Il presente Accordo sul trattamento dei dati di Sendpulse (il "DPA") fa parte dei  Termini di servizio di Sendpulse (i "Termini"), l'accordo tra il Cliente (di seguito "Cliente", "utente", "tu") e SendPulse Inc. (di seguito "Società", "SendPulse", "noi", "ci" o "nostro") che disciplina il trattamento dei dati personali che il Cliente carica o fornisce in altro modo SendPulse in relazione ai servizi e/o al trattamento di qualsiasi dato personale che SendPulse fornisce al Cliente per suo conto in relazione alla prestazione di servizi, di seguito denominate individualmente una "Parte" o insieme come le "Parti".

Salvo diversamente definito in questo DPA, tutti i termini in maiuscolo utilizzati in questo DPA avranno il significato stabilito nei Termini di servizio di SendPulse. Il presente DPA rimarrà in vigore fino alla risoluzione o alla scadenza dei Termini tra noi e il Cliente che regolano l'utilizzo dei Servizi da parte del Cliente e tutti i Dati personali sono stati restituiti o cancellati in conformità con la Sezione 5.4 del presente documento.

1. Definizioni

Per "Clausole contrattuali standard (SCC)" si intendono le clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio approvato con decisione di esecuzione (UE) 2021/914 della Commissione europea del 4 giugno 2021, come attualmente indicato su https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Regolamento generale sulla protezione dei dati (GDPR)” indica il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Per“Dati Personali” si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile.

Interessato”indica la persona identificata o identificabile a cui si riferiscono i Dati Personali.

Dati personali del cliente”  indica i Dati personali che il Cliente carica o fornisce in altro modo SendPulse in relazione ai servizi o qualsiasi dato personale che SendPulse fornisce al Cliente per suo conto in relazione alla prestazione dei servizi, o qualsiasi altro dato personale rispetto al quale Il cliente è un titolare del trattamento o un elaboratore di dati e SendPulse è un elaboratore di dati.

Altre leggi e regolamenti sulla protezione dei dati” indica tutte le leggi e i regolamenti, comprese le leggi e i regolamenti dell'Unione Europea, dello Spazio Economico Europeo e dei loro stati membri, degli Stati Uniti e dei suoi stati, applicabili al trattamento dei Dati Personali ai sensi dei Termini come modificato di volta in volta, diverso dal GDPR.

Sub-responsabile”  indica qualsiasi entità che fornisce servizi di elaborazione a SendPulse a sostegno dell'elaborazione di SendPulse per conto del Cliente.

Autorità pubblica”  indica un'agenzia governativa o un'autorità di contrasto, comprese le autorità giudiziarie.

Autorità di controllo” indica un'autorità pubblica indipendente responsabile del monitoraggio dell'applicazione della normativa sulla protezione dei dati.

2. Ruoli e responsabilità

2,1. Ruoli ai sensi del GDPR

Se il GDPR si applica al trattamento dei Dati del cliente, l'utente riconosce e accetta che per quanto riguarda il trattamento dei Dati del cliente, sei un titolare del trattamento o un responsabile del trattamento e noi siamo un responsabile del trattamento (come definito dal GDPR) che agisce per tuo conto, come ulteriore descritto nelle Clausole Contrattuali Standard concordate ai sensi del presente DPA (le "Clausole") e nell'Appendice con i relativi Allegati. Questo DPA non si applica alle situazioni in cui agiamo in qualità di controller in conformità con l'Informativa sulla privacy di Sendpulse.

2,2. Applicazione dei SCC

Laddove il Cliente sia un titolare del trattamento e un esportatore di dati di Dati personali e SendPulse sia un responsabile del trattamento e un importatore di dati in relazione a tali Dati personali, le Parti dovranno attenersi all'Addendum I (clausole contrattuali standard tra Titolare e Responsabile del trattamento) e all'Appendice con gli Allegati corrispondenti .

Laddove il Cliente sia un elaboratore del trattamento e un esportatore di dati di Dati personali e SendPulse sia un responsabile del trattamento e un importatore di dati in relazione a tali Dati personali, le Parti dovranno attenersi all'Addendum I (clausole contrattuali standard tra Elaboratore e Responsabile del trattamento) e all'Appendice con gli Allegati corrispondenti .

L'appendice con i corrispondenti allegati al presente DPA fa parte nella stessa misura dell'addenda I e II.

3. Istruzioni

Le Parti concordano che il presente DPA e i Termini costituiscono le istruzioni documentate complete e finali relative al nostro trattamento dei Dati dei clienti per conto dell'utente (le "Istruzioni"). Eventuali istruzioni aggiuntive o alternative devono essere coerenti con i termini e le condizioni del presente DPA e dei Termini.

4. I tuoi obblighi

Nell'ambito del DPA e dei Termini e del tuo utilizzo dei Servizi, sarai l'unico responsabile del rispetto di tutti i requisiti che ti si applicano ai sensi del GDPR e di altre leggi e regolamenti sulla protezione dei dati. Dichiari e garantisci di essere l'unico responsabile di:

(i) l'accuratezza, la qualità, l'integrità, la riservatezza e la sicurezza dei Dati del Cliente raccolti;

((ii) ottemperare a tutta la trasparenza, riservatezza, liceità, correttezza e altri requisiti ai sensi del GDPR e di altre leggi e regolamenti sulla protezione dei dati per la raccolta e l'uso dei dati personali da parte di:

  • stabilire e mantenere la procedura per l'esercizio dei diritti degli Interessati i cui Dati Personali del Cliente sono trattati per conto del Cliente;
  • fornendoci solo dati che sono stati ottenuti lecitamente e validamente e assicurando che tali dati siano pertinenti e proporzionati ai rispettivi usi;
  • garantire il rispetto delle disposizioni del presente DPA e dei Termini da parte del proprio personale o di qualsiasi terza parte che acceda o utilizzi i Dati personali del Cliente per suo conto.

(iii) assicurarci che le tue istruzioni relative al trattamento dei dati dei clienti siano conformi al GDPR e ad altre leggi e regolamenti sulla protezione dei dati, incluso il rispetto dei principi di minimizzazione dei dati, finalità e limitazione della conservazione; e

(iv) rispettare tutte le leggi, le norme, i regolamenti applicabili (incluso GDPR e altre leggi e regolamenti sulla protezione dei dati) in relazione a qualsiasi Istruzione che ci viene impartita.

I nostri obblighi

5,1. Obblighi generali

In relazione al trattamento dei Dati Personali, Sendpulse dovrà:

(i) trattare i Dati Personali del Cliente solo allo scopo di fornire, supportare e migliorare i servizi, utilizzando adeguate misure di sicurezza tecniche e organizzative e in conformità con le istruzioni ricevute dal Cliente fatte salve le Sezioni 3 e 4 del presente DPA;

(ii) informare il Cliente se SendPulse non è in grado di adempiere ai propri obblighi ai sensi del presente DPA, nel qual caso il Cliente può risolvere il Contratto o intraprendere qualsiasi altra azione ragionevole, inclusa la sospensione delle operazioni di elaborazione dei dati;

(iii) informare il Cliente se, secondo SendPulse, un'Istruzione del Cliente può violare le disposizioni del GDPR o di altre leggi e regolamenti sulla protezione dei dati;

(iv) seguire le istruzioni del Cliente in merito alla raccolta dei Dati Personali del Cliente (anche per quanto riguarda la fornitura di avviso e l'esercizio della scelta), nel caso in cui SendPulse ottenga i Dati Personali del Cliente dagli Interessati per conto del Cliente ai sensi dei Termini;

(v) adottare misure ragionevoli per garantire che qualsiasi dipendente/appaltatore a cui SendPulse autorizza l'accesso ai Dati del cliente per suo conto rispetti le rispettive disposizioni dei Termini e del presente DPA.

5,2. Avvisi ai clienti

Una volta venuti a conoscenza, ti informeremo di qualsiasi richiesta legalmente vincolante di divulgazione dei Dati Personali del Cliente da parte di un'Autorità Pubblica, a meno che SendPulse non sia altrimenti vietato dalla legge per informare il Cliente, ad esempio per preservare la riservatezza delle indagini da parte della Pubblica Autorità. SendPulse informerà il Cliente se viene a conoscenza di qualsiasi avviso, richiesta o indagine da parte di un'Autorità di vigilanza in relazione al trattamento dei Dati personali del Cliente ai sensi del presente DPA condotto tra te e noi.

5,3. Misure di sicurezza

SendPulse attuerà e manterrà misure tecniche e organizzative adeguate per proteggere i Dati del Cliente da violazioni dei dati personali (gli "Incidenti di sicurezza"), in conformità con i nostri standard di sicurezza stabiliti nell'Allegato II del presente DPA. L'utente riconosce che le misure di sicurezza sono soggette al progresso tecnico in modo che possiamo modificare o aggiornare l'allegato II a nostra esclusiva discrezione, a condizione che tale modifica o aggiornamento non comporti un degrado sostanziale delle misure di sicurezza offerte dall'allegato II del presente DPA in quel momento di firmare questo DPA.

5,4. Incidente di sicurezza

Quando viene a conoscenza di un incidente di sicurezza, SendPulse deve: (i) informarti senza indebito ritardo dopo che siamo venuti a conoscenza dell'Incidente di sicurezza; (ii) fornire informazioni tempestive relative all'Incidente di sicurezza non appena viene a conoscenza o come è ragionevolmente richiesto dall'utente; e (iii) adottare prontamente misure ragionevoli per contenere e indagare su qualsiasi Incidente di sicurezza in modo da poter notificare alle autorità competenti e/o ai Soggetti interessati interessati l'Incidente di sicurezza. La nostra notifica o risposta a un Incidente di sicurezza non deve essere interpretata come un riconoscimento da parte nostra di qualsiasi colpa o responsabilità relativa all'Incidente di sicurezza.

5,5. Riservatezza

SendPulse non accederà, utilizzerà, o divulgherà a terzi, i Dati del Cliente, salvo, in ogni caso, se necessario per mantenere o fornire i Servizi, o se necessario per adempiere ad obblighi contrattuali e legali o ordine vincolante di un ente pubblico (come un mandato di comparizione o un'ingiunzione del tribunale). Garantiremo che qualsiasi dipendente/appaltatore a cui autorizziamo l'accesso ai Dati del cliente per nostro conto sia soggetto a obblighi contrattuali o legali di riservatezza appropriati in relazione ai Dati del cliente, anche dopo la fine del rispettivo impiego o la risoluzione o la scadenza del contratto.

5,6. Restituzione o cancellazione dei dati del cliente

SendPulse dovrà, e farà sì che qualsiasi Sub-responsabile del trattamento, a scelta del Cliente, restituisca tutti i Dati Personali del Cliente e copie di tali dati al Cliente o li distrugga in modo sicuro e dimostri con soddisfazione del Cliente di aver adottato tali misure, a meno che GDPR o altre leggi e regolamenti sulla protezione dei dati impediscono a SendPulse di restituire o distruggere tutti o parte dei Dati Personali del Cliente in nostro possesso. In tal caso, SendPulse si impegna a preservare la riservatezza dei Dati Personali del Cliente da essa conservati e che tratterà attivamente tali Dati Personali del Cliente solo dopo tale data al fine di ottemperare alle leggi e ai regolamenti applicabili o agli obblighi contrattuali.

5,7. Assistenza ragionevole

SendPulse ha accettato di fornire un'assistenza ragionevole al Cliente in merito a:

(i) qualsiasi richiesta da parte di un Interessato in relazione all'accesso o alla rettifica, cancellazione, limitazione, portabilità, blocco o cancellazione dei Dati Personali del Cliente che SendPulse per conto del Cliente. Nel caso in cui un Interessato invii tale richiesta direttamente a SendPulse, si applica la Sezione 7 del presente DPA;

(ii) l'indagine sull'Incidente di sicurezza e la comunicazione delle notifiche necessarie in merito a tali Incidenti di sicurezza ai sensi della Sezione 5.4 del presente DPA;

(iii) predisposizione di valutazioni di impatto sulla protezione dei dati e, ove necessario, consultazione del Cliente con l'Autorità di controllo ex artt. 35 e 36 del GDPR.

6. Audit e Certificazione

Se un'autorità di vigilanza richiede un controllo delle strutture di elaborazione dei dati da cui SendPulse elabora i dati personali dei clienti per accertare o monitorare la conformità del cliente al GDPR o ad altre leggi e regolamenti sulla protezione dei dati, SendPulse collaborerà a tale controllo. Il Cliente è responsabile di tutti i costi e gli onorari relativi a tale audit, inclusi tutti i costi e gli onorari ragionevoli per tutto il tempo speso da SendPulse per tale audit, oltre alle tariffe per i servizi svolti da SendPulse.

Il Cliente può, prima dell'inizio del Trattamento, e successivamente ad intervalli regolari, verificare le misure tecniche e organizzative adottate da SendPulse. Se il Cliente è il responsabile del trattamento dei dati personali trattati da SendPulse per suo conto, previo accordo ragionevole e tempestivo, durante il normale orario lavorativo e senza interruzione delle operazioni commerciali di SendPulse, Sendpulse può fornire al Cliente tutte le informazioni necessarie per dimostrare il rispetto di gli obblighi previsti dall'articolo 28 del GDPR e consentono e contribuiscono a verifiche, comprese le ispezioni, condotte dal Cliente o da un altro revisore incaricato dal Cliente in relazione a tale trattamento.

SendPulse, su richiesta scritta del Cliente ed entro un periodo ragionevole, fornirà al Cliente tutte le informazioni necessarie per tale verifica, nella misura in cui tali informazioni siano sotto il controllo del Responsabile e non sia impedito a SendPulse di divulgarle dalla legge applicabile, un dovere di riservatezza, o qualsiasi altro obbligo dovuto a terzi.

7. Richiesta dell'interessato

Nel caso in cui un Interessato ci contatti in merito all'esercizio dei suoi diritti ai sensi del GDPR e di altre leggi e regolamenti sulla protezione dei dati (in particolare, richieste di accesso, rettifica o blocco dei Dati personali dei clienti), faremo tutto il possibile per inoltrarti tali richieste. Se siamo legalmente obbligati a rispondere a tale richiesta, ti informeremo immediatamente e ti forniremo una copia della richiesta, a meno che non ci sia legalmente proibito di farlo.

8. Sub-responsabili e Terze parti del trattamento

Accetti che possiamo assumere sub-responsabili del trattamento in conformità con le disposizioni stabilite nella Clausola 9 delle rispettive SCC per assisterci nell'adempimento dei nostri obblighi in relazione alla fornitura dei servizi ai sensi dei Termini. Accettiamo di informare il Cliente di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di Sub-responsabili del trattamento, dando così al Cliente l'opportunità di opporsi a tali modifiche entro il periodo specificato in SCC.

Il Cliente prende atto che nella fornitura di alcuni servizi, SendPulse, su istruzioni del Cliente, può trasferire i Dati Personali del Cliente e interagire in altro modo con terzi responsabili del trattamento. Il Cliente accetta che se e nella misura in cui si verificano tali trasferimenti, il Cliente è responsabile di stipulare accordi contrattuali separati con tali responsabili del trattamento di dati di terze parti che li obbligano a rispettare gli obblighi in conformità con il GDPR e altre leggi e regolamenti sulla protezione dei dati. A scanso di equivoci, tali terzi responsabili del trattamento non sono Sub-responsabili del trattamento ai sensi del presente DPA.

9. Trasferimenti di dati dei clienti

Le Parti si impegnano a rispettare e trattare i Dati dei Clienti protetti dal GDPR nel rispetto delle Standard Contractual Clauses approvate dalla decisione della Commissione Europea 2021/914 del 4 giugno 2021 al fine di addurre adeguate tutele rispetto alla tutela della privacy e dei diritti fondamentali e le libertà delle persone fisiche e giuridiche per il trasferimento dei dati personali specificate negli Addenda e negli Allegati al presente DPA.

APPENDICE II

Clausole contrattuali standard (Responsabile del trattamento)

SEZIONE I

Clausola 1. Obiettivo e scopo

Ai fini delle Clausole:

(a) La finalità di queste clausole contrattuali tipo è garantire il rispetto dei requisiti del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla la libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) per il trasferimento di dati personali verso un paese terzo.

(b) Le Parti:

(i) la persona fisica o giuridica, la/le autorità pubblica/e, l'agenzia/e o altro/i organismo/i (di seguito "entità") che trasferiscono i dati personali, come elencato nell'allegato I.A (di seguito ciascun "esportatore di dati" ), e

(ii) l'entità/i in un paese terzo che riceve i dati personali dall'esportatore di dati, direttamente o indirettamente tramite un altro soggetto anche parte di queste clausole, come elencato nell'allegato I.A (di seguito ogni "importatore di dati") hanno accettato queste clausole contrattuali standard (di seguito: ‘Clausole’).

(c) Le presenti Clausole si applicano in relazione al trasferimento di dati personali come specificato nell'Allegato I.B.

(d) L'Appendice alle presenti Clausole contenente gli Allegati ivi richiamati costituisce parte integrante delle presenti Clausole.

Clausola 2. Effetto e invariabilità delle Clausole

(a) Le presenti clausole stabiliscono garanzie adeguate, compresi i diritti esecutivi dell'interessato e mezzi di ricorso effettivi, ai sensi dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, in relazione ai dati trasferimenti da titolari a responsabili e/o da responsabili a responsabili, clausole contrattuali tipo ai sensi dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non modificate, salvo che per selezionare il/i Modulo/i appropriato/i o per aggiungere o aggiornare le informazioni in appendice. Ciò non impedisce alle Parti di inserire le clausole contrattuali tipo previste nelle presenti Clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie aggiuntive, a condizione che non siano in contraddizione, direttamente o indirettamente, con queste Clausole o pregiudichino i diritti fondamentali o libertà degli interessati.

(b) Le presenti Clausole non pregiudicano gli obblighi cui è soggetto l'esportatore di dati in virtù del Regolamento (UE) 2016/679.

Clausola 3. Beneficiari di terze parti

(a) Gli interessati possono invocare e far valere queste Clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o importatore di dati, con le seguenti eccezioni:

(i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;

((ii) Clausola 8.1(a), (c) e (d) e Clausola 8.9(a), (c), (d), (e), (f) e (g);

(iii) Clausola 9(a), (c), (d) ed (e);/p>

(iv) Clausola 12(a), (d) and (f);

(v) Clausola 13;

(vi) Clausola 15.1(c), (d) and (e);

(vii) Clausola 16(e);

(viii) Clausola 18(a) and (b).

(b) La lettera (a) non pregiudica i diritti degli interessati ai sensi del regolamento (UE) 2016/679.

Clausola 4. Interpretazione

((a) Laddove queste clausole utilizzino termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di tale regolamento.

(b) Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

(c) Le presenti Clausole non devono essere interpretate in modo contrario ai diritti e agli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5. Gerarchia

In caso di contraddizione tra queste Clausole e le disposizioni dei relativi accordi tra le Parti, esistenti al momento in cui queste Clausole sono state concordate o stipulate successivamente, queste Clausole prevarranno.

Clausola 6. Descrizione del/i trasferimento/i

I dettagli del/i trasferimento/i, ed in particolare le categorie di dati personali che vengono trasferiti e le finalità per le quali sono trasferiti, sono specificati nell'allegato I.B.

Clausola 7. Clausola di ancoraggio

(a) Un soggetto che non è parte di queste clausole può, con l'accordo delle Parti, aderire a queste clausole in qualsiasi momento, sia come esportatore di dati che come importatore di dati, completando l'appendice e firmando l'allegato I.A.

(b) Una volta completata l'appendice e firmato l'allegato I.A, l'entità aderente diventa parte di queste clausole e ha i diritti e gli obblighi di un esportatore o importatore di dati in conformità con la sua designazione nell'allegato I.A.

(c) L'entità aderente non avrà diritti o obblighi derivanti dalle presenti Clausole dal periodo precedente a diventare una Parte.

SEZIONE II – OBBLIGHI DELLE PARTI

Clausola 8. Tutela della protezione dei dati

L'esportatore di dati garantisce di aver compiuto ogni ragionevole sforzo per determinare che l'importatore di dati è in grado, mediante l'attuazione di adeguate misure tecniche e organizzative, di adempiere ai propri obblighi ai sensi delle presenti Clausole.

8.1 Istruzioni

(a) L'esportatore di dati ha informato l'importatore di dati che agisce in qualità di responsabile del trattamento secondo le istruzioni del/i titolare/i del trattamento, che l'esportatore di dati mette a disposizione dell'importatore di dati prima del trattamento.

(b) L'importatore di dati tratta i dati personali solo su istruzioni documentate del responsabile del trattamento, come comunicate all'importatore di dati dall'esportatore di dati, e su eventuali istruzioni documentate aggiuntive dall'esportatore di dati. Tali istruzioni aggiuntive non sono in conflitto con le istruzioni del responsabile del trattamento. Il titolare del trattamento o l'esportatore di dati può fornire ulteriori istruzioni documentate in merito al trattamento dei dati per tutta la durata del contratto.

(c) L'importatore di dati informa immediatamente l'esportatore di dati se non è in grado di seguire tali istruzioni. Qualora l'importatore di dati non sia in grado di seguire le istruzioni del responsabile del trattamento, l'esportatore di dati ne informa immediatamente il responsabile del trattamento.

(d) L'esportatore di dati garantisce di aver imposto all'importatore di dati gli stessi obblighi di protezione dei dati stabiliti nel contratto o in altro atto giuridico ai sensi del diritto dell'Unione o degli Stati membri tra il responsabile del trattamento e l'esportatore di dati.

8.2 Limitazione delle finalità

L'importatore di dati tratta i dati personali solo per la o le finalità specifiche del trasferimento, come indicato nell'allegato I.B., salvo ulteriori istruzioni del titolare del trattamento, come comunicate all'importatore di dati dall'esportatore di dati, o dal esportatore.

8.3 Trasparenza

Su richiesta, l'esportatore di dati mette gratuitamente a disposizione dell'interessato una copia di queste Clausole, inclusa l'Appendice compilata dalle Parti. Nella misura necessaria per proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l'esportatore di dati può oscurare parte del testo dell'appendice prima di condividerne una copia, ma deve fornire una sintesi significativa laddove l'interessato non sarebbe altrimenti in grado di per comprenderne il contenuto o esercitare i propri diritti. Su richiesta, le Parti forniscono all'interessato i motivi delle omissioni, per quanto possibile senza rivelare le informazioni omesse.

8.4 Precisione

Se l'importatore di dati viene a conoscenza che i dati personali che ha ricevuto sono inesatti o sono diventati obsoleti, ne informa l'esportatore di dati senza indebito ritardo. In questo caso, l'importatore di dati collabora con l'esportatore di dati per rettificare o cancellare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell'importatore di dati ha luogo solo per la durata specificata nell'allegato I.B. Dopo la fine della prestazione dei servizi di trattamento, l'importatore di dati, a scelta dell'esportatore di dati, cancella tutti i dati personali trattati per conto del responsabile del trattamento e certifica all'esportatore di dati di averlo fatto, oppure ritorna al esportatore di dati tutti i dati personali trattati per suo conto ed eliminare le copie esistenti. Fino a quando i dati non saranno cancellati o restituiti, l'importatore di dati continuerà a garantire il rispetto di queste Clausole. In caso di leggi locali applicabili all'importatore di dati che vietano la restituzione o la cancellazione dei dati personali, l'importatore di dati garantisce che continuerà a garantire il rispetto di queste clausole e lo tratterà solo nella misura e per il tempo necessario ai sensi di tale diritto locale. Ciò non pregiudica la clausola 14, in particolare l'obbligo per l'importatore di dati ai sensi della clausola 14(e) di informare l'esportatore di dati per tutta la durata del contratto se ha motivo di ritenere che sia o sia divenuto soggetto a leggi o prassi non in linea con i requisiti di cui alla clausola 14(a).

8.6 Sicurezza del trattamento

(a) L'importatore di dati e, durante la trasmissione, anche l'esportatore di dati adottano misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro una violazione della sicurezza che porti a distruzione, perdita, alterazione, divulgazione non autorizzata accidentali o illegali o l'accesso a tali dati (di seguito "violazione dei dati personali"). Nel valutare l'adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento e dei rischi connessi al trattamento per l'interessato. Le parti prendono in considerazione in particolare di ricorrere alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, qualora lo scopo del trattamento possa essere soddisfatto in tal modo. In caso di pseudonimizzazione, le informazioni aggiuntive per l'attribuzione dei dati personali a uno specifico interessato restano, ove possibile, sotto il controllo esclusivo dell'esportatore dei dati o del responsabile del trattamento. In ottemperanza ai propri obblighi ai sensi del presente paragrafo, l'importatore di dati attua almeno le misure tecniche e organizzative specificate nell'allegato II. L'importatore di dati effettua controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.

(b) L'importatore di dati concede l'accesso ai dati ai membri del suo personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

(c) In caso di violazione dei dati personali concernenti i dati personali trattati dall’importatore di dati ai sensi delle presenti clausole, l'importatore di dati deve adottare misure appropriate per far fronte alla violazione, comprese misure per mitigarne gli effetti negativi. L'importatore di dati notifica altresì, senza indebito ritardo, l'esportatore di dati e, ove opportuno e fattibile, il titolare del trattamento dopo essere venuto a conoscenza della violazione. Tale notifica contiene i dettagli di un punto di contatto presso il quale è possibile ottenere maggiori informazioni, una descrizione della natura della violazione (compresi, ove possibile, categorie e numero approssimativo di interessati e record di dati personali interessati), le sue probabili conseguenze e misure adottate o proposte per affrontare la violazione dei dati, comprese le misure per mitigarne i possibili effetti negativi. Laddove e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni allora disponibili e le ulteriori informazioni, non appena disponibili, sono successivamente fornite senza indebito ritardo.

(d) L'importatore di dati coopera e assiste l'esportatore di dati per consentire all'esportatore di dati di adempiere ai suoi obblighi ai sensi del regolamento (UE) 2016/679, in particolare per informare il suo responsabile del trattamento in modo che quest'ultimo possa a sua volta notificare all'autorità di vigilanza competente autorità e gli interessati interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione dell'importatore di dati.

8.7 Dati sensibili

Laddove il trasferimento riguardi dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici o dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale di una persona o orientamento sessuale, o dati relativi a condanne penali e reati (di seguito "dati sensibili"), l'importatore di dati applica le specifiche restrizioni e/o garanzie aggiuntive di cui all'allegato I.B.

8.8 Trasferimenti successivi

L'importatore di dati deve comunicare i dati personali a terzi solo su istruzioni documentate del responsabile del trattamento, come comunicato all'importatore di dati dall'esportatore di dati. Inoltre, i dati possono essere comunicati a terzi situati al di fuori dell'Unione Europea (nello stesso paese dell'importatore di dati o in un altro paese terzo, di seguito "trasferimento successivo") se il terzo è o accetta di essere vincolato da queste Clausole, nell'apposito Modulo, o se:

(i) il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;

(ii) il terzo assicura altrimenti garanzie adeguate ai sensi degli articoli 46 o 47 del regolamento (UE) 2016/679;

(iii) l'ulteriore trasferimento è necessario per l'accertamento, l'esercizio o la difesa di pretese nell'ambito di specifici procedimenti amministrativi, regolamentari o giurisdizionali; o

(iv) il trasferimento successivo è necessario al fine di tutelare gli interessi vitali dell'interessato o di un'altra persona fisica.

Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell'importatore di dati di tutte le altre garanzie previste dalle presenti Clausole, in particolare la limitazione delle finalità.

8.9 Documentazione e conformità

(a) L'importatore di dati deve affrontare tempestivamente e adeguatamente le richieste dell'esportatore di dati o del responsabile del trattamento relative al trattamento ai sensi delle presenti clausole.

(b) Le Parti dovranno essere in grado di dimostrare il rispetto delle presenti Clausole. In particolare, l'importatore di dati conserva idonea documentazione sulle attività di trattamento svolte per conto del titolare.

(c) L'importatore di dati mette a disposizione dell'esportatore di dati tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti in queste clausole, che le fornisce al responsabile del trattamento.

(d) L'importatore di dati deve consentire e contribuire agli audit da parte dell'esportatore di dati delle attività di trattamento contemplate dalle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di non conformità. Lo stesso si applica qualora l'esportatore di dati richieda un audit su istruzione del responsabile del trattamento. Nel decidere su un audit, l'esportatore di dati può tenere conto delle certificazioni pertinenti in possesso dell'importatore di dati.

(e) Se l'audit è svolto su istruzione del responsabile del trattamento, l'esportatore di dati mette i risultati a disposizione del responsabile del trattamento..

(f) L'esportatore di dati può scegliere di condurre l'audit da solo o incaricare un revisore indipendente. Gli audit possono comprendere ispezioni presso i locali o le strutture fisiche dell'importatore di dati e, se del caso, devono essere effettuati con un preavviso ragionevole.

(g) Le Parti mettono le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit, a disposizione dell'autorità di controllo competente su richiesta.

Clausola 9. Utilizzo di sub-responsabili

(a) AUTORIZZAZIONE SCRITTA GENERALE L'importatore di dati dispone dell'autorizzazione generale del titolare del trattamento per l'assunzione di sub-responsabili del trattamento da un elenco concordato. L’importatore dei dati informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste a tale elenco mediante l'aggiunta o la sostituzione di sub-responsabili del trattamento con almeno 10 giorni di anticipo, dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima dell'assunzione di il/i sub-responsabile/i. L'importatore di dati fornisce al titolare del trattamento le informazioni necessarie per consentire al titolare del trattamento di esercitare il proprio diritto di opposizione. L'importatore di dati informa l'esportatore di dati dell'impegno del/i sub-responsabile/i.

(b) Qualora l'importatore di dati incarichi un sub-responsabile del trattamento per svolgere specifiche attività di trattamento (per conto del responsabile del trattamento), lo fa mediante un contratto scritto che prevede, in sostanza, gli stessi obblighi di protezione dei dati di quelli vincolare l'importatore di dati ai sensi delle presenti clausole, anche in termini di diritti di beneficiario di terzi per gli interessati. Le Parti convengono che, ottemperando alla presente Clausola, l'importatore di dati adempie ai propri obblighi di cui alla Clausola 8.8. L'importatore di dati garantisce che il sub-responsabile del trattamento rispetti gli obblighi cui è soggetto l'importatore di dati ai sensi delle presenti Clausole.

(c) L'importatore di dati fornisce, su richiesta dell'esportatore di dati o del responsabile del trattamento, una copia di tale accordo di sub-responsabile del trattamento e di eventuali successive modifiche. Nella misura necessaria per proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, l'importatore di dati può redigere il testo dell'accordo prima di condividerne una copia.

(d) L'importatore di dati rimane pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub-incaricato del trattamento ai sensi del suo contratto con l'importatore di dati. L'importatore di dati notifica all'esportatore di dati l'eventuale inadempimento da parte del sub-responsabile degli obblighi previsti da tale contratto.

(e) L'importatore di dati concorda con il sub-responsabile una clausola di terzo beneficiario in base alla quale, nel caso in cui l'importatore di dati sia di fatto scomparso, abbia cessato di esistere legalmente o sia diventato insolvente, l'esportatore di dati abbia il diritto di risolvere il contratto di sub-responsabile e di incaricare il sub-responsabile di cancellare o restituire i dati personali.

Clausola 10. Diritti del soggetto dei dati

a) L'importatore di dati notifica tempestivamente all'esportatore di dati e, se del caso, al responsabile del trattamento qualsiasi richiesta ricevuta da un interessato, senza rispondere a tale richiesta, a meno che non sia stato autorizzato a farlo dal responsabile del trattamento.

(b) L'importatore di dati assiste, se del caso in collaborazione con l'esportatore di dati, il titolare del trattamento nell'adempimento dei suoi obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, come applicabile. A tale proposito, le parti stabiliscono nell'allegato II le misure tecniche e organizzative appropriate, tenendo conto della natura del trattamento mediante il quale viene fornita l'assistenza, nonché della portata e della portata dell'assistenza richiesta.

(c) Nell'adempiere ai propri obblighi di cui ai paragrafi (a) e (b), l'importatore di dati deve attenersi alle istruzioni del responsabile del trattamento, come comunicate dall'esportatore di dati.

Clausola 11. Riparazione

(a) L'importatore di dati informa gli interessati in un formato trasparente e facilmente accessibile, tramite avviso individuale o sul proprio sito web, di un punto di contatto autorizzato a gestire i reclami. Si occupa tempestivamente di eventuali reclami ricevuti da un interessato. L'importatore di dati accetta che gli interessati possano anche presentare un reclamo a un organismo indipendente di risoluzione delle controversie senza alcun costo per l'interessato. Informa gli interessati, secondo le modalità di cui alla lettera a), di tale meccanismo di ricorso e che non sono tenuti a utilizzarlo, o a seguire una sequenza particolare nella richiesta di risarcimento.

(b) In caso di controversia tra un interessato e una delle Parti in merito al rispetto delle presenti Clausole, tale Parte si adopera al meglio per risolvere la questione in modo amichevole e tempestivo. Le Parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.

(c) Se l'interessato fa valere un diritto di terzo beneficiario ai sensi della clausola 3, l'importatore di dati accetta la decisione dell'interessato di:

(i) presentare un reclamo all'autorità di controllo dello Stato membro della sua residenza abituale o luogo di lavoro, o all'autorità di controllo competente ai sensi della clausola 13;

(ii) deferire la controversia ai tribunali competenti ai sensi della Clausola 18.

(d) Le Parti accettano che l'interessato possa essere rappresentato da un ente, organizzazione o associazione senza scopo di lucro alle condizioni di cui all'articolo 80, paragrafo 1, del Regolamento (UE) 2016/679.

(e) L'importatore di dati si attiene a una decisione vincolante ai sensi del diritto applicabile dell'UE o degli Stati membri.

((f) L'importatore di dati accetta che la scelta operata dall'interessato non pregiudicherà i suoi diritti sostanziali e procedurali di chiedere il risarcimento in conformità con le leggi applicabili.

Clausola 12. Responsabilità

(a) Ciascuna Parte sarà responsabile nei confronti dell'altra/e Parte/e per eventuali danni causati all'altra/e Parte/e in caso di violazione di queste Clausole.

(b) L'importatore di dati è responsabile nei confronti dell'interessato e l'interessato ha diritto a ricevere un risarcimento per qualsiasi danno materiale o morale che l'importatore di dati o il suo subincaricato arreca all'interessato violando il terzo- diritti del beneficiario ai sensi delle presenti Clausole.

(c) In deroga al paragrafo (b), l’esportatore di dati è responsabile nei confronti dell'interessato e l'interessato ha diritto a ricevere un risarcimento per qualsiasi danno materiale o morale che l'importatore di dati o il suo subincaricato arreca all'interessato violando il terzo- diritti del beneficiario ai sensi delle presenti Clausole. Ciò non pregiudica la responsabilità dell'esportatore di dati e, qualora l'esportatore di dati sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento ai sensi del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda del caso.

(d) Le Parti convengono che se l'esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per i danni causati dall'importatore di dati (o dal suo subincaricato), ha il diritto di reclamare all'importatore di dati quella parte del risarcimento corrispondente alla responsabilità dell'importatore dei dati per il danno.

(e) Laddove più di una Parte sia responsabile per qualsiasi danno causato all'interessato a seguito di una violazione di queste Clausole, tutte le Parti responsabili saranno responsabili in solido e l'interessato ha il diritto di agire in tribunale contro una di queste Parti.

(f) Le Parti convengono che, se una Parte è ritenuta responsabile ai sensi del paragrafo (e), avrà il diritto di reclamare dall'altra/e parte/e del risarcimento corrispondente alla sua/loro responsabilità per il danno.

(g) L'importatore di dati non può invocare la condotta di un sub-responsabile per evitare la propria responsabilità.

Clausola 13. Supervisione

(a) L'autorità di controllo di uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all'offerta loro di beni o servizi, o il cui comportamento è monitorato, come indicato nell'allegato I.C, funge da autorità di vigilanza competente.

(b) L'importatore di dati si impegna a sottoporsi alla giurisdizione ea collaborare con l'autorità di controllo competente in tutte le procedure volte a garantire il rispetto delle presenti Clausole. In particolare, l'importatore di dati si impegna a rispondere alle richieste, a sottoporsi a verifiche ea rispettare le misure adottate dall'autorità di controllo, comprese le misure correttive e compensative. Fornisce all'autorità di controllo conferma scritta che sono state intraprese le azioni necessarie.

LEGGI E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

SEZIONE III

Clausola 14. Leggi e pratiche locali che influenzano il rispetto delle Clausole

(a) Le parti garantiscono di non avere motivo di ritenere che le leggi e le pratiche nel paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore di dati, compresi eventuali obblighi di divulgazione di dati personali o misure che autorizzino l'accesso del pubblico autorità, impediscono all'importatore di dati di adempiere ai propri obblighi ai sensi delle presenti Clausole. Ciò si basa sulla comprensione che le leggi e le pratiche che rispettano l'essenza dei diritti e delle libertà fondamentali e non superano quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all'articolo 23, paragrafo 1, del regolamento (UE ) 2016/679, non sono in contraddizione con le presenti Clausole.

((b) Le Parti dichiarano che nel fornire la garanzia di cui al paragrafo (a), hanno tenuto debitamente conto in particolare dei seguenti elementi:

(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena del trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;

(ii) le leggi e le pratiche del paese terzo di destinazione – comprese quelle che richiedono la comunicazione di dati alle autorità pubbliche o l'autorizzazione all'accesso da parte di tali autorità – rilevanti alla luce delle circostanze specifiche del trasferimento, e le limitazioni e tutele applicabili;

(iii) eventuali salvaguardie contrattuali, tecniche o organizzative poste in essere per integrare le garanzie previste dalle presenti Clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

(c) L'importatore di dati garantisce che, nell'effettuare la valutazione di cui al paragrafo

(b), ha fatto del suo meglio per fornire all'esportatore di dati le informazioni pertinenti e accetta che continuerà a cooperare con l'esportatore di dati per garantire il rispetto di queste Clausole.

(d) Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell'autorità di controllo competente su richiesta.

(e) L'importatore di dati si impegna a informare tempestivamente l'esportatore di dati qualora, dopo aver accettato le presenti Clausole e per la durata del contratto, abbia motivo di ritenere di essere o sia divenuto soggetto a leggi o prassi non in linea con le requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di un provvedimento (come una richiesta di informativa) che indichi un'applicazione di tali leggi nella pratica non in linea con i requisiti di cui al paragrafo (a). L'esportatore di dati trasmette la notifica al responsabile del trattamento.

(f) A seguito di una notifica ai sensi del paragrafo (e), o se l'esportatore di dati ha altrimenti motivo di ritenere che l'importatore di dati non possa più adempiere ai propri obblighi ai sensi delle presenti Clausole, l'esportatore di dati deve individuare tempestivamente le misure appropriate (ad esempio tecniche o organizzative misure atte a garantire la sicurezza e la riservatezza) che devono essere adottati dall'esportatore e/o importatore di dati per far fronte alla situazione, se del caso in consultazione con il titolare del trattamento. L'esportatore di dati sospende il trasferimento dei dati se ritiene che non possano essere garantite garanzie adeguate per tale trasferimento, o se incaricato dal responsabile del trattamento o dall'autorità di controllo competente in tal senso. In tal caso, l'esportatore di dati ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole. Se il contratto coinvolge più di due Parti, l'esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della Parte interessata, salvo diverso accordo tra le Parti. In caso di risoluzione del contratto ai sensi della presente Clausola, si applica la Clausola 16(d) ed (e).

Clausola 15. Obblighi dell'importatore di dati in caso di accesso da parte delle autorità pubbliche

15.1 Notifiche

(a) L'importatore di dati si impegna a informare tempestivamente l'esportatore di dati e, ove possibile, l'interessato (se necessario con l'aiuto dell'esportatore di dati) se:

(i) riceve una richiesta giuridicamente vincolante da un'autorità pubblica, ivi inclusa l'autorità giudiziaria, ai sensi delle leggi del Paese di destinazione per la divulgazione dei dati personali trasferiti ai sensi delle presenti Clausole; tale notifica deve includere informazioni sui dati personali richiesti, l'autorità richiedente, la base giuridica della richiesta e la risposta fornita; o

(ii) venga a conoscenza dell'eventuale accesso diretto da parte delle pubbliche autorità ai dati personali trasferiti ai sensi delle presenti Clausole in conformità con le leggi del Paese di destinazione; tale notifica include tutte le informazioni a disposizione dell'importatore.

L'esportatore di dati trasmette la notifica al responsabile del trattamento.

(b) Se all'importatore di dati è vietato notificare l'esportatore di dati e/o l'interessato ai sensi delle leggi del paese di destinazione, l'importatore di dati si impegna a fare tutto il possibile per ottenere una deroga al divieto, al fine di comunicando quante più informazioni possibili, il prima possibile. L'importatore di dati si impegna a documentare i suoi migliori sforzi per poterlo dimostrare su richiesta dell'esportatore di dati.

(c) Ove consentito dalle leggi del paese di destinazione, l'importatore di dati si impegna a fornire all'esportatore di dati, a intervalli regolari per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, numero delle richieste, tipo di dati richiesti, autorità o autorità richiedenti, se le richieste sono state impugnate e l'esito di tali contestazioni, ecc.). L'esportatore di dati trasmette i dati al responsabile del trattamento.

(d) L'importatore di dati si impegna a conservare le informazioni di cui ai paragrafi da (a) a (c) per la durata del contratto ea metterle a disposizione dell'autorità di controllo competente su richiesta.

(e) I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'importatore di dati ai sensi della clausola 14(e) e della clausola 16 di informare tempestivamente l'esportatore di dati qualora non sia in grado di conformarsi a tali clausole.

15.2 Revisione della legalità e minimizzazione dei dati

a) L'importatore di dati accetta di riesaminare la legittimità della richiesta di divulgazione, in particolare se rimane nell'ambito dei poteri conferiti all'autorità pubblica richiedente, e di impugnare la richiesta se, dopo un'attenta valutazione, conclude che sussistono ragionevoli motivi ritenere che la richiesta sia illegittima ai sensi delle leggi del Paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di cortesia internazionale. L'importatore di dati, alle stesse condizioni, persegue possibilità di ricorso. Nell'impugnare una richiesta, l'importatore di dati chiede provvedimenti cautelari volti a sospendere gli effetti della richiesta fino a quando l'autorità giudiziaria competente non ne abbia deciso nel merito. Non deve rivelare i dati personali richiesti fino a quando ciò non sia richiesto dalle norme procedurali applicabili. Tali requisiti non pregiudicano gli obblighi dell'importatore di dati ai sensi della clausola 14(e).

(b) L'importatore di dati si impegna a documentare la propria valutazione giuridica e l'eventuale impugnazione della richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, a mettere la documentazione a disposizione dell'esportatore di dati. Lo mette inoltre a disposizione dell'autorità di controllo competente su richiesta. L'esportatore di dati mette la valutazione a disposizione del responsabile del trattamento.

(c) L'importatore di dati si impegna a fornire la quantità minima di informazioni consentita quando risponde a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta.

DISPOSIZIONI FINALI

SEZIONE IV

Clausola 16. Inosservanza delle Clausole e risoluzione

(a) L'importatore di dati informa tempestivamente l'esportatore di dati se non è in grado di rispettare queste clausole, per qualsiasi motivo.

(b) Nel caso in cui l'importatore di dati violi queste clausole o non sia in grado di conformarsi a queste clausole, l'esportatore di dati sospenderà il trasferimento di dati personali all'importatore di dati fino a quando non sarà nuovamente assicurata la conformità o il contratto non sarà risolto. Ciò non pregiudica la clausola 14(f).

(c) L'esportatore di dati ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti Clausole.

(i) l'esportatore di dati ha sospeso il trasferimento di dati personali all'importatore di dati ai sensi del paragrafo (b) e il rispetto delle presenti Clausole non è ripristinato entro un termine ragionevole e comunque entro un mese dalla sospensione;

(ii) l'importatore di dati violi in modo sostanziale o persistente le presenti Clausole; o

(iii) l'importatore di dati non si attiene a una decisione vincolante di un tribunale o di un'autorità di controllo competente in merito ai propri obblighi ai sensi delle presenti Clausole.

In questi casi, informa l'autorità di controllo competente e il responsabile del trattamento di tale non conformità. Laddove il contratto coinvolge più di due Parti, l'esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della Parte interessata, salvo diverso accordo tra le Parti.

(d) I dati personali che sono stati trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) devono essere immediatamente restituiti all'esportatore dei dati, a scelta dell'esportatore dei dati, o cancellati nella loro interezza. Lo stesso vale per eventuali copie dei dati. L'importatore di dati deve certificare la cancellazione dei dati all'esportatore di dati. Fino a quando i dati non saranno cancellati o restituiti, l'importatore di dati continuerà a garantire il rispetto di queste Clausole. In caso di leggi locali applicabili all'importatore di dati che vietano la restituzione o la cancellazione dei dati personali trasferiti, l'importatore di dati garantisce che continuerà a garantire il rispetto di queste clausole e tratterà i dati solo nella misura e per il tempo necessario ai sensi di tale diritto locale.

(e) Ciascuna delle parti può revocare il proprio consenso ad essere vincolata dalle presenti clausole qualora (i) la Commissione europea adotti una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 che copre il trasferimento di dati personali a cui tali Si applicano le clausole; oppure (ii) il Regolamento (UE) 2016/679 diventi parte del quadro giuridico del Paese verso il quale i dati personali sono trasferiti. Sono fatti salvi gli altri obblighi applicabili al trattamento in questione ai sensi del regolamento (UE) 2016/679.

Clausola 17. Legge governativa

Queste clausole sono regolate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta a terzi beneficiari. Le Parti convengono che questa sarà la legge della Repubblica d'Irlanda.

Clausola 18. Scelta del foro e della giurisdizione

(a) Qualsiasi controversia derivante da queste Clausole sarà risolta dai tribunali di uno Stato membro dell'UE.

(b) Le Parti convengono che questi saranno i tribunali della Repubblica d'Irlanda.

(c) L'interessato può anche avviare un'azione legale contro l'esportatore e/o l'importatore di dati dinanzi ai tribunali dello Stato membro in cui ha la residenza abituale.

(d) Le Parti convengono di sottomettersi alla giurisdizione di tali tribunali.

Appendice

Allegato I

A. ELENCO DELLE PARTI

Esportatore dei dati

Nome: ‘Tu’, ‘Cliente’, ‘Utente’

Indirizzo: le informazioni rilevanti sono contenute nell'account del Cliente. Nome, posizione e recapiti del referente: le informazioni rilevanti sono contenute nell'account del Cliente.

Attività relative ai dati trasferiti ai sensi delle presenti Clausole:

  • conservazione;
  • accesso al servizio clienti in base al tuo utilizzo delle funzionalità;
  • rilevamento, prevenzione e riparazione degli abusi;
  • mantenere, migliorare e fornire i nostri Servizi.

Firma e data: Con la sottoscrizione dei Termini, si ritiene che l'esportatore di dati abbia firmato le presenti Clausole contrattuali standard qui incorporate, inclusi i relativi Allegati, a partire dalla data di entrata in vigore dell'accordo.

Ruolo: Ai fini dell'Addendum I (Responsabile del trattamento all’elaboratore) Il Cliente è un titolare del trattamento. Ai fini dell'Addendum II (trasferimento da responsabile a responsabile) il cliente è un responsabile del trattamento.

Importatore dei dati

Nome: SendPulse Inc.

Indirizzo: 220 E 23rd St #401, New York, NY 10010.

Nome della persona di contatto, posizione e informazioni di contatto: Medvednikov Evgeny, Direttore, +1 415 800 2960, support@sendpulse.com

Attività relative ai dati trasferiti ai sensi delle presenti Clausole: conservazione:

  • accesso al servizio clienti in base al tuo utilizzo delle funzionalità;
  • rilevamento, prevenzione e riparazione degli abusi;
  • mantenere, migliorare e fornire i Servizi di SendPulse.

Firma e data: Con la sottoscrizione dei Termini, si ritiene che l'importatore di dati abbia firmato le presenti Clausole contrattuali standard qui incorporate, inclusi i relativi Allegati, a partire dalla data di entrata in vigore dell'accordo.

Ruolo: elaboratore

B. DESCRIZIONE DEL TRASFERIMENTO

1. Categorie di interessati i cui dati personali vengono trasferiti: clienti, clienti, potenziali clienti e clienti, studenti, donatori e dipendenti.

2. Categorie di dati personali trasferiti:

nome, sesso, data di nascita, lingua, indirizzo e-mail, numero di telefono, indirizzo di residenza, datore di lavoro, indirizzo commerciale, titolo, esperienza, altre informazioni demografiche, cronologia degli acquisti e partecipazione all'evento.

3. Dati sensibili trasferiti (se applicabile) e applicazione di restrizioni o tutele che tengano pienamente conto della natura dei dati e dei rischi connessi: I Dati del Cliente non includeranno numeri di previdenza sociale o altri numeri di identificazione nazionale, password, credenziali di sicurezza o informazioni personali sensibili di alcun tipo.

4. La frequenza del trasferimento:

I dati personali sono trasferiti su base continuativa.

5. Natura del trattamento:

Il trattamento dei dati personali è composto da:

  • conservazione;
  • accesso al servizio clienti in base al tuo utilizzo delle funzionalità;
  • rilevamento, prevenzione e riparazione degli abusi;
  • mantenere, migliorare e fornire i Servizi di SendPulse.

6. Finalità del trasferimento dei dati e ulteriore trattamento:

Lo scopo del trattamento dei dati ai sensi delle presenti clausole è la prestazione dei servizi per l'esportatore di dati da parte dell'importatore di dati ai sensi del contratto di servizio concluso tra l'importatore di dati e l'esportatore di dati, inclusa, a titolo esemplificativo ma non esaustivo, la fornitura di servizi di marketing via e-mail e mobile, CRM , chatbot.

7. Il periodo di conservazione dei dati personali o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:

I dati personali saranno conservati per la durata del presente DPA stipulato tra l'importatore di dati e l'esportatore di dati, salvo diverso accordo scritto o se l'importatore di dati è obbligato dalla legge applicabile a conservare alcuni o tutti i dati personali trasferiti.

8. Per i trasferimenti a (sub)incaricati, specificare anche oggetto, natura e durata del trattamento:

  • oggetto: la prestazione di servizi.
  • natura: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, reperimento, consultazione, allineamento o combinazione, restrizione, cancellazione o distruzione.
  • durata: la prestazione dei servizi per il responsabile del trattamento da parte del sub-responsabile ai sensi del contratto di servizio concluso tra il responsabile e il sub-responsabile del trattamento.

C. AUTORITÀ DI VIGILANZA COMPETENTE

Conformemente alla clausola 13, l'autorità di controllo competente ai sensi delle presenti Clausole è l'autorità di controllo di uno degli Stati membri in cui gli interessati i cui dati personali sono trasferiti ai sensi delle presenti Clausole in relazione all'offerta loro di beni o servizi, si trova, in particolare, la Commissione per la protezione dei dati (Repubblica d'Irlanda).

Allegato II

MISURE TECNICHE E ORGANIZZATIVE COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Descrizione delle misure tecniche e organizzative attuate dall'importatore o dagli importatori di dati per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento e dei rischi per i diritti e le libertà delle persone fisiche:

L'importatore di dati mantiene adeguate misure di sicurezza organizzative e tecniche (anche per quanto riguarda il personale, le strutture, l'hardware e il software, l'archiviazione e le reti, i controlli di accesso, il monitoraggio e la registrazione, il rilevamento di vulnerabilità e violazioni, la risposta agli incidenti, la crittografia dei Dati personali dei clienti durante il transito e a riposo) per la protezione da accessi non autorizzati o accidentali, perdita, alterazione, divulgazione o distruzione dei Dati Personali del Cliente.

L'importatore di dati implementa misure per garantire l'adeguatezza delle garanzie di sicurezza, privacy e riservatezza di tutto il personale di SendPulse rispetto ai Dati personali del cliente ed è responsabile per l'eventuale mancato rispetto da parte di tale personale di SendPulse dei termini del presente DPA.

L'importatore di dati adotta misure ragionevoli per confermare che tutto il personale di SendPulse sta proteggendo la sicurezza, la privacy e la riservatezza dei Dati personali dei clienti in conformità con i requisiti di questo DPA.

L'importatore di dati ha implementato la misura garantisce che la riservatezza e l'integrità dei dati personali siano tutelate durante il trasferimento dei dati personali.

L'importatore di dati si impegna a preservare la riservatezza, l'integrità, la disponibilità e la resilienza di tutti i dati personali in questione durante le attività di trattamento dell'importatore di dati e a garantire che i dati personali siano protetti contro la perdita e la distruzione mediante l'attuazione di adeguate politiche e procedure interne di sicurezza delle informazioni.

Allegato III

ELENCO DEI SUB-RESPONSABILI

TIl titolare ha autorizzato l'utilizzo dei seguenti sub-responsabili del trattamento:

Sub-responsabile 1:

Nome: AMAZON WEB SERVICES INC.

Indirizzo: 410 Terry Avenue North, Seattle, WA 98109-5210

Nome della persona di contatto, posizione e informazioni di contatto:

Servizio Clienti

Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati più subprocessori): archiviazione dei dati. Il centro dati di Amazon si trova nell'UE.

Sub-responsabile 2:

Nome: CONTABO GMBH.

Indirizzo: Aschauer Straße 32a, 81549 München

Nome della persona di contatto, posizione e informazioni di contatto: Herrn Rechtsanwalt Dr. Karsten Kinast, LL.M. KINAST, DPO, Rechtsanwaltsgesellschaft mbH, Hohenzollernring 54, 50672 Köln o via e-mail su datenschutzbeauftragter@contabo.de

Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati più subprocessori): archiviazione dei dati. Il centro dati di Amazon si trova nell'UE.

Sub-responsabile 3:

Nome: HETZNER ONLINE GMBH.

Indirizzo: Industriestr. 25, 91710 Gunzenhausen, Germania

Nome della persona di contatto, posizione e informazioni di contatto: Margit Müller, DPO, dati-protection@hetzner.com.

Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati più subprocessori): archiviazione dei dati. Il centro dati di Amazon si trova nell'UE.

Sub-responsabile 4:

Nome: VELIA.NET INTERNETDIENSTE GMBH

Indirizzo: Hansestr. 111, 5114, Köln

Nome della persona di contatto, posizione e informazioni di contatto della Germania: Dr. Karsten Kinast, LL.M. (Avvocato) KINAST, DPO, Rechtsanwaltsgesellschaft mbH Hohenzollernring 54 D-50672 Cologne e-mail:mail@kinast.eu.

Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati più subprocessori): archiviazione dei dati. Il centro dati di Amazon si trova nell'UE.

Sub-responsabile 5:

Nome: GOOGLE LLC.

Indirizzo: 1600 Amphitheatre Parkway Mountain View, CA 94043

Nome della persona di contatto, posizione e informazioni di contatto della Germania:

Centro Assistenza

Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità nel caso in cui siano autorizzati più subprocessori): archiviazione dei dati. Il centro dati di Amazon si trova nell'UE.

Aggiornato il: 15.04.2022

Prova SendPulse oggi gratuitamente