Data Processing Annex 2019

Questo Addendum al Trattamento dei Dati (DPA) si applica a tutto il trattamento dei dati personali degli utenti finali che voi (Cliente) fornite a MessageBird B.V. (MessageBird) attraverso i servizi di MessageBird come separatamente definiti in un accordo separato (Servizi). Questo DPA si applica in aggiunta ai Termini e Condizioni Generali di MessageBird o all'Accordo di Servizio Master, a seconda di quale sia applicabile (Accordo) al Cliente e a MessageBird (insieme: le Parti). In caso di conflitto o incoerenza tra le disposizioni dell'Accordo e questo DPA, prevarrà il DPA.

Termini come “dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “violazione dei dati personali”, ecc. avranno il significato assegnato loro dalla legislazione applicabile sulla protezione dei dati (Legislazione sulla Protezione dei Dati), salvo la definizione di (sub-)responsabile che esclude esplicitamente operatori di telecomunicazione e altri fornitori di servizi di telecomunicazione che sono ritenuti necessari per l'operazione dei Servizi, ma, poiché tali parti agiscono come semplici condotti o come titolari del trattamento indipendenti, non rientrano nella definizione di responsabile del trattamento come indicato nella Legislazione sulla Protezione dei Dati.

Il Cliente e MessageBird riconoscono e comprendono entrambi che, in relazione al trattamento dei dati personali degli utenti finali (‘soggetto dei dati’) che il Cliente fornisce a MessageBird sulla base dei Servizi, MessageBird è il responsabile del trattamento.

1. Il Cliente istruisce qui MessageBird a trattare i dati personali dei soggetti dei dati nella misura richiesta per l'esecuzione dei Servizi ai sensi dell'Accordo.

1. MessageBird deve, in relazione a qualsiasi dato personale trattato in connessione con i Servizi:

   1. trattare i dati personali solo su istruzioni documentate del Cliente, salvo che dalle leggi di qualsiasi membro dell'Unione Europea o dalle leggi dell'Unione Europea applicabili a MessageBird sia richiesto diversamente;

   2. fornire l'accesso ai dati personali solo al personale con 'necessità di conoscenza' e garantire che tutto quel personale che ha accesso o elabora i dati personali sia obbligato a mantenere i dati personali riservati;

   3. adottare misure tecniche e organizzative appropriate per proteggere i dati personali da trattamento non autorizzato o illecito e da perdita accidentale, distruzione, danno, alterazione o divulgazione. Queste misure devono essere appropriate al livello di rischio presentato dal trattamento (e considerando la natura dei dati personali) e al danno che potrebbe derivare da una violazione dei dati personali riguardante i dati personali;

   4. fornire al Cliente qualsiasi assistenza ragionevolmente richiesta dal Cliente per consentire al Cliente di conformarsi agli obblighi del Cliente ai sensi della Legislazione sulla Protezione dei Dati, inclusa la notifica delle violazioni dei dati personali, la sicurezza del trattamento e l'assistenza al Cliente con l'esecuzione di qualsiasi valutazione di impatto sulla protezione dei dati rilevante;

   5. fornire al Cliente un'assistenza ragionevole per consentire al Cliente di adempiere ai propri obblighi nei confronti dei soggetti dei dati che esercitano i loro diritti ai sensi della Legislazione sulla Protezione dei Dati. MessageBird metterà a disposizione misure tecniche e organizzative per consentire al Cliente di adempiere a questi obblighi tramite l'account del Cliente o l'API dedicata. Il Cliente riconosce e accetta che le richieste inviate dal Cliente tramite e-mail non sono considerate un mezzo valido per esercitare i propri diritti e che tali richieste non saranno elaborate da MessageBird. Per evitare dubbi, il Cliente in qualità di titolare del trattamento è responsabile dell'elaborazione di eventuali richieste o reclami da parte dei soggetti dei dati riguardanti i dati personali dei soggetti stessi;

   6. a scelta del Cliente, cancellare o restituire al Cliente i dati personali e le loro copie alla cessazione dell'accordo del Cliente con MessageBird, salvo altrimenti richiesto da leggi applicabili obbligatorie;

   7. mantenere registri come richiesto ai sensi della Legislazione sulla Protezione dei Dati per le attività di trattamento svolte ai sensi dell'Accordo e di questo DPA;

   8. almeno ogni due anni, auditare le attività di sicurezza e di trattamento dei dati personali di MessageBird, e fornire al Cliente (in via confidenziale), su richiesta scritta, un riassunto o una descrizione dei risultati di tale audit. Un riassunto di un rapporto di audit ISO 27001:2013 sarà considerato sufficiente per soddisfare la richiesta del Cliente. In assenza di dubbi, l'audit può essere sia un audit interno, sia un audit effettuato da una terza parte, la cui decisione sarà, tuttavia, a sola discrezione di MessageBird;

   9. se il riassunto o la descrizione dei risultati dell'audit forniti da MessageBird al Cliente secondo il paragrafo 2(h) di questo DPA dà al Cliente motivi fondati per credere che MessageBird sia in violazione dei suoi obblighi ai sensi di questo DPA relativi ai dati personali forniti dal Cliente, consentire a una terza parte indipendente e qualificata nominata dal Cliente e approvata da MessageBird, di auditare le attività di trattamento dei dati personali applicabili di MessageBird, a condizione che i termini della Clausola 3 di questo Addendum siano rispettati; e,

   10. notificare al Cliente il prima possibile se MessageBird riceve un avviso o una comunicazione da un ente governativo o regolatorio che si riferisce direttamente al trattamento dei dati personali, come istruito e fornito dal Cliente, da MessageBird o dai suoi (sub-)responsabili, a meno che tale avviso o comunicazione sia vietato dalla legge.

1. Il Cliente deve:

   1. notificare a MessageBird almeno due (2) mesi prima di esercitare il diritto di audit del Cliente ai sensi del paragrafo 2(i) di questo DPA;

   2. garantire che qualsiasi audit non interrompa in modo irragionevole le operazioni commerciali di MessageBird; e,

   3. sostenere e pagare tutti i costi di tale audit.

1. Se il Cliente agisce come titolare del trattamento, il Cliente garantisce che tutte le attività di trattamento sono legali, hanno uno scopo specifico e che tutti gli avvisi e consensi richiesti o altrimenti una base giuridica appropriata sono in atto per consentire il trasferimento legale dei dati personali. Se il Cliente è un responsabile del trattamento (nel qual caso MessageBird sarà un sub-responsabile), il Cliente garantisce che il titolare del trattamento rilevante garantisce che le condizioni elencate in questa clausola siano soddisfatte.

1. Data la natura dei Servizi, l'uso dei Servizi da parte del Cliente e degli utenti finali del Cliente potrebbe richiedere il trasferimento di dati personali al di fuori dello SEE; quando l'esecuzione dei Servizi comporta un trasferimento di dati personali a (sub-)responsabili al di fuori dello SEE, il Cliente conferisce qui a MessageBird un mandato per la durata di tutti gli accordi in essere tra Cliente e MessageBird per stipulare clausole contrattuali standard dell'UE con (sub-)responsabili al di fuori dello SEE per conto del Cliente, se non si applicano altri meccanismi di trasferimento appropriati ai sensi della Legislazione sulla Protezione dei Dati.

1. Con il presente paragrafo il Cliente conferisce a MessageBird un'autorizzazione scritta generale per il coinvolgimento di eventuali altri soggetti terzi come nuovi (sub-)responsabili per il trattamento dei dati personali, soggetti ai termini di questo Addendum. MessageBird non coinvolgerà alcun (sub-)responsabile nel trattamento dei dati personali ai sensi di questo Accordo senza previamente informare il Cliente di qualsiasi cambiamento previsto riguardante l'aggiunta o la sostituzione di altri responsabili, dando così al Cliente l'opportunità di opporsi a tali cambiamenti. 

1. Il Cliente può opporsi a qualsiasi nuovo (sub-)responsabile esclusivamente sulla base di motivi ragionevoli relativi alla protezione dei dati, risolvendo l'Accordo e questo Addendum. Questo diritto di risoluzione è l'unica e esclusiva rimedio del Cliente se il Cliente si oppone a qualsiasi nuovo (sub-)responsabile.

1. Il Cliente accetta specificamente il coinvolgimento delle entità elencate su https://www.messagebird.com/en-gb/legal/privacy#processorList come (sub-)responsabili di MessageBird per il trattamento dei dati personali. MessageBird aggiornerà l'elenco dei (sub-)responsabili quando un nuovo (sub-)responsabile per il trattamento dei dati personali verrà coinvolto.

1. MessageBird adotterà tutte le misure contrattuali disponibili e appropriate per garantire che quando viene coinvolto un (sub-)responsabile:

   1. il (sub-)responsabile tratti i dati personali solo se tale trattamento è necessario per l'esecuzione dei Servizi o di una parte di essi;

   2. agli obblighi di protezione dei dati che forniscono una protezione simile a quelli di questo DPA siano imposti al (sub-)responsabile per mezzo di un contratto o di un altro atto giuridico in base al diritto dell'UE o di uno Stato Membro, in particolare fornendo garanzie sufficienti per implementare misure tecniche e organizzative appropriate in modo tale che il trattamento soddisfi i requisiti della Legislazione sulla Protezione dei Dati, e;

   3. MessageBird rimane responsabile nei confronti del Cliente ai sensi di questo DPA per l'adempimento degli obblighi del suo (sub-)responsabile.

1. Dettagli del trattamento:

   1. Oggetto e scopo del trattamento: fornitura dei Servizi di MessageBird al Cliente.

   2. Categorie di dati personali: informazioni sugli utenti finali che il Cliente fornisce a MessageBird attraverso i Servizi.

   3. Categorie dei soggetti dei dati: i soggetti dei dati includono clienti del Cliente, dipendenti, fornitori e qualsiasi altra persona fisica che è l'utente finale dei servizi di comunicazione, da cui il Cliente fornisce dati personali attraverso i Servizi.

   4. Durata del trattamento: i dati personali saranno trattati per tutto il tempo necessario all'esecuzione dei Servizi, o come richiesto dalla legge applicabile.

1. Questo Addendum al Trattamento dei Dati è regolato dalle leggi dei Paesi Bassi, e le Parti si sottopongono alla giurisdizione esclusiva dei tribunali di Amsterdam per tutti gli scopi connessi con questo DPA, inclusa l'applicazione di qualsiasi decisione o giudizio emesso ai sensi o in connessione con esso.