Accordo con il Cliente per l’Elaborazione dei Dati (in conformità con la nuova GDPR)
Il presente Accordo sull’elaborazione dei dati dei clienti riflette i requisiti del Regolamento europeo sulla protezione dei dati (“GDPR”) in vigore dal 25 maggio 2018. I prodotti e i servizi ResIOT® offerti nell’Unione Europea sono conformi alla nuova normativa GDPR e questo Accordo fornisce all’utente le informazioni aggiuntive necessarie.
Questo Accordo di elaborazione dei dati (“DPA”) è un addendum ai Termini di servizio del cliente (“Contratto”) tra ResIOT® e il Cliente stesso. Tutti i termini in maiuscolo non definiti in questo DPA avranno il significato stabilito nel Contratto. Il Cliente sottoscrive questo DPA per conto proprio e, nella misura richiesta dalle leggi sulla protezione dei dati, in nome e per conto dei suoi affiliati autorizzati (definiti di seguito).
Le parti concordano quanto segue:
1. Definizioni
“Affiliato” indica un’entità che direttamente o indirettamente controlla, è controllata da o è soggetta a controllo comune con un’entità.
“Affiliato Autorizzato” indica qualsiasi Affiliata del Cliente autorizzata o altrimenti ricevente il beneficio dei Servizi ai sensi del Contratto.
“Controllo” indica un diritto di proprietà, di voto o di interesse che rappresenta il cinquanta per cento (50%) o più degli interessi complessivi allora in circolazione dell’entità in questione. Il termine “Controllato” deve essere interpretato di conseguenza.
“Controllore” indica un’entità che determina le finalità e i mezzi del trattamento dei Dati Personali.
“Dati del cliente” indica qualsiasi dato che ResIOT® e/o le sue Affiliate elaborano per conto del Cliente nel corso della fornitura dei Servizi ai sensi del Contratto.
“Leggi sulla protezione dei dati” indica tutte le leggi e i regolamenti sulla protezione dei dati e sulla privacy applicabili al trattamento dei dati personali ai sensi dell’Accordo, inclusa, se del caso, la legge sulla protezione dei dati dell’UE.
“Legge sulla protezione dei dati dell’UE“: (i) prima del 25 maggio 2018, Direttiva 95/46 / CE del Parlamento europeo e del Consiglio sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione degli stessi (“Direttiva“) e in data successiva al 25 maggio 2018, Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali e sulla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (“GDPR“); e (ii) Direttiva 2002/58 / CE relativa al trattamento dei dati personali e alla tutela della privacy nel settore delle comunicazioni elettroniche e relative implementazioni nazionali (in ogni caso, come potrebbe essere modificato, sostituito o variato).
“Dati personali” indica tutti i Dati del cliente relativi a una persona fisica identificata o identificabile nella misura in cui tali informazioni sono protette come dati personali ai sensi della legge sulla protezione dei dati applicabile.
“Processore” indica un’entità che elabora i Dati personali per conto del Controllore.
“Elaborazione” ha il significato attribuito nel GDPR e “processo“, “processi” e “elaborato” devono essere interpretati di conseguenza.
“Incidente di sicurezza” indica qualsiasi violazione non autorizzata o illegale della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali in modo accidentale o illecito.
“Servizi” indica qualsiasi prodotto o servizio fornito da ResIOT® al Cliente in conformità e come più specificamente descritto nell’Accordo.
“Sub-processore” indica qualsiasi Processore impegnato da ResIOT® o dalle sue Affiliate ad assistere nell’adempimento dei propri obblighi in relazione alla fornitura dei Servizi ai sensi dell’Accordo o di questo DPA. I sub-processori possono includere terze parti o qualsiasi affiliato ResIOT®.
2. Ambito e Applicabilità del DPA
2.1 Il presente DPA si applica laddove e solo nei casi in cui ResIOT® elabora i Dati personali per conto del Cliente nel corso della fornitura dei Servizi e tali Dati personali siano soggetti alle Leggi sulla protezione dei dati dell’Unione Europea, allo Spazio Economico Europeo e/o i loro stati membri, la Svizzera e/o il Regno Unito. Le parti si impegnano a rispettare i termini e le condizioni in questo DPA in relazione a tali Dati personali.
2.2 Ruolo delle parti. Come tra ResIOT® e il Cliente, il Cliente è il Controllore dei Dati Personali e ResIOT® elaborerà i Dati Personali solo come Processore per conto del Cliente. Nulla nel presente Accordo o in questo DPA impedirà a ResIOT® di utilizzare o condividere i dati che ResIOT® altrimenti raccoglierà e processerà indipendentemente dall’utilizzo dei Servizi da parte del Cliente.
2.3 Obblighi del cliente. Il Cliente accetta che
- rispetterà i propri obblighi in qualità di Controllore ai sensi delle leggi sulla protezione dei dati in relazione al trattamento dei Dati personali e qualsiasi istruzione di elaborazione emessa a ResIOT®;
- ha comunicato e ottenuto (o otterrà) tutti i consensi ei diritti necessari ai sensi della legge sulla protezione dei dati per ResIOT® per elaborare i Dati personali e fornire i Servizi in conformità al Contratto e al presente DPA.
2.4 Elaborazione ResIOT® dei dati personali. In qualità di Processore, ResIOT® tratta i Dati Personali solo per i seguenti scopi:
- l’elaborazione per l’esecuzione dei Servizi in conformità con il Contratto;
- l’elaborazione per l’esecuzione di qualsiasi procedura necessaria per l’esecuzione del Contratto;
- rispettare altre istruzioni ragionevoli fornite dal Cliente nella misura in cui siano coerenti con i termini del presente Contratto e solo in conformità con le istruzioni legali documentate del Cliente.
Le parti concordano che questo DPA e l’Accordo stabiliscono le istruzioni complete e definitive del Cliente su ResIOT® in relazione al trattamento dei Dati personali e l’elaborazione al di fuori delle presenti istruzioni (se presenti) richiedono un accordo scritto preventivo tra il Cliente e ResIOT®.
2.5 Natura dei dati. ResIOT® gestisce i dati dei clienti forniti. Tali Dati Cliente possono contenere categorie speciali di dati, a seconda di come i Servizi vengono utilizzati dal Cliente. I Dati del cliente possono essere soggetti alle seguenti attività di processo:
- conservazione e altri trattamenti necessari per fornire, mantenere e migliorare i Servizi forniti al Cliente;
- fornire assistenza tecnica al Cliente;
- divulgazioni come richiesto dalla legge o diversamente stabilito nel Contratto.
2.6 Dati ResIOT®. Nonostante quanto stabilito nel Contratto (incluso questo DPA), il Cliente riconosce che ResIOT® avrà il diritto di utilizzare e divulgare i dati relativi e/o ottenuti in connessione con le operazioni, il supporto e/o l’uso dei Servizi per i suoi scopi commerciali legittimi, quali fatturazione, gestione degli account, supporto tecnico, sviluppo del prodotto, vendite e marketing. Nella misura in cui tali dati sono considerati dati personali ai sensi della legge sulla protezione dei dati, ResIOT® è il responsabile del trattamento di tali dati e, di conseguenza, elabora tali dati in conformità con le leggi sulla protezione dei dati.
3. Attività di Subprocessing
3.1 Sub-processori autorizzati. Il Cliente accetta che ResIOT® possa coinvolgere i Sub-processori per elaborare i Dati Personali per conto del Cliente.
3.2 Obblighi del sub-processore. ResIOT®:
- stipula un accordo scritto con il Sottoprocessore che impone termini di protezione dei dati che richiedono al Sottoprocessore di proteggere i Dati Personali secondo lo standard richiesto dalle leggi sulla protezione dei dati;
- rimane responsabile per la sua conformità agli obblighi del presente DPA e per qualsiasi atto o omissione del Sottoprocessore che induca ResIOT® a violare uno qualsiasi dei suoi obblighi ai sensi del presente DPA.
3.3 Modifiche ai sub-processori. ResIOT® deve fornire al Cliente ragionevole preavviso (per il quale è sufficiente l’utilizzo del mezzo e-mail) in caso di aggiunta o rimozione di Sub-processori.
3.4 Obiezione ai sub-processori. Il Cliente può opporsi per iscritto alla nomina di un nuovo Sub-processore di ResIOT® per motivi ragionevoli relativi alla protezione dei dati, notificando prontamente ResIOT® per iscritto entro cinque (5) giorni di calendario dalla ricezione della notifica di ResIOT® in conformità alla Sezione 3.3. Tale avviso deve spiegare i ragionevoli motivi per l’obiezione. In tal caso, le parti dovranno discutere tali questioni in buona fede al fine di ottenere una risoluzione commercialmente ragionevole. Se ciò non è possibile, ciascuna delle parti può rescindere i Servizi applicabili che non possono essere forniti da ResIOT® senza l’utilizzo del Sottoprocessore oggetto dell’operazione.
4. Sicurezza
4.1 Misure di sicurezza. ResIOT® implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative per proteggere i dati personali dagli incidenti di sicurezza e per preservare la sicurezza e la riservatezza dei dati personali, in conformità con gli standard di sicurezza di ResIOT®.
4.2 Riservatezza del trattamento. ResIOT® garantirà che qualsiasi persona autorizzata da ResIOT® a trattare Dati personali (compreso il suo personale, agenti ed eventuali subappaltatori) sia soggetta ad un obbligo appropriato di riservatezza (che sia un obbligo contrattuale o obbligatorio).
4.3 Comunicazione di incidenti di sicurezza. Una volta a conoscenza di un Incidente di sicurezza, ResIOT® informerà il Cliente senza indebito ritardo e fornirà tempestivamente le informazioni relative all’incidente di sicurezza nel momento in cui esso diverrà noto o ragionevolmente richiesto dal Cliente.
4.4 Aggiornamenti alle misure di sicurezza. Il Cliente riconosce che le Misure di Sicurezza sono soggette al progresso tecnico e allo sviluppo tecnologico e che ResIOT® può aggiornare o modificare le Misure di Sicurezza di volta in volta a condizione che tali aggiornamenti e modifiche non comportino il peggioramento della sicurezza complessiva dei Servizi acquistati dal Cliente.
5. Report e Audit sulla Sicurezza
5.1 ResIOT® conserverà le registrazioni dei suoi standard di sicurezza. Su richiesta scritta del Cliente, ResIOT® fornirà (su base confidenziale) copie delle pertinenti certificazioni esterne, riepiloghi dei report di verifica e/o altra documentazione ragionevolmente richiesta dal Cliente per verificare la conformità di ResIOT® a questo DPA. ResIOT® fornirà inoltre risposte scritte (su base confidenziale) a tutte le richieste ragionevoli di informazioni fornite dal Cliente, comprese le risposte alla sicurezza delle informazioni e ai questionari di audit, che il Cliente (agendo ragionevolmente) ritiene necessario per confermare la conformità di ResIOT® a questo DPA , a condizione che il Cliente non eserciti tale diritto più di una volta all’anno.
6. Trasferimenti Internazonali
6.1 Luoghi di Elaborazione. ResIOT® memorizza ed elabora i dati UE (definiti di seguito) nei data center situati all’interno e all’esterno dell’Unione europea. Tutti gli altri Dati del cliente possono essere trasferiti ed elaborati in qualsiasi parte del mondo in cui il Cliente, i suoi affiliati e/o i suoi sub-processori effettuano operazioni di elaborazione dei dati. ResIOT® implementerà le opportune misure di salvaguardia per proteggere i Dati personali, ovunque vengano elaborati, in conformità con i requisiti delle leggi sulla protezione dei dati.
6.2 Meccanismo di trasferimento: in deroga alla sezione 6.1, nella misura in cui ResIOT® elabora o trasferisce (direttamente o tramite trasferimento successivo) i dati personali ai sensi del presente DPA dall’Unione Europea, dallo Spazio economico europeo e/o dai loro stati membri e dalla Svizzera (“Dati UE”) ) nei paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi sulla protezione dei dati applicabili dei suddetti territori, le parti concordano sul fatto che ResIOT® debba fornire garanzie sulla sicurezza appropriate.
7. Restituzione o cancellazione dei dati
7.1 Al momento della disattivazione dei Servizi, tutti i Dati Personali saranno cancellati, salvo che questo requisito non si applichi nella misura in cui a ResIOT® è richiesto dalla legge di conservare alcuni o tutti i Dati Personali, o Dati personali che ha archiviato sui back-up. Tali Dati personali devono essere protetti in modo sicuro da qualsiasi ulteriore elaborazione, eccetto nella misura richiesta dalla legge applicabile.
8. Cooperazione
8.1 Nella misura in cui il Cliente non è in grado di accedere in modo indipendente ai Dati personali rilevanti all’interno dei Servizi, ResIOT® dovrà (a spese del Cliente) tenendo conto della natura del trattamento, fornire una ragionevole cooperazione per assistere il Cliente con adeguate misure tecniche e organizzative, per quanto possibile, per rispondere a eventuali richieste da parte di singoli o autorità di protezione dei dati applicabili in relazione al trattamento dei dati personali ai sensi dell’accordo. Nel caso in cui tale richiesta venga inoltrata direttamente a ResIOT®, ResIOT® non risponderà a tale comunicazione direttamente senza previa autorizzazione del Cliente, a meno che non sia legalmente obbligato a farlo. Se ResIOT® è tenuto a rispondere a tale richiesta, ResIOT® informerà tempestivamente il Cliente e gli fornirà una copia della richiesta, a meno che non sia legalmente vietato farlo.
8.2 Nella misura in cui a ResIOT® è richiesto ai sensi della legge sulla protezione dei dati, ResIOT® (a spese del cliente) fornirà informazioni ragionevolmente richieste sull’elaborazione dei dati personali ai sensi dell’accordo per consentire al cliente di effettuare valutazioni dell’impatto sulla protezione dei dati o, previe consultazioni, con le autorità per la protezione dei dati.
9. Varie
9.1 Ad eccezione delle modifiche apportate da questo DPA, l’Accordo rimane invariato e in vigore a tutti gli effetti. In caso di conflitto tra questo DPA e l’Accordo, questo DPA prevarrà nella misura di tale conflitto.
9.2 Questo DPA è parte e incorporato nell’Accordo, pertanto i riferimenti a “Accordo” nell’Accordo includeranno questo DPA.
9.3 In nessun caso una parte potrà limitare la propria responsabilità in relazione ai diritti di protezione dei dati di qualsiasi individuo ai sensi del presente DPA o altro.
9.4 Il presente DPA sarà regolato e interpretato in conformità con le leggi applicabili e le disposizioni sulla giurisdizione contenute nell’Accordo, se non diversamente richiesto dalle leggi sulla protezione dei dati.