Accordo sul trattamento dei dati (DPA)
I SOTTOSCRITTI:
e
di seguito denominati congiuntamente: Parti;
CONSIDERAZIONI:
CONCORDANO COME SEGUE:
I termini scritti con la lettera maiuscola nel presente DPA hanno il seguente significato:
1.2 Violazione dei dati: una violazione delle misure di sicurezza volte a proteggere i Dati personali dalla perdita o da qualsiasi forma di trattamento illecito, nonché qualsiasi incidente o evento in cui si verifichi o possa verificarsi una perdita o un trattamento illecito dei Dati personali.
1.3 Contratto: il Contratto tra il Responsabile del trattamento e il Titolare del trattamento relativo alla soluzione SAAS di cybersecurity fornita dal Responsabile del trattamento, da cui deriva il trattamento dei Dati personali.
1.4 Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile. Una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificatore come un nome, un numero di identificazione, dati di localizzazione, un identificatore online, o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica.
1.5 Subincaricato: la persona fisica o giuridica che assiste un Incaricato nel trattamento dei Dati personali per conto del Titolare.
1.6 Trattamento: qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, con o senza l'ausilio di mezzi automatizzati, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, il recupero, la consultazione, l'utilizzo, la divulgazione mediante trasmissione, diffusione o altra forma di messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione.
1.7 Accordo per il trattamento dei dati (DPA): il presente accordo tra il Titolare e il Responsabile del trattamento relativo al trattamento dei dati personali, comprese le considerazioni e le appendici associate.
2.1 Il presente DPA entra in vigore alla data di sottoscrizione dell'Accordo da parte delle Parti.
2.2 Il presente DPA rimarrà in vigore finché il Responsabile del trattamento tratterà i Dati personali per conto del Titolare del trattamento ai sensi dell'Accordo.
3.1 Durante l'esecuzione del Contratto, il Titolare del trattamento può fornire Dati personali al Responsabile del trattamento. Una panoramica delle categorie di Dati personali che possono essere forniti al Responsabile del trattamento è contenuta nell'Informativa sulla privacy.
3.2 Il Titolare determina le finalità e i mezzi del trattamento dei Dati personali. Tale finalità è riportata nell'Informativa sulla privacy.
3.3 Il Responsabile del trattamento tratta questi Dati personali esclusivamente per l'esecuzione del Contratto, della presente DPA e delle istruzioni scritte impartite dal Titolare. Il Responsabile del trattamento tratterà i Dati personali esclusivamente per gli scopi descritti nella Politica sulla privacy e non li utilizzerà per altri scopi o per scopi propri, a meno che non sia obbligato a farlo per legge.
3.4 Se un'istruzione di cui all'articolo 3.3, a giudizio del Responsabile del trattamento, è in conflitto con una disposizione di legge sulla protezione dei dati, il Responsabile del trattamento ne informerà il Titolare prima del trattamento, a meno che una disposizione di legge non vieti tale notifica.
3.5 Il Titolare concede al Responsabile del trattamento un'autorizzazione generale a subappaltare il trattamento dei Dati personali a Subprocessori, compresi i Subprocessori elencati sul sito web del Responsabile del trattamento.
3.6 Qualora il Processore assuma un Subprocessore nuovo o sostitutivo, il Processore dovrà:
(a) Aggiornare l'elenco dei Subprocessori disponibile sul sito web del Responsabile del trattamento.
(b) imporre a qualsiasi Subprocessore assunto sostanzialmente gli stessi termini di protezione dei dati contenuti nel presente DPA (comprese le disposizioni sul trasferimento dei dati, ove applicabili).
(c) rimanere responsabile nei confronti del Titolare del trattamento per qualsiasi violazione del presente DPA causata da un atto, un errore o un'omissione di tale Subprocessore.
(d) Notificare il Controllore, se il Controllore è iscritto. Se il Controllore sceglie di essere avvisato per iscritto 14 giorni prima che Guardey assuma un nuovo o sostitutivo Subprocessore, il Controllore deve iscriversi a tali notifiche tramite questo link.
3.7 Il Titolare del trattamento può opporsi alla nomina da parte del Responsabile del trattamento di un Subprocessore nuovo o sostitutivo tempestivamente per iscritto entro quattordici (14) giorni dal ricevimento della comunicazione ai sensi del punto 3.6(d) e per motivi ragionevoli relativi alla capacità del Subprocessore di rispettare le leggi applicabili in materia di protezione dei dati. In tal caso, le Parti discuteranno in buona fede le preoccupazioni del Titolare del trattamento al fine di raggiungere una soluzione commercialmente ragionevole. Qualora le Parti non riescano a raggiungere tale risoluzione, il Responsabile del trattamento avrà il diritto, a sua esclusiva discrezione, di non nominare il Subprocessore contestato, oppure di consentire al Titolare del trattamento di sospendere o risolvere l'Ordine applicabile e/o il Contratto.
3.8 Il Responsabile del trattamento fornirà l'assistenza necessaria per adempiere agli obblighi di cui agli articoli da 32 a 36 del GDPR. In particolare, il Responsabile del trattamento collaborerà all'esecuzione delle azioni necessarie in risposta alle richieste degli Interessati in materia di accesso, rettifica, limitazione o cancellazione dei Dati personali.
3.9 Il Responsabile del trattamento memorizzerà ed elaborerà i Dati personali solo all'interno dell'Unione Europea, salvo diverso accordo con il Titolare.
3.10 Il Titolare del trattamento garantisce che il trattamento dei Dati Personali, secondo le istruzioni impartite al Responsabile del trattamento, non viola le norme sulla protezione dei dati e non è illegale. Il Titolare del trattamento manleva il Responsabile del trattamento da qualsiasi rivendicazione di terzi, comprese quelle delle autorità di vigilanza, relative a questo aspetto.
3.11 Trasferimenti internazionali di dati:
(a) Se il trattamento prevede il trasferimento di Dati personali al di fuori dell'UE/EER, il Responsabile del trattamento garantirà un livello di protezione adeguato in conformità al Capitolo V del GDPR.
(b) Per i trasferimenti a paesi che non hanno una decisione di adeguatezza, si utilizzeranno clausole contrattuali standard (SCC) o un altro meccanismo di trasferimento approvato.
(c) Il Responsabile del trattamento notificherà al Titolare del trattamento i subprocessori al di fuori dell'UE/EER e consentirà al Titolare del trattamento di opporsi a tali trasferimenti in conformità con il punto 3.7.
4.1 Il Responsabile del trattamento continuerà a rispettare le disposizioni del presente DPA anche dopo la cessazione del Contratto e del DPA fintanto che il Responsabile del trattamento conserverà i Dati personali del Titolare.
5.1 Alla cessazione dell'Accordo e del DPA, tutti i Dati personali saranno restituiti al Titolare del trattamento (o a un terzo designato dal Titolare del trattamento) o distrutti non appena ragionevolmente possibile su richiesta del Titolare del trattamento, a scelta di quest'ultimo.
6.1 Il Responsabile del trattamento implementerà misure tecniche e organizzative adeguate per proteggere i Dati personali dalla perdita o da qualsiasi forma di trattamento illecito. Tali misure garantiranno un livello di sicurezza adeguato al rischio presentato dal trattamento e alla natura dei Dati personali da proteggere, tenendo conto dello stato dell'arte e dei costi di implementazione. Un elenco dettagliato di tali misure è riportato nella Politica di sicurezza.
6.2 Il Responsabile del trattamento aggiornerà le misure di cui all'articolo 6.1 qualora il Titolare del trattamento richieda tali aggiornamenti in quanto il Titolare del trattamento ritiene che siano necessari per mantenere un livello di sicurezza adeguato come descritto all'articolo 6.1. In tali casi, il Responsabile del trattamento ha il diritto di aumentare i prezzi concordati con il Titolare del trattamento per coprire i costi sostenuti dal Responsabile del trattamento in relazione a tali aggiornamenti.
7.1 Su richiesta, il Responsabile del trattamento fornirà copie di eventuali certificazioni, sintesi di rapporti di audit e/o altra documentazione pertinente in suo possesso, ove ragionevolmente richiesto dal Titolare del trattamento per verificare la conformità del Responsabile del trattamento al presente DPA.
7.2 While it is the parties’ intention ordinarily to rely on the Processor’s obligations set forth in Section 7.1 per verificare la conformità del Processore al presente DPA, a seguito di un incidente di sicurezza confermato o qualora un'autorità di protezione dei dati lo richieda, il Titolare del trattamento può fornire al Processore, con un preavviso scritto di trenta (30) giorni, la richiesta che una terza parte conduca un audit delle operazioni e delle strutture del Processore ("Audit"); a condizione che (i) qualsiasi Audit sia condotto a spese del Titolare del trattamento; (ii) le parti concordino reciprocamente l'ambito, i tempi e la durata dell'Audit; e (iii) l'Audit non abbia un impatto irragionevole sulle regolari operazioni del Processore.
8.1 Il Titolare del trattamento è responsabile della valutazione della necessità di segnalare una violazione dei dati all'autorità di controllo e/o agli interessati e dell'effettiva segnalazione.
8.2 Il Responsabile del trattamento segnalerà al Titolare del trattamento qualsiasi violazione dei dati o il sospetto di tale violazione nel più breve tempo possibile, e in ogni caso entro 24 ore dalla scoperta della violazione. Il Responsabile del trattamento fornirà almeno le seguenti informazioni:
(a) la causa (sospetta) della violazione dei dati;
(b) le conseguenze (note o previste) della violazione dei dati;
(c) i dati relativi all'ubicazione della violazione dei dati;
(d) eventuali destinatari non autorizzati dei Dati personali e tutte le informazioni disponibili su di essi;
(e) proposte di misure per limitare i danni;
(f) qualsiasi altra informazione richiesta dal Controllore.
8.3 Il Responsabile del trattamento collaborerà alla richiesta del Titolare di informare adeguatamente gli interessati o le autorità di vigilanza in merito alla violazione dei dati e sarà disponibile per consultazioni con il Titolare. 8.4 Il Titolare del trattamento e il Responsabile del trattamento manterranno la massima riservatezza reciproca in merito alla violazione dei dati, a qualsiasi timore di violazione dei dati e ad altre questioni correlate, ad eccezione degli obblighi derivanti dal diritto dell'UE o nazionale.
9.1 Ciascuna parte sarà responsabile e terrà indenne l'altra parte da qualsiasi reclamo, azione legale, danno e perdita derivanti da o in relazione a qualsiasi violazione del presente DPA, nella misura in cui tale violazione sia attribuibile a negligenza, dolo o inosservanza delle leggi applicabili in materia di protezione dei dati.
9.2 La responsabilità del Responsabile del trattamento per qualsiasi violazione del presente DPA sarà limitata ai soli danni diretti e non supererà gli importi pagati dal Titolare del trattamento al Responsabile del trattamento ai sensi del Contratto nei 12 mesi precedenti la violazione.
10.1 Il Responsabile del trattamento dovrà informare tempestivamente il Titolare del trattamento qualora riceva una richiesta da parte di un Interessato di esercitare i propri diritti ai sensi del GDPR.
10.2 Il Responsabile del trattamento collaborerà con il Titolare del trattamento e fornirà assistenza al Titolare del trattamento per consentire a quest'ultimo di soddisfare tali richieste nei tempi previsti dal GDPR.
11.1 Il Responsabile del trattamento designa il seguente referente per il coordinamento degli obblighi previsti dal presente DPA:
Informazioni di contatto del Processore:
11.2 Tutte le comunicazioni relative al presente DPA devono essere indirizzate alla persona di contatto sopra indicata.
11.3 Il Titolare del trattamento deve fornire i propri dati di contatto attraverso i canali di comunicazione designati sul sito web del Responsabile del trattamento o contattando il team di assistenza del Responsabile del trattamento ai recapiti sopra indicati.
12.1 GDPR del Regno Unito: se e nella misura in cui il trattamento dei Dati personali ai sensi del presente DPA riguarda soggetti nel Regno Unito, si applicano le disposizioni del GDPR del Regno Unito. I riferimenti al GDPR nel presente DPA includono anche i riferimenti al GDPR del Regno Unito, ove applicabile.
12.2 CCPA / CPRA: se e nella misura in cui il trattamento dei dati personali ai sensi del presente DPA riguarda soggetti in California, si applicano le disposizioni del California Consumer Privacy Act (CCPA) e del California Privacy Rights Act (CPRA). Il Responsabile del trattamento dovrà:
(a) notificare immediatamente al Controllore qualsiasi richiesta dei consumatori ai sensi del CCPA/CPRA.
(b) collaborare con il Titolare del trattamento per garantire che tali richieste siano gestite tempestivamente e in conformità al CCPA/CPRA.
(c) non "vendere" i dati personali secondo la definizione del CCPA/CPRA.
(d) Garantire la conformità ai requisiti CCPA/CPRA, tra cui la trasparenza e le notifiche sui diritti dei consumatori.
13.1 Eventuali deroghe al presente DPA sono vincolanti solo se espressamente concordate per iscritto tra le Parti.
13.2 I termini e le condizioni generali o altre condizioni generali o speciali del Responsabile del trattamento non si applicano al presente DPA e sono espressamente rifiutati dal Titolare.
13.3 Il presente DPA integra il Contratto. In caso di conflitto tra le disposizioni del presente DPA e quelle del Contratto, prevarranno le disposizioni del presente DPA.
13.4 Il presente DPA è disciplinato dalla legge olandese.
13.5 Le controversie tra le Parti che non possono essere risolte attraverso la consultazione saranno sottoposte al tribunale olandese competente dell'Aia.