Scarichi una copia

In vigore: Ottobre 28^th, 2022

Il presente Addendum al Trattamento dei Dati ("DPA") fa parte dei Termini di Servizio Nitro Business o dei Termini di Servizio Nitro, a seconda dei casi, che regolano l'utilizzo dei servizi di Nitro ("Accordo") stipulato da e tra l'Utente o il Licenziatario (ciascuno come definito nel relativo Accordo; e ai fini del presente DPA, l'Utente e il Licenziatario sono qui indicati come "Cliente") e Nitro Software, Inc. ("Nitro") per riflettere l'accordo delle parti in merito al Trattamento dei Dati Personali da parte di Nitro esclusivamente per conto del Cliente ai sensi dell'Accordo. Entrambe le Parti sono denominate "Parti" e ciascuna "Parte".

Ai fini del presente DPA, i termini sotto riportati hanno il significato indicato di seguito. I termini in maiuscolo utilizzati ma non definiti nel presente DPA hanno il significato attribuito nel Contratto.

(a) Affiliata indica qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è sotto controllo comune con l'entità soggetta, dove per "controllo" si intende il potere di dirigere o causare la direzione dell'entità soggetta, sia (i) attraverso la proprietà di titoli con diritto di voto, sia (ii) attraverso la capacità di controllare di fatto le decisioni di gestione di tale entità, per contratto o altro.

(b) API indica qualsiasi interfaccia di programmazione di applicazioni messa a disposizione da Nitro al Cliente in relazione al Contratto.

(c) Leggi applicabili in materia di protezione dei dati indica le leggi e i regolamenti in materia di privacy, protezione dei dati e sicurezza dei dati di qualsiasi giurisdizione applicabili al Trattamento dei Dati Personali ai sensi del Contratto, incluse, a titolo esemplificativo, le Leggi europee in materia di protezione dei dati e il CCPA, ciascuno come modificato di volta in volta.

(d) CCPA indica il California Consumer Privacy Act del 2018 e qualsiasi regolamento promulgato in base ad esso.

(e) Dati del Cliente indica le informazioni fornite o rese disponibili a Nitro per l'elaborazione per conto del Cliente al fine di eseguire i Servizi.

(f) Documentazione indica la Guida dell'Utente, le note di rilascio, le guide all'implementazione e qualsiasi altra documentazione tecnica relativa ai Servizi o ai Servizi Professionali messa a disposizione del Cliente da Nitro.

(g) SEE indica lo Spazio Economico Europeo.

(h) Leggi europee sulla protezione dei dati indica il GDPR e altre leggi e regolamenti sulla protezione dei dati dell'Unione Europea, dei suoi Stati membri, della Svizzera, dell'Islanda, del Liechtenstein, della Norvegia e del Regno Unito, in ogni caso, nella misura in cui sono applicabili al Trattamento dei Dati Personali ai sensi dell'Accordo.

(i) GDPR indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, come modificato di volta in volta.

(j) Incidente di sicurezza informatica indica una violazione nota della sicurezza di Nitro che porta alla distruzione accidentale o illegale, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso ai Dati personali in possesso, custodia o controllo di Nitro. Gli incidenti di sicurezza delle informazioni non comprendono i tentativi o le attività non riusciti che non compromettono la sicurezza dei Dati personali, compresi, ma non solo, i tentativi di accesso non riusciti, i ping, le scansioni delle porte, gli attacchi di negazione del servizio o altri attacchi di rete ai firewall o ai sistemi in rete.

(k) Diritti di proprietà intellettuale indica tutti i diritti di proprietà intellettuale in tutto il mondo, compresi: (i) brevetti, divulgazioni di invenzioni (brevettabili o meno), domande di brevetto, riedizioni, riesami, diritti di modelli di utilità e diritti di design (registrati o meno), e diritti di proprietà industriale registrati o di altro tipo, (ii) marchi di fabbrica, marchi di servizio, denominazioni aziendali, nomi commerciali, identificatori Internet, trade dress e altre denominazioni simili di origine o provenienza, insieme all'avviamento simboleggiato da uno qualsiasi dei precedenti, (iii) diritti d'autore, diritti morali, diritti di design, diritti di database, raccolte di dati e altri diritti sui generis, (iv) segreti commerciali o altri diritti di proprietà su informazioni riservate o informazioni tecniche, normative e di altro tipo, progetti, risultati, tecniche e altri know-how, e (v) applicazioni, registrazioni e rinnovi per, e tutti i diritti associati rispetto a, qualsiasi dei precedenti in qualsiasi parte del mondo.

(l) Dati Personali indica i Dati del Cliente che costituiscono "dati personali", "informazioni personali" o "informazioni di identificazione personale" definiti nella Legge Applicabile sulla Protezione dei Dati, o informazioni di carattere analogo regolate da tale legge, ad eccezione dei Dati Personali che non includono le informazioni relative al personale o ai rappresentanti del Cliente che sono contatti commerciali di Nitro nel normale corso del rapporto commerciale, laddove Nitro agisca come controllore di tali informazioni.

(m) Trattamento significa qualsiasi operazione o insieme di operazioni eseguite sui Dati personali o su insiemi di Dati personali, con o senza mezzi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'uso, la divulgazione tramite trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la restrizione, la cancellazione o la distruzione.

(n) Servizi Professionali indica qualsiasi servizio eseguito da Nitro in relazione ai Servizi, quali attivazione, formazione, configurazione, integrazione, valutazione e ottimizzazione.

(o) Misure di Sicurezza ha il significato dato nella Sezione 5(a) (Misure di Sicurezza del Fornitore).

(p) Per clausole contrattuali standard si intendono le disposizioni obbligatorie delle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi nella forma stabilita dalla decisione2016 della Commissione914 europea//UE e attuata dalla decisione della Commissione2021 europea/6792018 914, datato4 giugno2021.

(q) Subprocessori indica terze parti che Nitro incarica di elaborare i Dati personali in relazione ai Servizi.

(r) Subprocessori di terze parti ha il significato dato nella Sezione 5 (Subprocessori) dell'Allegato 1.

(s) I termini responsabile del trattamento, soggetto dei dati, incaricato del trattamento, e autorità di vigilanza come utilizzati nel presente DPA hanno i significati indicati nel GDPR.

(a) Il presente DPA rimarrà in vigore fino a quando Nitro elaborerà i Dati personali, nonostante la scadenza o la risoluzione dell'Accordo.

(b) Allegato 1 (Allegato UE) al presente DPA si applica esclusivamente al Trattamento soggetto alle Leggi europee sulla protezione dei dati.

(c) Allegato 2 (Allegato California) al presente DPA si applica esclusivamente all'Elaborazione soggetta al CCPA se il Cliente è una "azienda" o un "fornitore di servizi" (come definito nel CCPA) rispetto a tale Elaborazione.

Nitro tratterà i Dati personali solo in conformità alle istruzioni impartite dal Cliente a Nitro. Il presente DPA è un'espressione completa di tali istruzioni e le istruzioni aggiuntive del Cliente saranno vincolanti per Nitro solo in virtù di un emendamento al presente DPA firmato da entrambe le Parti. Il Cliente incarica Nitro di trattare i Dati personali per fornire i Servizi come previsto dal Contratto.

Il Cliente riconosce e accetta che, come parte dei Servizi, Nitro possa:

(a) creare e ricavare dall'Elaborazione relativa ai Servizi elementi necessari per fornire i Servizi; e/o

(b) creare e ricavare dall'elaborazione relativa ai Servizi dati anonimizzati e/o aggregati che non identificano il Cliente o qualsiasi persona fisica, e utilizzare, pubblicizzare o condividere con terzi tali dati anonimizzati e/o aggregati per migliorare i prodotti e i servizi di Nitro e/o per altri suoi legittimi scopi commerciali.

(a) Misure di sicurezza del fornitore. Nitro implementerà e manterrà misure tecniche e organizzative volte a proteggere i Dati personali contro la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali ( "Misure di sicurezza") come descritto in Allegato 3 (Misure di sicurezza). Nitro può aggiornare le Misure di sicurezza di tanto in tanto senza preavviso, a condizione che le misure aggiornate non diminuiscano materialmente la protezione complessiva dei Dati personali.

(b) Incidenti di sicurezza delle informazioni. Nitro notificherà al Cliente senza indebito ritardo qualsiasi incidente di sicurezza delle informazioni di cui Nitro venga a conoscenza. Tali notifiche potranno descrivere i dettagli disponibili dell'Incidente di sicurezza delle informazioni, compreso un riepilogo delle misure adottate per mitigare i rischi potenziali e le misure che Nitro raccomanda al Cliente di prendere in considerazione per affrontare l'Incidente di sicurezza delle informazioni. La notifica o la risposta di Nitro a un Incidente di sicurezza delle informazioni non sarà interpretata come un riconoscimento da parte di Nitro di qualsiasi colpa o responsabilità in relazione all'Incidente di sicurezza delle informazioni.

(c) Responsabilità e valutazione della sicurezza del Cliente.

(i) Responsabilità del cliente in materia di sicurezza. Il Cliente conviene che, senza limitazioni agli obblighi di Nitro ai sensi della Sezione 5 (Sicurezza), il Cliente è l'unico responsabile del suo utilizzo dei Servizi, incluso (a) l'utilizzo appropriato dei Servizi per garantire un livello di sicurezza adeguato al rischio in relazione ai Dati personali; (b) la protezione delle credenziali di autenticazione dell'account, dei sistemi e dei dispositivi utilizzati dal Cliente per accedere ai Servizi; (c) la protezione dei sistemi e dei dispositivi del Cliente che Nitro utilizza per fornire i Servizi; e (d) il backup dei Dati personali.

(ii) Valutazione della sicurezza del cliente. Il Cliente concorda che i Servizi, le Misure di sicurezza e gli impegni di Nitro ai sensi del presente DPA sono adeguati a soddisfare le esigenze del Cliente, anche in relazione a qualsiasi obbligo di sicurezza del Cliente ai sensi delle Leggi applicabili in materia di protezione dei dati, e forniscono un livello di sicurezza adeguato al rischio in relazione ai Dati personali.

(a) Assistenza per la richiesta di dati da parte di Nitro. Nitro (tenendo conto della natura del Trattamento dei Dati Personali) fornirà al Cliente l'assistenza ragionevolmente necessaria per adempiere ai suoi obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati per soddisfare le richieste degli interessati di esercitare i loro diritti ai sensi delle Leggi Applicabili sulla Protezione dei Dati ("Richieste degli interessati") in relazione ai Dati Personali in possesso o controllo di Nitro. L'Utente dovrà compensare Nitro per tale assistenza alle tariffe dei servizi professionali di Nitro in vigore in quel momento, che saranno rese disponibili all'Utente su richiesta.

(b) Responsabilità del cliente per le richieste. Se Nitro riceve una Richiesta dell'interessato, Nitro consiglierà all'interessato di presentare la richiesta al Cliente e il Cliente sarà responsabile di rispondere alla richiesta.

(a) Conformità del cliente. Il Cliente si impegna a rispettare i propri obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati. Il Cliente dovrà garantire (ed è l'unico responsabile) che le sue istruzioni nella Sezione 3 siano conformi alle Leggi Applicabili sulla Protezione dei Dati, e che il Cliente abbia dato tutti gli avvisi e abbia ottenuto tutti i consensi dalle persone a cui si riferiscono i Dati Personali e da tutte le altre parti, come richiesto dalle Leggi Applicabili sulla Protezione dei Dati per il Trattamento dei Dati Personali da parte del Cliente come contemplato dal Contratto.

(b) Dati vietati. Il Cliente dichiara e garantisce a Nitro che i Dati del Cliente non contengono e non conterranno, senza il previo consenso scritto di Nitro, numeri di previdenza sociale o altri numeri di identificazione rilasciati dal governo; informazioni biometriche; password per account online; credenziali per qualsiasi account finanziario; dati relativi alla dichiarazione dei redditi; rapporti di credito o rapporti sui consumatori; informazioni relative a carte di pagamento soggette al Payment Card Industry Data Security Standard; informazioni soggette al Gramm-Leach-Bliley Act, al Fair Credit Reporting Act o ai regolamenti promulgati ai sensi di una di queste leggi; informazioni soggette a restrizioni ai sensi delle Leggi Applicabili sulla Protezione dei Dati che regolano i Dati Personali dei bambini, incluse, a titolo esemplificativo, tutte le informazioni sui bambini di età inferiore a 13 anni; o qualsiasi informazione che rientri in qualsiasi categoria speciale di dati (come definita nel GDPR). Il Cliente dichiara inoltre che i Dati del Cliente non contengono e non conterranno informazioni sanitarie protette soggette all'Health Insurance Portability and Accountability Act (HIPAA) o a legislazioni simili in altre giurisdizioni; altre informazioni relative all'anamnesi medica, alle condizioni mentali o fisiche di un individuo, o al trattamento o alla diagnosi medica da parte di un professionista sanitario; o informazioni relative all'assicurazione sanitaria, a meno che il Cliente e Nitro non abbiano stipulato separatamente un Contratto HIPAA Business Associate.

Ad eccezione di quanto espressamente modificato dal DPA, i termini del Contratto rimangono in vigore a tutti gli effetti. In caso di conflitto o incongruenza tra il presente DPA e i termini del Contratto, prevarrà il presente DPA. Nonostante qualsiasi disposizione contraria contenuta nel Contratto o in qualsiasi modulo d'ordine compilato in relazione ad esso, le Parti riconoscono e concordano che l'accesso di Nitro ai Dati personali non costituisce parte del corrispettivo scambiato dalle Parti in relazione al Contratto. Nonostante qualsiasi disposizione contraria contenuta nell'Accordo, qualsiasi comunicazione richiesta o consentita da Nitro all'Acquirente ai sensi del presente DPA può essere fornita (a) in conformità a qualsiasi clausola di notifica dell'Accordo; (b) ai principali punti di contatto di Nitro presso l'Acquirente; o (c) a qualsiasi e-mail fornita dall'Acquirente allo scopo di fornirgli comunicazioni o avvisi relativi ai Servizi. Il Cliente è l'unico responsabile della validità di tali indirizzi per le notifiche.

(a) Oggetto e dettagli dell'elaborazione. Le Parti riconoscono e concordano che (i) l'oggetto del Trattamento ai sensi del Contratto è la fornitura dei Servizi da parte di Nitro; (ii) la durata del Trattamento va dalla ricezione dei Dati personali da parte di Nitro fino alla cancellazione di tutti i Dati personali da parte di Nitro in conformità al Contratto; (iii) la natura e lo scopo del Trattamento è la fornitura dei Servizi; (iv) i soggetti interessati ai quali si riferiscono i Dati personali sono il Cliente (nella misura in cui il Cliente è un individuo), gli utenti dei Servizi o del software di Nitro e gli individui, i cui Dati personali sono stati generati, condivisi o caricati dal Cliente e/o dagli utenti dei Servizi e/o del software di Nitro; e (v) le categorie di Dati personali sono i dati personali generati, condivisi, caricati o richiesti dal Cliente o dagli utenti dei Servizi e/o del software di Nitro (che possono includere Dati personali contenuti in documenti, immagini e altri media e contenuti generati dagli utenti come documenti, testi, immagini e altri contenuti).

(b) Ruoli e conformità normativa; autorizzazione. Le Parti riconoscono e concordano che (i) Nitro è un incaricato del trattamento dei Dati personali ai sensi delle Leggi europee sulla protezione dei dati; (ii) il Cliente è un responsabile del trattamento (o un incaricato del trattamento che agisce su istruzioni di un responsabile del trattamento) dei Dati personali ai sensi delle Leggi europee sulla protezione dei dati; e (iii) ciascuna Parte rispetterà gli obblighi ad essa applicabili in tale ruolo ai sensi delle Leggi europee sulla protezione dei dati in relazione al trattamento dei Dati personali. Se il Cliente è un incaricato del trattamento, il Cliente dichiara e garantisce a Nitro che le istruzioni e le azioni del Cliente in relazione ai Dati personali, compresa la nomina di Nitro come altro incaricato del trattamento, sono state autorizzate dal responsabile del trattamento pertinente.

(c) Conformità di Nitro alle istruzioni. Nitro elaborerà i Dati personali solo in conformità alle istruzioni del Cliente indicate nel presente DPA, a meno che le leggi europee sulla protezione dei dati applicabili non richiedano diversamente, nel qual caso Nitro informerà il Cliente (a meno che tale legge non vieti a Nitro di farlo).

(d) Cancellazione dei dati. Nitro cancellerà tutti i Dati personali presenti sui sistemi di Nitro su richiesta scritta del Cliente e dopo la fine della fornitura dei Servizi, e cancellerà le copie esistenti, a meno che la conservazione continua dei Dati personali non sia richiesta da (i) leggi applicabili dell'Unione Europea o dei suoi Stati membri, per quanto riguarda i Dati personali soggetti alle Leggi europee sulla protezione dei dati o (ii) Leggi applicabili sulla protezione dei dati, per quanto riguarda tutti gli altri Dati personali. Nitro si conformerà a tale istruzione non appena ragionevolmente possibile e non oltre 180 giorni dalla scadenza o dalla cessazione, a meno che le Leggi applicabili in materia di protezione dei dati non richiedano la conservazione. Il Cliente può scegliere di richiedere a Nitro una copia di tali Dati personali a un costo aggiuntivo, facendone richiesta scritta almeno 30 giorni prima della scadenza o della risoluzione del Contratto. Previo accordo delle Parti su tale addebito ai sensi di un ordine di lavoro o di un'altra modifica al Contratto, Nitro fornirà tale copia di tali Dati personali prima che vengano eliminati in conformità alla presente clausola.

(a) Nitro Misure di sicurezza, controlli e assistenza

(i) Nitro Security Assistance. Su richiesta scritta, Nitro fornirà al Cliente l'assistenza ragionevole necessaria al Cliente per adempiere ai suoi obblighi in materia di Dati Personali ai sensi delle Leggi Europee sulla Protezione dei Dati, inclusi gli Articoli da 32 a 34 (inclusi) del GDPR, (a) implementando e mantenendo le Misure di Sicurezza; (b) rispettando i termini della Sezione 5(b) (Incidenti di Sicurezza Informatica) del DPA; e (c) rispettando il presente Allegato 1. Il Cliente riconosce e accetta che tali misure sono sufficienti per consentire al Cliente di adempiere a tali obblighi.

(ii) Conformità alla sicurezza da parte del personale Nitro. Nitro farà in modo che il suo personale autorizzato ad accedere ai Dati personali sia soggetto ad adeguati obblighi di riservatezza.

(b) Revisioni e verifiche della conformità Il Cliente può verificare la conformità di Nitro ai suoi obblighi ai sensi del presente DPA non più di una volta per anno solare e in altre occasioni come richiesto dalle leggi europee sulla protezione dei dati, anche quando richiesto dall'autorità di vigilanza del Cliente. Nitro assisterà in tali audit fornendo al Cliente o all'autorità di vigilanza del Cliente le informazioni e l'assistenza ragionevolmente necessarie per condurre l'audit. Se l'audit deve essere condotto da una terza parte, Nitro può opporsi al revisore se quest'ultimo, secondo la ragionevole opinione di Nitro, non è indipendente, è un concorrente di Nitro o è altrimenti manifestamente inadatto. Tale obiezione da parte di Nitro imporrà al Cliente di nominare un altro revisore o di condurre direttamente l'audit. Per richiedere un audit, il Cliente deve presentare a Nitro una proposta di piano di audit con almeno tre (3) settimane di anticipo rispetto alla data proposta per l'audit e qualsiasi revisore terzo deve firmare un accordo di non divulgazione usuale e reciprocamente accettabile da Nitro (tale accettazione non deve essere irragionevolmente rifiutata) che preveda il trattamento confidenziale di tutte le informazioni scambiate in relazione all'audit e di qualsiasi relazione riguardante i risultati o le scoperte dello stesso. Il piano di audit proposto deve descrivere l'ambito, la durata e la data di inizio dell'audit. Nitro esaminerà il piano di audit proposto e fornirà al Cliente eventuali dubbi o domande (ad esempio, qualsiasi richiesta di informazioni che potrebbero compromettere la sicurezza di Nitro, la protezione dei dati, la privacy, l'occupazione o altre politiche pertinenti). Nitro collaborerà con il Cliente per concordare un piano di audit finale. Nessuna disposizione della presente Sezione 2(b) imporrà a Nitro di violare qualsiasi obbligo di riservatezza. Se i controlli o le misure da valutare nell'audit richiesto sono trattati in un rapporto di audit SOC 2 Tipo 2, ISO, o relazione di audit simile eseguita da un revisore terzo qualificato completata entro dodici (12) mesi dalla richiesta di audit del Cliente e Nitro ha confermato che non ci sono stati cambiamenti negativi materiali noti nei controlli verificati dalla data di tale relazione, il Cliente accetta di accettare tale relazione in luogo della richiesta di audit di tali controlli o misure. L'audit deve essere condotto durante il normale orario di lavoro di Nitro, nel rispetto del piano di audit finale concordato e delle politiche di sicurezza, protezione e/o altre politiche pertinenti di Nitro, e non può interferire in modo irragionevole con le attività commerciali di Nitro. Il Cliente comunicherà tempestivamente a Nitro qualsiasi non conformità scoperta nel corso di un audit e fornirà a Nitro qualsiasi rapporto di audit generato in relazione a qualsiasi audit ai sensi della presente Sezione 2(b), a meno che non sia proibito dalle Leggi europee in materia di protezione dei dati o sia altrimenti istruito da un'autorità di vigilanza. Il Cliente può utilizzare i rapporti di audit solo per soddisfare i requisiti di audit normativi del Cliente e/o per confermare la conformità ai requisiti del presente DPA. Eventuali verifiche sono a carico esclusivo del Cliente. Il Cliente rimborserà a Nitro il tempo speso da Nitro e da terzi in relazione a qualsiasi audit o ispezione ai sensi della presente Sezione 2(b) alle tariffe di Nitro per i servizi professionali in vigore, che saranno rese disponibili al Cliente su richiesta. Il Cliente sarà responsabile di qualsiasi onorario addebitato da qualsiasi revisore nominato dal Cliente per eseguire tale revisione.

Nitro (tenendo conto della natura del Trattamento e delle informazioni a disposizione di Nitro) assisterà ragionevolmente il Cliente nell'adempimento dei suoi obblighi ai sensi degli articoli 35 e 36 del GDPR, (a) rendendo disponibile la documentazione che descrive gli aspetti rilevanti del programma di sicurezza delle informazioni di Nitro e le misure di sicurezza applicate in relazione ad esso e (b) fornendo le altre informazioni contenute nell'Accordo, compreso il presente DPA.

(a) Strutture di elaborazione dati. Nitro può, in base alla Sezione 4(b) (Trasferimenti fuori dallo SEE), conservare ed elaborare i Dati personali negli Stati Uniti o ovunque Nitro o i suoi Subprocessori mantengano delle strutture.

(b) Trasferimenti fuori dal SEE. Se il Cliente trasferisce i Dati personali fuori dal SEE a Nitro in un Paese che la Commissione europea non ritiene dotato di un'adeguata protezione dei dati, tale trasferimento sarà disciplinato dalle Clausole contrattuali standard, i cui termini sono qui incorporati nel presente DPA. In conformità a quanto sopra, le Parti concordano che (i) il Cliente agirà in qualità di esportatore di dati e Nitro agirà come importatore di dati ai sensi delle Clausole contrattuali standard; (ii) ai fini dell'Appendice1 A delle Clausole contrattuali standard, le categorie di interessati, i dati, le categorie speciali di dati (se del caso) e le operazioni di trattamento saranno indicate nella Sezione1 (a) del presente Allegato1 (Oggetto) Questione e Dettagli del trattamento); (iii) ai fini dell'appendice2 alle clausole contrattuali standard, le misure tecniche e organizzative saranno le misure di sicurezza; (iv) l'importatore di dati fornirà le copie degli accordi con i subresponsabili del trattamento che devono essere inviati dall'importatore dei dati all'esportatore dei dati ai sensi della clausola5 (j) delle clausole contrattuali standard su richiesta dell'esportatore dei dati e che l'importatore di dati può rimuovere o oscurare tutte le comunicazioni commerciali informazioni o clausole indipendentemente dalle clausole contrattuali standard o dalle loro equivalenti precedenti; (v) gli audit descritti nella clausola5 (f) e nella clausola12 (2) delle clausole contrattuali standard devono essere eseguiti in conformità alla Sezione2 (b) del presente Allegato1 (Recensioni e controlli di conformità); (vi) le autorizzazioni del Cliente nella Sezione 5(Subprocessori) del presente Allegato1 costituiranno il preventivo consenso scritto del Cliente al subappalto da parte di Nitro del Trattamento dei Dati personali se tale consenso è richiesto ai sensi della Clausola5 (h) delle Clausole contrattuali standard; e (vii) la certificazione della cancellazione dei dati personali come descritto nella clausola12 (a1) del contratto standard Le clausole devono essere fornito su richiesta scritta dell'importatore di dati.

Nonostante quanto sopra, le Clausole Contrattuali Standard (o gli stessi obblighi previsti dalle Clausole Contrattuali Standard) non si applicheranno nella misura in cui al trasferimento si applichi uno standard di conformità alternativo riconosciuto per il trasferimento di Dati Personali al di fuori del SEE in conformità alle Leggi Europee sulla Protezione dei Dati. In caso di conflitto o incongruenza tra (a) il presente Allegato 1 e qualsiasi altra disposizione del presente DPA, prevarrà il presente Allegato 1, o (b) le Clausole contrattuali standard e qualsiasi altra disposizione del presente Contratto, prevarranno le Clausole contrattuali standard.

(a) Consenso all'assunzione di un subprocessore. Il Cliente autorizza specificamente l'assunzione di Affiliati di Nitro come Subprocessori e autorizza in generale l'assunzione di altre terze parti come Subprocessori ("Subprocessori di terze parti").

(b) Informazioni sui Sub-responsabili del trattamento. Le informazioni sui Sub-responsabili del trattamento, comprese le loro funzioni e ubicazioni, sono disponibili all'indirizzo: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (come può essere aggiornato da Nitro di volta in volta) o a qualsiasi altro indirizzo del sito Web che Nitro può fornire al Cliente di volta in volta (collettivamente, "Sito del Sub-responsabile").

(c) Requisiti per l'impegno del subprocessore. Al momento di ingaggiare un Subprocessore, Nitro stipulerà un contratto scritto con tale Subprocessore contenente obblighi di protezione dei dati non inferiori a quelli previsti dal presente DPA in relazione ai Dati personali, nella misura applicabile alla natura dei servizi forniti da tale Subprocessore. Nitro sarà responsabile di tutti gli obblighi previsti dall'Accordo subappaltati al Subprocessore o delle sue azioni e omissioni ad esso correlate.

(d) Opportunità di opporsi alle modifiche del subprocessore. Quando Nitro ingaggia un nuovo Subprocessore di terze parti dopo la data di entrata in vigore del Contratto, Nitro notificherà all'Utente l'ingaggio (compresi il nome e l'ubicazione del Subprocessore in questione e le attività che svolgerà) aggiornando il Sito del Subprocessore o con altri mezzi scritti. Se il Cliente si oppone a tale impegno con una comunicazione scritta a Nitro entro 15 giorni dalla data in cui è stato informato dell'impegno per motivi ragionevoli relativi alla protezione dei Dati personali, il Cliente e Nitro collaboreranno in buona fede per trovare una soluzione reciprocamente accettabile per affrontare tale obiezione. Se le Parti non sono in grado di raggiungere una soluzione reciprocamente accettabile entro un lasso di tempo ragionevole, il Cliente può, come unico ed esclusivo rimedio, risolvere il Contratto e annullare i Servizi, dandone comunicazione scritta a Nitro e pagando a Nitro tutti gli importi dovuti ai sensi del Contratto alla data di tale risoluzione.

(e) Sufficienza del consenso. Il Cliente riconosce e concorda che le procedure di cui sopra sono sufficienti per ottenere il consenso preventivo scritto del Cliente al subprocesso ai sensi dell'Articolo 28 del GDPR, e nella misura richiesta dalla Clausola 5(h) delle Clausole Contrattuali Standard.

1. Ai fini del presente Allegato 2, i termini "azienda", "scopo commerciale", "vendere" e "fornitore di servizi" avranno i rispettivi significati attribuiti ad essi nel CCPA, e "informazioni personali" significherà i Dati personali che costituiscono informazioni personali disciplinate dal CCPA.
   
2. È intenzione delle Parti che, in relazione a qualsiasi informazione personale, Nitro sia un fornitore di servizi. Nitro non potrà (a) vendere alcuna informazione personale; (b) conservare, utilizzare o divulgare alcuna informazione personale per scopi diversi da quelli specifici della fornitura dei Servizi, compresa la conservazione, l'utilizzo o la divulgazione delle informazioni personali per scopi commerciali diversi dalla fornitura dei Servizi; o (c) conservare, utilizzare o divulgare le informazioni personali al di fuori del rapporto commerciale diretto tra Nitro e il Cliente. Nitro certifica di aver compreso i propri obblighi ai sensi della presente Sezione 2 e di volerli rispettare.
   
3. Le Parti riconoscono che la conservazione, l'uso e la divulgazione da parte di Nitro delle informazioni personali autorizzate dalle istruzioni del Cliente documentate nel DPA sono parte integrante della fornitura dei Servizi da parte di Nitro e del rapporto commerciale tra le Parti.

La protezione delle informazioni è lo scopo principale della sicurezza delle informazioni, che si ottiene implementando un adeguato insieme di controlli, tra cui strutture organizzative, politiche e procedure, processi e controlli tecnici informatici. Questi controlli devono essere progettati, implementati, monitorati, rivisti e migliorati per garantire che le risorse informative di Nitro e delle sue affiliate, dei suoi partner o clienti siano sempre sicure. Fare riferimento a Misure tecniche organizzative.

Scarichi una copia