Addendum sul trattamento dei dati GDPR dell'UE di Nitro Sign Premium e Identity Hub
IL PRESENTE ADDENDUM SUL TRATTAMENTO DEI DATI SI APPLICA SE LEI HA SOTTOSCRITTO NITRO SIGN PREMIUM O NITRO IDENTITY HUB AI SENSI DEI TERMINI DI SERVIZIO NITRO PER NITRO SIGN PREMIUM E NITRO IDENTITY HUB E IL GDPR EUROPEO SI APPLICA AL TRATTAMENTO DEI DATI PERSONALI NEL CONTESTO DELL'ACCORDO.
1. AMBITO; RUOLI DELLE PARTI
Nitro riceverà ed elaborerà i Dati personali a beneficio e per conto del Cliente nell'ambito della fornitura dei Servizi, secondo le istruzioni e le finalità definite dal Cliente nei Dettagli sul trattamento dei dati. Con il presente Addendum sul trattamento dei dati, le Parti desiderano definire i loro accordi specifici in merito al trattamento dei Dati personali nell'ambito dell'Accordo.
Per impostazione predefinita, Nitro agirà in qualità di Responsabile del trattamento e il Cliente agirà in qualità di Titolare del trattamento in relazione ai Servizi forniti da Nitro al Cliente ai sensi dei Termini di servizio di Nitro. Il presente Addendum sul trattamento dei dati sostituisce e sostituisce tutti i precedenti accordi stipulati (se presenti) in relazione al trattamento dei Dati personali e alla protezione dei dati tra le Parti in relazione ai Servizi offerti da Nitro.
Il presente Addendum sul trattamento dei dati integra e fa parte dei Termini di servizio, e insieme i Termini di servizio e il presente Addendum sul trattamento dei dati costituiscono un unico accordo legale tra le Parti. In caso di discrepanze o contraddizioni tra il presente Addendum sul trattamento dei dati e i Termini di servizio, prevarrà l'Addendum sul trattamento dei dati.
2. DEFINIZIONI
"Controllore" si riferisce al Cliente come identificato nei Termini di servizio e nel Modulo d'ordine applicabile;
"Dettagli sul trattamento dei dati" indica i dettagli sul trattamento dei dati inclusi nel Modulo d'ordine e che includono ulteriori dettagli sulle istruzioni del Cliente sul trattamento dei Dati personali, come lo scopo, l'oggetto e la natura del trattamento e il tipo di Dati personali da trattare;
"EU GDPR" indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
"Dati personali" indica i dati personali, come definiti ai sensi del GDPR dell'UE, che Nitro elabora a beneficio e per conto del Cliente nell'ambito della fornitura dei Servizi, secondo le istruzioni e le finalità definite dal Cliente nei Dettagli sul trattamento dei dati;
"Elaboratore" si riferisce a Nitro Software Belgium NV, fornitore dei Servizi al Cliente e come identificato nei Termini di servizio;
"Elenco dei Subprocessori" si riferisce all'elenco dei Subprocessori reso disponibile online da Nitro, che include i Subprocessori ingaggiati da Nitro per la fornitura dei Servizi e l'adempimento degli obblighi di Nitro ai sensi dell'Addendum sul trattamento dei dati in generale. Nitro può aggiornare di volta in volta l'Elenco dei Subprocessori secondo il processo stabilito nel presente Addendum sul Trattamento dei Dati;
Per "Subprocessore" si intende qualsiasi elaboratore terzo ingaggiato da Nitro per l'elaborazione dei Dati personali relativi alla fornitura dei Servizi al Cliente;
Tutti gli altri termini e definizioni scritti con lettere maiuscole e che non sono definiti espressamente nel presente Addendum sul trattamento dei dati, sono definiti come indicato nella legislazione applicabile in materia di protezione dei dati o nei Termini di servizio di Nitro.
3. OGGETTO DEL PRESENTE ADDENDUM SULL'ELABORAZIONE DEI DATI
3.1 Il presente Addendum sul trattamento dei dati determina le condizioni del trattamento da parte di Nitro dei Dati personali comunicati da o su iniziativa del Cliente nel contesto del Contratto. La natura e lo scopo del trattamento, l'elenco e il tipo di Dati Personali e le categorie degli Interessati sono elencati nei Dettagli del Trattamento dei Dati.
3.2 Il trattamento avverrà esclusivamente a beneficio del Cliente e per lo scopo definito dal Cliente nei Dettagli sul trattamento dei dati. Nitro informerà immediatamente il Cliente se, a suo parere, un'istruzione viola la legislazione (sulla protezione dei dati) applicabile. Nitro tratterà i Dati personali solo in base alle istruzioni documentate del Cliente e non utilizzerà questi Dati personali per scopi propri, a meno che non sia esplicitamente consentito nei Termini di servizio. Se Nitro è obbligata per legge a procedere a qualsiasi trattamento dei Dati personali, Nitro, a meno che ciò non violi le norme obbligatorie applicabili, informerà il Cliente di tale obbligo.
4. TERMINE
4.1 Il presente Addendum sul trattamento dei dati è applicabile a tutti i trattamenti di Dati personali eseguiti nel contesto della fornitura dei Servizi al Cliente da parte di Nitro e si applica fintanto che Nitro elabora i Dati personali per conto del Cliente nel contesto dell'Accordo. Il presente Addendum sul trattamento dei dati integra i Termini di servizio di Nitro e ha lo scopo di garantire la conformità delle Parti ai requisiti imposti dalle leggi e dai regolamenti applicabili in materia di protezione dei dati per l'utilizzo dei Servizi da parte del Cliente.
4.2 Il presente Addendum sul trattamento dei dati termina automaticamente con la risoluzione del Contratto (o nel momento in cui il trattamento da parte di Nitro viene terminato). Le disposizioni del presente Addendum sul Trattamento dei Dati che sono espressamente o implicitamente (data la loro natura) destinate ad avere effetto dopo la cessazione dell'Addendum sul Trattamento dei Dati sopravvivranno alla fine del Contratto con riferimento ai Dati Personali comunicati da o su iniziativa del Cliente nel contesto del Contratto.
5. MISURE TECNICHE E ORGANIZZATIVE
5.1 Nitro offre garanzie adeguate per quanto riguarda l'implementazione di misure tecniche e organizzative appropriate ("TOM") per assicurare un trattamento sicuro dei Dati Personali e quindi la protezione dei diritti dell'Interessato. I TOM implementati da Nitro sono quelli indicati nei Dettagli sul trattamento dei dati. I TOM possono essere aggiornati da Nitro di volta in volta, tuttavia Nitro farà in modo di non ridurre la sicurezza complessiva che ha implementato al momento dell'esecuzione dell'Addendum sul trattamento dei dati. Il Cliente riconosce che i TOM sono adeguati per il trattamento dei suoi Dati Personali al momento della firma o dell'accettazione del presente Addendum sul Trattamento dei Dati.
5.2 Nitro adotterà tutte le misure tecniche e organizzative appropriate di cui all'articolo 32 EU GDPR per garantire un livello di sicurezza adeguato al rischio.
5.3 Se il Cliente fornisce a Nitro i Dati personali sensibili di cui agli articoli 9 e 10 EU GDPR a Nitro nel contesto del Contratto, il Cliente includerà tali informazioni nei Dettagli del trattamento dei dati.
5.4 Nel caso in cui il Cliente richieda l'implementazione di specifiche misure tecniche e organizzative da parte di Nitro (che Nitro non ha implementato per impostazione predefinita), il Cliente rimborserà a Nitro l'implementazione di tali misure aggiuntive in base alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. "Costi" del presente Addendum sul trattamento dei dati.
5.5 Adesione di Nitro a un codice di condotta approvato, come indicato nell'articolo 40 EU GDPR, o un meccanismo di certificazione approvato di cui all'articolo 42 EU GDPR può essere utilizzata come elemento di prova delle garanzie sufficienti di cui all'EU GDPR.
6. RITENZIONE
6.1 Nitro non conserverà i Dati personali più a lungo di quanto richiesto per l'elaborazione di tali Dati personali nel contesto dell'Accordo. Il Cliente non chiederà a Nitro di conservare i Dati personali più a lungo del necessario. Il periodo di conservazione applicabile (come definito dal Cliente) è indicato nei Dettagli sul trattamento dei dati.
6.2 A scelta del Cliente, Nitro cancellerà o restituirà tutti i Dati personali al Cliente al termine della fornitura dei Servizi e cancellerà le copie esistenti, a meno che la legge dell'Unione o dello Stato membro non richieda la conservazione dei Dati personali. Il Cliente riconosce che i Servizi potrebbero includere funzionalità di download a disposizione del Cliente per consentirgli di scaricare i suoi dati. Nella misura in cui tali funzionalità sono disponibili, il Cliente utilizzerà tali funzionalità per estrarre o cancellare i suoi dati.
7. CONFIDENZIALITÀ
7.1 Le Parti hanno concordato una clausola di riservatezza nei Termini di servizio che si applica al trattamento dei Dati personali nel contesto dell'Accordo.
7.2 Nitro riconosce e concorda che solo i dipendenti, gli appaltatori o gli agenti di Nitro che sono coinvolti nell'elaborazione dei Dati personali possono essere informati sui Dati personali e solo nella misura ragionevolmente necessaria per l'esecuzione dell'Accordo. Nitro assicura che le persone autorizzate a trattare i Dati personali si impegnino alla riservatezza per contratto o siano soggette a un obbligo di riservatezza previsto dalla legge.
8. DIRITTI DELL'INTERESSATO
8.1 Tenendo conto della natura del trattamento, Nitro compirà ogni ragionevole sforzo, adottando misure tecniche e organizzative adeguate, per assistere il Cliente nell'adempimento del suo obbligo di rispondere alle richieste degli Interessati.
8.2 Per tutta l'assistenza prestata da Nitro nell'ambito del trattamento di tali richieste da parte dei Soggetti interessati, il Cliente rimborserà Nitro in conformità alla Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. "Costi" del presente Addendum sul Trattamento dei Dati. Tale rimborso da parte del Cliente non si applicherà (i) nel caso in cui l'Interessato invochi i propri diritti a causa di una Violazione dei Dati Personali di cui sia stata provata l'imputabilità a Nitro o (ii) nel caso in cui tale assistenza da parte di Nitro non superi le quattro (4) ore di lavoro durante la Durata del Contratto.
9. DOVERE DI NOTIFICARE
9.1 Nel momento in cui viene a conoscenza di una Violazione dei Dati Personali, Nitro ne informerà il Cliente senza indebito ritardo contattando la persona di contatto indicata nel Contratto o nel Modulo d'Ordine pertinente (o in alternativa tramite l'indirizzo e-mail di notifica del Cliente). La persona di contatto di Nitro per qualsiasi questione relativa alla protezione dei dati può essere contattata all'indirizzo e-mail: privacy@gonitro.com.
9.2 Su richiesta del Cliente, Nitro informerà il Cliente di qualsiasi nuovo sviluppo relativo a qualsiasi Violazione dei Dati Personali e delle misure adottate per limitarne le conseguenze e per prevenire il ripetersi di tale Violazione dei Dati Personali. È responsabilità del Cliente segnalare qualsiasi violazione dei dati personali all'Autorità di vigilanza o all'interessato (o agli interessati), come richiesto.
10. SOTTOPROCESSIONE
10.1 Il Cliente autorizza espressamente Nitro ad avvalersi di Subprocessori per il trattamento dei Dati personali ai fini dell'esecuzione del Contratto e per facilitare la fornitura dei Servizi in generale. A tal fine, il Cliente concede a Nitro un'autorizzazione generale scritta a decidere con quale/i Subprocessore/i Nitro collabora per l'adempimento dei suoi obblighi ai sensi del Contratto. Nitro pubblica un Elenco dei Subprocessori che fa riferimento ai Subprocessori ingaggiati da Nitro.
10.2 Nitro informerà il Cliente di qualsiasi modifica prevista in merito all'aggiunta o alla sostituzione di Subprocessori tramite la persona di contatto del Cliente indicata nell'Accordo o nel relativo Modulo d'ordine (o tramite l'indirizzo e-mail di notifica del Cliente). Il Cliente avrà il diritto di opporsi all'aggiunta o alla sostituzione rivolgendosi a Nitro per iscritto. In tal caso, le Parti discuteranno l'aggiunta, la sostituzione o l'alternativa in buona fede e non appena ragionevolmente possibile dopo la notifica scritta di obiezione da parte del Cliente.
10.3 Nel caso in cui Nitro ingaggi un Subprocessore per l'esecuzione di specifiche attività di trattamento, gli stessi obblighi di protezione dei dati o obblighi simili a quelli stabiliti nel presente Addendum sul trattamento dei dati saranno imposti a tale Subprocessore mediante un accordo scritto, in particolare fornendo garanzie sufficienti per l'implementazione di misure tecniche e organizzative adeguate (e rispettando le relative misure tecniche e organizzative). Nel caso in cui un Subprocessore non adempia ai suoi obblighi di protezione dei dati, Nitro rimarrà pienamente responsabile nei confronti del Cliente per l'adempimento dell'obbligo di tale Subprocessore.
11. TRASFERIMENTI INTERNAZIONALI DI DATI
11.1 Il Cliente autorizza i trasferimenti internazionali dei Dati Personali ai fini della fornitura dei Servizi. Tali trasferimenti internazionali di dati sono considerati un'istruzione del Cliente. Il Cliente riconosce che i Subprocessori autorizzati ai sensi della Sezione 10 possono trattare i Dati personali anche in Paesi terzi. Il Cliente consente tali trasferimenti, a condizione che Nitro adotti tutte le misure necessarie per garantire che tali trasferimenti siano conformi alle disposizioni del Capitolo V del GDPR dell'UE e alle altre leggi applicabili in materia di protezione dei dati.
11.2 Nel caso in cui il trasferimento dei Dati personali a un Paese terzo o a un'organizzazione internazionale sia obbligatorio ai sensi della legge applicabile dell'UE o di uno Stato membro a cui Nitro è soggetta, Nitro sarà autorizzata a eseguire tale trasferimento e informerà il Cliente di tale requisito legale prima di tale Trattamento, a meno che tale legge non vieti tale informazione per importanti motivi di interesse pubblico.
12. VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI E CONSULTAZIONE PREVENTIVA
12.1 Se il Cliente esegue una valutazione d'impatto sulla protezione dei dati ("DPIA")(articolo 35 GDPR UE) o una consultazione preventiva (articolo 36 GDPR UE) relativa al trattamento dei Dati personali nel contesto dell'esecuzione del Contratto, Nitro assisterà ragionevolmente il Cliente fornendo assistenza su richiesta scritta del Cliente. Il Cliente rimborserà a Nitro l'assistenza fornita ai sensi della Sezione 14 "Costi" del presente Addendum sul trattamento dei dati. Tale rimborso dei costi non si applicherà nel caso in cui (i) l'assistenza richiesta a Nitro sia inferiore a quattro (4) ore lavorative durante il Periodo di validità del Contratto, o (ii) la DPIA o la consultazione preventiva siano attivate da una Violazione dei dati personali attribuibile a Nitro.
13. AUDIT DESTRO
13.1 Il Cliente ha il diritto di effettuare verifiche in merito al rispetto da parte di Nitro dei suoi obblighi ai sensi del presente Addendum sul trattamento dei dati e della legislazione applicabile in materia di protezione dei dati. Nitro si impegnerà a cooperare con tali audit e a mettere a disposizione tutte le informazioni necessarie per dimostrare la sua conformità agli obblighi. Il Cliente dovrà notificare a Nitro tale audit almeno un (1) mese prima della data in cui l'audit sarà eseguito, mediante comunicazione scritta a Nitro tramite privacy@gonitro.com.
13.2 Nel caso in cui venga eseguito un audit, tutte le parti coinvolte dovranno firmare uno specifico accordo di non divulgazione emesso da Nitro in relazione a tale audit e ai risultati dell'audit prima dell'inizio dell'audit. Al momento dell'esecuzione di tale audit, si deve tenere conto degli obblighi di riservatezza delle Parti nei confronti di terzi. Sia le Parti che i loro revisori devono mantenere segrete le informazioni raccolte in relazione a un audit e utilizzarle esclusivamente per verificare la sua conformità al presente Addendum sul trattamento dei dati e alle leggi e ai regolamenti applicabili in materia di protezione dei dati. Il Cliente ha la possibilità di eseguire l'audit in prima persona o di incaricare un revisore indipendente, che tuttavia dovrà sottoscrivere debitamente l'accordo di non divulgazione di cui alla presente Sezione.
13.3 Entrambe le Parti e, se del caso, i loro rappresentanti, collaboreranno ragionevolmente, su richiesta, con l'Autorità di vigilanza nello svolgimento dei suoi compiti.
13.4 Il Cliente rimborserà a Nitro l'assistenza fornita da Nitro in relazione all'audit (o agli audit) in conformità alla Sezione 14 "Costi" del presente Addendum sull'elaborazione dei dati. Resta inteso che tale rimborso non si applicherà nel caso in cui (i) l'audit sia il risultato di una Violazione dei Dati Personali di cui sia stata provata l'imputabilità a Nitro o, (ii) nel caso in cui l'assistenza di Nitro non superi le quattro (4) ore lavorative durante la Durata del Contratto.
14. COSTI
14.1 L'assistenza da eseguire ai sensi del presente Addendum sul trattamento dei dati, per la quale Nitro può addebitare al Cliente, sarà addebitata sulla base delle ore lavorate e delle tariffe orarie standard applicabili di Nitro (195 EUR/ora tasse escluse). Nitro fatturerà questi importi su base mensile, ma ha anche il diritto di richiedere una commissione anticipata.
14.2 Il pagamento da parte del Cliente a Nitro per l'assistenza e i servizi professionali forniti da Nitro ai sensi del presente Addendum sul trattamento dei dati avverrà in conformità alle disposizioni dei Termini di servizio.
15. RESPONSABILITÀ
15.1 Nella misura massima consentita dalla legge applicabile, le disposizioni dei Termini di servizio relative alla limitazione di responsabilità si applicano anche al presente Addendum sul trattamento dei dati e ai danni da esso derivanti.
16. VARIE
16.1 Le disposizioni dei Termini di servizio relative alle modifiche, all'intero accordo, alla separabilità, alla legge applicabile e ai tribunali competenti sono applicabili al presente Addendum sul trattamento dei dati.