Aggiunta riguardante il trattamento dei dati di Nitro Sign Premium e Identity Hub secondo il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE
QUESTA AGGIUNTA PER IL TRATTAMENTO DEI DATI SI APPLICA SE SI È ISCRITTI A NITRO SIGN PREMIUM O NITRO IDENTITY HUB SOTTO I TERMINI DI SERVIZIO DI NITRO PER NITRO SIGN PREMIUM E NITRO IDENTITY HUB E SE IL GDPR DELL'UE SI APPLICA AL TRATTAMENTO DEI DATI PERSONALI NEL CONTESTO DELL'ACCORDO.
1. AMBITO; RUOLI DELLE PARTI
Nitro riceverà e tratterà i Dati Personali a favore e per conto del Cliente quando fornisce i Servizi, secondo le istruzioni e per le finalità definite dal Cliente nei Dettagli del Trattamento dei Dati.
Con la presente Aggiunta per il Trattamento dei Dati, le Parti desiderano stabilire i loro accordi specifici riguardo al trattamento dei Dati Personali nell'ambito dell'Accordo.Per impostazione predefinita, Nitro agirà come Fornitore e il Cliente agirà come Controllore rispetto ai Servizi forniti da Nitro al Cliente secondo i Termini di Servizio di Nitro. Questa Aggiunta per il Trattamento dei Dati sostituisce e annulla tutti gli accordi precedenti stipulati (se presenti) in relazione al trattamento dei Dati Personali e alla protezione dei dati tra le Parti relative ai Servizi offerti da Nitro.
Questa Aggiunta per il Trattamento dei Dati integra e fa parte dei Termini di Servizio, e insieme i Termini di Servizio e questa Aggiunta per il Trattamento dei Dati costituiscono un unico accordo legale tra le Parti. In caso di divergenze o contraddizioni tra questa Aggiunta per il Trattamento dei Dati e i Termini di Servizio, l'Aggiunta per il Trattamento dei Dati prevarrà.
2. DEFINIZIONI
“Controllore” si riferisce al Cliente come identificato nei Termini di Servizio e nel Modulo d'Ordine applicabile;
“Dettagli del Trattamento dei Dati” significa i dettagli del trattamento dei dati come inclusi nel Modulo d'Ordine e che includono maggiori dettagli sulle istruzioni del Cliente sul trattamento dei Dati Personali, come la finalità, l'oggetto e la natura del trattamento e il tipo di Dati Personali trattati;
“GDPR dell'UE” significa il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche in relazione al trattamento dei dati personali e sulla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
“Dati Personali” significa dati personali come definiti dal GDPR dell'UE che Nitro elabora a beneficio e per conto del Cliente quando fornisce i Servizi secondo le istruzioni e la finalità definite dal Cliente nei Dettagli del Trattamento dei Dati;
“Fornitore” si riferisce a Nitro Software Belgium NV, fornitore dei Servizi al Cliente e come identificato nei Termini di Servizio;
“Elenco dei Sub-fornitori” si riferisce all'elenco dei Sub-fornitori reso disponibile online da Nitro che include i Sub-fornitori ingaggiati da Nitro per la fornitura dei Servizi e l'adempimento degli obblighi di Nitro nell'ambito della Aggiunta per il Trattamento dei Dati in generale. Nitro può aggiornare l'Elenco dei Sub-fornitori di tanto in tanto secondo il processo previsto in questa Aggiunta per il Trattamento dei Dati;
“Sub-fornitore” significa qualsiasi terza parte fornitrice incaricata da Nitro per il trattamento dei Dati Personali relativi alla fornitura dei Servizi al Cliente;
Tutti gli altri termini e definizioni scritti con lettere maiuscole e che non sono definiti espressamente in questa Aggiunta per il Trattamento dei Dati, sono definiti come indicato nella legislazione applicabile in materia di protezione dei dati o nei Termini di Servizio di Nitro.
3. OGGETTO DI QUESTA AGGIUNTA PER IL TRATTAMENTO DEI DATI
3.1 Questa Aggiunta per il Trattamento dei Dati determina le condizioni del trattamento da parte di Nitro dei Dati Personali comunicati dal Cliente o a iniziativa dello stesso nel contesto dell'Accordo. La natura e lo scopo del trattamento, un elenco e il tipo di Dati Personali, così come le categorie dei Soggetti dei Dati, sono elencati nei Dettagli del Trattamento dei Dati.
3.2 Il trattamento avverrà esclusivamente a beneficio del Cliente e per lo scopo definito dal Cliente nei Dettagli del Trattamento dei Dati. Nitro informerà immediatamente il Cliente se, a suo avviso, un'istruzione viola la legislazione (sul trattamento dei dati) applicabile. Nitro elaborerà i Dati Personali esclusivamente secondo le istruzioni documentate del Cliente e non utilizzerà questi Dati Personali per propri fini, salvo quanto esplicitamente consentito nei Termini di Servizio. Se Nitro è legalmente obbligato a procedere con qualsiasi trattamento di Dati Personali, Nitro informerà il Cliente di tale obbligo, a meno che ciò non violi le regole vincolanti applicabili.
4. DURATA
4.1 Questa Aggiunta per il Trattamento dei Dati è applicabile a tutto il trattamento di Dati Personali eseguito nel contesto della fornitura dei Servizi al Cliente da parte di Nitro e si applica fintanto che Nitro tratta Dati Personali per conto del Cliente nel contesto dell'Accordo. Questa Aggiunta per il Trattamento dei Dati integra i Termini di Servizio di Nitro e ha lo scopo di garantire la conformità delle Parti ai requisiti imposti dalle leggi e dai regolamenti in materia di protezione dei dati applicabili per l'uso dei Servizi da parte del Cliente.
4.2 Questa Aggiunta per il Trattamento dei Dati termina automaticamente al termine dell'Accordo (o nel momento in cui cessa il trattamento da parte di Nitro). Le disposizioni di questo Allegato al Trattamento dei Dati che sono espressamente o implicitamente (data la loro natura) destinate a avere effetto dopo la risoluzione dell'Allegato al Trattamento dei Dati sopravvivranno alla fine dell'Accordo riguardo ai Dati Personali comunicati dal Cliente o su iniziativa del Cliente nel contesto dell'Accordo.
5. MISURE TECNICHE E ORGANIZZATIVE
5.1 Nitro offre garanzie adeguate riguardo all'implementazione di misure tecniche e organizzative appropriate (“TOMs”) per garantire un trattamento sicuro dei Dati Personali e così la protezione dei diritti del Soggetto dei Dati è garantita. Le TOMs implementate da Nitro sono quelle stabilite nei Dettagli del Trattamento dei Dati. Le TOMs possono essere aggiornate da Nitro di tanto in tanto, tuttavia Nitro garantirà di non degradare la sicurezza complessiva che ha implementato al momento dell'esecuzione dell'Allegato al Trattamento dei Dati. Il Cliente riconosce che le TOMs sono adeguate per il trattamento dei suoi Dati Personali al momento della firma o dell'accettazione di questo Allegato al Trattamento dei Dati.
5.2 Nitro adotterà tutte le misure tecniche e organizzative appropriate come riferito nell'articolo 32 del GDPR dell'UE per garantire un livello adeguato di sicurezza appropriato al rischio.
5.3 Se il Cliente fornisce Dati Personali sensibili come indicato negli articoli 9 e 10 del GDPR dell'UE a Nitro nel contesto dell'Accordo, il Cliente includerà tali informazioni nei Dettagli del Trattamento dei Dati.
5.4 In caso il Cliente richieda misure tecniche e organizzative specifiche da implementare da parte di Nitro (che Nitro non ha implementato per impostazione predefinita), il Cliente rimborserà Nitro per l'implementazione di tali misure aggiuntive in conformità alla Sezione 14 “Costi” di questo Allegato al Trattamento dei Dati.
5.5 Il rispetto da parte di Nitro di un codice di condotta approvato come indicato nell'articolo 40 del GDPR dell'UE, o di un meccanismo di certificazione approvato come indicato nell'articolo 42 del GDPR dell'UE può essere utilizzato come elemento di prova di garanzie sufficienti come riferito al GDPR dell'UE.
6. CONSERVAZIONE
6.1 Nitro non conserverà i Dati Personali oltre il necessario per il trattamento di tali Dati Personali nel contesto dell'Accordo. Il Cliente non istruirà Nitro a conservare alcun Dato Personale più a lungo del necessario. Il periodo di conservazione applicabile (come definito dal Cliente) è stabilito nei Dettagli del Trattamento dei Dati.
6.2 Su scelta del Cliente, Nitro dovrà eliminare o restituire tutti i Dati Personali al Cliente dopo la fine della fornitura dei Servizi e dovrà eliminare le copie esistenti, a meno che il diritto dell'Unione o quello di uno Stato Membro richieda la conservazione dei Dati Personali. Il Cliente riconosce che i Servizi potrebbero includere funzionalità di download a disposizione del Cliente per consentire al Cliente di scaricare i propri dati. Nella misura in cui tali funzionalità siano disponibili, il Cliente utilizzerà tali funzionalità per estrarre o eliminare i propri dati.
7. RISERVATEZZA
7.1 Le Parti hanno concordato una clausola di riservatezza nei Termini di Servizio che si applica al trattamento dei Dati Personali nel contesto dell'Accordo.
7.2 Nitro riconosce e accetta che solo quei dipendenti, appaltatori o agenti di Nitro coinvolti nel trattamento dei Dati Personali possono essere informati dei Dati Personali e solo nella misura ragionevolmente necessaria per l'adempimento del Contratto. Nitro garantisce che le persone autorizzate a trattare i Dati Personali siano impegnate alla riservatezza per contratto o siano soggette a un obbligo normativo appropriato di riservatezza.
8. DIRITTI DEI SOGGETTI INTERESSATI
8.1 Tenendo conto della natura del trattamento, Nitro farà tutti i ragionevoli sforzi, adottando misure tecniche e organizzative appropriate, per assistere il Cliente nell'adempimento del suo obbligo di rispondere alle richieste dei Soggetti dei Dati.
8.2 Per tutta l'assistenza fornita da Nitro nel contesto del trattamento di tali richieste da parte dei Soggetti dei Dati, il Cliente rimborserà Nitro in conformità alla Sezione 14 "Costi" di questo Allegato sul Trattamento dei Dati. Tale rimborso da parte del Cliente non si applicherà (i) nel caso in cui il Soggetto dei Dati stia rivendicando i propri diritti a causa di una Violazione dei Dati Personali dimostrabilmente attribuibile a Nitro o (ii) nel caso in cui tale assistenza da parte di Nitro non superi le quattro (4) ore di lavoro durante il Periodo dell'Accordo.
9. OBBLIGO DI NOTIFICA
9.1 Una volta a conoscenza di una Violazione dei Dati Personali, Nitro dovrà informare il Cliente senza indebito ritardo contattando la persona di riferimento indicata nell'Accordo o il Modulo d'Ordine pertinente (o, in alternativa, tramite l'Indirizzo Email di Notifica del Cliente). La persona di contatto di Nitro per qualsiasi questione relativa alla protezione dei dati può essere contattata via e-mail: privacy@gonitro.com.
9.2 Su richiesta del Cliente, Nitro informerà il Cliente di eventuali nuovi sviluppi riguardanti una violazione dei dati personali e delle misure adottate per limitarne le conseguenze e per prevenire il ripetersi di tale violazione dei dati personali. È responsabilità del Cliente segnalare qualsiasi violazione dei dati personali all'Autorità Garante o agli Interessati, come richiesto.
10. SOTTO-PROCESSAMENTO
10.1 Il Cliente autorizza espressamente Nitro ad incaricare Sub-processori per il trattamento dei dati personali per l'esecuzione dell'Accordo e per facilitare la fornitura dei Servizi in generale. A questo proposito, il Cliente concede a Nitro un'autorizzazione generale scritta per decidere con quali Sub-processori Nitro collabora per l'adempimento delle sue obbligazioni ai sensi dell'Accordo. Nitro pubblica un Elenco dei Sub-processori relativo ai Sub-processori incaricati da Nitro.
10.2 Nitro informerà il Cliente di eventuali cambiamenti previsti riguardanti l'aggiunta o la sostituzione dei Sub-processori attraverso la persona di contatto del Cliente indicata nell'Accordo o nel Modulo d'Ordine pertinente (o tramite l'indirizzo e-mail di notifica del Cliente). Il Cliente avrà il diritto di opporsi all'aggiunta o alla sostituzione rivolgendosi a Nitro per iscritto. Le Parti discuteranno in tal caso l'aggiunta, la sostituzione o un'alternativa in buona fede e il prima possibile dopo la notifica scritta di opposizione del Cliente.
10.3 Qualora Nitro incarichi un Sub-processore per l'esecuzione di attività specifiche di trattamento, le stesse obbligazioni di protezione dei dati o obbligazioni simili stabilite in questo Allegato sul Trattamento dei Dati saranno imposte a quel Sub-processore mediante un accordo scritto, fornendo in particolare garanzie sufficienti per attuare misure tecniche e organizzative appropriate (e conformandosi alle misure tecniche e organizzative pertinenti). Qualora un Sub-processore non adempia ai propri obblighi in materia di protezione dei dati, Nitro rimarrà pienamente responsabile nei confronti del Cliente per l'adempimento di tale obbligo del Sub-processore.
11. TRASFERIMENTI INTERNAZIONALI DI DATI
11.1 Il Cliente autorizza i trasferimenti internazionali di Dati Personali ai fini della fornitura dei Servizi. Tali trasferimenti internazionali di dati sono considerati un'istruzione del Cliente. Il Cliente riconosce che i Sub-processori autorizzati ai sensi della Sezione 10 possono anche trattare Dati Personali in paesi terzi. Il Cliente consente tali trasferimenti, a condizione che Nitro adotti tutte le misure necessarie per garantire che tali trasferimenti rispettino le disposizioni del Capitolo V del GDPR dell'UE e altre leggi sulla protezione dei dati applicabili.
11.2 Nel caso in cui il trasferimento di Dati Personali verso un paese terzo o un'organizzazione internazionale sia obbligatorio ai sensi della legge dell'UE o della legge statale membro applicabile alla quale Nitro è soggetta, Nitro sarà autorizzata a effettuare tale trasferimento e dovrà informare il Cliente di tale obbligo legale prima di tale trattamento, a meno che tale legge non vieti tali informazioni per importanti motivi di interesse pubblico.
12. VALUTAZIONE DELL'IMPATTO SULLA PROTEZIONE DEI DATI E CONSULTAZIONE PREVENTIVA
12.1 Se il Cliente esegue una Valutazione d'impatto sulla protezione dei dati (“DPIA”) (articolo 35 GDPR UE) o una consultazione preventiva (articolo 36 GDPR UE) collegata al trattamento dei Dati Personali nel contesto dell'adempimento dell'Accordo, Nitro assisterà ragionevolmente il Cliente fornendo assistenza su richiesta scritta del Cliente. Il Cliente rimborserà Nitro per l'assistenza fornita secondo la Sezione 14 “Costi” di questo Allegato sul Trattamento dei Dati. Tale rimborso dei costi non si applicherà nel caso in cui (i) l'assistenza richiesta a Nitro sia inferiore a quattro (4) ore di lavoro durante la durata dell'Accordo, o (ii) la DPIA o la consultazione preventiva sia innescata da una violazione dei dati personali provata attribuibile a Nitro.
13. DIRITTO DI AUDIT
13.1 Il Cliente ha il diritto di eseguire audit riguardanti la conformità di Nitro ai propri obblighi ai sensi di questo Addendum sul Trattamento dei Dati e della legislazione applicabile in materia di protezione dei dati. Nitro farà ragionevoli sforzi per cooperare con tali audit e per rendere disponibili tutte le informazioni necessarie per provare la propria conformità ai propri obblighi. Il Cliente dovrà notificare a Nitro di tale audit almeno un (1) mese prima della data in cui l'audit sarà effettuato, mediante comunicazione scritta a Nitro tramite privacy@gonitro.com.
13.2 In caso di audit, tutte le parti coinvolte dovranno prima firmare un specifico accordo di non divulgazione emesso da Nitro in relazione a tale audit e ai risultati dell'audit prima dell'inizio dell'audit. In occasione di qualsiasi audit, devono essere tenute presenti le obbligazioni di riservatezza delle Parti nei confronti di terzi. Sia le Parti che i loro auditor devono mantenere segrete le informazioni raccolte in relazione a un audit e utilizzarle esclusivamente per verificare la propria conformità a questo Allegato sul Trattamento dei Dati e alle leggi e regolamenti applicabili in materia di protezione dei dati. Il Cliente ha la possibilità di effettuare l'audit autonomamente o di assegnare un auditor indipendente; tuttavia, tale auditor indipendente deve firmare il contratto di non divulgazione indicato in questa Sezione.
13.3 Entrambe le Parti e, se applicabile, i loro rappresentanti, devono cooperare ragionevolmente, su richiesta, con l'Autorità di Supervisione nell'esecuzione dei propri compiti.
13.4 Il Cliente rimborserà Nitro per l'assistenza fornita da Nitro in relazione agli audit in conformità con la Sezione 14 “Costi” di questo Addendum sul Trattamento dei Dati. È inteso che tale rimborso non si applicherà nel caso in cui (i) l'audit sia il risultato di una violazione di dati personali dimostrabilmente attribuibile a Nitro oppure, (ii) nel caso in cui l'assistenza di Nitro non superi le quattro (4) ore lavorative durante la durata del Contratto.
14. COSTI
14.1 Assistenza da fornire ai sensi di questo Addendum sul Trattamento dei Dati per la quale Nitro potrà addebitare al Cliente, sarà addebitata sulla base delle ore lavorate e delle tariffe orarie standard applicabili di Nitro (195 EUR/ora tasse escluse). Nitro fatturerà questi importi su base mensile, ma ha anche il diritto di richiedere una quota anticipata.
14.2 Il pagamento da parte del Cliente a Nitro per l'assistenza e i servizi professionali forniti da Nitro ai sensi di questo Addendum sul Trattamento dei Dati avverrà in conformità con le disposizioni contenute nei Termini di Servizio.
15. RESPONSABILITÀ
15.1 Fatto salvo il massimo consentito dalla legge applicabile, le disposizioni dei Termini di Servizio riguardanti la limitazione della responsabilità si applicano anche a questo Addendum sul Trattamento dei Dati e ai danni derivanti dallo stesso.
16. VARIE
16.1 Le disposizioni dei Termini di Servizio riguardanti modifiche, intero accordo, divisibilità, legge applicabile e tribunali competenti si applicano a questo Addendum sul Trattamento dei Dati.
