Accordo sul Trattamento dei Dati

1. Introduzione e Ambito di Applicazione

Il presente Accordo sul Trattamento dei Dati ("DPA") è incorporato e costituisce parte integrante dei Termini di Servizio ("Accordo") tra Strion Inc. ("Società", "noi", "ci" o "nostro/a/i/e") e il cliente ("Cliente", "tu" o "tuo/a/i/e") per l'utilizzo della piattaforma software-as-a-service Adrow ("Servizio"). Il presente DPA si applica nella misura in cui trattiamo i Dati Personali del Cliente per tuo conto in qualità di Responsabile del trattamento nell'ambito della fornitura del Servizio. Il presente DPA sarà efficace per la durata dell'Accordo.

2. Definizioni

I termini con iniziale maiuscola utilizzati ma non definiti nel presente DPA avranno il significato stabilito nell'Accordo. Nel presente DPA, i seguenti termini avranno i significati indicati di seguito:

• "Legge Applicabile sulla Protezione dei Dati" indica tutte le leggi e i regolamenti applicabili al trattamento dei Dati Personali ai sensi dell'Accordo, incluso ma non limitato al Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 ("GDPR").
• "Titolare del trattamento" ha il significato attribuitogli dal GDPR.
• "Dati Personali del Cliente" indica qualsiasi Dato Personale che la Società tratta per conto del Cliente in qualità di Responsabile del trattamento nell'ambito della fornitura del Servizio.
• "Interessato" ha il significato attribuitogli dal GDPR.
• "Dati Personali" ha il significato attribuitogli dal GDPR.
• "Responsabile del trattamento" ha il significato attribuitogli dal GDPR.
• "Incidente di Sicurezza" indica una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentale o illecito ai Dati Personali del Cliente.
• "Clausole Contrattuali Standard" o "SCC" indica le clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, come adottate dalla Commissione Europea.
• "Sub-responsabile" indica qualsiasi terza parte incaricata dalla Società di trattare i Dati Personali del Cliente.

3. Ruoli e Responsabilità

Le parti riconoscono e concordano che, per quanto riguarda il trattamento dei Dati Personali del Cliente, il Cliente è il Titolare del trattamento e Strion Inc. è il Responsabile del trattamento. Il Cliente è l'unico responsabile del rispetto dei propri obblighi in qualità di Titolare del trattamento ai sensi della Legge Applicabile sulla Protezione dei Dati, inclusi ma non limitati alla liceità del trattamento e all'accuratezza dei Dati Personali del Cliente. La Società tratterà i Dati Personali del Cliente esclusivamente per conto del Cliente e in conformità con le istruzioni documentate del Cliente.

4. Ambito e Finalità del Trattamento

La Società tratterà i Dati Personali del Cliente al solo scopo di fornire, mantenere e migliorare il Servizio come descritto nell'Accordo. L'oggetto, la durata, la natura e la finalità del trattamento, nonché le tipologie di Dati Personali e le categorie di Interessati, sono determinati dall'utilizzo del Servizio da parte del Cliente.

5. Sub-trattamento

Il Cliente fornisce un'autorizzazione generale alla Società per incaricare Sub-responsabili di trattare i Dati Personali del Cliente. La Società manterrà un elenco dei propri Sub-responsabili attuali, che sarà messo a disposizione del Cliente su richiesta. La Società informerà il Cliente di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di Sub-responsabili, dando così al Cliente la possibilità di opporsi a tali modifiche. Se il Cliente ha una base ragionevole per opporsi a un nuovo Sub-responsabile, le parti negozieranno in buona fede per trovare una soluzione. La Società imporrà ai propri Sub-responsabili obblighi di protezione dei dati non meno restrittivi di quelli previsti dal presente DPA.

6. Diritti degli Interessati

Nella misura in cui il Cliente non sia in grado di accedere in modo indipendente ai Dati Personali del Cliente pertinenti all'interno del Servizio, la Società fornirà, tenendo conto della natura del trattamento, ragionevole assistenza al Cliente per consentirgli di rispondere alle richieste degli Interessati di esercitare i propri diritti ai sensi della Legge Applicabile sulla Protezione dei Dati. Tale assistenza sarà fornita a spese esclusive del Cliente.

7. Misure di Sicurezza

La Società implementerà e manterrà misure di sicurezza tecniche e organizzative adeguate per proteggere i Dati Personali del Cliente da Incidenti di Sicurezza e per preservare la sicurezza e la riservatezza dei Dati Personali del Cliente. Tali misure sono progettate per prevenire l'accesso, l'uso, l'alterazione o la divulgazione non autorizzati dei Dati Personali del Cliente. Il Cliente riconosce che tali misure sono soggette al progresso e allo sviluppo tecnico e che la Società potrà aggiornarle o modificarle di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino un deterioramento sostanziale della sicurezza complessiva del Servizio.

8. Notifica di Incidenti di Sicurezza

Venendo a conoscenza di un Incidente di Sicurezza, la Società ne darà comunicazione al Cliente senza ingiustificato ritardo. La notifica descriverà, nella misura possibile, la natura dell'Incidente di Sicurezza, le categorie e il numero approssimativo di Interessati e di record di Dati Personali interessati, le probabili conseguenze dell'Incidente di Sicurezza e le misure adottate o proposte dalla Società per affrontare l'Incidente di Sicurezza. La notifica o la risposta della Società a un Incidente di Sicurezza ai sensi della presente Sezione non costituirà un riconoscimento di colpa o responsabilità da parte della Società in relazione all'Incidente di Sicurezza.

9. Trasferimenti Internazionali di Dati

La Società potrà trasferire e trattare i Dati Personali del Cliente al di fuori dello Spazio Economico Europeo ("SEE"). Nella misura in cui il trasferimento dei Dati Personali del Cliente sia soggetto al GDPR e il paese di destinazione non sia coperto da una decisione di adeguatezza della Commissione Europea, tali trasferimenti saranno disciplinati dalle Clausole Contrattuali Standard, che si intenderanno incorporate nel presente DPA per riferimento. Il Cliente si intende aver sottoscritto le SCC in qualità di "esportatore dei dati" e la Società in qualità di "importatore dei dati".

10. Audit

Il Cliente potrà, su richiesta ragionevole e a proprie spese, verificare la conformità della Società ai propri obblighi ai sensi del presente DPA. Per facilitare tale verifica, la Società metterà a disposizione del Cliente tutte le informazioni necessarie a dimostrare la conformità, inclusi i riepiloghi dei più recenti rapporti di audit di terze parti (ad es. SOC 2). Non sono consentiti audit diretti delle strutture o dei sistemi della Società.

11. Limitazione di Responsabilità

La responsabilità di ciascuna parte derivante da o relativa al presente DPA sarà soggetta alle limitazioni di responsabilità stabilite nell'Accordo. La responsabilità complessiva della Società per tutti i reclami del Cliente derivanti da o relativi al presente DPA non supererà l'importo totale delle commissioni pagate dal Cliente alla Società ai sensi dell'Accordo nei dodici (12) mesi precedenti l'evento che ha dato origine al reclamo.

12. Durata, Risoluzione e Restituzione dei Dati

Il presente DPA rimarrà in vigore per tutto il tempo in cui la Società tratterà i Dati Personali del Cliente per conto del Cliente ai sensi dell'Accordo. Alla risoluzione o alla scadenza dell'Accordo, la Società provvederà, a scelta del Cliente, a cancellare o restituire tutti i Dati Personali del Cliente al Cliente, salvo che la legge applicabile richieda la conservazione dei Dati Personali. Il Cliente potrà esportare i propri dati dal Servizio in qualsiasi momento durante la durata dell'Accordo.