APPENDICE AL TRATTAMENTO DEI DATI

In vigore: ottobre 28 th , 2022

Il presente Addendum sull'elaborazione dei dati ("DPA") fa parte dei Termini di servizio di Nitro Business o dei Termini di servizio di Nitro, a seconda dei casi, che regolano l'uso dei servizi di Nitro ("Contratto") stipulati da e tra l'Utente o il Licenziatario (ciascuno come definito nel relativo Accordo; e ai fini del presente DPA, Lei e il Licenziatario siete qui indicati come "Cliente") e Nitro Software, Inc. ("Nitro") per riflettere l'accordo delle parti in merito al Trattamento dei Dati Personali da parte di Nitro esclusivamente per conto del Cliente ai sensi del Contratto. Entrambe le Parti saranno denominate le "Parti" e ciascuna una "Parte".

1. Definitions

Ai fini del presente DPA, i termini di seguito riportati hanno il significato di seguito indicato. I termini in maiuscolo utilizzati ma non definiti nel presente DPA hanno i significati indicati nell'Accordo.

(a) Affiliata indica qualsiasi entità che, direttamente o indirettamente, controlla, è controllata o è sottoposta a un controllo comune con l'entità in oggetto, dove "controllo" si riferisce al potere di dirigere o determinare la direzione dell'entità in questione, sia (i) attraverso il possesso di titoli con diritto di voto, o (ii) attraverso la capacità di controllare di fatto le decisioni gestionali di tale ente, per contratto o altro.

(b) API indica qualsiasi interfaccia di programmazione dell'applicazione resa disponibile da Nitro al Cliente in relazione al Contratto.

(c) Leggi applicabili sulla protezione dei dati significa le leggi e i regolamenti sulla privacy, sulla protezione dei dati e sulla sicurezza dei dati di qualsiasi giurisdizione applicabile al trattamento dei dati personali ai sensi dell'accordo, comprese, a titolo esemplificativo, le leggi europee sulla protezione dei dati e il CCPA, ciascuno come modificato da tempo al tempo.

(d) CCPA indica il California Consumer Privacy Act di 2018 e qualsiasi regolamento promulgato ai sensi dello stesso.

(e) Dati del Cliente indica le informazioni fornite o messe a disposizione di Nitro per l'elaborazione per conto del Cliente per l'esecuzione dei Servizi.

(f) Documentazione indica Guida per l'utente, note di rilascio, guide di implementazione e qualsiasi altra documentazione tecnica relativa ai Servizi o ai Servizi professionali messa a disposizione del Cliente da Nitro.

(g) SEE indica lo Spazio economico europeo.

(h) Leggi europee sulla protezione dei dati indica il GDPR e altre leggi e regolamenti sulla protezione dei dati dell'Unione Europea, dei suoi Stati membri, della Svizzera, dell'Islanda, del Liechtenstein, della Norvegia e del Regno Unito, in ogni caso, nella misura applicabile al Trattamento di Dati Personali ai sensi dell'Accordo.

(i) GDPR indica il regolamento (UE) 2016 / 679 del Parlamento europeo e del Consiglio del 27 aprile 2016 , come di volta in volta modificato.

(j) Incidente di sicurezza delle informazioni indica una violazione nota della sicurezza di Nitro che porta alla distruzione, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso accidentale o illegale ai Dati personali in possesso, custodia o controllo di Nitro. Gli incidenti di sicurezza delle informazioni non includono tentativi o attività non riusciti che non compromettono la sicurezza dei Dati personali, inclusi, a titolo esemplificativo, tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi Denial of Service o altri attacchi di rete a firewall o sistemi in rete.

(k) Diritti di proprietà intellettuale significa tutti i diritti di proprietà intellettuale in tutto il mondo, inclusi: (i) brevetti, divulgazione di invenzioni (brevettabili o meno), domande di brevetto, riemissioni, riesami, diritti di modelli di utilità e diritti di design (registrati o meno) e diritti di proprietà industriale registrati o di altro tipo, (ii) marchi, marchi di servizio, nomi aziendali, nomi commerciali, identificatori Internet, trade dress e altre denominazioni di origine o origine simili insieme all'avviamento simboleggiato da uno qualsiasi dei precedenti, (iii ) diritti d'autore, diritti morali, diritti di progettazione, diritti di database, raccolte di dati e altri diritti sui generis, (iv) segreti commerciali o altri diritti di proprietà su informazioni riservate o informazioni tecniche, normative e di altro tipo, progetti, risultati, tecniche e altre conoscenze -come, e (v) domande, registrazioni e rinnovi per, e tutti i diritti associati in relazione a, uno qualsiasi dei precedenti in qualsiasi parte del mondo.

(l) Dati personali indica i Dati del cliente che costituiscono "dati personali", "informazioni personali" o "informazioni di identificazione personale" definiti nella legge applicabile sulla protezione dei dati, o informazioni di carattere simile regolamentate da tale informazioni relative al personale o ai rappresentanti del Cliente che sono contatti commerciali di Nitro nel corso normale del rapporto commerciale, in cui Nitro agisce in qualità di titolare del trattamento di tali informazioni.

(m) Trattamento significa qualsiasi operazione o insieme di operazioni che viene eseguito su Dati Personali o su insiemi di Dati Personali, anche con mezzi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il reperimento, la consultazione , uso, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.

(n) Servizi professionali indica qualsiasi servizio svolto da Nitro in relazione ai Servizi come attivazione, formazione, configurazione, integrazione, valutazione e ottimizzazione.

(o) Misure di sicurezza ha il significato indicato nella Sezione 5 (a) (Misure di sicurezza del fornitore).

(p) Clausole contrattuali standard indica le disposizioni obbligatorie delle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi nella forma prevista dalla Decisione della Commissione Europea 2016 / 679 /UE e 2018 / 914 /UE e attuato dalla decisione della Commissione europea 2021 / 914 , datata 4 giugno 2021 .

(q) Subincaricati indica le terze parti che Nitro si impegna a trattare i Dati personali in relazione ai Servizi.

(r) Subincaricati di terze parti ha il significato indicato nella Sezione 5 (Subincaricati) dell'Allegato 1 .

(s) I termini titolare del trattamento , interessato , responsabile del trattamento e autorità di controllo utilizzati nel presente DPA hanno i significati indicati nel GDPR .

2. Duration and Scope of DPA

(a) Il presente DPA rimarrà in vigore fintanto che Nitro elaborerà i Dati personali, nonostante la scadenza o la risoluzione del Contratto.

(b) L'allegato 1 (allegato UE) al presente DPA si applica esclusivamente al trattamento soggetto alle leggi europee sulla protezione dei dati.

(c) L'allegato 2 (allegato California) al presente DPA si applica esclusivamente al Trattamento soggetto al CCPA se il Cliente è un "azienda" o un "fornitore di servizi" (come definito nel CCPA) in relazione a tale Trattamento.

3. Customer Instructions

Nitro tratterà i Dati Personali solo in conformità con le istruzioni del Cliente a Nitro. Il presente DPA è un'espressione completa di tali istruzioni e le istruzioni aggiuntive del Cliente saranno vincolanti per Nitro solo in virtù di un emendamento al presente DPA firmato da entrambe le Parti. Il Cliente incarica Nitro di elaborare i Dati Personali per fornire i Servizi come previsto dall'Accordo.

4. Analytics

Il Cliente riconosce e accetta che, come parte dei Servizi, Nitro può:

(a) creare e derivare dal Trattamento relativo ai Servizi elementi necessari per fornire i Servizi; e/o

(b) creare e derivare dal trattamento relativo ai Servizi dati anonimi e/o aggregati che non identificano il Cliente o alcuna persona fisica e utilizzare, pubblicizzare o condividere con terze parti tali dati anonimi e/o aggregati per migliorare i prodotti e i servizi di Nitro e/o per altri scopi commerciali legittimi.

5. <>Security

(a) Misure di sicurezza del fornitore . Nitro attuerà e manterrà misure tecniche e organizzative progettate per proteggere i Dati personali da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali (" Misure di sicurezza "), come descritto nell'Allegato 3 (Misure di sicurezza) accidentali o illegali. Nitro può aggiornare le Misure di sicurezza di volta in volta senza preavviso, a condizione che le misure aggiornate non riducano sostanzialmente la protezione generale dei Dati Personali.

(b) Incidenti di sicurezza delle informazioni . Nitro informerà il Cliente senza indebito ritardo di qualsiasi Incidente di sicurezza delle informazioni di cui il Cliente venga a conoscenza. Tali notifiche possono descrivere i dettagli disponibili dell'Incidente di sicurezza delle informazioni, incluso un riepilogo delle misure adottate per mitigare i potenziali rischi e le misure che Nitro consiglia al Cliente di prendere in considerazione per affrontare l'Incidente di sicurezza delle informazioni. La notifica o la risposta di Nitro a un incidente di sicurezza delle informazioni non sarà interpretata come riconoscimento da parte di Nitro di qualsiasi colpa o responsabilità in relazione all'incidente di sicurezza delle informazioni.

(c) Responsabilità e Valutazione della Sicurezza del Cliente.

(i) Responsabilità di sicurezza del cliente . Il Cliente accetta che, senza limitazione degli obblighi di Nitro ai sensi della Sezione 5 (Sicurezza), il Cliente è l'unico responsabile dell'uso dei Servizi, incluso (a) l'uso appropriato dei Servizi per garantire un livello di sicurezza adeguato al rischio in rispetto dei Dati Personali; (b) proteggere le credenziali di autenticazione dell'account, i sistemi e i dispositivi utilizzati dal Cliente per accedere ai Servizi; (c) proteggere i sistemi ei dispositivi del Cliente che Nitro utilizza per fornire i Servizi; e (d) eseguire il backup dei Dati Personali.

(ii) Valutazione della sicurezza del cliente . Il Cliente accetta che i Servizi, le Misure di sicurezza e gli impegni di Nitro ai sensi del presente DPA siano adeguati a soddisfare le esigenze del Cliente, anche in relazione a eventuali obblighi di sicurezza del Cliente ai sensi delle Leggi applicabili sulla protezione dei dati, e forniscano un livello di sicurezza adeguato al rischio in relazione a i Dati Personali.

6. Data Subject Rights

(a) L'interessato di Nitro richiede assistenza . Nitro (tenendo conto della natura del Trattamento dei Dati Personali) fornirà al Cliente l'assistenza ragionevolmente necessaria affinché il Cliente adempia ai propri obblighi ai sensi delle Leggi sulla protezione dei dati applicabili per soddisfare le richieste degli interessati di esercitare i propri diritti ai sensi delle Leggi sulla protezione dei dati applicabili (" Dati Richieste del Soggetto ”) rispetto ai Dati Personali in possesso o controllo di Nitro. Il Cliente dovrà risarcire Nitro per tale assistenza alle tariffe dei servizi professionali Nitro in vigore in quel momento, che saranno messe a disposizione del Cliente su richiesta.

(b) Responsabilità del Cliente per le Richieste . Se Nitro riceve una richiesta dell'interessato, Nitro avviserà l'interessato di presentare la richiesta al Cliente e il Cliente sarà responsabile di rispondere alla richiesta.

7. Customer Responsibilities

(a) Conformità del cliente . Il Cliente dovrà adempiere ai propri obblighi ai sensi delle Leggi applicabili sulla protezione dei dati. Il Cliente deve garantire (ed è l'unico responsabile di assicurare) che le sue istruzioni nella Sezione 3 siano conformi alle Leggi applicabili sulla protezione dei dati e che il Cliente abbia notificato tutte le informazioni e abbia ottenuto tutti i consensi alle persone a cui si riferiscono i Dati personali e a tutti altre parti come richiesto dalle leggi sulla protezione dei dati applicabili affinché il cliente elabori i dati personali come previsto dall'accordo.

(b) Dati vietati . Il Cliente dichiara e garantisce a Nitro che i Dati del Cliente non contengono e non conterranno, senza il previo consenso scritto di Nitro, alcun numero di previdenza sociale o altri numeri di identificazione emessi dal governo; informazioni biometriche; password per account online; credenziali per eventuali conti finanziari; dati della dichiarazione dei redditi; rapporti di credito o rapporti di consumo; qualsiasi informazione sulla carta di pagamento soggetta allo standard di sicurezza dei dati del settore delle carte di pagamento; informazioni soggette al Gramm-Leach-Bliley Act, al Fair Credit Reporting Act o ai regolamenti promulgati ai sensi di tali leggi; informazioni soggette a restrizioni ai sensi delle leggi sulla protezione dei dati applicabili che regolano i dati personali dei bambini, incluse, a titolo esemplificativo, tutte le informazioni sui bambini di età inferiore a 13 anni; o qualsiasi informazione che rientri in categorie speciali di dati (come definito nel GDPR). Il Cliente dichiara inoltre che i Dati del Cliente non contengono e non conterranno informazioni sanitarie protette soggette all'Health Insurance Portability and Accountability Act (HIPAA) o a qualsiasi legislazione simile in altre giurisdizioni; altre informazioni riguardanti la storia medica, le condizioni mentali o fisiche di un individuo o il trattamento medico o la diagnosi da parte di un operatore sanitario; o informazioni sull'assicurazione sanitaria a meno che il Cliente e Nitro non abbiano stipulato separatamente un contratto di società in affari HIPAA.

8. Miscellaneous

Salvo quanto espressamente modificato dal Garante, i termini del Contratto restano in vigore ed efficaci. In caso di conflitto o incoerenza tra il presente DPA e i termini dell'Accordo, prevarrà il presente DPA. Nonostante qualsiasi disposizione contraria dell'Accordo o qualsiasi modulo d'ordine inserito in relazione ad esso, le Parti riconoscono e concordano che l'accesso di Nitro ai Dati personali non costituisce parte del corrispettivo scambiato dalle Parti in relazione all'Accordo. Nonostante qualsiasi disposizione contraria nell'Accordo, qualsiasi avviso richiesto o consentito da Nitro al Cliente ai sensi del presente DPA può essere fornito (a) in conformità con qualsiasi clausola di avviso dell'Accordo; (b) ai principali punti di contatto di Nitro presso il Cliente; o (c) a qualsiasi e-mail fornita dal Cliente allo scopo di fornirgli comunicazioni o avvisi relativi ai Servizi. Il Cliente è l'unico responsabile di garantire che tali indirizzi per le notifiche siano validi.

ANNEX 1 TO DPA EU ANNEX

8

1. Processing of Data

(a) Oggetto e dettagli del trattamento . Le Parti riconoscono e concordano che (i) l'oggetto del Trattamento ai sensi dell'Accordo è la fornitura dei Servizi da parte di Nitro; (ii) la durata del Trattamento va dalla ricezione dei Dati Personali da parte di Nitro fino alla cancellazione di tutti i Dati Personali da parte di Nitro in conformità con l'Accordo; (iii) la natura e lo scopo del Trattamento è fornire i Servizi; (iv) gli interessati cui si riferiscono i Dati Personali sono il Cliente (nella misura in cui il Cliente sia un individuo), gli utenti dei Servizi o del software Nitro e le persone fisiche i cui Dati Personali sono stati generati, condivisi o caricati dal Cliente e/o utenti dei Servizi e/o del software Nitro; e (v) le categorie di Dati Personali sono i dati personali generati, condivisi, caricati o richiesti dal Cliente o dagli utenti dei Servizi e/o del software Nitro (che possono includere Dati Personali contenuti in documenti, immagini e altri media e utenti- contenuto generato come documenti, testo, immagini e altri contenuti).

(b) Ruoli e conformità normativa; Autorizzazione . Le parti riconoscono e concordano che (i) Nitro è un responsabile del trattamento dei dati personali ai sensi delle leggi europee sulla protezione dei dati; (ii) il Cliente è un titolare del trattamento (o un responsabile del trattamento che agisce su istruzioni di un titolare del trattamento) di Dati personali ai sensi delle leggi europee sulla protezione dei dati; e (iii) ciascuna Parte rispetterà gli obblighi ad essa applicabili in tale ruolo ai sensi delle leggi europee sulla protezione dei dati in relazione al trattamento dei dati personali. Se il Cliente è un responsabile del trattamento, il Cliente dichiara e garantisce a Nitro che le istruzioni e le azioni del Cliente in relazione ai Dati personali, inclusa la nomina di Nitro come altro responsabile del trattamento, sono state autorizzate dal responsabile del trattamento pertinente.

(c) Rispetto delle istruzioni da parte di Nitro . Nitro tratterà i Dati personali solo in conformità con le istruzioni del Cliente indicate nel presente DPA, a meno che le leggi europee sulla protezione dei dati applicabili non richiedano diversamente, nel qual caso Nitro avviserà il Cliente (a meno che tale legge non vieti a Nitro di farlo).

(d) Cancellazione dei dati . Nitro cancellerà tutti i Dati Personali sui sistemi Nitro su richiesta scritta del Cliente e dopo la fine della fornitura dei Servizi, e cancellerà le copie esistenti a meno che la conservazione continua dei Dati Personali non sia richiesta da (i) le leggi applicabili dell'Unione Europea o dei suoi Stati Membri, in relazione ai Dati Personali soggetti alle Leggi Europee sulla Protezione dei Dati o (ii) alle Leggi Applicabili sulla Protezione dei Dati, rispetto a tutti gli altri Dati Personali. Nitro rispetterà tali istruzioni non appena ragionevolmente possibile e non oltre 180 giorni dopo tale scadenza o cessazione, a meno che le leggi sulla protezione dei dati applicabili non richiedano la conservazione. Il Cliente può scegliere di richiedere una copia di tali Dati personali a Nitro a un costo aggiuntivo richiedendola per iscritto almeno 30 giorni prima della scadenza o risoluzione del Contratto. Previo consenso delle Parti a tale addebito ai sensi di un ordine di lavoro o di un altro emendamento all'Accordo, Nitro fornirà tale copia di tali Dati personali prima che vengano cancellati in conformità con questa clausola.

2. Data Security

(a) Misure di sicurezza, controlli e assistenza Nitro

(i) Assistenza alla sicurezza Nitro . Su richiesta scritta, Nitro fornirà al Cliente la ragionevole assistenza necessaria affinché il Cliente adempia ai propri obblighi in relazione ai Dati personali ai sensi delle leggi europee sulla protezione dei dati, inclusi gli articoli da 32 a 34 (incluso) del GDPR, da (a) attuare e mantenere le Misure di Sicurezza; (b) rispettare i termini della Sezione 5 (b) (Incidenti di sicurezza delle informazioni) del DPA; e (c) conformarsi al presente allegato 1 . Il Cliente riconosce e accetta che tali misure sono sufficienti per consentire al Cliente di ottemperare a tali obblighi.

(ii) Conformità alla sicurezza da parte del personale Nitro . Nitro assicurerà che il proprio personale autorizzato ad accedere ai Dati Personali sia soggetto ad adeguati obblighi di riservatezza.

(b) Revisioni e verifiche di conformità Il Cliente può verificare la conformità di Nitro ai propri obblighi ai sensi del presente DPA non più di una volta per anno solare e in tutte le altre occasioni eventualmente richieste dalle Leggi europee sulla protezione dei dati, anche laddove richiesto dall'autorità di supervisione del Cliente. Nitro assisterà in tali audit fornendo al Cliente o all'autorità di supervisione del Cliente le informazioni e l'assistenza ragionevolmente necessarie per condurre l'audit. Se una terza parte deve condurre l'audit, Nitro può opporsi al revisore se il revisore è, secondo la ragionevole opinione di Nitro, non indipendente, un concorrente di Nitro, o altrimenti manifestamente inadatto. Tale obiezione da parte di Nitro richiederà al Cliente di nominare un altro revisore dei conti o di condurre l'audit stesso. Per richiedere un audit, il Cliente deve presentare un piano di audit proposto a Nitro almeno tre ( 3 ) settimane prima della data di audit proposta e qualsiasi revisore di terze parti deve firmare un consueto accordo di riservatezza reciprocamente accettabile per Nitro (tale accettazione non irragionevolmente omesso) prevedendo il trattamento riservato di tutte le informazioni scambiate in relazione all'audit e di eventuali relazioni in merito ai risultati o alle risultanze dello stesso. Il piano di audit proposto deve descrivere l'ambito proposto, la durata e la data di inizio dell'audit. Nitro esaminerà il piano di audit proposto e fornirà al Cliente eventuali dubbi o domande (ad esempio, qualsiasi richiesta di informazioni che potrebbe compromettere la sicurezza di Nitro, la protezione dei dati, la privacy, l'occupazione o altre politiche pertinenti). Nitro collaborerà con il Cliente per concordare un piano di audit finale. Nulla nella presente Sezione 2 (b) richiederà a Nitro di violare qualsiasi obbligo di riservatezza. Se i controlli o le misure da valutare nell'audit richiesto sono trattati in un rapporto di audit SOC 2 Tipo 2 , ISO o simile eseguito da un revisore di terze parti qualificato completato entro dodici ( 12 ) mesi dall'audit del Cliente richiesta e Nitro ha confermato che non ci sono stati cambiamenti negativi sostanziali noti nei controlli verificati dalla data di tale rapporto, il Cliente accetta di accettare tale rapporto invece di richiedere un audit di tali controlli o misure. L'audit deve essere condotto durante il normale orario lavorativo di Nitro, soggetto al piano di audit finale concordato e alla sicurezza, protezione e/o altre politiche pertinenti di Nitro, e non può interferire irragionevolmente con le attività commerciali di Nitro. Il Cliente notificherà tempestivamente a Nitro qualsiasi non conformità rilevata nel corso di un audit e fornirà a Nitro tutti i rapporti di audit generati in relazione a qualsiasi audit ai sensi della presente Sezione 2 (b), a meno che non sia vietato dalle Leggi europee sulla protezione dei dati o altrimenti indicato da un'autorità di controllo. Il Cliente può utilizzare i rapporti di audit solo allo scopo di soddisfare i requisiti di audit normativi del Cliente e/o confermare la conformità ai requisiti del presente DPA. Eventuali controlli sono a carico esclusivo del Cliente. Il Cliente rimborserà Nitro per qualsiasi tempo speso da Nitro e da terzi in relazione a qualsiasi audit o ispezione ai sensi della presente Sezione 2 (b) alle tariffe dei servizi professionali di Nitro in vigore, che saranno messe a disposizione del Cliente su richiesta. Il Cliente sarà responsabile di eventuali commissioni addebitate da qualsiasi revisore dei conti nominato dal Cliente per eseguire tale verifica.

3. Impact Assessments and Consultations

Nitro (tenendo conto della natura del Trattamento e delle informazioni a disposizione di Nitro) assisterà ragionevolmente il Cliente nell'adempimento dei propri obblighi ai sensi degli articoli 35 e 36 del GDPR, (a) mettendo a disposizione la documentazione che descrive gli aspetti rilevanti di Il programma di sicurezza delle informazioni di Nitro e le misure di sicurezza applicate in relazione ad esso e (b) fornendo le altre informazioni contenute nell'Accordo, compreso il presente DPA.

4. Data Transfers

(a) Strutture per il trattamento dei dati . Nitro può, in base alla Sezione 4 (b) (Trasferimenti fuori dal SEE), archiviare ed elaborare Dati personali negli Stati Uniti o ovunque Nitro o i suoi Subincaricati abbiano strutture.

(b) Trasferimenti fuori dal SEE . Se il Cliente trasferisce Dati Personali fuori dal SEE a Nitro in un paese non ritenuto dalla Commissione Europea dotato di un'adeguata protezione dei dati, tale trasferimento sarà disciplinato dalle Clausole Contrattuali Standard, i cui termini sono qui incorporati nel presente DPA. A sostegno di quanto sopra, le Parti convengono che (i) il Cliente agirà come esportatore di dati e Nitro agirà come importatore di dati ai sensi delle Clausole contrattuali standard; (ii) ai fini dell'Appendice 1 alle Clausole contrattuali standard, le categorie di interessati, dati, categorie speciali di dati (se del caso) e le operazioni di Trattamento devono essere come indicato nella Sezione 1 (a) al presente allegato 1 (oggetto e dettagli del trattamento); (iii) ai fini dell'Appendice 2 alle Clausole Contrattuali Standard, le misure tecniche e organizzative saranno le Misure di Sicurezza; (iv) l'importatore di dati fornirà le copie degli accordi di sub-responsabile del trattamento che devono essere inviati dall'importatore di dati all'esportatore di dati ai sensi della clausola 5 (j) delle clausole contrattuali standard su richiesta dell'esportatore di dati e tale importatore di dati può rimuovere o redigere preventivamente tutte le informazioni commerciali o le clausole non correlate alle Clausole Contrattuali Standard o equivalenti; (v) gli audit descritti nella Clausola 5 (f) e nella Clausola 12 ( 2 ) delle Clausole Contrattuali Standard devono essere eseguiti in conformità con la Sezione 2 (b) del presente Allegato 1 (Revisioni e Audit di conformità); (vi) Le autorizzazioni del Cliente nella Sezione 5 (Subincaricati) del presente Allegato 1 costituiranno il previo consenso scritto del Cliente al subappalto da parte di Nitro del Trattamento dei Dati Personali se tale consenso è richiesto ai sensi della Clausola 5 (h) del le clausole contrattuali tipo; e (vii) la certificazione della cancellazione dei Dati Personali come descritto nella Clausola 12 ( 1 ) delle Clausole Contrattuali Standard deve essere fornita su richiesta scritta dell'importatore di dati.

Nonostante quanto sopra, le clausole contrattuali standard (o gli stessi obblighi previsti dalle clausole contrattuali standard) non si applicheranno nella misura in cui si applichi uno standard di conformità alternativo riconosciuto per il trasferimento di dati personali al di fuori del SEE in conformità con le leggi europee sulla protezione dei dati il trasferimento. In caso di conflitto o incoerenza tra (a) il presente Allegato 1 e qualsiasi altra disposizione del presente DPA, il presente Allegato 1 disciplinerà, oppure (b) le Clausole contrattuali standard e qualsiasi altra disposizione del presente Accordo, il Prevarranno le clausole contrattuali standard.

5. Subprocessors

(a) Consenso all'incarico del Sub-responsabile del trattamento . Il Cliente autorizza specificamente l'assunzione delle Affiliate di Nitro come Sub-responsabili del trattamento e generalmente autorizza l'assunzione di altre terze parti come Sub-responsabili ("Sub-responsabili di terze parti ").

(b) Informazioni sui Sub -responsabili del trattamento. Le informazioni sui Subincaricati, comprese le loro funzioni e sedi, sono disponibili all'indirizzo: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (come potrebbe essere aggiornato da Nitro di volta in volta) o l'altro indirizzo del sito Web che Nitro può fornire al Cliente di volta in volta (insieme, " Sito del sub-responsabile del trattamento").

(c) Requisiti per l'incarico del Subincaricato . Quando assume qualsiasi Subresponsabile, Nitro stipulerà un contratto scritto con tale Subresponsabile contenente obblighi di protezione dei dati non meno protettivi di quelli del presente DPA rispetto ai Dati personali nella misura applicabile alla natura dei servizi forniti da tale Subresponsabile. Nitro sarà responsabile di tutti gli obblighi previsti dall'Accordo subappaltati al Subincaricato o delle sue azioni e omissioni ad esso correlate.

(d) Opportunità di opporsi alle modifiche del subincaricato . Quando Nitro assume qualsiasi nuovo Subresponsabile di terze parti dopo la data di entrata in vigore dell'Accordo, Nitro informerà il Cliente dell'incarico (incluso il nome e l'ubicazione del Subresponsabile pertinente e le attività che svolgerà) aggiornando il Sito del Subresponsabile o con altri mezzi scritti . Se il Cliente si oppone a tale impegno in una comunicazione scritta a Nitro entro 15 giorni dopo essere stato informato dell'impegno per motivi ragionevoli relativi alla protezione dei Dati personali, il Cliente e Nitro lavoreranno insieme in buona fede per trovare una soluzione reciprocamente accettabile per affrontare tale obiezione. Se le Parti non sono in grado di raggiungere una risoluzione reciprocamente accettabile entro un termine ragionevole, il Cliente può, come unico ed esclusivo rimedio, risolvere il Contratto e annullare i Servizi dandone comunicazione scritta a Nitro e pagando a Nitro tutti gli importi dovuti ai sensi del Accordo a partire dalla data di tale risoluzione.

(e) Sufficienza del consenso . Il Cliente riconosce e accetta che le procedure di cui sopra sono sufficienti per ottenere il previo consenso scritto del Cliente al trattamento secondario ai sensi dell'Articolo 28 del GDPR e nella misura richiesta dalla Clausola 5 (h) delle Clausole Contrattuali Standard.

ANNEX 2 TO DPA CALIFORNIA ANNEX

  1. Ai fini del presente Allegato 2 , i termini "attività", "scopo commerciale", "vendita" e "fornitore di servizi" avranno i rispettivi significati ad essi attribuiti nel CCPA e "informazioni personali" significano Dati Personali che costituiscono informazioni personali disciplinate dal CCPA.
  2. È intenzione delle Parti che, in relazione a qualsiasi informazione personale, Nitro sia un fornitore di servizi. Nitro non potrà (a) vendere alcuna informazione personale; (b) conservare, utilizzare o divulgare qualsiasi informazione personale per qualsiasi scopo diverso dallo scopo specifico di fornire i Servizi, incluso conservare, utilizzare o divulgare le informazioni personali per uno scopo commerciale diverso dalla fornitura dei Servizi; o (c) conservare, utilizzare o divulgare le informazioni personali al di fuori del rapporto commerciale diretto tra Nitro e il Cliente. Nitro certifica che comprende i propri obblighi ai sensi della presente Sezione 2 e li rispetterà.
  3. Le Parti riconoscono che la conservazione, l'uso e la divulgazione da parte di Nitro delle informazioni personali autorizzate dalle istruzioni del Cliente documentate nel DPA sono parte integrante della fornitura dei Servizi da parte di Nitro e del rapporto commerciale tra le Parti.

ANNEX 3 TO DPA SECURITY MEASURES

La protezione delle informazioni è lo scopo principale della sicurezza delle informazioni, che si ottiene implementando un insieme adeguato di controlli, comprese le strutture organizzative, le politiche e le procedure, i processi ei controlli tecnici informatici. Questi controlli devono essere progettati, implementati, monitorati, riesaminati e migliorati per garantire che le risorse informative di Nitro e dei suoi affiliati, dei suoi partner o clienti siano sempre al sicuro. Fare riferimento a Misure tecniche organizzative