ADDENDUM SUL TRATTAMENTO DEI DATI PERSONALI (GLOBALE)

Questo Addendum sul trattamento dei dati (Data Processing Addendum, "DPA") integra qualsiasi contratto (ed i relativi Statement of Work, allegati, programmi, documenti annessi e simili) tra "Avaya" e il "Cliente" per l'acquisto di "Servizi" e/o "Prodotti" e/o altre soluzioni tecnologiche di Avaya quando Avaya "tratta" "Dati Personali" per conto del Cliente (collettivamente il "Contratto").

Questo DPA si applica a tutte le attività correlate al Contratto e in cui i dipendenti di Avaya o soggetti terzi incaricati da Avaya possano trattare Dati personali per conto del Cliente. Contiene, insieme al Contratto, le istruzioni documentate per il Trattamento dei Dati personali, nonché l'oggetto, la durata, la natura, le finalità del Trattamento e disciplina i diritti e gli obblighi delle parti in relazione al Trattamento dei Dati personali.

1. Definizioni

1.1 Ai fini del presente DPA (i) “Avaya” si intende la società del gruppo Avaya che firma il presente DPA e/o le Consociate Avaya che trattano Dati personali per conto del Cliente come da Contratto , (ii) “Cliente” si intende la società del Cliente che firma il presente DPA e/o la Consociata per conto della quale sono trattati i Dati personali come da Contratto. (iii) “Consociata” significa qualsiasi società di Avaya o del Cliente che controlla o è controllata direttamente o indirettamente rispettivamente da Avaya o dal Cliente. Ai fini della presente definizione, per "controllo" si intende il potere di inluenzare la gestione e le decisioni della parte rilevante, direttamente o indirettamente, attraverso la proprietà dei titoli con diritto di voto, per contratto o in altro modo; e il termine "controllato" ha il significato correlativo a quanto sopra. Su richiesta, ciascuna parte fornirà a qualsiasi altra parte un elenco di tutti i rispettivi affiliati rilevanti per questo DPA; (iv) "Titolare del trattamento": la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, da solo o congiuntamente con altri, determina le finalità e i mezzi del trattamento dei dati personali ; (v) "Responsabile del trattamento dei dati" indica una persona fisica o giuridica, un'autorità pubblica, un'agenzia o altro organismo che tratta dati personali per conto del Titolare del trattamento; (vi) "Dati personali" si intendono tutte le informazioni relative a una persona fisica identificata o identificabile ("Interessato") o una famiglia; una persona fisica identificabile è colui che può essere identificato, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o uno o più fattori specifici relativi all'aspetto fisico, fisiologico, all’identità genetica, mentale, economica, culturale o sociale di tale persona fisica);

(vii) "Trattamento", "Elaborazione", "Elaborato" indicano qualsiasi operazione o insieme di operazioni eseguite su Dati Personali o su insiemi di dati personali, anche con strumenti automatizzati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, reperimento, consultazione, uso, divulgazione per trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, restrizione, cancellazione o distruzione . (viii) “GDPR” significa il Regolamento europeo generale sulla protezione dei dati (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016) (ix) “Vendere” significa qualsiasi condivisione o divulgazione di Dati personali a terze parti in cambio di corrispettivi monetari o di altra natura.

2. Trattamento dei dati personali per conto del Cliente

2.1 Qualsiasi Trattamento dei dati personali da parte di Avaya ai sensi del presente DPA deve avvenire solo:

2.1.1 per conto del Cliente (compreso il caso in cui il trattamento sia avviato dagli utenti del Cliente);

2.1.2 conformemente al Contratto; e

2.1.3 ai fini dell'adempimento delle istruzioni del Cliente.

2.2 Senza limitare la generalità delle Sezioni da 2.1.1 a 2.1.3, Avaya accetta di non: (i) vendere Dati personali; (ii) conservare, usare o divulgare i Dati personali per scopi diversi da quelli necessari per fornire i Servizi e/o i Prodotti definiti nel Contratto, incluso il mantenimento, l'utilizzo o la divulgazione dei Dati personali per scopi commerciali diversi da quelli necessari per fornire i Servizi e/o i Prodotti definiti nel Contratto;

(iii) conservare, utilizzare o divulgare i Dati personali al di fuori del rapporto commerciale diretto tra Avaya e il Cliente. Avaya conferma che comprende le limitazioni stabilite nella presente Sezione 2.2 e le rispetterà.

2.3 Le istruzioni del Cliente per il Trattamento dei dati personali devono essere conformi alle leggi e ai regolamenti applicabili in materia di protezione dei dati. Il Cliente è l'unico responsabile della legittimità, dell'adeguatezza e dell'accuratezza dei Dati personali e dei mezzi con cui il Cliente ha acquisito i Dati personali. Se Avaya riteiene che un'istruzione del Cliente potesse violare le normative sulla protezione dei dati applicabili, deve informare il Cliente senza indebito ritardo. Questa sezione non crea l'obbligo da parte di Avaya di monitorare attivamente le istruzioni del Cliente per verificarne la conformità dal punto di vista legale.

2.4 Questo DPA e il Contratto costituiscono le istruzioni complete del Cliente al momento della firma di questo DPA per Avaya per il Trattamento dei dati personali. Tuttavia, tali istruzioni possono essere modificate, integrate o sostituite dal Cliente in forma documentata per iscritto in qualsiasi momento (nuove istruzioni). Se tali nuove istruzioni del Cliente eccedono il campo di applicazione del Contratto, devono essere considerate come una richiesta di modifica del Contratto e le parti devono avviare trattative in buona fede su questa richiesta di modifica.

2.5 Se, per qualsiasi ragione, Avaya non fosse in grado di rispettare le istruzioni concordate, informerà il Cliente di questo fatto senza indebito ritardo. Il Cliente potrà, quindi, sospendere il trasferimento dei Dati personali ad Avaya, limitarne l'accesso, richiedere che tutti i Dati personali siano restituiti al Cliente e/o risolvere il Contratto secondo i termini dello stesso.

2.6 Il Cliente è responsabile in qualità di Titolare del trattamento dei dati per la conformità alle leggi e ai regolamenti applicabili in materia di protezione dei dati, a meno che le leggi e i regolamenti applicabili impongano specificamente un obbligo in capo ad Avaya (in qualità di Responsabile del trattamento).

2.7 Avaya tratterà i Dati personali necessari per effettuare i Servizi e/o consegnare i Prodotti e/o altre soluzioni tecnologiche ai sensi del Contratto e secondo quanto ulteriormente indicato dal Cliente nell'utilizzo di quanto sopra.

2.8 Avaya tratterà i Dati Personali per tutta la durata del Contratto, salvo quanto diversamente concordato per iscritto o richiesto dalla legge applicabile.

2.9 Le categorie di soggetti interessati dal Trattamento dei Dati personali per conto del Cliente nell'ambito del presente DPA derivano dal Contratto e in particolare dall'utilizzo individuale da parte del Cliente di Servizi/Prodotti/o altre soluzioni tecnologiche fornite da Avaya. Esse tipicamente includono: dipendenti, agenti, consulenti, liberi professionisti e partner commerciali del Cliente (che siano persone fisiche); persone fisiche (dipendenti, ecc.) di clienti e potenziali clienti del Cliente, nonché di clienti dei clienti del Cliente, ecc..

2.10 Le tipologie di Dati personali interessati dal Trattamento dei Dati personali per conto del Cliente nell'ambito del presente DPA derivano dal Contratto e in particolare dall'utilizzo individuale da parte del Cliente di (e dall’inserimento in) Servizi/Prodotti/o altre soluzioni tecnologiche fornite da Avaya. Tipicamente includono: nome, informazioni di contatto (azienda, qualifica/posizione, indirizzo e-mail, numero di telefono, indirizzo fisico), dati di connessione, dati sulla posizione, dati di chiamata/video (registrazioni e metadati derivati da questi, ecc..

3. Personale di Avaya

3.1 Avaya deve:

3.1.1 garantire che tutti i dipendenti coinvolti nel Trattamento dei dati personali per conto del Cliente si siano impegnati a garantire la riservatezza per iscritto o sono soggetti ad un’obbligo di riservatezza in tal senso che deriva dalla normativa applicabile, non possano trattare i dati personali senza autorizzazione eabbiano ricevuto una formazione adeguata sulle loro responsabilità;

3.1.2 nominare un responsabile della protezione dei dati per Paese/globale, nei limiti di quanto richiesto dalla legge applicabile, e pubblicare propri dati di contatto.

4. Sicurezza del Trattamento

4.1 Avaya ha implementato e deve mantenere adeguate misure di sicurezza tecniche e organizzative rispetto al Trattamento dei dati personali effettuato per conto del Cliente. Avaya deve garantire un livello di sicurezza adeguato al rischio di variabile probabilità e gravità per i diritti e le libertà delle persone fisiche e controllare regolarmente la relativa osservanza.

4.2 Avaya ha il diritto di modificare le proprie misure tecniche e organizzative purché sia mantenuto un livello di sicurezza almeno equivalente adeguato al rischio di variabile probabilità e gravità per i diritti e le libertà delle persone fisiche. Le attuali misure tecniche e organizzative di Avaya possono essere verificate e consultate tramite l’indirizzo xxxxx://xxx.xxxxx.xxx/xx/xxxxxxx-xxxx-xxxxxxxxx-00000. Ulteriori misure tecniche e organizzative e informazioni su tali misure possono essere specificate nel Contratto.

5. Responsabili del trattamento di secondo livello (subappaltatori) e trasferimenti internazionali di dati personali

5.1 Avaya può incaricare Responsabili del trattamento di secondo livello (subappaltatori) di elaborare i Dati personali per conto del Cliente e deve rispettare tutta la normativa applicabile in materia di protezione dei dati personali per quanto riguarda l’uso di sub-appaltatori. Avaya deve assicurare che a tutti i Responsabili del trattamento di secondo livello che trattano Dati personali per conto di Clienti con sede nello Spazio economico europeo o in Svizzera (“SEE/CH”) siano imposti obblighi di protezione dei dati almeno equivalenti, a quelli stabiliti nel presente DPA tramite contratto o altro atto giuridico, in particolare fornendo garanzie sufficienti per l’implementazione di misure tecniche e organizzative adeguate.

5.2 Applicabile esclusivamente ai Clienti stabiliti in SEE/CH: Un elenco di Responsabili del trattamento di secondo livello che possono essere impiegati da Avaya durante il trattamento dei dati personali per conto dei clienti in SEE/CH è consultabile all’indirizzo xxxxx://xxx.xxxxx.xxx/xx/xxxxxxx- subcontractors . Almeno venti (20) giorni di calendario prima che impieghi un nuovo Responsabile del trattamento di secondo livello, Avaya aggiornerà l’elenco sul sito web di cui sopra. Il Cliente ha il diritto di opporsi all'uso di nuovi Responsabili del trattamento di secondo livello per qualsiasi Trattamento dei dati personali per suo conto entro un termine di dieci (10) giorni lavorativi dal momento in cui un nuovo Responsabile del trattamento di secondo livello viene elencato nel suddetto sito web. Tale opposizione deve essere inviata via e-mail a xxxxxxxxxxx@xxxxx.xxx

(i) indicando come riferimento la ragione sociale completa (e altre credenziali) del Cliente e i riferimenti del Contratto, (ii) includendo la copia del rispettivo ordine di acquisto e (iii) fornendo il motivo dell'opposizione. Se il Cliente esercita il proprio diritto di opposizione, Avaya deve provvedere a propria esclusiva scelta e discrezione a:

5.2.1 astenersi dall'impiegare il Responsabile del trattamento di secondo livello oggetto dell'opposizione nel Trattamento dei dati personali per conto del Cliente e confermarlo per iscritto al Cliente, o

5.2.2 contattare il Cliente e cercare un accordo per mitigare la motivazione dell'opposizione. Se viene raggiunto un accordo tra le parti, il Cliente deve revocare l'opposizione, o

5.2.3 ha il diritto di risolvere il Contratto interamente o solo in relazione al Trattamento per conto del Cliente per il quale il nuovo Responsabile del trattamento di secondo livello oggetto di opposizione sarà impiegato.

5.3 Avaya dovrà rispettare la normativa applicabile in merito ai trasferimenti internazionali di Dati personali Per qualsiasi trasferimento di dati personali a partire di un paese SEE/CH verso un Paese al di fuori di SEE/CH devono essere rispettati i requisiti del Capitolo V del GDPR.

5.3.1 I trasferimenti di Dati personali tra Affiliati di Avaya sono disciplinati dalle Norme vincolanti d’impresa di Avaya. La Politica sulle Norme vincolanti d’impresa di Avaya (Responsabile del trattamento) è disponibile all'indirizzo xxx.xxxxx.xxx/xxxxxxx-XXXxxxxxxxxx ed è inclusa nel presente documento tramite riferimento.

5.3.2 Se Avaya trasferisce Dati personali con origine in SEE/CH a Responsabili del trattamento di secondo livello di terze parti (ovvero subappaltatori di Avaya che non sono affiliati di Avaya) situati in Paesi al di fuori di SEE/CH che non sono stati oggetto di una decisione di adeguatezza vincolante da parte della Commissione Europea, tali trasferimenti saranno soggetti a (i) i termini delle Clausole contrattuali standard (come da decisione della

Commissione Europea 2010/87/UE); o (ii) altri meccanismi di trasferimento appropriati che forniscano un livello adeguato di protezione conformemente al GDPR.

6. Richieste da parte dei Soggetti interessati

6.1 Avaya, conformemente alle leggi applicabili, deve avvisare tempestivamente il Cliente qualora riceva da parte di un Soggetto interessato una richiesta di esercitare i propri diritti, quali: diritto di accesso, diritto di rettifica, limitazione del trattamento, cancellazione ("diritto all'oblio"), portabilità dei dati, opposizione al trattamento, diritto a non essere soggetto a un processo decisionale individuale automatizzato, ecc.. Tenendo conto della natura del Trattamento, Avaya deve assistere il Cliente con adeguate misure tecniche e organizzative, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Cliente di rispondere alla richiesta del Soggetto interessato ai sensi delle leggi e dei regolamenti sulla protezione dei dati. Inoltre, nella misura in cui il Cliente, nel suo utilizzo dei Servizi e/o dei Prodotti e/o di altre soluzioni tecnologiche fornite da Avaya, non abbia la capacità di rispondere alla Richiesta del Soggetto interessato, Avaya deve, su richiesta del Cliente, aiutare il Cliente a rispondere a tale Richiesta del Soggetto interessato nella misura in cui Avaya è legalmente autorizzata a farlo e la risposta a tale Richiesta del Soggetto interessato è prevista dalle leggi e dai regolamenti applicabili in materia di protezione dei dati. Nella misura consentita dalla legge, il Cliente è responsabile per qualsiasi costo derivante dalla fornitura di tale assistenza da parte di Avaya.

7. Notifiche e incidenti

7.1 Avaya deve:

7.1.1 avvisare il Cliente di qualsiasi evento relativo alla sicurezza che potrebbe risultare nella distruzione, perdita, alterazione, divulgazione o accesso non autorizzato o accidentale a qualsiasi Dato personale (la "Violazione degli obblighi in materia di protezione dei Dati personali");

7.1.2 fornire tempestivamente al Cliente piena collaborazione e assistenza in relazione a qualsiasi Violazione degli obblighi in materia di protezione dei Dati personali e fornire tutte le informazioni in suo possesso in merito alla Violazione degli obblighi in materia di protezione dei Dati personali, incluso quanto segue: (i) la possibile causa e le possibili conseguenze della violazione; (ii) le categorie di Dati Personali coinvolti; (iii) una sintesi delle possibili conseguenze per i Soggetti interessati; (iv) una sintesi dei destinatari non autorizzati dei Dati personali; e (v) le misure adottate da Avaya per mitigare qualsiasi rischio correlato e/o perdita o danno o (potenziale perdita o danno);

7.1.3 non fare alcun annuncio o pubblicare o in altro modo autorizzare alcuna trasmissione di avvisi o informazioni su una Violazione degli obblighi in materia di protezione dei Dati personali (l’"Avviso di violazione") senza il preventivo consenso scritto del Cliente e senza la preventiva approvazione scritta da parte del Cliente del contenuto, dei supporti e dei tempi dell’Avviso di violazione.

8. Supporto ai Clienti

8.1 Su richiesta scritta del Cliente, e a fronte di una remunerazione ragionevole che deve essere oggetto di un accordo separato, Avaya deve assistere il Cliente senza indebito ritardo nel garantire il rispetto degli obblighi del Cliente di cui all'articolo 32 (Sicurezza del Trattamento, 35 (Valutazione dell'impatto sulla protezione dei dati) e 36 (Consultazione preventiva) del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione di Avaya. Nella misura in cui la normativa sulla Protezione dei Dati personali applicabile richiede ad Avaya di fornire assistenza al Cliente nell'assicurare il rispetto di tale legge, Avaya fornirà l'assistenza obbligatoria al cliente, soggetta a un accordo separato.

9. Restituzione e cancellazione di Dati personali

9.1 I Dati personali (inclusa qualsiasi copia degli stessi) non saranno conservati più a lungo di quanto richiesto ai fini del Trattamento, a meno che (i) non sia richiesto un periodo di conservazione più lungo dalla legge applicabile o (ii) il Cliente indichi ad Avaya per iscritto di (a) conservare determinati Dati personali più a lungo o (b) restituire o cancellare determinati Dati personali in anticipo.

9.2 La restituzione di qualsiasi supporto di memorizzazione dei dati fornito dal Cliente ad Avaya deve essere eseguita senza indebito ritardo (i) dopo la risoluzione/scadenza dell'attività di Trattamento o (ii) prima, secondo quanto richiesto dal Cliente.

10. Controlli

10.1 Previa richiesta scritta da parte del Cliente, Avaya deve fornire al Cliente tutte le informazioni necessarie per svolgere in modo efficace un controllo sulla conformità di Avaya rispetto ai termini di questo DPA.

10.2 Previa comunicazione scritta e entro un termine ragionevole, Avaya deve concedere al Cliente l'accesso alle sue Strutture di trattamento dei dati, ai file di dati e alla documentazione rilevante per le attività di Trattamento durante il normale orario di lavoro senza interferenze al normale svolgimento delle operazioni ai fini dell’audit di Avaya secondo i termini del presente DPA. A scopo di chiarezza, Avaya non ha l'obbligo di fornire al Cliente accesso ai propri sistemi che trattano i Dati personali di altri clienti/partner di Avaya (Titolari del trattamento). L’impiego di un revisore terzo per svolgere il controllo per conto del Cliente è soggetto al consenso scritto di Avaya, che può essere rifiutato solo per giusta causa, e a un accordo scritto di riservatezza tra il revisore terzo, il Cliente e Avaya. Il Cliente fornirà ad Avaya qualsiasi rapporto di controllo generato in relazione a qualsiasi controllo ai sensi della presente Sezione 10.2. Il Cliente può utilizzare i rapporti di controllo solo ai fini del rispetto dei requisiti di controllo normativo e/o della conferma del rispetto dei requisiti del presente DPA. I rapporti di controllo costituiscono informazioni riservate delle parti ai sensi del presente Accordo. Questo diritto di audit potrà essere esercitato una volta all’anno, a meno che circostanze richiedano un audit specifico ed eccezionale.

11. Varie

11.1 Il termine di questo DPA corrisponde al termine del Contratto. I termini che, per loro natura, sono destinati a sopravvivere alla risoluzione o alla scadenza del presente DPA, continueranno e sopravviveranno a qualsiasi risoluzione o scadenza di questo DPA.

11.2 In deroga a quanto stabilito nel Contratto, in caso di conflitto tra i termini del presente DPA e i termini del Contratto, prevarranno i termini del presente DPA.

11.3 La data di efficacia del presente DPA è la data in cui il Cliente lo controfirma.

CLIENTE

Anche per conto delle sue Consociate:

Nome completo del soggetto giuridico del Cliente:

Indirizzo:

Firma:

Nome:

Titolo:

Indirizzo e-mail:

Data:

AVAYA

per conto delle Consociate Avaya che sono parti al Contratto: