Addendum A sul trattamento dei dati

Il presente Addensum A sul trattamento dei dati ("DPA") modificherà e si applicherà a tutti i tuoi accordi ("Accordi") con A Corp., PeaceBird Unlimited Company ("PUC") e le loro affiliate e/o sussidiarie (collettivamente, "A") nella misura in cui A elabora (i) in qualità di responsabile del trattamento del tuo trattamento, qualsiasi dato personale proveniente dallo Spazio economico europeo ("SEE"), dalla Svizzera, dal Regno Unito ("Regno Unito"), Brasile o Giappone, o (ii) in qualità di fornitore di servizi dell'Utente, qualsiasi informazione personale dei consumatori della California (collettivamente, "Dati dell'Utente").

1. Definizioni

Le parole e le espressioni utilizzate nel presente ATD ma non definite, tra cui, a titolo esemplificativo, "commerciale", "scopo commerciale", "consumatore", "titolare del trattamento", "interessato", "dati personali", "informazioni personali", "elaborazione", "responsabile del trattamento", "vendita", "dati sensibili", "fornitore di servizi", "sub-responsabile del trattamento" e i rispettivi termini derivati, avranno il significato stabilito nelle leggi, nei regolamenti e nelle decisioni sulla privacy e sulla protezione dei dati applicabili a una parte del presente ATD ("Legge applicabile in materia di protezione dei dati"), che può includere, a titolo esemplificativo ma non esaustivo, (i) il Regolamento generale sulla protezione dei dati dell'UE (2016/679) ("GDPR"), (ii) la Legge generale brasiliana sulla protezione dei dati del 2018, la Legge federale brasiliana 13.709/2018, la Lei Geral de Proteção de Dados, (iii) la legge giapponese sulla protezione delle informazioni personali n. 57 del 2003 e successive modifiche, e le relative normative applicabili, e (iv) il California Consumer Privacy Act del 2018, Cal. Civ. Code §1798.100 e seguenti e i relativi regolamenti di attuazione, in ogni caso come modificati, sostituiti o sostituiti di volta in volta. "Lei" si riferisce al titolare del trattamento o all'azienda che ha accettato il presente DPA con PeaceBird.

2. Dettagli delle operazioni di trattamento

La natura e l'oggetto del trattamento, comprese le operazioni di trattamento effettuate da A per conto dell'utente, le istruzioni dell'utente ad A e le misure di sicurezza implementate da A, sono descritte nei relativi Accordi tra l'utente ed A. A agisce in qualità di responsabile del trattamento o fornitore di servizi (a seconda dei casi) per e per conto dell'utente e conduce le operazioni di trattamento in conformità con le istruzioni dell'utente.

3. Obblighi dell'utente

3.1 L'utente determina le finalità e i mezzi con cui i suoi Dati sono o saranno trattati, nonché il modo in cui sono o saranno trattati.

3.2 L'utente dichiara, garantisce e accetta che, in relazione ai propri Dati forniti ad A ai sensi del presente DPA, di:

3.2.1 rispettare la sicurezza dei dati e gli altri obblighi prescritti dalla legge applicabile in materia di protezione dei dati per i titolari del trattamento o le aziende;

3.2.2 confermare che la fornitura dei tuoi dati ad A è conforme alla legge applicabile in materia di protezione dei dati;

3.2.3 stabilire una procedura per l'esercizio dei diritti degli interessati/consumatori i cui dati personali o informazioni personali sono raccolti;

3.2.4 trattare solo dati personali o informazioni personali che sono stati raccolti in modo lecito e valido e garantire che tali dati o informazioni siano pertinenti e proporzionati ai rispettivi usi;

3.2.5 divulgare i tuoi dati ad A per uno scopo commerciale lecito coerente con le divulgazioni che fai ai tuoi interessati/consumatori nelle tue politiche sulla privacy e non vendere i tuoi dati ad A;

3.2.6 garantire che, dopo aver valutato i requisiti della Legge applicabile in materia di protezione dei dati, le misure di sicurezza e riservatezza supportate dal presente DPA siano adeguate per proteggere i Dati dell'utente da qualsiasi distruzione accidentale o illecita, perdita accidentale, alterazione, divulgazione o accesso non autorizzati o illeciti, in particolare quando il trattamento comporta la trasmissione di dati su una rete, e contro ogni altra forma di trattamento illecito o non autorizzato; e

3.2.7 adotterà misure ragionevoli per garantire il rispetto delle disposizioni del presente DPA da parte del personale dell'Utente e di qualsiasi persona che acceda o utilizzi i Dati dell'Utente per conto dell'Utente.

4. Obblighi di A

4.1 A effettua il trattamento dei tuoi dati per tuo conto.

4.2 Di conseguenza, A accetta che:

4.2.1 se non diversamente richiesto dalla legge applicabile, trattare i tuoi dati solo per tuo conto e in conformità con le tue istruzioni (anche in relazione ai trasferimenti internazionali di dati), comprese le istruzioni del presente DPA e tutti gli accordi tra te ed A;

4.2.2 informare immediatamente l'Utente se, a giudizio di A, un'istruzione dell'Utente viola la Legge applicabile in materia di protezione dei dati;

4.2.3 implementare misure di sicurezza tecniche e organizzative adeguate come previsto nei Contratti con A prima dell'inizio delle attività di trattamento dei Dati dell'Utente, mantenere tali misure di sicurezza (o misure di sicurezza migliori) per la durata del presente DPA e fornire all'Utente prove ragionevoli delle sue politiche in materia di privacy e sicurezza;

4.2.4 adottare misure ragionevoli per garantire che (i) le persone da essa impiegate e (ii) altre persone impegnate presso la sua sede di attività che possono trattare i Dati dell'utente siano a conoscenza e rispettino il presente DPA;

4.2.5 rispettare gli obblighi di riservatezza in relazione ai tuoi dati come dettagliato in tutti gli accordi e adottare le misure appropriate per garantire che i suoi dipendenti, agenti autorizzati e qualsiasi sub-responsabile del trattamento rispettino e riconoscano e rispettino la riservatezza dei tuoi dati, anche dopo la fine del loro rapporto di lavoro, contratto o al termine del loro incarico;

4.2.6 informarLa di:

4.2.6.1 qualsiasi richiesta legalmente vincolante di divulgazione dei tuoi dati da parte di un'autorità preposta all'applicazione della legge, salvo diverso divieto, ad esempio al fine di preservare la riservatezza di un'indagine da parte delle autorità preposte all'applicazione della legge, e riconosci che A può divulgare i tuoi dati per soddisfare tale richiesta di divulgazione legalmente vincolante;

4.2.6.2 qualsiasi violazione dei dati personali (o concetto analogo) ai sensi della Legge applicabile in materia di protezione dei dati in relazione ai Dati dell'utente ("Incidente di sicurezza");

4.2.6.3 qualsiasi notifica, richiesta o indagine pertinente da parte di un'autorità di vigilanza relativa ai Dati dell'utente; e

4.2.6.4 qualsiasi richiesta da parte di un interessato/consumatore di esercitare i propri diritti in materia di protezione dei dati ai sensi della Legge applicabile in materia di protezione dei dati senza rispondere a tale richiesta, a meno che l'Utente non abbia autorizzato una risposta o tale risposta sia richiesta dalla legge;

4.2.7 fornire all'Utente una ragionevole cooperazione e assistenza in relazione ai propri obblighi in materia di:

4.2.7.1 richieste da parte degli interessati/consumatori in relazione all'esercizio dei loro diritti di protezione dei dati ai sensi della Legge applicabile in materia di protezione dei dati in relazione ai tuoi dati;

4.2.7.2 l'indagine su qualsiasi incidente di sicurezza e la notifica all'autorità di vigilanza e agli interessati in relazione a tale incidente di sicurezza;

4.2.7.3 la preparazione di valutazioni d'impatto sulla protezione dei dati e, se del caso, lo svolgimento di consultazioni con l'autorità di vigilanza, in ogni caso e nella misura richiesta dalla legge applicabile in materia di protezione dei dati;

4.2.7.4 la sicurezza dei tuoi dati, anche implementando le misure di sicurezza tecniche e organizzative dettagliate nei tuoi accordi con A;

4.2.8 Se A è obbligato per legge a trattare i Dati dell'Utente, adottare misure ragionevoli per informare l'Utente di tale requisito prima di qualsiasi trattamento, a meno che ad A non sia vietato informare l'Utente per motivi di importante interesse pubblico; e

4.2.9 su ragionevole richiesta, mettere a disposizione dell'Utente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente Sezione 4.2. A rispetterà inoltre le proprie responsabilità di audit di cui alla Sezione 4.4 di seguito.

4.3 L'utente ed A concordano inoltre che:

4.3.1 A agisce esclusivamente in qualità di responsabile del trattamento, fornitore di servizi o in qualsiasi altra veste simile che possa essere intesa ai sensi della Legge applicabile sulla protezione dei dati in relazione ai Dati dell'utente;

4.3.2 A non conserverà, utilizzerà o divulgherà i Dati dell'Utente per scopi diversi dallo scopo specifico di eseguire i servizi specificati nel presente DPA o in qualsiasi altro Accordo tra l'Utente e A;

4.3.3 A può deidentificare, aggregare o rendere anonimi tutti o parte dei Dati dell'utente in modo che non costituiscano più dati personali o informazioni ai sensi delle Leggi applicabili sulla protezione dei dati nell'ambito dell'esecuzione dei servizi specificati nel presente DPA e in qualsiasi altro Accordo tra l'utente ed A.

4.4 A, su richiesta dell'Utente (non superiore a una richiesta per anno solare, a meno che non sia richiesto dalla Legge applicabile in materia di protezione dei dati) via e-mail all corp.a@outlook.it, certificherà per iscritto la conformità alle Sezioni 4-6 del presente ATD. A vi fornirà inoltre ogni anno un parere o un rapporto di controllo dell'organizzazione di servizi fornito da una società di revisione terza accreditata ai sensi della Dichiarazione sugli standard per gli impegni di attestazione (SSAE) n. 18 ("SSAE 18") (Reporting on Controls at a Service Organization) o dello Standard internazionale sugli impegni di garanzia (ISAE) 3402 ("ISAE 3402") (Assurance Reports on Controls at a Service Organization) applicabili ai servizi di trattamento dei dati ai sensi degli Accordi (ciascuno di tali rapporti, un "Rapporto"). Se un Rapporto non fornisce, a tuo ragionevole giudizio, informazioni sufficienti per confermare la conformità di A ai termini del presente DPA, allora tu o una società di revisione di terze parti accreditata concordata sia da Tu che da A potete verificare la conformità di A ai termini del presente DPA durante il normale orario lavorativo in modo da non disturbare l'attività di A, con un ragionevole preavviso a A non inferiore a 60 giorni e nel rispetto di ragionevoli procedure di riservatezza. L'utente è responsabile di tutti i costi e le tariffe relativi a tale verifica, inclusi tutti i costi e le tariffe ragionevoli per tutto il tempo che A impiega per tale verifica, oltre alle tariffe per i servizi di supporto eseguiti da A e a qualsiasi spesa sostenuta da A per conformarsi alla presente Sezione 4.4 e alla Sezione 4.2.7. Prima dell'inizio di tale audit, l'utente ed A concorderanno reciprocamente i tempi, la durata e l'ambito dell'audit, che non comporterà l'accesso fisico ai server da cui vengono forniti i servizi di elaborazione dei dati, al fine di mantenere la sicurezza dei sistemi di A e preservare la riservatezza dei dati di altri clienti. L'utente comunicherà tempestivamente ad A le informazioni relative a eventuali non conformità riscontrate nel corso di un audit. Ove applicabile, l'utente accetta di esercitare i propri diritti di audit ai sensi delle SCC (definite di seguito) incaricandoci di rispettare le misure di audit descritte nella presente Sezione 4.4.

4.5 Se (i) i tuoi dati includono dati personali protetti dal GDPR o dalla legge applicabile sulla protezione dei dati della Svizzera o del Regno Unito, (ii) A tratta tali dati personali al di fuori del SEE, della Svizzera o del Regno Unito; e (iii) tale trattamento ha luogo in un paese che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea, del Regno Unito o delle autorità svizzere (a seconda dei casi), le clausole contrattuali standard allegate alla Decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021 ("SCC") sono qui incorporate per riferimento e costituiscono parte integrante del presente DPA. Le SCC si applicano come segue:

4.5.1. Trasferimenti SEE, Nella misura in cui i tuoi dati sono soggetti al GDPR, le SCC si applicano come segue:

i. l'"esportatore dei dati" è l'Utente e l'"importatore dei dati" è A;

ii. vengono selezionati i termini del Modulo Due;

iii. nella clausola 7, si applica la clausola di attracco opzionale;

iv. nella Clausola 9 si applica l'Opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche ai sub-responsabili del trattamento è stabilito nella Sezione 5 del presente DPA;

v. nella clausola 11, la lingua facoltativa non si applica;

vi. nella clausola 17, si applica l'opzione 1 e le SCC sono disciplinate dalla legge irlandese;

vii. nella clausola 18(b), le controversie saranno risolte dinanzi ai tribunali irlandesi;

viii. negli Allegati I.A e I.B, i dettagli delle parti e la descrizione del trasferimento sono riportati nei relativi Accordi tra Lei ed A;

ix. nella Clausola 13(a) e nell'Allegato I.C, l'autorità di controllo competente è l'autorità di controllo dello Stato membro del SEE in cui l'Utente o il suo rappresentante si trova o in cui si trovano prevalentemente gli interessati;

x. nell'Allegato II, la descrizione delle misure di sicurezza tecniche e organizzative è riportata nei relativi Accordi tra l'Utente ed A; e

xi. nell'allegato III, l'elenco dei Sub-responsabili del trattamento è riportato nella sezione 5 della presente legge sulla protezione dei dati.

4.5.2. Trasferimenti svizzeri. Nella misura in cui i dati dell'utente sono soggetti alla legge svizzera applicabile in materia di protezione dei dati, le SCC si applicano come stabilito nella Sezione 4.5.1 del presente DPA con le seguenti modifiche:

i. i riferimenti al "Regolamento (UE) 2016/679" sono interpretati come riferimenti alla legge federale svizzera sulla protezione dei dati del 19 giugno 1992 o a qualsiasi altra legge successiva ("LPD");

ii. i riferimenti ad articoli specifici del "Regolamento (UE) 2016/679" sono sostituiti con l'articolo o la sezione equivalente della legge svizzera sulla protezione dei dati;

iii) i riferimenti a "UE", "Unione" e "Stato membro" sono sostituiti con "Svizzera";

iv. La clausola 13(a) e la parte C dell'allegato 2 non sono utilizzate e l'"autorità di controllo competente" è l'Incaricato federale svizzero della protezione dei dati ("IFPDT") o, se il trasferimento è soggetto sia al DPA svizzero che al GDPR, l'FDPIC (nella misura in cui il trasferimento è disciplinato dal DPA svizzero) o l'autorità di controllo dello Stato membro del SEE in cui l'utente o il suo rappresentante si trova o dove gli interessati si trovano prevalentemente (nella misura in cui il trasferimento è disciplinato dal GDPR;

v. i riferimenti all'«autorità di vigilanza competente» e ai «tribunali competenti» sono sostituiti con l'IFPDT e i «tribunali svizzeri competenti»;

vi. nella clausola 17, le SCC sono disciplinate dal diritto svizzero;

vii. nella clausola 18(b), le controversie saranno risolte dinanzi ai tribunali svizzeri competenti; e

viii. le SCC proteggono anche i dati delle persone giuridiche fino all'entrata in vigore della revisione della LPD svizzera.

4.5.3. Trasferimenti nel Regno Unito. Nella misura in cui i Dati dell'utente sono soggetti alla legge applicabile in materia di protezione dei dati del Regno Unito, le SCC si applicano come modificate dalla Parte 2 dell'Addendum del Regno Unito alle SCC emesse dall'Information Commissioner ai sensi della sezione 119A(1) del Data Protection Act 2018 ("Addendum del Regno Unito") e la Parte 1 dell'Addendum del Regno Unito è considerata completata come segue:

i. nella Tabella 1, i dettagli delle parti sono riportati negli Accordi tra l'Utente ed A;

ii. nella tabella 2, i moduli e le clausole selezionati sono indicati nella sezione 4.5.1 della presente legge sulla protezione dei dati.

iii. nella Tabella 3, le informazioni dell'appendice sono riportate negli Accordi tra l'Utente ed A; e

iv) nella tabella 4 è selezionato il termine «Importatore».

4.5.4. Meccanismo di trasferimento alternativo. Nel caso in cui un tribunale della giurisdizione competente o un'autorità di vigilanza ordini (per qualsiasi motivo) che le misure descritte nel presente DPA non possano essere invocate per trasferire legalmente i Dati dell'Utente, l'Utente dovrà cooperare pienamente con A per firmare un emendamento al presente DPA e/o eseguire altri documenti e intraprendere le altre azioni necessarie per rimediare a tale non conformità. Inoltre, se A adotta un meccanismo di trasferimento dei dati alternativo ai meccanismi descritti nel presente ATD, inclusa qualsiasi nuova versione o successore delle SCC o dello Scudo per la privacy ("Meccanismo di trasferimento alternativo"), tale Meccanismo di trasferimento alternativo si applicherà automaticamente al posto delle misure descritte nel presente ATD, ma solo nella misura in cui tale Meccanismo di trasferimento alternativo sia conforme alla Legge applicabile in materia di protezione dei dati e si estenda ai territori in cui si trovano i Dati dell'utente Trasferito.

5. Trasferimento, divulgazione e terze parti

5.1 L'utente riconosce e accetta che (a) le affiliate di A possono essere mantenute come sub-responsabili del trattamento e (b) A e le affiliate di A possono assumere sub-responsabili del trattamento in relazione alla fornitura dei servizi di elaborazione dei dati. A o un affiliato di A stipuleranno accordi contrattuali con tali sub-responsabili del trattamento che richiedono loro di garantire un livello di conformità alla protezione dei dati e di sicurezza delle informazioni simile a quello previsto nel presente documento. Ai fini della presente Sezione 5, l'Utente autorizza A a coinvolgere i sub-responsabili del trattamento necessari per assistere A ai fini della fornitura dei servizi di elaborazione dei dati ai sensi degli Accordi.

5.2 L'elenco aggiornato dei sub-responsabili del trattamento dei dati è disponibile all'indirizzo privacy.peacebird.it. Cercheremo di fornirvi un ragionevole preavviso prima di assumere un nuovo sub-responsabile del trattamento dei vostri dati, compresa la data in cui il nuovo sub-responsabile del trattamento inizierà a trattare i vostri dati (la "Data di entrata in vigore del sub-responsabile"). L'utente può opporsi all'assunzione da parte di PeaceBird di un nuovo sub-responsabile cessando di utilizzare il prodotto, il programma o la funzionalità applicabile prima della Data di entrata in vigore del Sub-responsabile. L'uso continuato del prodotto, del programma o della funzionalità applicabile a partire dalla Data di entrata in vigore del Sub-responsabile costituisce l'accettazione del nuovo sub-responsabile del trattamento. Ai fini delle SCC, l'utente riconosce che potremmo essere limitati dalla divulgazione di accordi di sub-responsabile a causa di obblighi di riservatezza, ma laddove non possiamo divulgare un accordo di sub-responsabile, forniremo all'utente tutte le informazioni (su base riservata) che ragionevolmente possiamo in relazione a tale accordo.

6. Obblighi successivi alla cessazione

L'utente ed A concordano che, al termine di qualsiasi servizio di elaborazione dei dati, A e gli eventuali sub-responsabili del trattamento, su richiesta, fatte salve le limitazioni descritte negli Accordi pertinenti, restituiscano all'utente tutti i dati dell'utente relativi a tali servizi di elaborazione dei dati e copie di tali dati o li distruggano in modo sicuro e dimostrino in modo ragionevole e dimostrino con ragionevole soddisfazione dell'utente di aver adottato tali misure, a meno che la legge applicabile non impedisca la restituzione o la distruzione di tutti o parte dei Dati dell'Utente. In tal caso, A o un sub-responsabile del trattamento accettano di preservare la riservatezza dei Dati dell'utente da esso conservati e di trattare attivamente i dati dell'utente solo dopo tale data al fine di rispettare le leggi a cui sono soggetti.

7. Conflitti

In caso di conflitto tra i termini del presente DPA, delle SCC e di qualsiasi altro termine tra l'Utente ed A, inclusi, a titolo esemplificativo ma non esaustivo, i termini di qualsiasi Accordo, i termini si applicheranno nel seguente ordine di precedenza: (i) le SCC, (ii) il presente DPA e quindi (iii) qualsiasi altro termine degli Accordi tra l'Utente ed A.