordo con il suo Titolare.

5. Consenso al trattamento

Cliente ha rispettato e continuerà a rispettare tutte le leggi applicabili sulla protezione dei dati relative alla fornitura dei dati personali del cliente a Fornitore e/o il Servizio, inclusa la divulgazione di tutte le informazioni, l'ottenimento di tutti i consensi, la fornitura di una scelta adeguata e l'implementazione delle garanzie pertinenti richieste dalle leggi applicabili sulla protezione dei dati.

6. Subresponsabili del trattamento

UN. Fornitore non fornirà, trasferirà o consegnerà alcun dato personale del cliente a un subresponsabile a meno che Cliente ha approvato il Subresponsabile. L'elenco attuale di Subresponsabili del trattamento approvati include le identità dei subresponsabili, il loro paese di ubicazione e le loro attività di trattamento previste. Fornitore informerà Cliente con almeno 10 giorni lavorativi di anticipo e per iscritto eventuali modifiche previste al Subresponsabili del trattamento approvati sia mediante aggiunta o sostituzione di un subresponsabile, che lo consente Cliente avere abbastanza tempo per opporsi alle modifiche prima del Fornitore inizia a utilizzare i nuovi sub-responsabili. Fornitore darà Cliente le informazioni necessarie per consentire Cliente di esercitare il proprio diritto di opporsi alla modifica Subresponsabili del trattamento approvati. Cliente ha 30 giorni di tempo dalla notifica di una modifica al Subresponsabili del trattamento approvati opporsi, altrimenti Cliente si riterrà accettare le modifiche. Se Cliente si oppone alla modifica entro 30 giorni dalla notifica, Cliente e Fornitore coopererà in buona fede per risolvere Clienti obiezione o preoccupazione.

B. Quando si incarica un sub-responsabile, Fornitore avrà un accordo scritto con il Subresponsabile che garantisce che il Subresponsabile acceda e utilizzi i Dati personali del Cliente solo (i) nella misura necessaria per eseguire gli obblighi ad esso subappaltati e (ii) in conformità con i termini di Accordo.

C. Se il GDPR si applica al Trattamento dei Dati Personali del Cliente, (i) gli obblighi di protezione dei dati descritti nel presente DPA (di cui all'Articolo 28(3) del GDPR, se applicabile) sono imposti anche al Subresponsabile, e (ii ) Fornitore l'accordo con il Subresponsabile incorporerà tali obblighi, compresi i dettagli su come Fornitore e il suo Sub-responsabile si coordinerà per rispondere a domande o richieste relative al trattamento dei dati personali del cliente. Inoltre, Fornitore condividerà, a Clienti richiedere, una copia dei suoi accordi (comprese eventuali modifiche) con i suoi Subresponsabili. Nella misura necessaria per proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, Fornitore può oscurare il testo del suo accordo con il suo Sub-responsabile prima di condividerne una copia.

D. Fornitore rimane pienamente responsabile per tutti gli obblighi subappaltati ai suoi sub-responsabili, compresi gli atti e le omissioni dei suoi sub-responsabili nel trattamento dei dati personali del cliente. Fornitore notificherà al Cliente qualsiasi inadempienza da parte dei suoi Subresponsabili del trattamento di un obbligo materiale relativo ai Dati personali del Cliente ai sensi dell'accordo tra Fornitore e il Sub-responsabile.

1. Autorizzazione

Cliente è d'accordo su questo Fornitore può trasferire i Dati personali del Cliente al di fuori del SEE, del Regno Unito o di altro territorio geografico rilevante, se necessario per fornire il Servizio. Se Fornitore trasferisce i Dati Personali del Cliente in un territorio per il quale la Commissione Europea o altra autorità di controllo competente non ha emesso una decisione di adeguatezza, Fornitore implementerà garanzie adeguate per il trasferimento dei dati personali del cliente in quel territorio in conformità con le leggi applicabili sulla protezione dei dati.

2. Trasferimenti ex-SEE

Cliente e Fornitore accetti che se il GDPR protegge il trasferimento dei dati personali del cliente, il trasferimento avviene da Cliente dall'interno del SEE a Fornitore al di fuori del SEE, e il trasferimento non è regolato da una decisione di adeguatezza presa dalla Commissione Europea, quindi stipulando questo DPA, Cliente e Fornitore si ritiene che abbiano firmato le clausole contrattuali tipo SEE e i relativi allegati, che sono incorporati mediante riferimento. Qualsiasi trasferimento di questo tipo viene effettuato ai sensi delle SCC SEE, che sono completate come segue:

UN. Il Modulo Due (dal titolare al responsabile) delle SCC del SEE si applica quando Cliente è un titolare del trattamento e Fornitore sta trattando i dati personali del cliente per Cliente in qualità di Responsabile del trattamento.

B. Il Modulo Tre (da responsabile a sub-responsabile) delle SCC del SEE si applica quando Cliente è un processore e Fornitore sta elaborando i dati personali del cliente per conto di Cliente in qualità di sub-responsabile.

C. Per ciascun modulo si applica quanto segue (ove applicabile):

1. La clausola di docking facoltativa di cui alla clausola 7 non si applica;

2. Nella Clausola 9, si applica l'Opzione 2 (autorizzazione scritta generale) e il periodo di tempo minimo per il preavviso delle modifiche del Subresponsabile è di 10 giorni lavorativi;

3. Alla clausola 11 la lingua facoltativa non si applica;

4. Tutte le parentesi quadre nella clausola 13 vengono rimosse;

5. Nella clausola 17 (opzione 1), le clausole contrattuali tipo del SEE saranno disciplinate dalle leggi di Stato membro reggente;

6. Nella clausola 18(b), le controversie saranno risolte nei tribunali del Stato membro reggente; E

7. La pagina di copertina del presente DPA contiene le informazioni richieste nell'allegato I, nell'allegato II e nell'allegato III delle SCC del SEE.

3. Trasferimenti dal Regno Unito

Cliente e Fornitore concordano che se il GDPR del Regno Unito protegge il trasferimento dei dati personali del cliente, il trasferimento avviene da Cliente dal Regno Unito a Fornitore al di fuori del Regno Unito, e il trasferimento non è regolato da una decisione di adeguatezza presa dal Segretario di Stato del Regno Unito, quindi stipulando questo DPA, Cliente e Fornitore si ritiene che abbiano firmato l'Addendum del Regno Unito e i relativi allegati, che sono incorporati mediante riferimento. Qualsiasi trasferimento di questo tipo viene effettuato ai sensi dell'Addendum del Regno Unito, che viene completato come segue:

UN. La Sezione 3.2 del presente DPA contiene le informazioni richieste nella Tabella 2 dell'Addendum del Regno Unito.

B. La Tabella 4 dell'Addendum del Regno Unito è modificata come segue: Nessuna delle parti può porre fine all'Addendum del Regno Unito come stabilito nella Sezione 19 dell'Addendum del Regno Unito; nella misura in cui l'ICO emette un Addendum approvato rivisto ai sensi della Sezione 18 dell'Addendum del Regno Unito, le parti lavoreranno in buona fede per rivedere di conseguenza il presente DPA.

C. La pagina di copertina contiene le informazioni richieste dall'allegato 1A, dall'allegato 1B, dall'allegato II e dall'allegato III dell'Addendum del Regno Unito.

4. Altri trasferimenti internazionali

Per i trasferimenti di dati personali in cui la legge svizzera (e non la legge di qualsiasi stato membro del SEE o del Regno Unito) si applica alla natura internazionale del trasferimento, i riferimenti al GDPR nella clausola 4 delle SCC del SEE sono, nella misura legalmente richiesta, è stato modificato per fare riferimento alla legge federale svizzera sulla protezione dei dati o alla legge successiva, e il concetto di autorità di controllo includerà l'incaricato federale svizzero della protezione dei dati e della trasparenza.

1. Dopo essere venuti a conoscenza di qualsiasi incidente di sicurezza, Fornitore dovrà: (a) avvisare Cliente senza indebito ritardo quando possibile, ma non oltre 72 ore dopo essere venuti a conoscenza dell'incidente di sicurezza; (b) fornire informazioni tempestive sull'incidente di sicurezza non appena viene a conoscenza o come ragionevolmente richiesto da Cliente; e (c) adottare tempestivamente misure ragionevoli per contenere e indagare sull'incidente di sicurezza. Fornitore la notifica o la risposta a un incidente di sicurezza come richiesto dal presente DPA non sarà interpretata come un riconoscimento da parte Fornitore di qualsiasi colpa o responsabilità per l’incidente di sicurezza.

1. Diritti di revisione

Fornitore darà Cliente tutte le informazioni ragionevolmente necessarie per dimostrare la propria conformità al presente DPA e Fornitore consentirà e contribuirà agli audit, comprese le ispezioni da parte di Cliente, valutare Fornitore rispetto del presente DPA. Tuttavia, Fornitore può limitare l'accesso a dati o informazioni se Clienti l’accesso alle informazioni avrebbe un impatto negativo Fornitore diritti di proprietà intellettuale, obblighi di riservatezza o altri obblighi ai sensi delle leggi applicabili. Cliente riconosce e accetta che eserciterà i propri diritti di controllo ai sensi del presente DPA e tutti i diritti di controllo concessi dalle leggi applicabili sulla protezione dei dati solo dando istruzioni Fornitore per ottemperare ai requisiti di reporting e due diligence riportati di seguito. Fornitore conserverà la documentazione relativa alla sua conformità al presente DPA per 3 anni dopo la scadenza del DPA.

2. Rapporti sulla sicurezza

Cliente lo riconosce Fornitore è regolarmente controllato rispetto agli standard definiti nel Politica di sicurezza da revisori indipendenti di terza parte. Su richiesta scritta, Fornitore darà Cliente, in via confidenziale, una copia riassuntiva della sua relazione allora attuale in modo che Cliente può verificare Fornitore rispetto degli standard definiti nell'art Politica di sicurezza.

3. Due Diligence sulla Sicurezza

Oltre al Rapporto, Fornitore risponderà alle ragionevoli richieste di informazioni avanzate da Cliente per confermare Fornitore conformità con questo DPA, comprese le risposte ai questionari sulla sicurezza delle informazioni, sulla due diligence e sui controlli, o fornendo ulteriori informazioni sul proprio programma di sicurezza delle informazioni. Tutte queste richieste devono essere presentate per iscritto al Contatto per la sicurezza del fornitore e può essere effettuato solo una volta all'anno.

1. Risposta alle richieste

Se Fornitore riceve qualsiasi domanda o richiesta da chiunque altro in merito al trattamento dei dati personali del cliente, Fornitore avviserà Cliente sulla richiesta e Fornitore non risponderà alla richiesta senza Clienti consenso anticipato. Esempi di questo tipo di domande e richieste includono un ordine giudiziario, amministrativo o di regolamentazione sui dati personali del cliente in caso di notifica Cliente non è vietato dalla Legge Applicabile o da una richiesta di un interessato. Se consentito dalla Legge Applicabile, Fornitore seguirà Clienti istruzioni ragionevoli su tali richieste, inclusa la fornitura di aggiornamenti di stato e altre informazioni ragionevolmente richieste da Cliente. Se un interessato presenta una richiesta valida ai sensi delle leggi applicabili sulla protezione dei dati per eliminare o rinunciare Clienti conferimento dei dati personali del cliente a Fornitore, Fornitore aiuterà Cliente nell'adempimento della richiesta ai sensi della normativa applicabile sulla protezione dei dati. Fornitore coopererà e fornirà una ragionevole assistenza a Cliente, A Clienti spese, in qualsiasi risposta legale o altra azione procedurale intrapresa da Cliente in risposta a una richiesta di terzi in merito Fornitore Trattamento dei dati personali del cliente ai sensi del presente DPA.

2. DPIA e DTIA

Se richiesto dalle leggi applicabili sulla protezione dei dati, Fornitore aiuterà ragionevolmente Cliente nello svolgimento di valutazioni d'impatto sulla protezione dei dati obbligatorie o valutazioni d'impatto sul trasferimento dei dati e consultazioni con le autorità competenti in materia di protezione dei dati, tenendo in considerazione la natura del trattamento e dei dati personali del cliente.

1. Cancellazione da parte del Cliente

Fornitore consentirà Cliente eliminare i dati personali del cliente in modo coerente con la funzionalità dei servizi. Fornitore si atterrà a queste istruzioni non appena ragionevolmente possibile, salvo nei casi in cui la legge applicabile richieda un'ulteriore archiviazione dei dati personali del cliente.

2. Cancellazione alla scadenza del DPA

UN. Dopo la scadenza del DPA, Fornitore restituirà o cancellerà i dati personali del cliente all'indirizzo Clienti istruzioni a meno che non sia richiesta o autorizzata un'ulteriore archiviazione dei dati personali del cliente dalla legge applicabile. Se la restituzione o la distruzione sono impraticabili o vietate dalle leggi applicabili, Fornitore farà ogni ragionevole sforzo per impedire un ulteriore trattamento dei dati personali del cliente e continuerà a proteggere i dati personali del cliente che rimangono in suo possesso, custodia o controllo. Ad esempio, le Leggi applicabili potrebbero richiederlo Fornitore continuare a ospitare o elaborare i dati personali del cliente.

B. Se Cliente e Fornitore hanno aderito alle SCC del SEE o all'Addendum del Regno Unito come parte del presente DPA, Fornitore darà solo Cliente la certificazione della cancellazione dei dati personali descritta nella clausola 8.1(d) e nella clausola 8.5 delle SCC SEE se Cliente ne chiede uno.

1. Limiti di responsabilità e rinuncia al risarcimento dei danni

Nella misura massima consentita dalle leggi applicabili sulla protezione dei dati, la responsabilità cumulativa totale di ciascuna parte nei confronti dell'altra parte derivante da o correlata al presente DPA sarà soggetta alle rinunce, esclusioni e limitazioni di responsabilità indicate nel Accordo.

2. Reclami verso parti correlate

Qualsiasi reclamo avanzato contro Fornitore o le sue affiliate derivanti da o correlate al presente DPA possono essere intentate solo da Cliente entità che è parte del Accordo.

3. Eccezioni

1. Questo DPA non limita alcuna responsabilità nei confronti di un individuo in merito ai diritti di protezione dei dati dell'individuo ai sensi delle leggi applicabili sulla protezione dei dati. Inoltre, questo DPA non limita alcuna responsabilità tra le parti per violazioni delle SCC SEE o dell'Addendum del Regno Unito.

1. Il presente DPA costituisce parte integrante dell'Accordo e lo integra. In caso di incoerenza tra il presente DPA, il Accordo, o una qualsiasi delle loro parti, la parte elencata in precedenza prevarrà sulla parte elencata successivamente per tale incoerenza: (1) le SCC del SEE o l'Addendum del Regno Unito, (2) il presente DPA e quindi (3) il Accordo.

Questo DPA inizierà quando Fornitore e Cliente accettare una Pagina di copertina per il DPA e firmare o accettare elettronicamente la Accordo e continuerà fino al Accordo scade o viene terminato. Tuttavia, Fornitore e Cliente ciascuno rimarrà soggetto agli obblighi previsti dal presente DPA e dalle leggi applicabili sulla protezione dei dati fino al Cliente interrompe il trasferimento dei dati personali del cliente a Fornitore e Fornitore interrompe il trattamento dei dati personali del cliente.

Nonostante la legge applicabile o clausole simili del Accordo, tutte le interpretazioni e le controversie relative al presente DPA saranno regolate dalle leggi della Stato governante indipendentemente dalle disposizioni sul conflitto di leggi. Inoltre, e nonostante la selezione del foro, la giurisdizione o clausole simili del Accordo, le parti concordano di intentare qualsiasi azione legale, azione o procedimento relativo al presente DPA e ciascuna parte si sottopone irrevocabilmente alla giurisdizione esclusiva dei tribunali del Stato governante.

Nella misura in cui il California Consumer Privacy Act, Cal. Civ. Si applica il Codice § 1798.100 e seguenti ("CCPA"), le parti lo riconoscono e lo accettano Fornitore è un fornitore di servizi e riceve dati personali da Cliente per fornire il Servizio come concordato nel Accordo, che costituisce uno scopo aziendale. Fornitore non venderà alcun dato personale fornito da Cliente sotto il Accordo. Inoltre, Fornitore non conserverà, utilizzerà o divulgherà alcun dato personale fornito da Cliente sotto il Accordo salvo quanto necessario per la fornitura del Servizio Cliente, come precisato nel Accordoo come consentito dalle leggi applicabili sulla protezione dei dati. Fornitore certifica di aver compreso le restrizioni di questo paragrafo.

1. "Leggi applicabili" indica le leggi, le norme, i regolamenti, le ordinanze dei tribunali e altri requisiti vincolanti di un'autorità governativa pertinente che si applicano o governano una parte.

2. "Leggi applicabili sulla protezione dei dati" indica le Leggi applicabili che regolano il modo in cui il Servizio può elaborare o utilizzare le informazioni personali, i dati personali, le informazioni di identificazione personale o altri termini simili di un individuo.

3. "Controllore" avrà il significato indicato nelle Leggi applicabili sulla protezione dei dati per la società che determina lo scopo e la portata del trattamento dei dati personali.

4. "Copertina" indica un documento firmato o accettato elettronicamente dalle parti che incorpora i presenti Termini standard DPA e li identifica Fornitore, Clientee l'oggetto e i dettagli del trattamento dei dati.

5. "Dati personali del cliente" significa Dati personali che Cliente carica o fornisce a Fornitore come parte del Servizio e che è regolato dal presente DPA.

6. "DPA" indica i presenti Termini standard DPA, la Pagina di copertina in mezzo Fornitore e Clientee le politiche e i documenti a cui si fa riferimento o allegati alla copertina.

7. "SCC SEE" indica le clausole contrattuali tipo allegate alla Decisione di Esecuzione 2021/914 della Commissione Europea del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo .

8. "Area Economica Europea" o "EEA" indica gli Stati membri dell'Unione Europea, Norvegia, Islanda e Liechtenstein.

9. "GDPR" indica il Regolamento dell'Unione Europea 2016/679 come implementato dalla legge locale nel relativo paese membro del SEE.

10. "Dati personali" avrà il significato indicato nelle Leggi applicabili sulla protezione dei dati per informazioni personali, dati personali o altri termini simili.

11. "In lavorazione" o "Processi" avrà il significato indicato nelle Leggi applicabili sulla protezione dei dati per qualsiasi utilizzo o esecuzione di un'operazione informatica sui Dati personali, anche con metodi automatici.

12. "Processore" avrà il significato indicato nelle Leggi applicabili sulla protezione dei dati per la società che tratta i dati personali per conto del Titolare.

13. "Rapporto" significa rapporti di audit preparati da un'altra società secondo gli standard definiti nella Politica di Sicurezza per conto del Fornitore.

14. "Trasferimento limitato" significa (a) laddove si applica il GDPR, un trasferimento di dati personali dal SEE a un paese al di fuori del SEE che non è soggetto a una determinazione di adeguatezza da parte della Commissione Europea; e (b) laddove si applichi il GDPR del Regno Unito, un trasferimento di dati personali dal Regno Unito a qualsiasi altro Paese che non sia soggetto a norme di adeguatezza adottate ai sensi della Sezione 17A del Data Protection Act del 2018 del Regno Unito.

15. "Incidente di sicurezza" indica una violazione dei dati personali come definita all’articolo 4 del GDPR.

16. "Servizio" indica il prodotto e/o i servizi descritti nel Accordo.

17. "Dati di categorie speciali" avrà il significato attribuito dall’articolo 9 del GDPR.

18. "Sub-responsabile" avrà il significato indicato nelle Leggi applicabili sulla protezione dei dati per un'azienda che, con l'approvazione e l'accettazione del Titolare, assiste il Responsabile nel trattamento dei dati personali per conto del Titolare.

19. "UK GDPR" indica il Regolamento dell'Unione Europea 2016/679 come implementato dalla sezione 3 dell'Unione Europea (Recesso) Act del 2018 nel Regno Unito.

20. "Addendum del Regno Unito" indica l'addendum sul trasferimento internazionale dei dati alle SCC del SEE emesso dal Commissario per le informazioni per le parti che effettuano trasferimenti limitati ai sensi del S119A(1) Data Protection Act 2018.

Questo documento è un derivato del Termini standard DPA cartacei comuni (versione 1.0) ed è concesso in licenza con CC BY 4.0.