TERMINI E CONDIZIONI GENERALI PER I SERVIZI CLOUD QUALTRICS ("GTC")
TERMINI E CONDIZIONI GENERALI PER I SERVIZI CLOUD QUALTRICS ("GTC")
Tra Qualtrics, LLC
(una società di SAP America Inc.) 000 X. Xxxxx Xxxx Xxxxx
Xxxxx, Xxxx 00000 ("Qualtrics")
E [Nome del cliente]
[Indirizzo del cliente] ("Cliente")
1. DEFINIZIONI
I termini in maiuscolo utilizzati in questo documento sono definiti nel Glossario.
2. DIRITTI E RESTRIZIONI D'USO
2.1 Concessione di diritti.
Qualtrics concede al Cliente un diritto non esclusivo, non trasferibile e mondiale di utilizzare il Servizio Cloud (compresa la sua implementazione e configurazione), i Materiali Cloud (se applicabile) e la Documentazione esclusivamente per le operazioni commerciali interne del Cliente e delle sue Affiliate. Gli usi consentiti e le restrizioni del Servizio cloud si applicano anche ai Materiali cloud e alla Documentazione.
2.2 Utenti autorizzati.
Il cliente può consentire agli utenti autorizzati di utilizzare il servizio cloud. L'utilizzo è limitato alle metriche di utilizzo e ai volumi indicati nel modulo d'ordine. Le credenziali di accesso al Servizio Cloud non possono essere utilizzate da più di un individuo, ma possono essere trasferite da un individuo a un altro se l'utente originale non è più autorizzato a utilizzare il Servizio Cloud. Il cliente è responsabile delle violazioni del Contratto causate dagli utenti autorizzati.
2.3 Politica d'uso accettabile.
Per quanto riguarda il Servizio Cloud, il Cliente non potrà:
(a) disassemblare, decompilare, decodificare, copiare, tradurre o fare lavori derivati,
(b) trasmettere qualsiasi contenuto o dato che sia illegale o violi qualsiasi diritto di proprietà intellettuale, o
(c) aggirare o mettere in pericolo il suo funzionamento o la sua sicurezza.
2.4 Verifica dell'uso.
Il cliente monitorerà il proprio utilizzo del servizio cloud e segnalerà qualsiasi utilizzo in eccesso rispetto alle metriche di utilizzo e al volume. Qualtrics può monitorare l'uso per verificare la conformità alle Metriche d'uso, al volume e al Contratto.
2.5 Sospensione del servizio cloud.
Qualtrics può sospendere o limitare l'uso del Servizio Cloud se l'uso continuato può causare danni materiali al Servizio Cloud o ai suoi utenti. Qualtrics notificherà prontamente al Cliente la sospensione o la limitazione. Qualtrics limiterà la sospensione o la limitazione nel tempo e nella portata come ragionevolmente possibile in base alle circostanze.
2.6 Servizi web di terze parti.
Il Servizio Cloud può includere integrazioni con servizi web resi disponibili da terze parti (diverse dalle Affiliate di Qualtrics) che sono accessibili attraverso il Servizio Cloud e soggetti a termini e condizioni con tali terze parti. Questi servizi web di terze parti non fanno parte del Servizio Cloud e il Contratto non si applica ad essi.
2.7 Accesso mobile al servizio cloud.
Se applicabile, gli Utenti autorizzati possono accedere a determinati Servizi cloud tramite applicazioni mobili ottenute da siti web di terze parti come Android o Apple app store. L'uso delle applicazioni mobili può essere regolato dai termini e dalle condizioni presentate al momento del download/accesso all'applicazione mobile e non dai termini del Contratto.
3. RESPONSABILITÀ DI QUALTRICS
3.1 Approvvigionamento.
Qualtrics fornisce l'accesso al Servizio Cloud come descritto nel Contratto.
3.2 Supporto.
Qualtrics fornisce supporto per il Servizio Cloud come indicato nel Modulo d'Ordine.
3.3 Sicurezza.
Qualtrics implementerà e manterrà adeguate misure tecniche e organizzative per proteggere i dati personali elaborati da Qualtrics come parte del Servizio Cloud, come descritto nell'Accordo per il trattamento dei dati allegato come Allegato A ("DPA") per i Servizi Cloud incorporato nel Modulo d'ordine, in conformità con la legge applicabile sulla protezione dei dati.
3.4 Modifiche.
(a) Il Servizio Cloud e le Politiche di Qualtrics possono essere modificate da Qualtrics. Qualtrics informerà il Cliente delle modifiche tramite e-mail, il portale di supporto, le note di rilascio, la Documentazione o il Servizio Cloud. Le informazioni saranno fornite via e-mail se la modifica non è solo un miglioramento. Le modifiche possono includere nuove funzionalità opzionali per il Servizio Cloud, che il Cliente può utilizzare in base al Supplemento e alla Documentazione in vigore in quel momento.
(b) Se il Cliente stabilisce che una modifica non è solo un miglioramento e riduce marcatamente il Servizio Cloud, il Cliente può interrompere i suoi abbonamenti al Servizio Cloud interessato fornendo una notifica scritta a Qualtrics entro trenta giorni dal ricevimento della notifica informativa di Qualtrics.
3.5 Analisi.
Qualtrics o le sue Affiliate possono creare analisi utilizzando, in parte, i Dati del Cliente e le informazioni derivate dall'uso da parte del Cliente del Servizio Cloud e dei Servizi di Consulenza, come indicato di seguito ("Analisi"). Le analisi renderanno anonime e aggregate le informazioni e saranno trattate come Materiale Cloud.
Se non diversamente concordato, i dati personali contenuti nei Dati del cliente vengono utilizzati solo per fornire il Servizio Cloud e i Servizi di consulenza. Le analisi possono essere utilizzate per i seguenti scopi:
a) miglioramento del prodotto (in particolare, caratteristiche e funzionalità del prodotto, flussi di lavoro e interfacce utente) e sviluppo di nuovi prodotti e servizi Qualtrics,
b) migliorare l'allocazione delle risorse e il supporto,
c) pianificazione della domanda interna,
d) formazione e sviluppo di algoritmi di apprendimento automatico,
e) migliorare le prestazioni del prodotto,
f) verifica della sicurezza e dell'integrità dei dati
g) identificazione delle tendenze e degli sviluppi del settore, creazione di indici e benchmarking anonimo
4. DATI DEL CLIENTE E PERSONALI
4.1 Dati del cliente.
Il Cliente è responsabile dei Dati del Cliente e del loro inserimento nel Servizio Cloud. Il Cliente concede a Qualtrics (comprese le Affiliate e i subappaltatori di Qualtrics) il diritto non esclusivo di elaborare i Dati del Cliente esclusivamente per fornire e supportare il Servizio Cloud.
4.2 Dati personali.
Il Cliente raccoglierà e manterrà tutti i dati personali contenuti nei Dati del Cliente in conformità con le leggi applicabili in materia di privacy e protezione dei dati.
4.3 Sicurezza.
Il Cliente manterrà standard di sicurezza ragionevoli per l'utilizzo del Servizio Cloud da parte dei suoi Utenti Autorizzati. Il Cliente non condurrà o autorizzerà test di penetrazione del Servizio Cloud senza previa approvazione di Qualtrics.
4.4 Accesso ai Dati Cliente.
(a) Durante il Periodo di Abbonamento, il Cliente può accedere ai suoi Dati Cliente in qualsiasi momento. Il Cliente può esportare e recuperare i suoi Dati del Cliente in un
formato standard. L'esportazione e il recupero possono essere soggetti a limitazioni tecniche, nel qual caso Qualtrics e il Cliente troveranno un metodo ragionevole per consentire al Cliente di accedere ai Dati del Cliente.
(b) Prima della scadenza del Periodo di Abbonamento, se disponibile, il Cliente può utilizzare gli strumenti di esportazione self-service di Qualtrics (se disponibili) per eseguire un'esportazione finale dei Dati del Cliente dal Servizio Cloud. In alternativa, il Cliente può richiedere l'esportazione dei dati tramite ticket di supporto.
(c) Al termine del Contratto, Qualtrics cancellerà i Dati del Cliente rimanenti sui server che ospitano il Servizio Cloud, a meno che la legge applicabile non ne richieda la conservazione. I dati conservati sono soggetti alle disposizioni di riservatezza del Contratto.
(d) In caso di procedimenti legali di terzi relativi ai Dati del Cliente, Xxxxxxxxx collaborerà con il Cliente e si conformerà alla legge applicabile (entrambi a spese del Cliente) per quanto riguarda la gestione dei Dati del Cliente.
5. TARIFFE E IMPOSTE
5.1 Tariffe e pagamento.
Il Cliente pagherà le tariffe come indicato nel Modulo d'Ordine. Previa comunicazione scritta, Qualtrics potrà sospendere l'utilizzo del Servizio Cloud da parte del Cliente fino a quando il pagamento non verrà effettuato. Il Cliente non può trattenere, ridurre o compensare le tariffe dovute né ridurre le metriche di utilizzo durante il periodo di sottoscrizione. Tutti i Moduli d'Ordine non sono annullabili e le tariffe non sono rimborsabili.
5.2 Tariffe.
Le tariffe e gli altri oneri imposti da un Modulo d'Ordine non includeranno le tasse, che saranno tutte a carico del Cliente. Il Cliente è responsabile di tutte le tasse, ad eccezione delle imposte sul reddito e dei contributi sulle retribuzioni di Qualtrics. Il Cliente deve fornire a Qualtrics qualsiasi permesso di pagamento diretto o certificati validi di esenzione da tasse prima di firmare un Modulo d'Ordine. Se Qualtrics è tenuta a pagare le tasse (diverse dalle sue imposte sul reddito e dai contributi sulle retribuzioni), il Cliente rimborserà Qualtrics per tali importi e indennizzerà Qualtrics per qualsiasi tassa e costo correlati pagati o pagabili da Qualtrics attribuibili a tali tasse.
6. DURATA E CESSAZIONE
6.1 Durata.
La durata dell'abbonamento è quella indicata nel modulo d'ordine.
6.2 Cessazione.
Una parte può porre fine all'accordo:
(a) su preavviso scritto di trenta giorni della violazione rilevante dell'altra parte, a meno che la violazione non venga sanata durante tale periodo di trenta giorni,
(b) come previsto dalle Sezioni 3.4(b), 7.3(b), 7.4(c), o 8.1(c) (con risoluzione effettiva trenta giorni dopo il ricevimento della notifica in ognuno di questi casi), o
(c) immediatamente se l'altra parte presenta istanza di fallimento, diventa insolvente, o fa una cessione a beneficio dei creditori, o altrimenti viola gravemente le Sezioni 11 o 12.6.
6.3 Rimborso e pagamenti.
In caso di rescissione da parte del Cliente o di una rescissione 8.1(c), il Cliente avrà diritto a:
(a) un rimborso proporzionale all'importo della parte inutilizzata delle tariffe prepagate per l'abbonamento terminato, calcolato a partire dalla data effettiva di terminazione e
(b) una liberazione dall'obbligo di pagare le tariffe dovute per i periodi successivi alla data effettiva di cessazione.
6.4 Effetto della scadenza o della cessazione.
Alla data effettiva di scadenza o risoluzione dell'accordo:
(a) Il diritto del Cliente di utilizzare il Servizio Cloud e tutte le informazioni riservate di Qualtrics cesserà,
(b) Le informazioni riservate della parte divulgatrice saranno restituite o distrutte come richiesto dall'accordo, e
(c) La rescissione o la scadenza dell'accordo non influisce su altri accordi tra le parti.
6.5 Sopravvivenza.
Le sezioni 1, 5, 6.3, 6.4, 6.5, 8, 9, 10, 11 e 12 sopravvivranno alla scadenza o alla risoluzione del Contratto.
7. GARANZIE
7.1 Conformità alla legge.
Ciascuna parte garantisce la sua attuale e continua conformità a tutte le leggi e i regolamenti ad essa applicabili in relazione a:
(a) nel caso di Qualtrics, il funzionamento dell'attività di Qualtrics in relazione al Servizio Cloud, e
(b) nel caso del Cliente, i Dati del Cliente e l'uso del Servizio Cloud da parte del Cliente.
7.2 Buone pratiche industriali.
Qualtrics garantisce che fornirà il Servizio Cloud:
(a) in sostanziale conformità alla Documentazione; e
(b) al grado di abilità e cura che ci si può ragionevolmente aspettare da un fornitore globale competente ed esperto di servizi sostanzialmente simili alla natura e alla complessità del Servizio Cloud.
7.3 Rimedio.
Gli unici ed esclusivi rimedi del Cliente e l'intera responsabilità di Qualtrics per la violazione della garanzia ai sensi della Sezione 7.2 saranno:
(a) la ri-prestazione del Servizio Cloud carente e
(b) se Qualtrics non è in grado di eseguire nuovamente la prestazione, il Cliente può rescindere il suo abbonamento per il Servizio Cloud interessato. Qualsiasi rescissione deve avvenire entro tre mesi dalla mancata ripetizione della prestazione da parte di Qualtrics.
7.4 Disponibilità del sistema.
(a) Qualtrics garantisce di mantenere una disponibilità di sistema media mensile per il sistema di produzione del Servizio Cloud come definito nell'accordo di livello di servizio applicabile o Supplemento ("SLA").
(b) L'unico ed esclusivo rimedio del Cliente per la violazione dello SLA da parte di Qualtrics è l'emissione di un credito per l'importo descritto nello SLA. Il Cliente seguirà la procedura di richiesta di credito pubblicata da Qualtrics. Quando la validità del credito di servizio è confermata da Qualtrics per iscritto (è consentita l'e-mail), il Cliente potrà applicare il credito ad una futura fattura per il Servizio Cloud o richiedere un rimborso per l'importo del credito se nessuna fattura futura è dovuta.
(c) Nel caso in cui Qualtrics non riesca a soddisfare lo SLA (i) per quattro mesi consecutivi, o (ii) per cinque o più mesi durante un periodo di dodici mesi, o (iii) ad un livello di disponibilità del sistema di almeno il 95% per un mese di calendario, il Cliente può terminare i suoi abbonamenti per il Servizio Cloud interessato fornendo a Qualtrics un avviso scritto entro trenta giorni dalla mancata riuscita.
7.5 Esclusioni di garanzia.
Le garanzie nelle sezioni 7.2 e 7.4 non si applicano se:
(a) il Servizio Cloud non viene utilizzato in conformità al Contratto o alla Documentazione,
(b) qualsiasi non conformità è causata dal Cliente, o da qualsiasi prodotto o servizio non fornito da Qualtrics, o
(c) il servizio cloud è stato fornito gratuitamente.
7.6 Esclusione di responsabilità.
Ad eccezione di quanto espressamente previsto nel Contratto, né Qualtrics né i suoi subappaltatori rilasciano alcuna dichiarazione o garanzia, espressa o implicita, legale o altro, per quanto riguarda qualsiasi questione, compresa la commerciabilità, l'idoneità, l'originalità o l'idoneità per un particolare uso o scopo, la non violazione o i risultati che possono derivare dall'uso o dall'integrazione con qualsiasi prodotto o servizio fornito ai sensi del Contratto, o che il funzionamento di qualsiasi prodotto o servizio sarà sicuro, senza interruzioni o senza errori. Il Cliente accetta di non fare affidamento sulla messa a disposizione di funzionalità future, commenti pubblici o pubblicità di Qualtrics o su piani di sviluppo dei prodotti per ottenere abbonamenti per qualsiasi Servizio Cloud.
8. PRETESE DI TERZI
8.1 Pretese presentate contro il cliente.
(a) Qualtrics difenderà il Cliente da accuse mosse al Cliente e le sue Affiliate da qualsiasi terza parte che asserisca che l'uso del Servizio Cloud da parte del Cliente e delle sue Affiliate violi o si appropri di una rivendicazione di brevetto, copyright o diritto di segreto commerciale. Qualtrics indennizzerà il Cliente per tutti i danni riconosciuti in via definitiva contro il Cliente (o l'importo di qualsiasi accordo che Qualtrics stipula) in relazione a tali pretese.
(b) Gli obblighi di Qualtrics ai sensi della Sezione 8.1 non si applicheranno se la pretesa deriva da (i) violazione del Cliente della Sezione 2, (ii) uso del Servizio Cloud in combinazione con qualsiasi prodotto o servizio non fornito da Qualtrics, o (iii) uso del Servizio Cloud fornito senza compenso.
(c) Nel caso in cui una pretesa sia avanzata o possa essere avanzata, Qualtrics può (i) procurare al Cliente il diritto di continuare a utilizzare il Servizio Cloud secondo i termini del Contratto, o (ii) sostituire o modificare il Servizio Cloud per renderlo non violabile senza una diminuzione marcata della funzionalità. Se queste opzioni non sono ragionevolmente disponibili, Qualtrics o il Cliente possono interrompere l'abbonamento del Cliente al Servizio Cloud interessato, previa comunicazione scritta all'altro.
8.2 Pretese presentate contro Qualtrics.
Il Cliente difenderà Qualtrics contro le richieste di risarcimento presentate contro Xxxxxxxxx e le sue Affiliate e subappaltatori da qualsiasi terza parte in relazione ai Dati del Cliente.
Il Cliente indennizzerà Qualtrics per tutti i danni riconosciuti alla fine contro Xxxxxxxxx e le sue Affiliate e subappaltatori (o l'importo di qualsiasi accordo che il Cliente stipula) in relazione a queste richieste.
8.3 Procedura di pretesa da parte di terzi.
(a) La parte contro la quale viene presentata una pretesa da parte di terzi notificherà tempestivamente all'altra parte per iscritto qualsiasi pretesa, coopererà ragionevolmente nella difesa e potrà comparire (a proprie spese) attraverso un avvocato ragionevolmente accettabile per la parte che fornisce la difesa.
(b) La parte che è obbligata a difendersi da una pretesa avrà il diritto di controllare completamente la difesa.
(c) Qualsiasi composizione di una pretesa non includerà un obbligo di prestazione finanziaria o specifica, o l'ammissione di responsabilità da parte della parte contro cui la pretesa è presentata.
8.4 Rimedio esclusivo.
Le disposizioni della Sezione 8 stabiliscono l'unica, esclusiva e intera responsabilità delle parti, dei loro affiliati, partner commerciali e subappaltatori nei confronti dell'altra parte ed è l'unico rimedio dell'altra parte, rispetto alle pretese di terzi trattate e alla violazione o appropriazione indebita di diritti di proprietà intellettuale di terzi.
9. LIMITAZIONE DI RESPONSABILITÀ
9.1 Responsabilità illimitata.
Nessuna delle due parti escluderà o limiterà la propria responsabilità per i danni derivanti da:
(a) gli obblighi delle parti ai sensi della Sezione 8.1(a) e 8.2,
(b) l'uso o la divulgazione non autorizzata delle informazioni riservate,
(c) la violazione da parte di una delle parti dei suoi obblighi di protezione e sicurezza dei dati che si traduce in un uso non autorizzato o la divulgazione di dati personali,
(d) la morte o le lesioni fisiche derivanti dalla negligenza grave o dal comportamento doloso di una delle parti, o
(e) qualsiasi inadempienza da parte del Cliente nel pagamento di qualsiasi tariffa dovuta ai sensi del Contratto.
9.2 Massimale di responsabilità.
Ai sensi delle Sezioni 9.1 e 9.3, la massima responsabilità aggregata di una delle parti (o delle rispettive Affiliate o dei subappaltatori di Qualtrics) nei confronti dell'altra o di qualsiasi altra persona o entità per tutti gli eventi (o serie di eventi collegati) verificatisi in un periodo di dodici mesi non supererà le tariffe di abbonamento annuali pagate per il Servizio Cloud applicabile che ha causato direttamente il danno per quel periodo di dodici mesi. Qualsiasi
"periodo di dodici mesi" inizia dalla data di inizio del Periodo di sottoscrizione o da uno qualsiasi dei suoi anniversari annuali.
9.3 Esclusione dei danni.
Ai sensi della Sezione 9.1:
(a) nessuna delle parti (né le sue rispettive Affiliate o i subappaltatori di Qualtrics) sarà responsabile nei confronti dell'altra parte per qualsiasi danno speciale, incidentale, consequenziale o indiretto, perdita di avviamento o di profitti commerciali, interruzione del lavoro o per danni esemplari o punitivi e
(b) Qualtrics non sarà responsabile per eventuali danni causati da qualsiasi Servizio Cloud fornito gratuitamente.
9.4 Allocazione del rischio.
Il Contratto ripartisce i rischi tra Qualtrics e il Cliente. Le tariffe per il Servizio Cloud e i Servizi di Consulenza riflettono questa ripartizione del rischio e le limitazioni di responsabilità.
10. DIRITTI DI PROPRIETÀ INTELLETTUALE
10.1 Proprietà di QUALTRICS.
Qualtrics, le Affiliate di Qualtrics o i concessori di licenza possiedono tutti i diritti di proprietà intellettuale relativi al Servizio Cloud, ai materiali Cloud, alla documentazione, ai servizi di consulenza, ai contributi di progettazione, alle conoscenze o ai processi correlati e a qualsiasi opera derivata da essi. Tutti i diritti non espressamente concessi al Cliente sono riservati a Qualtrics e ai suoi concessori di licenza.
10.2 Proprietà del cliente.
Il Cliente conserva tutti i diritti sui Dati del Cliente e a essi relativi. Qualtrics può utilizzare i marchi commerciali forniti dal Cliente esclusivamente per fornire e supportare il Servizio Cloud.
10.3 Mancata rivendicazione di diritti.
Il Cliente si impegna, per conto proprio e dei suoi successori e cessionari, a non rivendicare nei confronti di Qualtrics e dei suoi Affiliati o concessori di licenza, alcun diritto, o qualsiasi rivendicazione di qualsiasi diritto, in qualsiasi Servizio Cloud, Materiale Cloud, Documentazione o Servizio di consulenza.
11. RISERVATEZZA
11.1 Uso di informazioni riservate.
(a) La parte ricevente proteggerà tutte le Informazioni Riservate della parte divulgatrice come strettamente confidenziali nella stessa misura in cui protegge le proprie Informazioni Riservate e non meno di un ragionevole standard di cura. La parte ricevente non divulgherà alcuna Informazione Riservata della parte divulgatrice al di fuori del proprio personale, dei suoi rappresentanti o degli Utenti Autorizzati il cui accesso sia necessario per consentirle di esercitare i propri diritti o adempiere ai propri obblighi ai sensi del Contratto e che siano soggetti a obblighi di riservatezza sostanzialmente simili a quelli della Sezione 11. Il Cliente non divulgherà il Contratto o i prezzi a terzi.
(b) Le informazioni riservate di una delle parti divulgate prima dell'esecuzione dell'accordo saranno soggette alla Sezione 11.
(c) In caso di procedimenti legali relativi alle informazioni riservate, la parte ricevente coopererà con la parte rivelatrice e si conformerà alla legge applicabile (il tutto a spese della parte rivelatrice) per quanto riguarda la gestione delle informazioni riservate.
11.2 Eccezioni.
Le restrizioni sull'uso o la divulgazione di informazioni riservate non si applicano a qualsiasi informazione riservata che:
(a) sia sviluppata in modo indipendente dalla parte ricevente senza riferimento alle Informazioni Riservate della parte divulgatrice,
(b) è generalmente disponibile al pubblico senza che la parte ricevente abbia violato l'accordo,
(c) al momento della divulgazione, era nota alla parte ricevente senza restrizioni di riservatezza, o
(d) la parte rivelatrice concorda per iscritto che sia libera da restrizioni di riservatezza.
11.3 Pubblicità.
Nessuna delle due parti utilizzerà il nome dell'altra parte in attività pubblicitarie senza il previo consenso scritto dell'altra, ad eccezione del fatto che il Cliente accetta che Qualtrics possa utilizzare il nome del Cliente negli elenchi dei clienti o nelle chiamate trimestrali con i suoi investitori o, in momenti concordati tra le parti, come parte delle iniziative di marketing di Qualtrics (comprese le chiamate di riferimento e le storie, le testimonianze della stampa, le visite al sito, la partecipazione a SAPPHIRE). Il Cliente accetta che Xxxxxxxxx possa condividere le informazioni sul Cliente con le sue Affiliate per scopi di marketing e altri scopi commerciali e che abbia ottenuto le autorizzazioni appropriate per condividere le informazioni di contatto dei dipendenti del Cliente con Qualtrics.
12. VARIE
12.1 Separabilità.
Se una qualsiasi disposizione dell'accordo è ritenuta non valida o inapplicabile, l'invalidità o inapplicabilità non influenzerà le altre disposizioni dell'accordo.
12.2 Nessuna rinuncia.
Una rinuncia a far valere i propri diritti per una violazione dell'accordo non va considerata una rinuncia ad agire in presenza di qualsiasi altra violazione.
12.3 Firma elettronica.
Le firme elettroniche che rispettano la legge applicabile sono considerate firme originali.
12.4 Questioni regolamentari.
Le informazioni riservate di Qualtrics sono soggette alle leggi sul controllo delle esportazioni di vari paesi, comprese le leggi degli Stati Uniti e della Germania. Il cliente non sottoporrà le informazioni riservate di Qualtrics ad alcuna autorità pubblica con potere normativo per la remunerazione delle licenze o altre approvazioni normative e non esporterà le informazioni riservate di Qualtrics a paesi, persone o entità se proibito dalle leggi sull'esportazione.
12.5 Avvisi.
Tutti gli avvisi saranno in forma scritta e consegnati all'indirizzo indicato nel Modulo d'ordine con copia all'ufficio legale. Le comunicazioni di Qualtrics relative al funzionamento o al supporto del Servizio Cloud e quelle di cui alle Sezioni 3.4 e 5.1 possono essere sotto forma di comunicazione elettronica al rappresentante o all'amministratore autorizzato del Cliente identificato nel Modulo d'ordine.
12.6 Cessione.
Senza il previo consenso scritto di Xxxxxxxxx, il Cliente non può cedere o trasferire il Contratto (o qualsiasi dei suoi diritti o obblighi) a qualsiasi parte. Qualtrics può cedere il Contratto alle Affiliate di Qualtrics.
12.7 Subappalto.
Qualtrics può subappaltare parti del Servizio Cloud o dei Servizi di Consulenza a terzi. Qualtrics è responsabile delle violazioni del Contratto causate dai suoi subappaltatori.
12.8 Rapporto tra le parti.
Le parti sono contraenti indipendenti e nessun rapporto di partnership, franchising, joint venture, agenzia, fiduciario o lavoro è creato dal Contratto tra le parti.
12.9 Forza maggiore.
Qualsiasi ritardo nell'adempimento (diverso dal pagamento delle somme dovute) causato da condizioni al di fuori del ragionevole controllo della parte in considerazione non costituisce una violazione del Contratto. Il tempo di esecuzione sarà esteso per un periodo pari alla durata delle condizioni che impediscono l'esecuzione.
12.10 Legge applicabile.
L'accordo e qualsiasi pretesa relativa al suo oggetto saranno regolati e interpretati secondo le leggi del Commonwealth della Pennsylvania, senza riferimento ai suoi conflitti di principi legali. Tutte le controversie saranno soggette alla giurisdizione esclusiva dei tribunali di Filadelfia, Pennsylvania. La Convenzione delle Nazioni Unite sui contratti per la vendita internazionale di beni e l'Uniform Computer Information Transactions Act (dove emanato) non si applicheranno all'accordo. Ciascuna parte deve avviare una causa di azione per qualsiasi richiesta relativa al Contratto e al suo oggetto entro un anno dalla data in cui la parte è venuta a conoscenza, o avrebbe dovuto venire a conoscenza dopo una ragionevole indagine, dei fatti che danno origine alla richiesta.
12.11 Intero accordo.
Il Contratto costituisce l’enunciato completo ed esclusivo dell'accordo tra Qualtrics e il Cliente in relazione al rapporto commerciale delle parti relativo all'oggetto del Contratto. Tutte le precedenti dichiarazioni, discussioni e scritti (compresi eventuali accordi di riservatezza) sono fusi e sostituiti dal Contratto e le parti non fanno affidamento su di essi. Il Contratto può essere modificato esclusivamente per iscritto e firmato da entrambe le parti, ad eccezione di quanto consentito dalla Sezione 3.4. Un Contratto prevarrà sui termini e le condizioni di qualsiasi ordine di acquisto emesso dal Cliente, che non avrà alcuna forza ed effetto, anche se Qualtrics accetta o non rifiuta in altro modo l'ordine di acquisto.
12.12 Accordo per il trattamento dei dati.
Se il cliente sta elaborando dati personali utilizzando i servizi, la DPA regolerà l'elaborazione di tali dati personali.
Glossario
1.1 Per "Affiliata" di una parte si intende qualsiasi entità legale in cui una parte, direttamente o indirettamente, detiene più del cinquanta per cento (50%) delle azioni o dei diritti di voto dell'entità. Qualsiasi entità giuridica sarà considerata un'Affiliata fino a quando tale interesse sarà mantenuto.
1.2 "Accordo" indica un Modulo d'Ordine e i documenti incorporati in un Modulo d'Ordine.
1.3 "Utente autorizzato" indica qualsiasi individuo a cui il Cliente concede l'autorizzazione di accesso per l'utilizzo del Servizio Cloud che è un dipendente, agente, appaltatore o rappresentante di
(a) Cliente,
(b) Affiliati del cliente, e/o
(c) Partner commerciali del cliente e delle sue affiliate.
1.4 "Partner commerciale" indica un'entità legale che richiede l'uso di un servizio cloud in relazione alle operazioni commerciali interne del Cliente e delle sue Affiliate. Questi possono includere clienti, distributori, provider di servizi e/o fornitori del Cliente.
1.5 "Servizio Cloud" indica qualsiasi soluzione distinta, basata su abbonamento, ospitata, supportata e gestita su richiesta fornita da Qualtrics in base a un Modulo d'Ordine.
1.6 "Materiale Cloud" indica qualsiasi materiale fornito o sviluppato da Qualtrics (in modo indipendente o con la collaborazione del Cliente) nel corso dell'esecuzione del Contratto, compresa la fornitura di qualsiasi servizio di assistenza o consulenza al Cliente. I Materiali Cloud non includono i Dati del Cliente, le Informazioni riservate del Cliente o il Servizio Cloud.
1.7 "Informazioni riservate" significa
(a) rispetto al Cliente: (i) i dati del cliente, (ii) le esigenze di marketing e commerciali del cliente, (iii) i piani di implementazione del cliente, e/o (iv) le informazioni finanziarie del cliente, e
(b) rispetto a Qualtrics: (i) il Servizio Cloud, la Documentazione, i Materiali Cloud e le analisi di cui alla Sezione 3.5, e (ii) le informazioni riguardanti la ricerca e lo sviluppo di Qualtrics, le offerte di prodotti, i prezzi e la disponibilità.
(c) Le informazioni riservate di Qualtrics o del Cliente includono anche le informazioni che la parte divulgatrice protegge dalla divulgazione illimitata ad altri che (i) la parte divulgatrice o i suoi rappresentanti designano come riservate al momento della divulgazione, o (ii) dovrebbero essere ragionevolmente intese come riservate data la natura delle informazioni e le circostanze che circondano la loro divulgazione.
1.8 "Servizi di consulenza" indica i servizi professionali, come l'implementazione, la configurazione, lo sviluppo personalizzato e la formazione, eseguiti da dipendenti o subappaltatori di Qualtrics come descritto in qualsiasi Modulo d'ordine e che sono regolati dal Supplemento per i servizi di consulenza o da un accordo simile.
1.9 "Dati del cliente" indica qualsiasi contenuto, materiale, dato e informazione che gli Utenti autorizzati inseriscono nel sistema di produzione di un Servizio Cloud o che il Cliente ricava dal suo utilizzo del Servizio Cloud e vi memorizza (ad esempio, rapporti specifici del Cliente). I Dati del Cliente e i loro derivati non includeranno le Informazioni Riservate di Qualtrics.
1.10 "Documentazione" indica la documentazione tecnica e funzionale aggiornata di Qualtrics, nonché qualsiasi descrizione dei ruoli e delle responsabilità, se applicabile, per il Servizio Cloud che viene messa a disposizione del Cliente con il Servizio Cloud.
1.11 "Modulo d'ordine" indica il documento d'ordine per un Servizio Cloud che fa riferimento alle CGC.
1.12 "Politiche di Qualtrics" indica le linee guida e le politiche operative applicate da Qualtrics per fornire e supportare il Servizio Cloud e incorporate in un Modulo d'Ordine.
1.13 "Durata dell'abbonamento" indica la durata di un abbonamento al Servizio Cloud identificato nel Modulo d'ordine applicabile, compresi tutti i rinnovi.
1.14 "Supplemento" indica, come applicabile, i termini e le condizioni supplementari che si applicano al Servizio Cloud e che sono incorporati in un Modulo d'Ordine.
1.15 "Metrica d'uso" indica lo standard di misurazione per determinare l'uso consentito e calcolare le tariffe dovute per un Servizio Cloud come stabilito in un Modulo d'ordine.
Le parti stipulano questo accordo a partire dall'ULTIMA DATA DI FIRMA IN BASSO ("Data di entrata in vigore delle CGC").
CLIENTE: | QUALTRICS, LLC |
Firma: | Firma: |
Nome e cognome: | Nome e cognome: |
Titolo: | Titolo: |
Data: | Data: |
Allegato A
Accordo per l'elaborazione dei dati
ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI PER I SERVIZI CLOUD DI QUALTRICS
Il presente addendum sul trattamento dei dati ("DPA") è stipulato TRA
(1) Cliente; e
(2) Qualtrics.
1. CONTESTO
1.1 Scopo e applicazione. Questo documento è incorporato nel Contratto e fa parte di un contratto scritto (anche in forma elettronica) tra Qualtrics e il Cliente. Il presente DPA si applica ai Dati personali trattati da Qualtrics e dai suoi Subincaricati del trattamento in relazione alla fornitura del Servizio Cloud. La presente LPD non si applica agli ambienti non di produzione del Servizio Cloud se tali ambienti sono resi disponibili da Qualtrics e il Cliente non dovrà memorizzare i Dati personali in tali ambienti.
1.2 Struttura. Le appendici 1 e 2 sono incorporate e fanno parte del presente DPA. Esse stabiliscono l'oggetto concordato, la natura e lo scopo del trattamento, il tipo di Dati personali, le categorie di interessati e le misure tecniche e organizzative applicabili.
1.3 GDPR. Qualtrics e il Cliente concordano che è responsabilità di ciascuna parte rivedere e adottare i requisiti imposti ai Controllori e ai Responsabili del trattamento dal Regolamento generale sulla protezione dei dati 2016/679 ("GDPR"), in particolare per quanto riguarda gli articoli 28 e da 32 a 36 del GDPR, se e nella misura in cui sono applicabili ai Dati personali del Cliente/Controllori che vengono trattati ai sensi dell'APP. A scopo illustrativo, l'Appendice 3 elenca i requisiti rilevanti del GDPR e le sezioni corrispondenti della presente DPA.
1.4 Conduzione aziendale. Qualtrics agisce come Responsabile del trattamento e il Cliente e le entità a cui permette di utilizzare il Servizio Cloud agiscono come Controllori ai sensi del DPA. Il Cliente agisce come unico punto di contatto ed è l'unico responsabile per l'ottenimento di tutte le autorizzazioni, i consensi e i permessi rilevanti per il trattamento dei Dati personali in conformità alla presente LPD, compresa, nel caso, l'approvazione da parte dei Controllori per l'utilizzo di Qualtrics come Responsabile del trattamento. Laddove le autorizzazioni, i consensi, le istruzioni o i permessi siano forniti dal Cliente, questi sono forniti non solo per conto del Cliente ma anche per conto di qualsiasi altro Controllore che utilizzi il Servizio Cloud. Laddove Qualtrics informi o dia un avviso al Cliente, tali informazioni o avvisi sono considerati ricevuti da quei Controllori a cui il Cliente ha permesso di utilizzare il Servizio Cloud ed è responsabilità del Cliente inoltrare tali informazioni e avvisi ai Controllori interessati.
2. SICUREZZA DEL TRATTAMENTO
2.1 Misure tecniche e organizzative appropriate. Qualtrics ha implementato e applicherà le misure tecniche e organizzative indicate nell'Appendice 2. Il Cliente ha esaminato tali misure e concorda che, per quanto riguarda il Servizio Cloud selezionato dal Cliente nel Modulo d'Ordine, le misure sono appropriate tenendo conto dello stato dell’arte, dei costi di implementazione, della natura, dell'ambito, del contesto e delle finalità del trattamento dei Dati Personali.
2.2 Modifiche. Qualtrics applica le misure tecniche e organizzative di cui all'Appendice 2 all'intera base clienti di Qualtrics ospitata dallo stesso Data Center e che riceve lo stesso Servizio Cloud. Qualtrics può modificare le misure stabilite nell'Appendice 2 in qualsiasi momento senza preavviso, purché mantenga un livello di sicurezza comparabile o migliore. Le singole misure possono essere sostituite da nuove misure che hanno lo stesso scopo senza diminuire il livello di sicurezza che protegge i Dati personali.
3. OBBLIGHI DI QUALTRICS
3.1 Istruzioni del Cliente. Qualtrics tratterà i Dati Personali solo in conformità alle istruzioni documentate dal Cliente. Il Contratto (compreso il presente DPA) costituisce tali istruzioni
iniziali documentate e ogni utilizzo del Servizio Cloud costituisce ulteriori istruzioni. Qualtrics farà ogni ragionevole sforzo per seguire qualsiasi altra istruzione del Cliente, purché sia richiesta dalla legge sulla protezione dei dati, tecnicamente fattibile e non richieda modifiche al Servizio Cloud. Se si applica una delle eccezioni di cui sopra, o se Qualtrics non può altrimenti rispettare un'istruzione o è del parere che un'istruzione violi la legge sulla protezione dei dati, Qualtrics informerà immediatamente il Cliente (e-mail consentita).
3.2 Elaborazione su richiesta della legge. Qualtrics può anche elaborare i Dati Personali se richiesto dalla legge applicabile. In tal caso, informerà il Cliente di tale requisito legale prima del trattamento, a meno che tale legge non vieti tale informazione per importanti motivi di interesse pubblico.
3.3 Personale. Per il trattamento dei Dati Personali, Qualtrics e i suoi Subincaricati del trattamento concederanno l'accesso solo al personale autorizzato che si è impegnato alla riservatezza. Qualtrics e i suoi Subincaricati del trattamento formeranno regolarmente il personale che ha accesso ai Dati Personali sulle misure applicabili di sicurezza e privacy dei dati.
3.4 Cooperazione. Su richiesta del Cliente, Xxxxxxxxx coopererà ragionevolmente con il Cliente e con i Controllori nell'affrontare le richieste dei Soggetti dei dati o delle autorità di regolamentazione riguardanti il trattamento dei Dati personali da parte di Qualtrics o qualsiasi Violazione dei dati personali. Qualtrics notificherà al Cliente, non appena ragionevolmente possibile, qualsiasi richiesta ricevuta da un Soggetto dei Dati in relazione al trattamento dei Dati Personali, senza rispondere a tale richiesta senza ulteriori istruzioni del Cliente, se del caso. Qualtrics fornirà una funzionalità che supporti la capacità del Cliente di correggere o rimuovere i Dati Personali dal Servizio Cloud, o di limitarne il trattamento in linea con la Legge sulla Protezione dei Dati. Laddove tale funzionalità non venga fornita, Qualtrics correggerà o rimuoverà i Dati Personali, o ne limiterà il trattamento, in conformità alle istruzioni del Cliente e alla Legge sulla Protezione dei Dati.
3.5 Notifica di violazione dei dati personali. Qualtrics notificherà al Cliente senza indebito ritardo dopo essere venuta a conoscenza di qualsiasi Violazione dei Dati Personali e fornirà ragionevoli informazioni in suo possesso per aiutare il Cliente a soddisfare gli obblighi del Cliente di segnalare una Violazione dei Dati Personali come richiesto dalla Legge sulla Protezione dei Dati. Qualtrics può fornire tali informazioni in fasi man mano che diventano disponibili. Tale notifica non dovrà essere interpretata o considerata un'ammissione di colpa o responsabilità da parte di Xxxxxxxxx.
3.6 Valutazione d'impatto sulla protezione dei dati. Se, ai sensi della legge sulla protezione dei dati, al Cliente (o ai suoi Controllori) è richiesto di eseguire una valutazione d'impatto sulla protezione dei dati o una consultazione preventiva con un'autorità di regolamentazione, su richiesta del Cliente, Qualtrics fornirà i documenti generalmente disponibili per il Servizio Cloud (ad esempio, la presente DPA, il Contratto, i rapporti di audit o le certificazioni). Qualsiasi altra assistenza sarà concordata di comune accordo tra le parti.
4. ESPORTAZIONE E CANCELLAZIONE DEI DATI
4.1 Esportazione e recupero da parte del Cliente. Durante il Periodo di Abbonamento e nel rispetto del Contratto, il Cliente può accedere ai propri Dati Personali in qualsiasi momento. Il cliente può esportare e recuperare i suoi Dati personali in un formato standard. L'esportazione e il recupero possono essere soggetti a limitazioni tecniche, nel qual caso Qualtrics e il Cliente troveranno un metodo ragionevole per consentire al Cliente di accedere ai Dati Personali.
4.2 Cancellazione. Prima della scadenza del Periodo di sottoscrizione, il Cliente è tenuto a utilizzare gli strumenti di esportazione self-service di Qualtrics (se disponibili) per eseguire un'esportazione finale dei Dati personali dal Servizio Cloud (che costituisce una "restituzione" dei Dati personali). Al termine del Periodo di sottoscrizione, il Cliente incarica Qualtrics di eliminare i Dati personali rimanenti sui server che ospitano il Servizio Cloud entro un periodo di tempo ragionevole in linea con la legge sulla protezione dei dati (non superiore a sei mesi), a meno che la legge applicabile non richieda la conservazione.
5. CERTIFICAZIONI E AUDIT
5.1 Audit del Cliente. Il cliente o il suo revisore indipendente di terze parti ragionevolmente accettabile per Qualtrics (che non includerà alcun revisore di terze parti che sia un concorrente di Qualtrics o non adeguatamente qualificato o indipendente) può verificare l'ambiente di
controllo di Qualtrics e le pratiche di sicurezza relative ai Dati Personali trattati da Qualtrics solo se:
(a) Qualtrics non ha fornito prove sufficienti della sua conformità alle misure tecniche e organizzative che proteggono i sistemi di produzione del Servizio Cloud fornendo o: (i) una certificazione di conformità alla norma ISO 27001 o ad altri standard (ambito definito nel certificato); o (ii) un valido rapporto di attestazione ISAE3402 e/o ISAE3000 o altro SOC1-3. Su richiesta del Cliente, i rapporti di audit o le certificazioni ISO sono disponibili attraverso il revisore di terze parti o Qualtrics;
(b) Si è verificata una violazione dei dati personali;
(c) Un audit è formalmente richiesto dall'autorità di protezione dei dati del cliente; o
(d) La legge obbligatoria sulla protezione dei dati fornisce al cliente un diritto di audit diretto e prevede che il cliente debba effettuare un solo audit in un periodo di dodici mesi, a meno che la legge obbligatoria sulla protezione dei dati non richieda audit più frequenti.
5.2 Audit di altri Controllori. Qualsiasi altro Controllore può verificare l'ambiente di controllo e le pratiche di sicurezza di Qualtrics relative ai Dati Personali trattati da Qualtrics in linea con la Sezione 5.1 solo se uno dei casi indicati nella Sezione 5.1 si applica a tale altro Controllore. Tale verifica deve essere intrapresa attraverso e dal Cliente come indicato nella Sezione 5.1, a meno che la verifica non debba essere intrapresa dall'altro Controllore stesso ai sensi della Legge sulla protezione dei dati. Se diversi Controllori i cui Dati Personali sono trattati da Qualtrics sulla base dell'Accordo richiedono un audit, il Cliente utilizzerà tutti i mezzi ragionevoli per combinare gli audit e per evitare audit multipli.
5.3 Portata dell'audit. Il cliente dovrà fornire un preavviso di almeno sessanta giorni per qualsiasi audit, a meno che la legge obbligatoria sulla protezione dei dati o un'autorità competente per la protezione dei dati non richieda un preavviso più breve. La frequenza e la portata di qualsiasi audit saranno concordate di comune accordo tra le parti agendo ragionevolmente e in buona fede. Gli audit dei clienti saranno limitati nel tempo a un massimo di tre giorni lavorativi. Al di là di tali restrizioni, le parti utilizzeranno le certificazioni correnti o altri rapporti di audit per evitare o ridurre al minimo gli audit ripetitivi. Il Cliente fornirà i risultati di qualsiasi audit a Qualtrics.
5.4 Costo degli audit. Il Cliente sosterrà i costi di qualsiasi audit, a meno che tale audit non riveli una violazione cospicua da parte di Qualtrics del presente DPA, in tal caso Qualtrics sosterrà le proprie spese di audit. Se un audit determina che Xxxxxxxxx ha violato i suoi obblighi ai sensi del DPA, Qualtrics porrà prontamente rimedio alla violazione a proprie spese.
6. SUBINCARICATI DEL TRATTAMENTO
6.1 Uso consentito. A Qualtrics è concessa un'autorizzazione generale a subappaltare il trattamento dei Dati personali a Subincaricati del trattamento, a condizione che:
(a) Qualtrics assuma i Subncaricati del trattamento in base a un contratto scritto (anche in forma elettronica) coerente con i termini della presente DPA in relazione al trattamento dei Dati personali da parte del Subincaricato del trattamento. Qualtrics sarà responsabile di eventuali violazioni da parte del Subincaricato del trattamento in conformità con i termini del presente accordo;
(b) Qualtrics valuti le pratiche di sicurezza, privacy e riservatezza di un Subincariato del trattamento prima della selezione per stabilire che sia in grado di fornire il livello di protezione dei Dati personali richiesto dal presente DPA; e
(c) L'elenco dei Subincaricati del trattamento di Qualtrics in vigore alla data effettiva del Contratto sia pubblicato da Qualtrics o Qualtrics lo metta a disposizione del Cliente, su richiesta, includendo il nome, l'indirizzo e il ruolo di ciascun Subincaricato del trattamento che Qualtrics utilizza per fornire il Servizio Cloud.
6.2 Nuovi Subincaricati del trattamento. L'uso da parte di Qualtrics dei Subincaricati del trattamento è a sua discrezione, a condizione che:
(a) Qualtrics informi il Cliente in anticipo (via e-mail o tramite pubblicazione all'interno del Servizio Cloud) di qualsiasi aggiunta o sostituzione prevista all'elenco dei Subincaricati del trattamento, compresi nome, indirizzo e ruolo del nuovo Subncaricato del trattamento; e
(b) Il Cliente possa opporsi a tali modifiche come indicato nella sezione 6.3.
6.3 Obiezioni ai nuovi Subincaricati del trattamento.
(a) Se il Cliente ha un motivo legittimo, ai sensi della legge sulla protezione dei dati, per opporsi al trattamento dei Dati personali da parte dei nuovi Subincaricati del trattamento, può rescindere il Contratto (limitatamente al Servizio Cloud per il quale si intende utilizzare il nuovo Subincaricato del trattamento) previa comunicazione scritta a Qualtrics. Tale risoluzione avrà effetto nel momento stabilito dal Cliente, che non sarà più tardi di trenta giorni dalla data della comunicazione di Qualtrics al Cliente che lo informa del nuovo Subincaricato del trattamento. Se il Cliente non effettua la disdetta entro questo periodo di trenta giorni, si ritiene che abbia accettato il nuovo Subincaricato del trattamento.
(b) Entro il periodo di trenta giorni dalla data della comunicazione di Qualtrics al Cliente che lo informa del nuovo Subincaricato del trattamento, il Cliente può richiedere che le parti si riuniscano in buona fede per discutere una risoluzione dell'obiezione. Tali discussioni non estenderanno il periodo di risoluzione e non pregiudicano il diritto di Qualtrics di utilizzare il nuovo Subincaricato del trattamento (uno o più) dopo il periodo di trenta giorni.
(c) Qualsiasi rescissione ai sensi della presente Sezione 6.3 sarà considerata senza colpa di una delle parti e sarà soggetta ai termini dell'Accordo.
6.4 Sostituzione di emergenza. Qualtrics può sostituire un Subincaricato del trattamento senza preavviso quando la ragione del cambiamento è al di fuori del ragionevole controllo di Qualtrics e una rapida sostituzione è richiesta per motivi di sicurezza o altri motivi urgenti. In questo caso, Xxxxxxxxx informerà il Cliente del Subincaricatoe del trattamento sostitutivo non appena possibile dopo la sua nomina. La Sezione 6.3 si applica di conseguenza.
7. TRATTAMENTO INTERNAZIONALE
7.1 Condizioni per il trattamento internazionale. Qualtrics avrà il diritto di elaborare i Dati Personali, anche utilizzando Subincaricati del trattamento, in conformità con la presente DPA al di fuori del paese in cui si trova il Cliente, secondo il disposto della legge sulla protezione dei dati.
7.2 Clausole contrattuali standard. Laddove (i) i Dati personali di un Controllore con sede nel SEE o in Svizzera siano trattati in un paese al di fuori del SEE, della Svizzera e di qualsiasi paese, organizzazione o territorio riconosciuto dall'Unione Europea come paese sicuro con un adeguato livello di protezione dei dati ai sensi dell'Art. 45 GDPR, o quando (ii) i Dati personali di un altro Controllore sono trattati a livello internazionale e tale trattamento internazionale richiede un mezzo di adeguatezza secondo le leggi del paese del Controllore e il mezzo di adeguatezza richiesto può essere adempiuto mediante la stipula di clausole contrattuali standard, allora:
(a) Qualtrics e il Cliente stipulano le Clausole Contrattuali Standard;
(b) Il Cliente stipula le Clausole Contrattuali Standard con ciascun Subincaricato del trattamento pertinente come segue, o (i) il Cliente aderisce alle Clausole Contrattuali Standard stipulate da Qualtrics e dal Subincaricato del trattamento come titolare indipendente di diritti e obblighi ("Modello di adesione") o, (ii) il Subincaricato del trattamento (rappresentato da Qualtrics) stipula le Clausole Contrattuali Standard con il Cliente ("Modello di procura"). Il Modello di Xxxxxxx si applicherà se e quando Qualtrics avrà espressamente confermato che un Subincaricato del trattamento è idoneo a tale modello attraverso l'elenco di Subincaricati del trattamento fornito ai sensi della Sezione 6.1(c), o un avviso al Cliente; e/o
(c) Gli altri Controllori il cui utilizzo dei Servizi Cloud è stato autorizzato dal Cliente ai sensi del Contratto possono anche stipulare le Clausole Contrattuali Standard con Qualtrics e/o i relativi Subincaricati del trattamento allo stesso modo del Cliente in conformità con le Sezioni 7.2 (a) e (b) di cui sopra. In tal caso, il Cliente stipulerà le Clausole Contrattuali Standard per conto degli altri Controllori.
7.3 Relazione delle Clausole Contrattuali Standard all'Accordo. Nessuna parte dell'Accordo può essere interpretata in modo da prevalere su qualsiasi clausola contrastante delle Clausole Contrattuali Standard. A scanso di equivoci, laddove il presente DPA specifica ulteriormente le regole di audit e del Subincaricato del trattamento nelle sezioni 5 e 6, tali specifiche si applicano anche in relazione alle Clausole Contrattuali Standard.
7.4 Legge applicabile alle Clausole Contrattuali Standard. Le Clausole Contrattuali Standard sono regolate dalla legge del paese in cui è costituito il relativo Controllere.
8. DOCUMENTAZIONE; REGISTRI DI LAVORAZIONE
Ciascuna parte è responsabile del rispetto dei propri requisiti di documentazione, in particolare del mantenimento delle registrazioni del trattamento ove richiesto dalla Legge sulla protezione dei dati. Ciascuna parte dovrà ragionevolmente assistere l'altra parte nei suoi requisiti di documentazione, compresa la fornitura delle informazioni di cui l'altra parte ha bisogno in un modo ragionevolmente richiesto dall'altra parte (ad esempio utilizzando un sistema elettronico), al fine di consentire all'altra parte di rispettare gli obblighi relativi al mantenimento delle registrazioni di trattamento.
9. DEFINIZIONI
I termini in maiuscolo non definiti nel presente documento avranno il significato loro attribuito nell'accordo.
9.1 "Controllore" indica la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro ente che, da solo o congiuntamente ad altri, determina le finalità e i mezzi del trattamento dei Dati personali; ai fini del presente DPA, laddove il Cliente agisca come elaboratore per un altro controllore, esso sarà considerato, in relazione a Qualtrics, un ulteriore e indipendente controllore con i rispettivi diritti e obblighi del controllore ai sensi del presente DPA.
9.2 "Data Center" indica il luogo in cui l'istanza di produzione del Servizio Cloud è ospitata per il Cliente nella regione concordata in un Modulo d'ordine.
9.3 "Legge sulla protezione dei dati" indica la legislazione applicabile che protegge i diritti e le libertà fondamentali delle persone e il loro diritto alla privacy per quanto riguarda il trattamento dei Dati personali ai sensi del Contratto (e include, per quanto riguarda il rapporto tra le parti in merito al trattamento dei Dati personali da parte di Qualtrics per conto del Cliente, il GDPR come standard minimo, indipendentemente dal fatto che i Dati personali siano soggetti al GDPR o meno).
9.4 "Soggetto dei dati" significa una persona fisica identificata o identificabile secondo la definizione della legge sulla protezione dei dati.
9.5 "SEE" indica lo Spazio Economico Europeo, ovvero gli Stati membri dell'Unione Europea insieme a Islanda, Liechtenstein e Norvegia.
9.6 "Dati personali" indica qualsiasi informazione relativa a un Soggetto dei dati che è protetta dalla Legge sulla protezione dei dati. Ai fini del DPA, include solo i dati personali che sono (i) inseriti dal Cliente o dai suoi Utenti Autorizzati nel loro utilizzo (o da esso derivati) del Servizio Cloud, o (ii) forniti a Qualtrics o i suoi Subincaricati (o da questi consultati) al fine di fornire supporto ai sensi del Contratto. I Dati Personali sono un sottoinsieme dei Dati del Cliente (come definito nel Contratto).
9.7 "Violazione dei dati personali" indica una (1) distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato confermati di terzi ai dati personali o (2) incidente simile che coinvolge i dati personali, in ogni caso per il quale Controllore è tenuto, ai sensi della legge sulla protezione dei dati, a fornire una notifica alle autorità competenti per la protezione dei dati o agli interessati.
9.8 Per "Incaricato del trattamento" si intende una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che elabora dati personali per conto del Controllore, sia direttamente come incaricato del trattamento di un Controllore, sia indirettamente come Subincaricato del trattamento di un incaricato del trattamento che elabora dati personali per conto del Controllore.
9.9 Per "Clausole Contrattuali Standard" o talvolta anche "Clausole Modello UE" si intendono le (Clausole Contrattuali Standard (elaboratori)) o qualsiasi versione successiva pubblicata dalla Commissione Europea (che sarà automaticamente applicata). Le Clausole Contrattuali Standard in vigore alla data di entrata in vigore dell'Accordo sono allegate al presente documento come Appendice 4.
9.10 "Subincaricato" indica le affiliate di Qualtrics e le terze parti ingaggiate da Qualtrics in relazione al Servizio Cloud e che trattano i Dati Personali in conformità al presente DPA.
Appendice 1 al DPA e, se applicabile, le clausole contrattuali standard
Esportatore di dati
L'Esportatore di dati è il Cliente che ha sottoscritto un Servizio Cloud che consente agli Utenti autorizzati di inserire, modificare, utilizzare, eliminare o elaborare in altro modo i Dati personali. Se il Cliente consente ad altri Controllori di utilizzare il Servizio Cloud, anche questi altri Controllori sono Esportatori di Dati.
Importatore di dati
Qualtrics e i suoi Subincaricati del trattamento forniscono il Servizio Cloud che include il seguente supporto:
Qualtrics e le sue Affiliate supportano i data center del Servizio Cloud in remoto dalle sedi di Qualtrics specificate nel Libro Bianco sulla Sicurezza di Qualtrics (che è disponibile su richiesta). Il supporto include:
• Monitoraggio del servizio cloud
• Backup e ripristino dei dati del cliente memorizzati nel servizio cloud
• Rilascio e sviluppo di correzioni e aggiornamenti del servizio cloud
• Monitoraggio, risoluzione dei problemi e amministrazione dell'infrastruttura del servizio cloud sottostante e del database
• Monitoraggio della sicurezza, supporto al rilevamento delle intrusioni basato sulla rete, test di penetrazione
Qualtrics e le sue Affiliate forniscono supporto quando un Cliente richiede assistenza perché il Servizio Cloud non è disponibile o non funziona come previsto per alcuni o tutti gli Utenti Autorizzati. Qualtrics risponde al telefono ed esegue la risoluzione dei problemi di base e gestisce i ticket di supporto in un sistema di tracciamento che è separato dall'istanza di produzione del Servizio Cloud.
Soggetti dei dati
L'Esportatore di dati determina esclusivamente le categorie di Soggetti dei dati che possono includere: dipendenti, appaltatori, partner commerciali o altri individui che hanno Dati personali memorizzati nel Servizio Cloud.
Categorie di dati
Il cliente determina esclusivamente le categorie di dati per Servizio Cloud sottoscritto. Il cliente può configurare i campi dati durante l'implementazione del servizio cloud o come altrimenti previsto dal Servizio Cloud. I dati personali trasferiti si riferiscono tipicamente alle seguenti categorie di dati: nome, numeri di telefono, indirizzo e-mail, fuso orario, dati di indirizzo, dati di accesso al sistema/utilizzo/autorizzazione, nome della società, dati del contratto, dati della fattura, più qualsiasi dato specifico dell'applicazione che gli utenti autorizzati inseriscono nel Servizio Cloud.
Categorie di dati speciali (se del caso)
I Dati Personali trasferiti riguardano le seguenti categorie speciali di dati: come indicato nel Contratto (incluso il Modulo d'Ordine) se presente.
Operazioni di trattamento/Finalità
I Dati Personali trasferiti sono soggetti alle seguenti attività di trattamento di base:
• utilizzo dei Dati Personali per impostare, far funzionare, monitorare e fornire il Servizio Cloud (incluso il supporto operativo e tecnico)
• fornitura di servizi;
• comunicazione agli utenti autorizzati
• conservazione dei dati personali in centri dati dedicati (architettura multi-tenant)
• caricare eventuali correzioni o aggiornamenti al Servizio Cloud
• back-up dei dati personali
• il trattamento informatico dei dati personali, compresa la trasmissione dei dati, il recupero dei dati, l'accesso ai dati
• accesso alla rete per permettere il trasferimento di dati personali
• l'esecuzione delle istruzioni del cliente in conformità con l'Accordo.
Appendice 2 della LPD e, se applicabile, le clausole contrattuali standard - Misure tecniche e organizzative
1. MISURE TECNICHE E ORGANIZZATIVE
Le seguenti sezioni definiscono le attuali misure tecniche e organizzative di Qualtrics. Qualtrics può modificarle in qualsiasi momento senza preavviso, purché mantenga un livello di sicurezza comparabile o migliore. Le singole misure possono essere sostituite da nuove misure che servono allo stesso scopo senza diminuire il livello di sicurezza che protegge i Dati Personali.
1.1 Controllo dell'accesso fisico. Alle persone non autorizzate viene impedito l'accesso fisico ai locali, edifici o stanze in cui si trovano i sistemi di elaborazione dati che trattano e/o utilizzano i Dati Personali.
Misure:
• Qualtrics protegge i suoi beni e le sue strutture utilizzando i mezzi appropriati in base alla politica di sicurezza di Qualtrics
• In generale, gli edifici sono protetti attraverso sistemi di controllo degli accessi (per esempio, sistema di accesso con smart card).
• Come requisito minimo, i punti di ingresso più esterni dell'edificio devono essere dotati di un sistema di chiavi certificato che includa una gestione moderna e attiva delle chiavi.
• A seconda della classificazione di sicurezza, gli edifici, le aree individuali e i locali circostanti possono essere ulteriormente protetti da misure aggiuntive. Queste includono profili di accesso specifici, videosorveglianza, sistemi di allarme anti-intrusione e sistemi di controllo degli accessi biometrici.
• I diritti di accesso sono concessi alle persone autorizzate su base individuale secondo le misure di controllo dell'accesso al sistema e ai dati (vedere le sezioni 1.2 e 1.3 di seguito). Questo vale anche per l'accesso dei visitatori. Gli ospiti e i visitatori degli edifici di Qualtrics devono registrarsi alla reception e devono essere accompagnati da personale autorizzato di Qualtrics.
• I dipendenti di Xxxxxxxxx e il personale esterno devono essere in possesso della propria carta d’identità le loro carte d'identità in tutte le sedi Qualtrics.
Misure aggiuntive per i centri dati:
• Tutti i centri dati aderiscono a rigorose procedure di sicurezza applicate da guardie, telecamere di sorveglianza, rilevatori di movimento, meccanismi di controllo dell'accesso e altre misure per evitare che le attrezzature e le strutture del centro dati vengano compromesse. Solo i rappresentanti autorizzati hanno accesso ai sistemi e alle infrastrutture all'interno delle strutture del Data Center. Per proteggere la corretta funzionalità, le attrezzature di sicurezza fisica (ad esempio, sensori di movimento, telecamere ecc.) sono sottoposti a manutenzione regolare.
• Qualtrics e tutti i fornitori terzi di Data Center registrano i nomi e gli orari del personale autorizzato che entra nelle aree private di Qualtrics all'interno dei Data Center.
1.2 Controllo dell'accesso al sistema. Si deve impedire che i sistemi di elaborazione dati utilizzati per fornire il Servizio Cloud siano utilizzati senza autorizzazione.
Misure:
• Vengono utilizzati più livelli di autorizzazione quando si concede l'accesso a sistemi sensibili, compresi quelli che conservano ed elaborano i Dati personali. Le autorizzazioni sono gestite tramite processi definiti secondo la Politica di Sicurezza di Qualtrics.
• Tutto il personale accede ai sistemi di Qualtrics con un identificatore unico (ID utente).
• Qualtrics ha delle procedure in atto in modo che le modifiche alle autorizzazioni richieste siano attuate solo in conformità con la Politica di Sicurezza di Qualtrics (ad esempio, nessun diritto viene concesso senza autorizzazione). Nel caso in cui un membro del personale lasci l'azienda, i suoi diritti di accesso sono revocati.
• Qualtrics ha stabilito una politica sulle password che vieta la condivisione delle password, regola le risposte alla divulgazione delle password e richiede che le password vengano cambiate regolarmente e che le password di default vengano modificate. Vengono assegnati ID utente personalizzati per l'autenticazione. Tutte le password devono soddisfare requisiti minimi definiti
e sono memorizzate in forma criptata. Nel caso delle password di dominio, il sistema forza un cambio di password ogni sei mesi in conformità con i requisiti per le password complesse. Ogni computer ha uno screensaver protetto da password.
• La rete aziendale è protetta dalla rete pubblica da firewall.
• Qualtrics utilizza un software antivirus aggiornato nei punti di accesso alla rete aziendale (per gli account di posta elettronica), così come su tutti i file server e tutte le workstation.
• La gestione delle patch di sicurezza è implementata per fornire una distribuzione regolare e periodica degli aggiornamenti di sicurezza. L'accesso remoto completo alla rete aziendale di Qualtrics e alle infrastrutture critiche è protetto da una autenticazione forte.
1.3 Controllo dell'accesso ai dati. Le persone autorizzate a utilizzare i sistemi di elaborazione dei dati accedono solo ai Dati Personali a cui hanno il diritto di accedere e i Dati Personali non devono essere letti, copiati, modificati o rimossi senza autorizzazione nel corso dell'elaborazione, dell'uso e della conservazione.
Misure:
• Come parte della politica di sicurezza di Qualtrics, i dati personali richiedono almeno lo stesso livello di protezione delle informazioni "riservate" secondo lo standard di classificazione delle informazioni di Qualtrics.
• L'accesso ai dati personali è concesso in base alla necessità di sapere. Il personale ha accesso alle informazioni di cui ha bisogno per svolgere il proprio compito. Qualtrics utilizza concetti di autorizzazione che documentano i processi di concessione e i ruoli assegnati per account (ID utente). Tutti i dati dei clienti sono protetti in conformità alla politica di sicurezza di Qualtrics.
• Tutti i server di produzione sono gestiti nei Data Center o in sale server sicure. Le misure di sicurezza che proteggono le applicazioni che elaborano i dati personali sono controllate regolarmente. A tal fine, Qualtrics conduce controlli di sicurezza interni ed esterni e test di penetrazione sui propri sistemi IT.
• Uno standard di sicurezza di Qualtrics regola il modo in cui i dati e i supporti dati vengono cancellati o distrutti una volta che non sono più necessari.
1.4 Controllo della trasmissione dei dati. Ad eccezione di quanto necessario per la fornitura dei Servizi Cloud in conformità con il Contratto, i Dati personali non devono essere letti, copiati, modificati o rimossi senza autorizzazione durante il trasferimento. Quando i supporti dati vengono trasportati fisicamente, presso Qualtrics vengono implementate misure adeguate per fornire i livelli di servizio concordati (ad esempio, crittografia e contenitori rivestiti di piombo).
Misure:
• I dati personali in trasferimento sulle reti interne di Qualtrics sono protetti secondo la politica di sicurezza di Qualtrics.
• Quando i dati vengono trasferiti tra Qualtrics e i suoi clienti, le misure di protezione per i dati personali trasferiti sono concordate reciprocamente e rese parte del relativo accordo. Questo vale sia per il trasferimento di dati fisici che per quello in rete. In ogni caso, il Cliente si assume la responsabilità di qualsiasi trasferimento di dati una volta che questi sono al di fuori dei sistemi controllati da Qualtrics (ad esempio i dati che vengono trasmessi al di fuori del firewall del Data Center di Qualtrics).
1.5 Controllo dell'inserimento dei dati. Sarà possibile esaminare retrospettivamente e stabilire se e da chi i Dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dati di Qualtrics.
Misure:
• Qualtrics permette solo al personale autorizzato di accedere ai Dati Personali come richiesto nel corso del loro lavoro.
• Qualtrics ha implementato un sistema di registrazione per l'inserimento, la modifica e la cancellazione o il blocco dei Dati Personali da parte di Qualtrics o dei suoi Subincaricati del trattamento all'interno del Servizio Cloud nella misura tecnicamente possibile.
1.6 Controllo del lavoro. I Dati personali trattati su commissione (cioè i Dati personali trattati per conto di un cliente) sono trattati esclusivamente in conformità al Contratto e alle relative istruzioni del cliente.
Misure:
• Qualtrics utilizza controlli e processi per monitorare la conformità ai contratti tra Qualtrics e i suoi clienti, subincaricati del trattamento o altri fornitori di servizi.
• Come parte della politica di sicurezza di Qualtrics, i dati personali richiedono almeno lo stesso livello di protezione delle informazioni "riservate" secondo lo standard di classificazione delle informazioni di Qualtrics.
• Tutti i dipendenti di Qualtrics e i Subincaricati della gestione contrattuale o altri fornitori di servizi sono tenuti per contratto a rispettare la riservatezza di tutte le informazioni sensibili, compresi i segreti commerciali dei clienti e dei partner di Qualtrics.
1.7 Controllo della disponibilità. I dati personali saranno protetti dalla distruzione o perdita accidentale o non autorizzata.
Misure:
• Qualtrics impiega processi di backup regolari per fornire il ripristino dei sistemi critici per l'azienda, se e quando necessario.
• Qualtrics utilizza gruppi di continuità (per esempio: UPS, batterie, generatori ecc.) per proteggere la disponibilità di energia nei centri dati.
• Qualtrics ha definito piani di emergenza aziendale per i processi critici per l'azienda e può offrire strategie di disaster recovery per i Servizi critici per l'azienda, come ulteriormente indicato nella Documentazione o incorporato nel Modulo d'Ordine per il relativo Servizio Cloud.
• I processi e i sistemi di emergenza sono regolarmente testati.
1.8 Controllo della separazione dei dati.
Misure:
• Qualtrics utilizza le capacità tecniche del software utilizzato (per esempio: multi-tenancy, paesaggi di sistema) per ottenere la separazione dei dati tra i Dati Personali provenienti da più clienti.
• Il cliente (compresi i suoi Controllori) ha accesso solo ai propri dati.
1.9 Controllo dell'integrità dei dati. I dati personali rimarranno intatti, completi e aggiornati durante le attività di trattamento.
Misure:
Qualtrics ha implementato una strategia di difesa a più livelli come protezione contro le modifiche non autorizzate.
In particolare, Qualtrics usa quanto segue per implementare le sezioni di controllo e misura descritte sopra:
• Firewall;
• Centro di monitoraggio della sicurezza;
• Software antivirus;
• Backup e recupero;
• Test di penetrazione esterni e interni;
• Audit esterni regolari per provare le misure di sicurezza.
Appendice 3 del DPA e, se applicabile, le clausole contrattuali standard
La seguente tabella presenta gli articoli pertinenti del GDPR e i termini corrispondenti del DPA solo a scopo illustrativo.
Articolo di GDPR | Sezione di DPA | Clicca sul link per vedere la sezione |
28(1) | 2 e Appendice 2 | Sicurezza del trattamento e Appendice 2, Misure tecniche e organizzative. |
28(2), 28(3) (d) e 28 (4) | 6 | SUBINCARICATI DEL TRATTAMENTO |
28 (3) frase 1 | 1.1 e Appendice 1, 1.2 | Scopo e applicazione. Struttura. |
28(3) (a) e 29 | 3.1 e 3.2 | Istruzioni del cliente. Elaborazione su Requisito legale. |
28(3) (b) | 3.3 | Personale. |
28(3) (c) e 32 | 2 e Appendice 2 | Sicurezza del trattamento e Appendice 2, Misure tecniche e organizzative. |
28(3) (e) | 3.4 | Cooperazione. |
28(3) (f) e 32-36 | 2 e Appendice 2, 3.5, 3.6 | Sicurezza del trattamento e Appendice 2, Misure tecniche e organizzative. Notifica di violazione dei dati personali. Dati Valutazione dell'impatto della protezione. |
28(3) (g) | 4 | Esportazione e cancellazione dei dati |
28(3) (h) | 5 | CERTIFICAZIONI E AUDIT |
28 (4) | 6 | SUBINCARICATI DEL TRATTAMENTO |
30 | 8 | Documentazione; registri di lavorazione |
46(2) (c) | 7.2 | Clausole contrattuali standard. |
Appendice 4
CLAUSOLE CONTRATTUALI STANDARD (INCARICATI DEL TRATTAMENTO)
(Ai sensi della decisione della Commissione del 5 febbraio 2010 (2010/87/UE))
Ai fini dell'articolo 26, paragrafo 2, della direttiva 95/46/CE (o, dopo il 25 maggio 2018, degli articoli
44 e seguenti del regolamento 2016/79) per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati
Il cliente anche per conto degli altri responsabili del trattamento
(nelle clausole qui di seguito denominato "esportatore di dati") e
Qualtrics, LLC
(nelle clausole qui di seguito denominata "l'importatore di dati") ciascuna una "parte"; insieme "le parti
HANNO CONVENUTO le seguenti clausole contrattuali (le clausole) al fine di apportare garanzie adeguate per quanto riguarda la protezione della privacy e dei diritti e delle libertà fondamentali delle persone per il trasferimento da parte dell'esportatore di dati all'importatore di dati personali specificati nell'appendice 1.
Clausola 1
Definizioni
Ai fini delle clausole:
a) "dati personali", "categorie particolari di dati", "trattamento", "controllore", "incaricato del trattamento", "interessato" e "autorità di controllo" hanno lo stesso significato di cui alla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
b) "l'esportatore di dati": il responsabile del trattamento che trasferisce i dati personali;
c) per "importatore di dati" si intende l'incaricato del trattamento che accetta di ricevere dall'esportatore dati personali destinati ad essere trattati per suo conto dopo il trasferimento conformemente alle sue istruzioni e ai termini delle clausole e che non è soggetto al sistema di un paese terzo che garantisce una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46/CE;
d) per "subincaricato del trattamento" s'intende l'incaricato del trattamento incaricato dall'importatore o da altro subincaricato dell'importatore che accetta di ricevere dall'importatore o da altro subincaricato dell'importatore dati personali destinati esclusivamente ad attività di trattamento da effettuarsi per conto dell'esportatore dopo il trasferimento secondo le sue istruzioni, i termini delle clausole e i termini del subcontratto scritto;
e) "la legislazione applicabile in materia di protezione dei dati": la legislazione che protegge i diritti e le libertà fondamentali delle persone e, in particolare, il loro diritto alla vita privata in relazione al trattamento dei dati personali applicabile a un controllore dei dati nello Stato membro in cui è stabilito l'esportatore di dati;
f) "misure tecniche e organizzative di sicurezza": le misure intese a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla diffusione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati all'interno di una rete e da qualsiasi altra forma illecita di trattamento.
Clausola 2
Dettagli del trasferimento
I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove applicabili, sono specificati nell'Appendice 1 che costituisce parte integrante delle Clausole.
Clausola 3
Clausola del terzo beneficiario
1. L'interessato può far valere nei confronti dell'esportatore di dati la presente clausola, la clausola 4(b) a (i), la clausola 5(a) a (e), e (g) a (j), la clausola 6(1) e (2), la clausola 7, la clausola 8(2) e le clausole da 9 a 12 come terzo beneficiario.
2. L'interessato può far valere nei confronti dell'importatore la presente clausola, la clausola 5, lettere da a) a e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2 e le clausole da 9 a 12, nel caso in cui l'esportatore di dati sia scomparso di fatto o abbia cessato di esistere di diritto, a meno che un soggetto subentrante non abbia assunto per contratto o per legge tutti gli obblighi giuridici dell'esportatore di dati, per cui assume i diritti e gli obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere contro tale soggetto.
3. L'interessato può far valere nei confronti del subincaricato del trattamento la presente clausola, la clausola 5, lettere da a) a e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2 e le clausole da 9 a 12, qualora sia l'esportatore che l'importatore di dati siano di fatto scomparsi o abbiano giuridicamente cessato di esistere o siano divenuti insolventi, a meno che un soggetto subentrante non abbia assunto tutti gli obblighi giuridici dell'esportatore di dati per contratto o per effetto di legge, per cui assume i diritti e gli obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere contro tale soggetto. Tale responsabilità di terzi del subincaricato del trattamento è limitata alle proprie operazioni di trattamento ai sensi delle clausole.
4. Le parti non si oppongono al fatto che una persona interessata sia rappresentata da un'associazione o da un altro organismo se la persona interessata lo desidera espressamente e se ciò è consentito dalla legislazione nazionale.
Clausola 4
Obblighi dell'esportatore di dati
L'esportatore di dati accetta e garantisce:
a) che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere effettuato conformemente alle disposizioni pertinenti della legislazione applicabile in materia di protezione dei dati (e, se del caso, è stato notificato alle autorità competenti dello Stato membro in cui è stabilito l'esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;
b) di aver incaricato e di continuare a incaricare per tutta la durata dei servizi di trattamento dei dati personali l'importatore di trattare i dati personali trasferiti solo per conto dell'esportatore e conformemente alla legislazione applicabile in materia di protezione dei dati e alle clausole;
c) che l'importatore di dati fornirà garanzie sufficienti per quanto riguarda le misure di sicurezza tecniche e organizzative specificate nell'appendice 2 del presente contratto;
d) che, previa valutazione dei requisiti della legislazione applicabile in materia di protezione dei dati, le misure di sicurezza siano idonee a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla diffusione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati all'interno di una rete e da qualsiasi altra forma illecita di trattamento e che tali misure garantiscano un livello di sicurezza adeguato ai rischi presentati dal trattamento e dalla natura dei dati da proteggere, tenuto conto dello stato della tecnica e dei costi di attuazione;
e) che garantirà il rispetto delle misure di sicurezza;
f) che, se il trasferimento riguarda categorie particolari di dati, la persona interessata è stata informata o sarà informata prima, o il più presto possibile dopo, che i suoi dati potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva 95/46/CE;
g) di trasmettere all'autorità di controllo per la protezione dei dati qualsiasi notifica ricevuta dall'importatore o da qualsiasi subincaricato del trattamento ai sensi della clausola 5, lettera b) e della clausola 8, paragrafo 3, se l'esportatore decide di continuare il trasferimento o di revocare la sospensione;
h) di mettere a disposizione degli interessati, su richiesta, una copia delle clausole, ad eccezione dell'appendice 2 e una descrizione sintetica delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di trattamento che debba essere stipulato conformemente alle clausole, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;
(i) che, in caso di trattamento, l'attività di trattamento sia effettuata conformemente alla clausola
11 da un sub-incaricato del trattamento che fornisca almeno lo stesso livello di protezione dei dati personali e dei diritti della persona interessata dell'importatore dei dati ai sensi delle clausole; e
(j) che garantirà il rispetto della clausola 4(a) a (i).
Clausola 5
Obblighi dell'importatore di dati
L'importatore di dati accetta e garantisce:
(a) di trattare i dati personali solo per conto dell'esportatore di dati e in conformità con le sue istruzioni e con le clausole; se non può fornire tale conformità per qualsiasi motivo, esso si impegna a informare tempestivamente l'esportatore di dati della sua incapacità di conformarsi, nel qual caso l'esportatore di dati ha il diritto di sospendere il trasferimento di dati e/o risolvere il contratto;
b) di non avere motivo di ritenere che la legislazione ad esso applicabile gli impedisca di adempiere alle istruzioni ricevute dall'esportatore di dati e agli obblighi previsti dal contratto e che, in caso di modifica di tale legislazione che possa avere un effetto negativo sostanziale sulle garanzie e sugli obblighi previsti dalle clausole, notificherà prontamente la modifica all'esportatore di dati non appena ne sarà a conoscenza, nel qual caso l'esportatore di dati ha il diritto di sospendere il trasferimento di dati e/o risolvere il contratto;
(c) di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima di trattare i dati personali trasferiti;
d) che informerà prontamente l'esportatore di dati in merito a:
(i) qualsiasi richiesta legalmente vincolante per la divulgazione dei dati personali da parte di un'autorità incaricata dell'applicazione della legge, a meno che non sia vietato altrimenti, come un divieto ai sensi del diritto penale per preservare la riservatezza di un'indagine della magistratura;
(ii) qualsiasi accesso accidentale o non autorizzato; e
(iii) qualsiasi richiesta ricevuta direttamente dalle persone interessate senza rispondere a tale richiesta, a meno che non sia stata autorizzata altrimenti;
e) la necessità di rispondere prontamente e correttamente a tutte le richieste dell'esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e attenersi al parere dell'autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
f) la necessità, su richiesta dell'esportatore di dati, di sottoporre i suoi impianti di trattamento di dati a un controllo delle attività di trattamento contemplate dalle clausole, che sarà effettuato dall'esportatore di dati o da un organismo di controllo composto da membri indipendenti e in possesso delle qualifiche professionali richieste, vincolati da un obbligo di riservatezza, scelti dall'esportatore di dati, se del caso, in accordo con l'autorità di controllo;
g) la necessità di mettere a disposizione della persona interessata, su richiesta, una copia delle clausole o di qualsiasi contratto esistente per il trattamento, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso può eliminare tali informazioni commerciali, ad eccezione dell'appendice 2 che è sostituita da una descrizione sommaria delle misure di sicurezza nei casi in cui la persona interessata non possa ottenerne una copia dall'esportatore di dati;
h) il fatto che, in caso di trattamento, abbia preventivamente informato l'esportatore di dati e ottenuto il suo previo consenso scritto;
(i) il fatto che i servizi di trattamento da parte del sub-incaricato saranno eseguiti in conformità con la clausola 11;
(j) il fatto che invierà prontamente all'esportatore di dati una copia di qualsiasi accordo di subincaricato del trattamento che conclude in base alle clausole.
Clausola 6
Responsabilità
1. Le parti concordano che qualsiasi persona interessata, che abbia subito un danno a causa di qualsiasi violazione degli obblighi di cui alla clausola 3 o alla clausola 11 da parte di qualsiasi parte o subincaricato, ha il diritto di ricevere un risarcimento dall'esportatore di dati per il danno subito.
2. Se l'interessato non può presentare all'esportatore una domanda di risarcimento ai sensi del paragrafo 1, per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 da parte dell'importatore o del suo subincaricato, perché l'esportatore è scomparso di fatto, ha cessato di esistere giuridicamente o è diventato insolvente, l'importatore di dati accetta che l'interessato possa far valere i propri diritti nei confronti dell'importatore di dati come se fosse l'esportatore di dati, a meno che un soggetto subentrante non abbia assunto tutti gli obblighi giuridici dell'esportatore di dati per contratto o per legge, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale soggetto.
L'importatore di dati non può invocare una violazione dei suoi obblighi da parte di un subincaricato del trattamento per evitare le proprie responsabilità.
3. Qualora l'interessato non possa agire nei confronti dell'esportatore o dell'importatore di cui ai paragrafi 1 e 2, in seguito alla violazione da parte del subincaricato del trattamento di uno degli obblighi di cui alla clausola 3 o alla clausola 11, perché sia l'esportatore che l'importatore sono scomparsi di fatto, hanno cessato di esistere giuridicamente o sono diventati insolventi, il subincaricato accetta che l'interessato possa far valere i propri diritti nei confronti del subincaricato del trattamento di dati per quanto riguarda i suoi trattamenti ai sensi delle clausole come se fosse l'esportatore o l'importatore dei dati, a meno che un soggetto subentrante non abbia assunto per contratto o per legge tutti gli obblighi legali dell'esportatore o dell'importatore dei dati, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale soggetto. La responsabilità del subincaricato è limitata alle proprie operazioni di trattamento ai sensi delle clausole.
Clausola 7
Mediazione e giurisdizione
1. L'importatore di dati accetta che se l'interessato invoca contro di lui i diritti di terzi beneficiari e/o chiede il risarcimento dei danni in base alle clausole, l'importatore di dati accetterà la decisione dell'interessato:
a) di sottoporre la controversia alla mediazione di una persona indipendente o, se del caso, dell'autorità di vigilanza;
b) di deferire la controversia ai tribunali dello Stato membro in cui è stabilito l'esportatore di dati.
2. Le parti concordano che la scelta fatta dalla persona interessata non pregiudicherà i suoi diritti sostanziali o procedurali di cercare rimedi in conformità con altre disposizioni del diritto nazionale o internazionale.
Clausola 8
Cooperazione con le autorità di vigilanza
1. L'esportatore di dati si impegna a depositare una copia del presente contratto presso l'autorità di controllo se questa lo richiede o se tale deposito è richiesto dalla legge applicabile sulla protezione dei dati.
2. Le parti concordano che l'autorità di controllo ha il diritto di effettuare un controllo dell'importatore di dati e di qualsiasi subincaricato del trattamento, che ha la stessa portata ed è soggetto alle stesse condizioni che si applicherebbero a un controllo dell'esportatore di dati ai sensi della legge applicabile sulla protezione dei dati.
3. L'importatore di dati informerà prontamente l'esportatore dell'esistenza di una legislazione applicabile a lui o a un subincaricato del trattamento che impedisca di effettuare una verifica dell'importatore di dati o di altro subincaricato ai sensi del paragrafo 2. In tal caso l'esportatore di dati è autorizzato ad adottare le misure previste alla clausola 5, lettera b).
Clausola 9
Legge applicabile
Le clausole sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore di dati.
Clausola 10
Variazione del contratto
Le parti si impegnano a non variare o modificare le clausole. Ciò non impedisce alle parti di aggiungere clausole su questioni relative agli affari, se necessario, purché non contraddicano la clausola.
Clausola 11
Sub-elaborazione
1. L'importatore di dati non può subappaltare alcuna gestione effettuata per conto dell'esportatore di dati ai sensi delle clausole senza il previo consenso scritto dell'esportatore di dati.
2. Se l'importatore di dati subappalta i suoi obblighi ai sensi delle clausole, con il consenso dell'esportatore di dati, lo fa solo mediante un accordo scritto con il subincaricato del trattamento che gli impone gli stessi obblighi che sono imposti all'importatore di dati ai sensi delle clausole. Qualora il subincaricato non adempia ai suoi obblighi in materia di protezione dei dati ai sensi di tale accordo scritto, l'importatore di dati rimane pienamente responsabile nei confronti dell'esportatore di dati per l'esecuzione degli obblighi del subincaricato ai sensi di tale accordo.
2. Il contratto scritto preliminare tra l'importatore e il subincaricato del trattamento deve inoltre prevedere una clausola del terzo beneficiario ai sensi della clausola 3 per i casi in cui l'interessato non possa avanzare nei confronti dell'esportatore o dell'importatore la richiesta di risarcimento di cui alla clausola 6, paragrafo 1, perché questi sono scomparsi di fatto, hanno giuridicamente cessato di esistere o sono divenuti insolventi e nessun soggetto subentrante ha assunto tutti gli obblighi giuridici dell'esportatore o dell'importatore per contratto o per legge. Tale responsabilità di terzi del subincaricato è limitata alle proprie operazioni di trattamento ai sensi delle clausole.
3. Le disposizioni relative agli aspetti della protezione dei dati per la gestione del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore di dati.
4. L'esportatore di dati tiene un elenco degli accordi di gestione conclusi in virtù delle clausole e notificati dall'importatore di dati ai sensi della clausola 5, lettera j), che deve essere aggiornato almeno una volta all'anno. L'elenco è a disposizione dell'autorità di controllo per la protezione dei dati dell'esportatore.
Clausola 12
Obbligo dopo la cessazione dei servizi di trattamento dei dati personali
1. Le parti concordano che al termine della fornitura di servizi di trattamento dei dati, l'importatore di dati e il subincaricato, a scelta dell'esportatore di dati, restituiranno tutti i dati personali trasferiti e le relative copie all'esportatore di dati o distruggeranno tutti i dati personali e certificheranno all'esportatore di averlo fatto, a meno che la legislazione imposta all'importatore di dati non gli impedisca di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l'importatore di dati garantisce che garantirà la riservatezza dei dati personali trasferiti e non tratterà più attivamente i dati personali trasferiti.
2. L'importatore di dati e il subincaricato garantiscono che su richiesta dell'esportatore di dati e/o dell'autorità di controllo, sottoporranno le loro strutture di trattamento dei dati a un controllo delle misure di cui al paragrafo 1.