Il presente Addendum — Trattamento dei Dati dell'Utente Finale ("Addendum") è parte integrante dei Termini di Condivisione delle Informazioni e allegato al Contratto di Licenza e al Modulo di Profilo e Modulo d'Ordine (insieme "EULSA") tra InterSystems ("InterSystems") e l'Utente Finale ("Utente Finale"), come indicato nell'EULSA. InterSystems e l'Utente Finale sono le Parti del presente Addendum (ciascuno separatamente "una Parte", complessivamente "Parti"). In considerazione dei patti e delle promesse reciproche contenute nel presente documento e di altri buoni e preziosi corrispettivi, di cui le Parti riconoscono la ricezione e l'adeguatezza, le Parti convengono quanto segue:
Tutti i termini in maiuscolo utilizzati nel presente Addendum e non definiti altrove nel presente documento o nell'EULSA avranno lo stesso significato di tali termini come utilizzati o definiti ai sensi della Legge sulla protezione dei dati, come definita di seguito. I termini del presente Addendum sostituiscono qualsiasi termine contrastante dell'EULSA e qualsiasi altro termine relativo alla protezione dei dati o al trattamento delle informazioni.
Le Parti riconoscono che i servizi forniti da InterSystems ai sensi dell'EULSA non sono destinati a far sì che InterSystems crei, riceva, mantenga, trasmetta, utilizzi, divulghi o tratti in altro modo i Dati Personali relativi a un Soggetto Interessato in un contesto operativo che costituisca i Dati dell'Utente Finale, come di seguito definiti; tuttavia, poiché l'Utente Finale, in determinate circostanze, può essere tenuto a rispettare la Legge sulla Protezione dei Dati, come di seguito definita, l'Utente Finale richiede ai propri fornitori di servizi che possono entrare in contatto con i Dati dell'Utente Finale di stipulare un accordo di trattamento dei dati con l'Utente Finale, e InterSystems è disposta a stipulare tale accordo nell'improbabile caso in cui InterSystems tratti i Dati dell'Utente Finale, senza ammettere che InterSystems è in generale un Responsabile del Trattamento dell'Utente Finale. Le Parti convengono che, per quanto riguarda gli altri Dati Personali trattati da InterSystems che non sono Dati dell'Utente Finale ("Dati InterSystems"), InterSystems è il Titolare del Trattamento e che le Parti non sono Contitolari del Trattamento dei Dati InterSystems.
Definizioni.
1.1. Se non diversamente definito nella Legge sulla Protezione dei Dati applicabile (come definita di seguito), i termini in maiuscolo elencati nella presente Sezione hanno il seguente significato:1.2. Titolare del Trattamento dei Dati. "Titolare del Trattamento dei Dati" significa, quando usato in riferimento al presente Addendum, riferirsi all'Utente Finale, anche se l'Utente Finale è un Responsabile del Trattamento per un Titolare del Trattamento in relazione ai Dati Personali Trattati.
1.3. Titolare dei dati. "Titolare dei Dati" indica, in relazione a ciascun elemento dei Dati Personali nei Dati dell'Utente Finale, l'Utente Finale o, se l'Utente Finale è un Responsabile del Trattamento per un Titolare del Trattamento in relazione ai Dati Personali, tale Titolare del Trattamento.
1.4. Responsabile del Trattamento dei Dati. Per "Responsabile del Trattamento dei Dati" si intende una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che elabora i Dati Personali per conto di un Titolare del Trattamento e quando (1) InterSystems e l'Utente Finale concordano reciprocamente che InterSystems agisce in qualità di Responsabile del Trattamento dell'Utente Finale, come definito in una specifica e individuale
Regole d'Ingaggio e (2) InterSystems non agisce altrimenti in qualità di fornitore di servizi, di fornitore terzo dell'Utente Finale o di Titolare del Trattamento.
1.5. Legislazione in materia di protezione dei dati. "Legislazione in materia di protezione dei dati" indica il GDPR e le legislazioni nazionali di attuazione; la Legge Federale Svizzera sulla protezione dei dati (come modificata e sostituita di volta in volta); il Data Protection Act del Regno Unito (come modificato e sostituito di volta in volta); e le leggi sulla protezione dei dati dei paesi SEE (come modificate e sostituite di volta in volta, ogniqualvolta applicabili)
1.6. Dati dell'Utente Finale. Per "Dati dell'Utente Finale" si intende qualsiasi Dato Personale per il quale l'Utente Finale o, se l'Utente Finale è un Responsabile del Trattamento per un Titolare, il Titolare determina esclusivamente le finalità e i mezzi del Trattamento di tali Dati Personali ed è fornito da o per conto dell'Utente Finale a InterSystems; a condizione che i Dati dell'Utente Finale non includano alcun Dato Personale definito come Dati InterSystems di cui sopra.
1.7. Legge sulla protezione dei dati. "Legge sulla protezione dei dati" indica tutte le leggi o i regolamenti applicabili alla privacy e all'elaborazione, alla raccolta, all'utilizzo e alla protezione dei Dati personali in qualsiasi giurisdizione applicabile al contratto o ai Dati del cliente, che possono includere, a titolo esemplificativo ma non esaustivo, il Data Protection Act 2018 (UK), il GDPR, il Gramm-Leach-Bliley Act (US), il Privacy Act (AU), il Privacy Act 1993 (NZ).
Proprietà dei dati.
2.1. I Dati dell'Utente Finale che il Responsabile del trattamento elabora per conto del Titolare del Trattamento rimarranno sempre di proprietà del Titolare del Trattamento.2.2. Nel caso in cui una Parte, per qualsiasi motivo, receda dall'EULSA, l'Utente Finale deciderà se ciascun elemento dei Dati dell'Utente Finale, nella misura in cui il Responsabile del Trattamento dei Dati conservi ancora tali elementi, gli verrà restituito o cancellato. Tutti i trattamenti da parte del Responsabile del Trattamento dei Dati termineranno, ad eccezione dei trattamenti richiesti dalla legge o necessari per porre fine all'EULSA.
2.3. Il Titolare del Trattamento dei Dati può richiedere in qualsiasi momento al Responsabile del Trattamento dei Dati di interrompere il trattamento dei Dati dell'Utente Finale e di cancellare o restituire i Dati dell'Utente Finale al Titolare del Trattamento dei Dati.
2.4. Nel caso in cui il Responsabile del Trattamento dei Dati stabilisca che la restituzione o la distruzione dei Dati dell'utente finale come richiesto in questa sezione non è fattibile, il Responsabile del trattamento dei dati estenderà le protezioni del presente Addendum a tali Dati dell'utente finale e limiterà l'ulteriore trattamento di tali Dati dell'utente finale alle finalità che rendono impossibile la restituzione o la distruzione, per tutto il tempo in cui il Responsabile del trattamento dei dati conserva tali Dati dell'utente finale
Obblighi e attività del Responsabile del Trattamento.
3.1. Il Responsabile del Trattamento dei Dati si impegna a trattare i Dati dell'Utente Finale con misure di sicurezza tecniche e organizzative tali che, se il Responsabile del Trattamento dei Dati fosse il Titolare del Trattamento in relazione a tali dati, soddisferebbero la Legge sulla protezione dei dati, come l'articolo 32 del GDPR, Sicurezza del Trattamento, ossia "Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento e l'incaricato del Trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio" e adottano misure ragionevoli per garantire il rispetto di tali misure.3.2. Il Responsabile del Trattamento dei Dati si impegna a trattare tali Dati dell'Utente Finale solo in conformità alle istruzioni dell'Utente Finale che quest'ultimo fornirà di volta in volta per iscritto.
3.3. Il Responsabile del Trattamento dei Dati si impegna a rispettare tutti gli obblighi imposti dalla Legge sulla protezione dei dati come se il Responsabile del Trattamento dei dati fosse il Titolare del Trattamento in relazione a tali Dati dell'Utente Finale.
3.4. Il Responsabile del Trattamento dei Dati si impegna a garantire che tutti i membri del personale, agenti, appaltatori e altri che hanno accesso ai Dati dell'Utente Finale siano informati che i dati sono riservati e non devono essere divulgati a nessuno che non sia soggetto a un obbligo di riservatezza applicabile nei loro confronti. Solo i membri del personale ecc. che hanno un requisito operativo per accedere ai Dati dell'Utente Finale devono essere autorizzati e (in termini di misure di sicurezza logiche, fisiche o di altro tipo) in grado di farlo.
3.5. Qualora il Responsabile del Trattamento desideri subappaltare il Trattamento dei Dati dell'Utente Finale, dovrà imporre a qualsiasi subappaltatore gli stessi obblighi contrattuali in materia di protezione e sicurezza dei dati stabiliti nel presente Addendum.
3.6. Il Responsabile del Trattamento dei Dati si impegna ad avvisare tempestivamente il Titolare del Trattamento dei Dati, e comunque non oltre le settantadue (72) ore dal momento in cui InterSystems ne viene a conoscenza, di qualsiasi violazione della sicurezza relativa ai Dati dell'Utente Finale all'interno della propria organizzazione o di quella di qualsiasi subappaltatore.
3.7. Il Responsabile del Trattamento dei Dati si impegna ad avvisare tempestivamente il Titolare del Trattamento dei Dati. Il Responsabile del Trattamento dei Dati si impegna a garantire che tutto il personale coinvolto nel Trattamento dei Dati dell'Utente Finale riceva una formazione adeguata nelle procedure di protezione dei dati, identifichi e conservi le registrazioni della formazione ricevuta da tale personale e i contenuti di tutti i corsi. Il Responsabile del Trattamento dei Dati dovrà garantire che nessun altro agente o dipendente del Responsabile del Trattamento dei Dati abbia accesso ai dati dell'Utente Finale.
3.8. Il Responsabile del Trattamento dei Dati accetta che i dati del Titolare non vengano trasferiti in un paese o territorio al di fuori della giurisdizione della Legge sulla protezione dei dati applicabile al contratto senza l'approvazione scritta dell'Utente Finale, a meno che (1) tale paese o territorio garantisca un livello adeguato di protezione dei diritti e delle libertà degli interessati in relazione al trattamento dei dati personali, come stabilito dall'autorità competente per la protezione dei dati; (2) senza alcuna violazione implicita della presente disposizione, qualora il Responsabile del Trattamento abbia stipulato Clausole contrattuali standard, approvate dalla Commissione Europea, in relazione a tale trasferimento; oppure (3) il Responsabile del Trattamento si sia obbligato a rispettare le Norme Vincolanti d'Impresa (Binding Corporate Rules, BCR) approvate o accettate da un'autorità competente in materia di protezione dei dati; a condizione che l'Utente Finale possa limitare tali trasferimenti nell'ambito di una specifica e individuale Regole d'Ingaggio a condizione che l'Utente Finale accetti che InterSystems non violi i propri obblighi ai sensi dell'EULSA, qualora InterSystems ritenga che tale trasferimento sia necessario per fornire il servizio o il supporto richiesto.
Obblighi dell'Utente Finale.
4.1. L'Utente Finale fornirà i Dati dell'Utente Finale a InterSystems solo quando strettamente necessario ai fini dell'EULSA e nel pieno rispetto della Legislazione in materia di protezione dei dati e si impegna a fornire solo i dati personali minimi necessari relativi al servizio o all'assistenza che viene fornita.4.2. L'Utente Finale non chiederà o esigerà dal Responsabile del Trattamento di elaborare i Dati dell'Utente Finale in un modo che egli stesso non potrebbe fare in qualità di Titolare o di Responsabile del Trattamento; resta fermo che InterSystems notificherà prontamente all'Utente Finale per iscritto, fornendo informazioni sufficienti a descrivere l'obiezione, se InterSystems ritiene che una qualsiasi delle istruzioni dell'Utente Finale violi la Legislazione sulla Protezione dei Dati. Se l'Utente Finale concorda con l'obiezione di InterSystems che le suddette istruzioni violano la Legislazione sulla protezione dei dati, allora l'Utente Finale dovrà notificare tale considerazione e InterSystems non sarà tenuta a rispettare le istruzioni né il mancato rispetto di tali istruzioni potrà costituire violazione dell'EULSA. Se l'Utente Finale si oppone alla determinazione di InterSystems secondo cui le istruzioni dell'Utente Finale violano la legislazione sulla protezione dei dati, l'Utente finale dovrà fornire una spiegazione scritta del motivo per cui tali istruzioni sono conformi alla legislazione sulla protezione dei dati e InterSystems potrà fare affidamento su tale spiegazione per eseguire le istruzioni dell'Utente finale.
4.3. L'Utente Finale dichiara e garantisce di poter trattare i Dati dell'Utente Finale (o, nel caso in cui l'Utente Finale sia un Responsabile del Trattamento dei Dati, il relativo Titolare dei Dati) secondo le modalità con cui il Responsabile del Trattamento dei Dati è autorizzato a trattare i Dati Personali ai sensi del presente Addendum.
4.4. L'Utente Finale sarà responsabile dell'utilizzo di salvaguardie amministrative, fisiche e tecniche per mantenere e garantire la riservatezza, la privacy e la sicurezza dei Dati dell'Utente Finale trasmessi al Responsabile del Trattamento in conformità con gli standard e i requisiti della legislazione sulla protezione dei dati, fino a quando tali Dati dell'Utente Finale non saranno ricevuti dal Responsabile del Trattamento
4.5. L'Utente Finale dovrà ottenere qualsiasi consenso o autorizzazione che possa essere richiesto dalla legge applicabile, affinché il Responsabile del Trattamento dei Dati possa fornire i propri servizi ai sensi dell'EULSA
Varie.
5.1. Riferimenti. Un riferimento nel presente Addendum al testo del GDPR indica il testo in vigore o modificato e alla data di conformità applicabile.5.2. Modifiche a questo Addendum. L'Utente Finale accetta che InterSystems, in buona fede, possa modificare il presente Addendum o l'EULSA come necessario per conformarsi a qualsiasi modifica della legislazione sulla protezione dei dati.
5.3. Validità. I rispettivi Diritti e Obblighi del Responsabile del Trattamento dei Dati e del Titolare del Trattamento dei Dati sopravvivranno alla risoluzione per tutto il tempo in cui il Responsabile del Trattamento dei Dati o il Titolare del Trattamento dei Dati tratteranno i Dati dell'Utente Finale ai sensi del presente Addendum o dell'EULSA.
5.4. Interpretazione. Qualsiasi ambiguità nel presente Addendum sarà interpretata in conformità della Legislazione sulla Protezione dei Dati
- I diritti e gli obblighi ai sensi del presente Addendum sono ulteriori e non sostitutivi di qualsiasi diritto o obbligo derivante tra le Parti ai sensi di qualsiasi altro contratto o di diritto comune
- In caso di violazione o di presunta violazione da parte di un soggetto di un obbligo di riservatezza che tale soggetto deve a una delle Parti del presente Contratto in relazione ai Dati dell'Utente Finale a cui tale soggetto ha o ha avuto accesso in conseguenza del presente Addendum, la Parte a cui è dovuto l'obbligo si impegna a fare del suo meglio per far rispettare l'obbligo in questione.