Il presente END USER DATA PROCESSING AGREEMENT ADDENDUM ("Addendum") è parte integrante del documento Termini di condivisione delle informazioni e allegato al Contratto di Licenza e al Modulo di Profilo e Modulo d'Ordine (insieme "EULSA") tra InterSystems ("InterSystems") e l'End User ("End User"), come indicato nell'EULSA. InterSystems e l'End User sono le Parti del presente Addendum (ciascuno separatamente "una Parte", complessivamente "Parti"). In considerazione dei reciproci patti e impegni contenuti nel presente documento e di altre prestazioni corrispettive a titolo oneroso, la cui ricezione e importo congruo sono qui riconosciuti dalle Parti, le Parti convengono quanto segue:
Tutti i termini in maiuscolo utilizzati nel presente Addendum e non definiti altrove nel presente documento o nell'EULSA hanno lo stesso significato come utilizzati o definiti nel GDPR, come definito di seguito. I termini del presente Addendum sostituiscono qualsiasi termine contrastante dell'EULSA e qualsiasi altro termine riguardante la protezione o il trattamento dei dati.
Le Parti riconoscono che i servizi forniti da InterSystems ai sensi dell'EULSA non sono destinati a far sì che InterSystems crei, riceva, mantenga, trasmetta, utilizzi, divulghi o in altro modo tratti i Dati Personali di un Soggetto in un contesto operativo qualificabile come End User Data, come definito di seguito; tuttavia, poiché l'End User, in determinate circostanze, potrebbe essere tenuto a rispettare il GDPR, come definito di seguito, se richiederà ai propri fornitori di servizi, che potrebbero entrare in contatto con l'End User Data, di stipulare un accordo di trattamento dati, InterSystems è disponibile a stipulare un tale accordo nel caso improbabile che InterSystems tratti End User Data nel caso non venga riconosciuto che InterSystems è generalmente un Responsabile del trattamento dell'End User. Le Parti convengono che, per quanto riguarda gli altri Dati Personali trattati da InterSystems che non sono End User Data ("Dati InterSystems"), InterSystems è il Titolare dei dati e che le Parti non sono Contitolari dei dati InterSystems.
- Definizioni.
1.1. Nel presente Addendum, le espressioni "Dati Personali", "Titolare", "Responsabile del trattamento", "Trattare" e "Trattamento" avranno i significati loro assegnati dal Regolamento generale sulla protezione dei dati, Regolamento (UE) 2016/679.
1.2. Titolare dei dati. "Titolare dei dati" si riferisce, quando utilizzato in riferimento al presente Addendum, all'End User, anche nel caso l'End User sia Responsabile del trattamento per un Titolare per quanto riguarda i Dati personali trattati.
1.3. Proprietario dei dati. "Proprietario dei dati" indica l'End User, in relazione a ciascun elemento dei Dati Personali nei End User Data, o, se l'End User è un Responsabile per un Titolare del Trattamento di Dati Personali, tale Titolare.
1.4. Responsabile del trattamento dei dati. "Responsabile del trattamento dei dati" ha generalmente lo stesso significato di Responsabile del trattamento ai sensi del GDPR e quando (1) InterSystems e il Titolare concordano che InterSystems agisca in qualità di Responsabile del trattamento dell'End User, come definito in un documento Rules of Engagement Form specifico e individuale e (2) InterSystems non agisce altrimenti in qualità di fornitore di servizi, venditore terzo dell'End User, o in qualità di Titolare.
1.5. Legislazione sulla protezione dei dati. "Legislazione sulla protezione dei dati" indica il GDPR e le legislazioni nazionali di attuazione; la legge federale svizzera sulla protezione dei dati (come modificata e sostituita di volta in volta); la legge britannica sulla protezione dei dati (come modificata e sostituita di volta in volta); e le leggi sulla protezione dei dati dei paesi del SEE (come modificate e sostituite di volta in volta, se applicabili).
1.6. End User Data. "End User Data" indica qualsiasi Dato Personale per il quale l'End User o, se l'End User è un Responsabile per un Titolare, il Titolare determinano esclusivamente gli scopi e i mezzi del Trattamento di tali Dati Personali ed è fornito da o per conto dell'End User a InterSystems; a condizione che i dati dell'End User non includano qualsiasi Dato Personale definito sopra come InterSystems Data.
1.7. GDPR. "GDPR" indica il Regolamento Generale sulla Protezione dei Dati (Regolamento (UE) 2016/679).
- Proprietà dei dati.
2.1. I dati dell'End User che il Responsabile del trattamento tratta per conto del Titolare del trattamento rimarranno sempre di proprietà del Titolare del trattamento.
2.2. Nel caso in cui una Parte, per qualsiasi motivo, receda dall'EULSA, l'End User deciderà se ciascun elemento dell'End User Data, nella misura in cui il Responsabile del trattamento dei dati conservi ancora tali elementi, gli verrà restituito o cancellato. Tutti i trattamenti da parte del Responsabile del trattamento termineranno, ad eccezione dei Trattamenti richiesti dalla legge o necessari per portare a termine l'EULSA.
2.3. Il Titolare del trattamento può in qualsiasi momento richiedere al Responsabile del trattamento di interrompere il Trattamento dei dati dell'End User e di cancellare o restituire l'End User Data al Titolare del trattamento.
2.4. Nel caso in cui il Responsabile del trattamento determini che la restituzione o la distruzione dell'End User Data, come richiesto nella presente sezione, non sia fattibile, il Responsabile del trattamento estenderà le protezioni del presente Addendum a tali End User Data e limiterà l'ulteriore trattamento a quegli scopi che rendono impossibile la restituzione o la distruzione, per tutto il tempo in cui il Responsabile del trattamento conserva tali Dati. - Obblighi e attività del Responsabile del trattamento dei dati.
3.1. Il Responsabile del trattamento si impegna a trattare l'End User Data in base a misure di sicurezza tecniche e organizzative che, se il Responsabile del trattamento fosse il Titolare del trattamento di tali dati, soddisferebbero l'articolo 32 del GDPR - Sicurezza del trattamento, vale a dire: "Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio" e di adottare misure ragionevoli per garantire il rispetto di tali misure.
3.2. Il Responsabile del trattamento dei dati accetta di trattare tali End User Data solo in conformità alle istruzioni dell'End User che quest'ultimo fornirà per iscritto di volta in volta.
3.3. Il Responsabile del trattamento dei dati accetta di rispettare tutti gli obblighi imposti dall'articolo 32 del GDPR come se fosse il Titolare dell'End User Data.
3.4. Il Responsabile del trattamento dei dati si impegna a garantire che tutti i membri del personale, agenti, appaltatori e altri che hanno accesso all'End User Data siano informati che i dati sono riservati e non devono essere divulgati a nessuno che non sia soggetto a un obbligo di riservatezza applicabile nei loro confronti. Solo i membri del personale ecc. che hanno un requisito operativo per accedere all'End User Data devono essere autorizzati e in grado di farlo (in termini di misure di sicurezza logiche, fisiche o di altro tipo).
3.5. Qualora il Responsabile del trattamento desideri subappaltare il Trattamento dell'End User Data, dovrà imporre a qualsiasi subappaltatore gli stessi obblighi contrattuali in materia di protezione e sicurezza dei dati che sono stati stabiliti nei termini del presente Addendum.
3.6. Il Responsabile del trattamento si impegna a comunicare tempestivamente al Titolare del trattamento qualsiasi violazione della sicurezza relativa ai dati dell'utente finale all'interno della propria organizzazione o di quella di un subappaltatore.
3.7. Il Responsabile del trattamento dei dati si impegna a garantire che tutto il personale coinvolto nel trattamento del'End User Data riceva una formazione adeguata nelle procedure di protezione dei dati, identifichi e conservi le registrazioni della formazione ricevuta da tale personale e i contenuti di tutti i corsi. Il Responsabile del trattamento dei dati si assicura che nessun altro agente o dipendente del Responsabile abbia accesso all'End User Data.
3.8. Il Responsabile del trattamento dei dati si impegna a non trasferire i dati del Titolare in uno Stato o territorio al di fuori dell'Area Economica Europea, senza il consenso scritto dell'End User, a meno che (1) su valutazione dell'Autorità Garante della Protezione dei Dati, il paese o il territorio garantiscano un livello adeguato di protezione dei diritti e delle libertà dei soggetti, in merito al trattamento dei dati; (2) senza sottintendere una violazione del presente articolo, il Responsabile dei dati stia agendo sulla base delle Standard Contractual Clauses approvate dalla Commissione Europea, in merito a tale trasferimento; o (3) il Responsabile è obbligato da norme vincolanti d'impresa, approvate o accettate dalla rilevante Autorità Garante; fermo restando che l'End User ha la facoltà di restringere tali trasferimenti attraverso le Rules of Engagement, purchè si impegni a non ritenere InterSystems in violazione delle sue obbligazioni ai sensi dell'EULSA se InterSystems stessa giudichi che quel trasferimento sia necessario per poter procedere con il servizio o assistenza richiesti. - Obblighi dell'End User.
4.1. L'End User fornirà End User Data a InterSystems solo se strettamente necessario ai fini dell'EULSA e nel pieno rispetto della Legislazione sulla protezione dei dati e accetta di fornire solo i Dati Personali minimi necessari inerenti al servizio o al supporto fornito.
4.2. L'End User non chiederà o esigerà dal Responsabile del trattamento di elaborare l'End User Data in un modo che egli stesso non potrebbe fare in qualità di Titolare o di Responsabile del trattamento; resta fermo che InterSystems notificherà prontamente all'End User per iscritto, fornendo informazioni sufficienti a descrivere l'obiezione, se InterSystems ritiene che una qualsiasi delle istruzioni dell'End User violi la Legislazione sulla protezione dei dati. Se l'End User concorda con l'obiezione di InterSystems che le suddette istruzioni violano la Legislazione sulla protezione dei dati, allora l'End User dovrà notificare tale considerazione e InterSystems non sarà tenuta a rispettare le istruzioni né il mancato rispetto di tali istruzioni potrà costituire violazione dell'EULSA. Se l'End User si oppone all'obiezione di InterSystems che le istruzioni dell'utente finale violano la Legislazione sulla protezione dei dati, allora l'End User dovrà fornire una spiegazione scritta del perché tali istruzioni sono conformi alla Legislazione sulla protezione dei dati e InterSystems potrà avvalersi di tale spiegazione per eseguire le istruzioni.
4.3. L'End User (o, nel caso in cui sia un Responsabile del trattamento, il relativo Titolare dei dati) dichiara e garantisce di avere la facoltà di trattare i dati nel modo in cui il Responsabile del trattamento è autorizzato fare ai sensi del presente Addendum.
4.4. L'End User è responsabile dell'utilizzo di misure amministrative, fisiche e tecniche in ogni momento per mantenere e garantire la riservatezza, la privacy e la sicurezza dell'End User Data trasmessi al Responsabile del trattamento in conformità con gli standard e i requisiti della legislazione sulla protezione dei dati, fino a quando tali dati non siano ricevuti dal Responsabile del trattamento.
4.5. L'End User dovrà ottenere qualsiasi consenso o autorizzazione che possa essere richiesto dalla legge applicabile, affinché il Responsabile del trattamento dei dati possa fornire i propri servizi ai sensi dell'EULSA.
- Varie.
5.1. Riferimenti. Un riferimento nel presente Addendum al linguaggio del GDPR indica la versione in vigore o modificata, e alla data di conformità applicabile.
5.2. Modifiche a questo addendum. L'End User accetta che InterSystems, in buona fede, possa modificare il presente Addendum o l'EULSA come necessario per conformarsi a qualsiasi modifica della Legislazione sulla protezione dei dati.
5.3. Validità. I rispettivi diritti e obblighi del Responsabile del trattamento e del Titolare dei dati resteranno in vigore fino a quando il Responsabile del trattamento o il Titolare dei dati conserveranno l'End User Data ai sensi del presente Addendum o dell'EULSA.
5.4. Interpretazione. Qualsiasi ambiguità nel presente Addendum sarà interpretata in conformità della Legislazione sulla protezione dei dati.
- I diritti e gli obblighi ai sensi del presente Addendum sono ulteriori e non sostitutivi di qualsiasi diritto o obbligo derivante tra le Parti ai sensi di qualsiasi altro contratto o di diritto comune.
- In caso di violazione o presunta violazione da parte di qualsiasi persona di un obbligo di riservatezza che tale persona debba a una delle Parti del presente documento, in relazione all'End User Data che tale persona ha o ha avuto accesso come conseguenza del presente Addendum, la parte a cui l'obbligo è dovuto si impegna a fare del suo meglio per far rispettare l'obbligo in questione.
Questa pagina è stata tradotta anche grazie all’uso di strumenti di traduzione automatica. La versione inglese di questa pagina avrà la priorità in caso di conflitti di traduzione.