Data Processing Annex 2019

Questo Allegato al Trattamento Dati (DPA) si applica a tutto il trattamento dei dati personali sugli utenti finali che voi (Cliente) fornite a MessageBird B.V. (MessageBird) attraverso i servizi di MessageBird come definiti in un accordo separato (Servizi). Questo DPA si applica in aggiunta ai Termini e Condizioni Generali di MessageBird o al Master Service Agreement, a seconda di quale sia applicabile (Accordo) al Cliente e MessageBird (insieme: le Parti). In caso di conflitto o incoerenza tra le disposizioni dell'Accordo e questo DPA, il DPA prevarrà.

Termini come “dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “violazione dei dati personali” ecc. avranno il significato assegnato loro dalla legislazione sulla protezione dei dati applicabile (Legislazione sulla Protezione dei Dati), eccetto per la definizione di sub-incaricato che esclude esplicitamente gli operatori di telecomunicazioni e altri fornitori di servizi di telecomunicazione considerati necessari per il funzionamento dei Servizi, ma, a causa del fatto che tali parti agiscono come un semplice tramite o come un titolare del trattamento indipendente, non rientrano nella definizione di responsabile del trattamento come indicato nella Legislazione sulla Protezione dei Dati.

Il Cliente e MessageBird riconoscono e comprendono entrambi che, rispetto al trattamento dei dati personali degli utenti finali (“interessati”) che il Cliente fornisce a MessageBird sulla base dei Servizi, MessageBird è il responsabile del trattamento.

1. Il Cliente istruisce MessageBird a trattare i dati personali degli interessati nella misura necessaria per l'esecuzione dei Servizi in base all'Accordo.

2. MessageBird, relativamente a qualsiasi dato personale elaborato in connessione con i Servizi:

   1. processerà i dati personali solo su istruzioni documentate del Cliente, a meno che non sia richiesto altrimenti dalle leggi di qualsiasi stato membro dell'Unione Europea o dalle leggi dell'Unione Europea applicabili a MessageBird per trattare i dati personali;

   2. fornirà l'accesso ai dati personali solo al personale che deve conoscerli e garantirà che tutto il personale che ha accesso o elabora i dati personali sia obbligato per legge a mantenere la riservatezza dei dati personali;

   3. adotterà misure tecniche e organizzative appropriate per proteggere i dati personali da trattamenti non autorizzati o illeciti e da perdita, distruzione, danneggiamento, alterazione o divulgazione accidentale. Queste misure saranno appropriate al livello di rischio presentato dal trattamento (tenendo conto della natura dei dati personali) e ai danni che potrebbero derivare da una violazione dei dati personali che li riguardano;

   4. fornirà al Cliente qualsiasi assistenza ragionevolmente richiesta al fine di permettere al Cliente di soddisfare i propri obblighi ai sensi della Legislazione sulla Protezione dei Dati, inclusa la notifica delle violazioni dei dati personali, la sicurezza del trattamento e l'assistenza al Cliente nello svolgimento di eventuali valutazioni d'impatto sulla protezione dei dati rilevanti;

   5. fornirà al Cliente un'assistenza ragionevole al fine di permettere al Cliente di soddisfare i propri obblighi verso gli interessati che esercitano i loro diritti ai sensi della Legislazione sulla Protezione dei Dati. MessageBird metterà a disposizione misure tecniche e organizzative per permettere al Cliente di adempiere a questi obblighi tramite l'account del Cliente o l'API dedicata. Il Cliente riconosce e accetta che le richieste inviate dal Cliente via email non sono considerate un mezzo valido per esercitare i propri diritti e che tali richieste non saranno elaborate da MessageBird. Per evitare dubbi, il Cliente in quanto titolare del trattamento è responsabile dell'elaborazione di qualsiasi richiesta o reclamo da parte degli interessati in relazione ai dati personali;

   6. alla scelta del Cliente, cancellerà o restituirà al Cliente i dati personali e le copie degli stessi alla fine dell'accordo del Cliente con MessageBird, a meno che non sia richiesto altrimenti dalle leggi imperative applicabili;

   7. manterrà i registri come richiesto dalla Legislazione sulla Protezione dei Dati delle attività di trattamento effettuate in base all'Accordo e a questo DPA;

   8. almeno ogni due anni, controllerà la sicurezza e le attività di trattamento dei dati personali di MessageBird, e fornirà al Cliente (su base confidenziale), su sua richiesta scritta, un riassunto o una descrizione dei risultati di tale audit. Un riassunto di un rapporto di audit ISO 27001:2013 sarà considerato adeguato a soddisfare la richiesta del Cliente. Per evitare dubbi, l'audit può essere interno o eseguito da terzi, la decisione sarà, tuttavia, a sola discrezione di MessageBird;

   9. se il riassunto o la descrizione dei risultati dell'audit forniti da MessageBird al Cliente secondo il paragrafo 2(h) di questo DPA dà al Cliente ragioni fondate per credere che MessageBird sia in violazione dei suoi obblighi ai sensi di questo DPA relativi ai dati personali forniti dal Cliente, consentire a un terzo indipendente e qualificato nominato dal Cliente e approvato da MessageBird, di auditare le attività di trattamento dei dati personali applicabili di MessageBird, a condizione che i termini ai sensi della Clausola 3 di questo Allegato siano rispettati; e,

   10. notificare al Cliente il più presto possibile se MessageBird riceve un avviso o una comunicazione da parte di un ente governativo o normativo che riguardano direttamente il trattamento dei dati personali, come istruito e fornito dal Cliente, da MessageBird o dai suoi (sub-)responsabili, a meno che tale avviso o comunicazione non sia vietata dalla legge.

3. Il Cliente dovrà:

   1. notificare a MessageBird almeno due (2) mesi prima di esercitare il diritto di audit del Cliente ai sensi del paragrafo 2(i) di questo DPA;

   2. assicurarsi che qualsiasi audit non interrompa irragionevolmente le operazioni commerciali di MessageBird; e,

   3. sostenere e pagare tutti i costi di tale audit.

4. Se il Cliente agisce come titolare del trattamento, il Cliente garantisce che tutte le attività di trattamento sono lecite, hanno uno scopo specifico e qualsiasi avviso e consenso richiesto o altrimenti la base legale appropriata sia in atto per consentire un trasferimento lecito dei dati personali. Se il Cliente è un responsabile del trattamento (nel qual caso MessageBird sarà un sub-responsabile), il Cliente garantisce che il titolare del trattamento rilevante garantisce che le condizioni elencate in questa clausola siano soddisfatte.

5. Data la natura dei Servizi, l'uso dei Servizi da parte del Cliente e degli utenti finali del Cliente può richiedere il trasferimento di dati personali al di fuori dello SEE; quando l'esecuzione dei Servizi comporta un trasferimento di dati personali a (sub-)responsabili al di fuori dello SEE, il Cliente conferisce a MessageBird un mandato per la durata di tutti gli accordi in essere tra il Cliente e MessageBird per entrare nelle Clausole Contrattuali Standard dell'UE con (sub-)responsabili al di fuori dello SEE per conto del Cliente, se nessun altro meccanismo di trasferimento appropriato ai sensi della Legislazione sulla Protezione dei Dati si applica.

6. Con la presente Clausola, il Cliente conferisce a MessageBird un'autorizzazione scritta generale per l'impiego di terze parti come nuovi (sub-)responsabili per il trattamento dei dati personali, soggetto ai termini di questo Allegato. MessageBird non coinvolgerà alcun (sub-)responsabile nel trattamento dei dati personali nell'ambito di questo Accordo senza informare in anticipo il Cliente di qualsiasi cambiamento previsto riguardante l'aggiunta o la sostituzione di altri responsabili, dando così al Cliente l'opportunità di opporsi a tali cambiamenti. 

7. Il Cliente può opporsi a tali nuovi (sub-)responsabili solo sulla base di ragioni ragionevoli relative alla protezione dei dati terminando l'Accordo e questo Allegato. Questo diritto di risoluzione è l'unico ed esclusivo rimedio del Cliente se si oppone a tali nuovi (sub-)responsabili.

8. Il Cliente accetta specificamente il coinvolgimento delle entità elencate su https://www.messagebird.com/en-gb/legal/privacy#processorList come (sub-)responsabili di MessageBird per il trattamento dei dati personali. MessageBird aggiornerà l'elenco dei (sub-)responsabili quando un nuovo (sub-)responsabile per il trattamento dei dati personali sarà impiegato.

9. MessageBird adotterà tutte le misure contrattuali disponibili e appropriate per garantire che quando viene impiegato un (sub-)responsabile:

   1. il (sub-)responsabile tratterà i dati personali solo se tale trattamento è necessario per l'esecuzione dei Servizi o di una parte di essi;

   2. gli obblighi di protezione dei dati che forniscono una protezione simile a quelli stabiliti in questo DPA saranno imposti al (sub-)responsabile tramite contratto o altro atto legale ai sensi del diritto dell'UE o degli Stati membri, in particolare fornendo garanzie sufficienti per implementare misure tecniche e organizzative appropriate in modo tale che il trattamento soddisfi i requisiti della Legislazione sulla Protezione dei Dati, e;

   3. MessageBird rimane responsabile nei confronti del Cliente ai sensi di questo DPA per l'adempimento degli obblighi del suo (sub-)responsabile.

10. Dettagli del trattamento:

    1. Oggetto e scopo del trattamento: fornitura dei Servizi di MessageBird al Cliente.

    2. Categorie di dati personali: informazioni sugli utenti finali che il Cliente fornisce a MessageBird attraverso i Servizi.

    3. Categorie di interessati: gli interessati includono i clienti del Cliente, i dipendenti, i fornitori e qualsiasi altra persona fisica che è l'utente finale dei servizi di comunicazione, da cui il Cliente fornisce dati personali attraverso i Servizi.

    4. Durata del trattamento: i dati personali saranno trattati per il tempo necessario all'esecuzione dei Servizi, o come richiesto dalla legge applicabile.

11. Questo Allegato al Trattamento Dati è regolato dalle leggi dei Paesi Bassi, e le Parti si sottomettono alla giurisdizione esclusiva dei tribunali di Amsterdam per tutti gli scopi connessi a questo DPA, inclusa l'esecuzione di qualsiasi ordine o giudizio emesso o in connessione con esso.