Data Processing Agreement Maggio 2023
Questo Accordo sul Trattamento dei Dati si applica a te se ti sei registrato ai Servizi di MessageBird (inclusi attraverso uno qualsiasi dei suoi Affiliati) prima, il giorno, o dopo il 3 maggio 2023. Il nostro Accordo sul Trattamento dei Dati archiviato è disponibile qui.
Questo Accordo sul Trattamento dei Dati, inclusi gli allegati, (“DPA”) fa parte dell'Accordo tra MessageBird e il Cliente per l'acquisto di servizi di comunicazione (online) da MessageBird per riflettere l'accordo delle Parti in merito al trattamento dei Dati Personali del Cliente. In questo DPA, i termini “tu”, “tuo”, o “Cliente” si riferiscono a te (soggetto alla Sezione 1.2 di seguito), e i termini “noi”, “ci,” “nostro” o “MessageBird” si riferiscono a noi. I termini maiuscoli utilizzati in questo DPA ma non definiti di seguito sono definiti nei Termini e Condizioni Generali di MessageBird o in un altro Accordo con noi che regola l'uso dei Servizi da parte tua.
Le parti concordano che questo DPA sostituirà qualsiasi addendum di protezione dei dati esistente o accordo simile che le parti potrebbero aver precedentemente stipulato in relazione ai Servizi.
1. Scope, Customer Affiliates and Term
1.1 Ambito. Questo DPA regola il trattamento dei Dati Personali del Cliente da parte di MessageBird come responsabile del trattamento.
1.2 Affiliate del Cliente. Il Cliente stipula questo DPA per proprio conto e, nella misura richiesta dalle Leggi sulla Protezione dei Dati, in nome e per conto delle sue Affiliate (come definite nei Termini), se e nella misura in cui fornisci a tali Affiliate l'accesso ai Servizi e noi trattiamo i Dati Personali del Cliente per i quali tali Affiliate si qualificano come titolari del trattamento dei dati (“Affiliate del Cliente”). Ai fini di questo DPA solo, e salvo indicazione contraria, i termini “Cliente” e “tu” includeranno Cliente e Affiliate del Cliente.
2. Definitions
“Account Data” è qualsiasi Dato Personale fornito da o per te a MessageBird in relazione alla stipula e alla gestione dell'Accordo e del tuo account, inclusi a titolo esemplificativo le informazioni di contatto, i dettagli di fatturazione e la corrispondenza relativa alla stipula e alla gestione dell'Accordo e dei Servizi correlati.
“CCPA” indica il California Consumer Privacy Act del 2018 e qualsiasi regolamento emanato in base a esso, in ogni caso, come modificato di volta in volta.
“Customer Data” indica qualsiasi dato e altra informazione o contenuto inviato da te o per te (o da un utente della tua Applicazione Cliente) ai sensi dell'Accordo e elaborato o archiviato dai Servizi.
“Customer Personal Data” indica i Dati Personali contenuti nei Customer Data elaborati da MessageBird come responsabile del trattamento, salvo diversa indicazione nel presente DPA.
“Data Protection Laws” indica tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza o trattamento dei Dati Personali ai sensi dell'Accordo, inclusi, ad esempio e ove applicabile, il GDPR o il CCPA. .
“EEA” indica, ai fini del presente DPA, lo Spazio Economico Europeo e la Svizzera.
“GDPR” indica (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali e alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); o (ii) esclusivamente in relazione al Regno Unito, il Data Protection Act 2018.
“MessageBird” indica l'Entità MessageBird che è parte di questo DPA, essendo l'entità contraente elencata nella Sezione 15 nei Termini e Condizioni Generali (Entità Contraente), salvo diversa indicazione nel tuo Modulo d'Ordine. Tu o MessageBird potreste anche essere indicati individualmente come “Parte” e congiuntamente come “Parti” nel presente DPA.
“Personal Data” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, sia da sola sia in combinazione con altre informazioni.
“Personal Data Breach” indica qualsiasi distruzione accidentale, non autorizzata o illecita, perdita, alterazione, divulgazione o accesso ai Customer Personal Data e qualsiasi altro termine simile ai sensi delle leggi sulla protezione dei dati applicabili come “Violazione della sicurezza.”
“Services” indica tutti i prodotti e servizi forniti da noi o dalle nostre Affiliate che sono (a) ordinati da te in base a qualsiasi Modulo d'Ordine; o (b) utilizzati da te.
“Standard Contractual Clauses” indica Controllore a Processore (Modulo Due) o Processore a Processore (Modulo Tre), a seconda del caso, delle Clausole Contrattuali Standard per il trasferimento di Dati Personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio approvato con decisione di attuazione della Commissione Europea (UE) 2021/914 del 4 giugno 2021, come attualmente disponibili su https://eurlex.europa.eu/eli/dec_impl/2021/914/oj,.
“Sub-processor” indica un'entità terza che elabora i Customer Personal Data per conto dell'entità MessageBird che agisce come responsabile del trattamento o come sub-responsabile.
“UK Standard Contractual Clauses” indica una o tutte le seguenti: (i) accordo internazionale di trasferimento dati emesso dal Commissario per le Informazioni del Regno Unito ai sensi della sezione 119A del DPA 2018; (ii) addendum al trasferimento internazionale di dati alle clausole contrattuali standard della Commissione Europea per i trasferimenti internazionali di dati emesso dal Commissario per le Informazioni del Regno Unito ai sensi della sezione 119A del DPA 2018; o (iii) tali disposizioni contrattuali standard emesse dal Commissario per le Informazioni del Regno Unito o dalla Commissione Europea che possono sostituire queste di volta in volta.
Termini come “processing”, “data controller”, “data processor”, “data subject”, ecc. avranno il significato assegnato loro ai sensi del GDPR. La definizione di “data controller” include “business”, “consumer”, “controller” e “organisation”; "data processor" include “service provider”, “processor” e “data intermediary”; “data subject” include “consumer” e “individual”; e “Personal Data” include “personal information”, in ciascun caso come definito ai sensi del CCPA e altre leggi sulla protezione dei dati applicabili. I termini “business purpose”, “commercial purpose”, “sell”, e “share” avranno lo stesso significato delle leggi sulla protezione dei dati applicabili e, in ciascun caso, i loro termini cognati saranno interpretati di conseguenza.
3. Processing of Customer Personal Data
3.1 Scopi. Tratteremo i Dati Personali del Cliente solo nella misura necessaria (i) per fornire i Servizi, includendo la trasmissione delle comunicazioni, garantendo la sicurezza dei servizi, fornendo report tecnici e di consegna, fornendo supporto e sviluppando e implementando miglioramenti e aggiornamenti in conformità con le tue istruzioni documentate a noi come responsabile del trattamento dei dati, come specificato nella Sezione 3.2 di questo DPA, (ii) per i nostri scopi commerciali legittimi come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento dei dati, e (iii) come altrimenti richiesto dalla legge applicabile.
3.2 Istruzioni del Cliente. L'Accordo e questo DPA costituiscono le tue istruzioni complete per noi come responsabile del trattamento dei dati al momento della firma di questo DPA. Rispetteremo altre istruzioni ragionevolmente documentate a condizione che tali istruzioni siano coerenti con i termini dell'Accordo.
3.3 Dettagli del Trattamento. L'Annex I, Parte B (Descrizione del trasferimento) dell'Appendice I di questo DPA specifica la natura e lo scopo del trattamento da parte nostra come responsabili del trattamento dei dati o Sub-responsabili, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali, e le categorie di soggetti interessati.
3.4 Scopi Legittimi di Business. Riconosci che trattiamo i Dati Personali del Cliente come titolari autonomi del trattamento dei dati nella misura necessaria per i seguenti scopi legittimi di business: fatturazione, gestione degli account, reportistica finanziaria e interna, contrasto e prevenzione delle minacce alla sicurezza, attacchi informatici e crimini informatici che possono riguardare te, noi o i nostri servizi, modellazione business (ad es. previsioni, pianificazione della capacità e dei ricavi, e strategia del prodotto), prevenzione e rilevamento delle frodi, spam e abusi, miglioramento dei prodotti o servizi nella suite Bird, e per adempiere ai nostri obblighi legali.
4. Obblighi del Cliente
4.1 Legalità. Laddove agisci come titolare del trattamento dei Dati Personali del Cliente, garantisci che tutte le attività di trattamento siano legali, abbiano uno scopo specifico e che tutte le notifiche e consensi richiesti o altre basi legali appropriate siano in atto per consentire il trasferimento legale dei Dati Personali del Cliente. Se sei un responsabile del trattamento dei dati (nel qual caso agiremo come Sub-responsabile), garantirai che il relativo titolare del trattamento dei dati assicuri che le condizioni elencate in questa Sezione 4.1 siano soddisfatte.
4.2 Conformità. Sei l'unico responsabile di (a) garantire di rispettare le Leggi sulla Protezione dei Dati applicabili al tuo utilizzo dei Servizi e al tuo stesso trattamento dei Dati Personali del Cliente, (b) effettuare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano le tue esigenze e (c) implementare e mantenere misure di privacy e sicurezza per i componenti che fornisci o controlli (inclusi, ma non limitati a, password, dispositivi utilizzati con i Servizi e Applicazioni del Cliente).
5. Security
5.1 Misure di Sicurezza. Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e scopi del trattamento, così come del rischio di probabilità e gravità variabile per i diritti e le libertà delle persone fisiche, implementeremo e manterremo misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali del Cliente da Violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati del Cliente che i nostri sistemi usano per elaborare i Dati Personali del Cliente. Le misure di sicurezza applicate da noi sono descritte nell'Appendice II.
5.2 Aggiornamenti delle Misure di Sicurezza. Sei responsabile per la revisione delle informazioni fornite da noi in relazione alla sicurezza dei Dati Personali del Cliente e per fare una valutazione indipendente su se tali informazioni soddisfano i tuoi requisiti e obblighi legali sotto le Leggi sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progresso e sviluppo tecnico, e che possiamo aggiornare o modificare le nostre misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non risultino in un degrado della sicurezza complessiva dei Dati Personali del Cliente.
5.3 Controlli di Accesso. Applichiamo i principi di "necessità di sapere" e "minimo privilegio" assicurando che l'accesso ai Dati Personali del Cliente sia limitato a quel Personale richiesto per la fornitura dei Servizi e in linea con l'Accordo, inclusa questa DPA.
5.4 Riservatezza del Trattamento. Garantiremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali del Cliente (inclusi il nostro personale, agenti e Sub-processori) siano informati della natura confidenziale di tali Dati Personali del Cliente e saranno sotto un'obbligazione di riservatezza appropriata (che sia un dovere contrattuale o statutario) che sopravvive alla cessazione del loro impegno.
5.5 Risposta e Notifica di Violazione dei Dati Personali. Nel momento in cui veniamo a conoscenza di una Violazione dei Dati Personali, noi senza indebito ritardo (i) ti notificheremo, (ii) investigeremo la Violazione dei Dati Personali, (iii) forniremo tempestivamente informazioni relative alla Violazione dei Dati Personali man mano che diventa nota o come ragionevolmente richiesto da te, e (iv) prenderemo misure commercialmente ragionevoli per mitigare gli effetti e prevenire la ricorrenza della Violazione dei Dati Personali.
6. Assistance
6.1 Assistenza alla Protezione dei Dati. Forniremo l'assistenza ragionevolmente richiesta per consentirti di adempiere ai tuoi obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusa la notifica di una Violazione dei Dati Personali, valutando il livello di sicurezza appropriato del trattamento, e assistendoti nella realizzazione di una valutazione d'impatto della protezione dei dati pertinente.
6.2 Assistenza con i Diritti degli Interessati dei Dati. Ti forniremo un'assistenza ragionevole per consentirti di adempiere ai tuoi obblighi verso gli interessati che esercitano i loro diritti ai sensi delle Leggi sulla Protezione dei Dati rendendo disponibili misure tecniche e organizzative tramite il tuo account. Per evitare malintesi, tu in qualità di titolare del trattamento sei responsabile di gestire qualsiasi richiesta o reclamo dagli interessati in merito ai Dati Personali del Cliente di un interessato.
7. Disclosure and Disclosure Requests
7.1 Limitazioni sulla divulgazione e sull'accesso. Non forniremo accesso a o divulgheremo i Dati Personali del Cliente se non (i) su tua indicazione, (ii) come descritto nell'Accordo e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di divulgazione. Ti informeremo non appena ragionevolmente possibile se riceviamo una richiesta da un ente governativo o regolatorio di divulgare i Dati Personali del Cliente, a meno che tale comunicazione sia vietata dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica sulle richieste di divulgazione disponibile su https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Elenco degli Attuali Sub-responsabili. Accetti l'impegno dei Sub-responsabili elencati su l'overview di MessageBird dei Processori e Sub-processori sotto l'intestazione "End User Personal Data", che contiene una procedura per iscriversi alle notifiche di modifiche nel nostro uso dei Sub-responsabili. Se ti iscrivi a tali notifiche, e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di qualsiasi cambiamento nei Sub-responsabili il più presto possibile.
8.2 Nomina dei Sub-responsabili. Mediante questo DPA, fornisci un'autorizzazione scritta generale a noi per coinvolgere Sub-responsabili per l'elaborazione dei Customer Personal Data, soggetta alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
Limiteremo l'accesso ai Customer Personal Data da parte dei Sub-responsabili a quanto strettamente necessario per fornire i servizi specificati nell'accordo con il sub-responsabile;
Concordiamo con il Sub-responsabile le obbligazioni sulla protezione dei dati che sono sostanzialmente le stesse delle obbligazioni sotto questo DPA; e
Rimaniamo responsabili verso di te sotto questo DPA per l'adempimento delle obbligazioni sulla protezione dei dati del Sub-responsabile.
9. Cross Border Transfers of Customer Personal Data
9.1 Trasferimenti di Dati Personali dei Clienti. Potremmo trasferire Dati Personali dei Clienti a condizione che tutte le garanzie appropriate richieste dalle Leggi sulla Protezione dei Dati siano in atto. Questo può includere una valutazione preventiva dell'impatto del trasferimento dei dati, l'adozione, il monitoraggio e la valutazione di misure supplementari tecniche, organizzative e legali, diritti dei soggetti dei dati applicabili, e che siano disponibili rimedi legali efficaci per i soggetti dei dati.
9.2 Clausole Contrattuali Standard del Sub-incaricato. A meno che non si applichi una decisione di adeguatezza o un meccanismo di trasferimento alternativo, abbiamo stipulato e manterremo Clausole Contrattuali Standard con i Sub-incaricati (compresi i nostri Affiliate) situati fuori dall'EEA, soggetti ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per i Trasferimenti di Dati Personali dei Clienti. Nella misura in cui l'uso dei Servizi richiede un meccanismo di trasferimento transfrontaliero di dati per esportare legalmente Dati Personali dei Clienti da una giurisdizione (ad es. l'EEA, California, Singapore, Svizzera, o il Regno Unito) a noi situati al di fuori di quella giurisdizione, si applicherà questa sezione. Se, nell'esecuzione dei Servizi, Dati Personali dei Clienti soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy degli individui che si applica a questo DPA viene trasferito a MessageBird situata in paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi sulla Protezione dei Dati, i meccanismi di trasferimento elencati di seguito si applicheranno a tali trasferimenti e possono essere direttamente applicati dalle parti nella misura in cui tali trasferimenti sono soggetti alle Leggi sulla Protezione dei Dati.
9.3.1 Le parti convengono che le Clausole Contrattuali Standard si applicheranno ai Dati Personali dei Clienti che vengono trasferiti tramite i Servizi dall'EEA o dalla Svizzera, sia direttamente che tramite trasferimento successivo, a un'entità MessageBird situata in un paese al di fuori dell'EEA o della Svizzera che non sia riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, l'autorità competente per la Svizzera) come fornitore di un livello adeguato di protezione dei dati personali.
9.3.1.1 Quando si agisce come titolare del trattamento e MessageBird è un responsabile del trattamento, il modulo due delle Clausole Contrattuali Standard dell'UE si applicherà a qualsiasi tale trasferimento di Dati Personali dei Clienti dall'EEA. Quando si agisce come responsabile del trattamento e MessageBird è un sub-responsabile del trattamento, il modulo tre delle Clausole Contrattuali Standard si applicherà a qualsiasi tale trasferimento di Dati Personali dei Clienti dall'EEA.
9.3.1.2 MessageBird sarà considerata l'importatore di dati e voi sarete considerati l'esportatore di dati sotto le Clausole Contrattuali Standard. La firma di questo DPA da parte di ciascuna parte sarà considerata come firma delle Clausole Contrattuali Standard applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti sotto l'Allegato 1 e l'Allegato 2 delle Clausole Contrattuali Standard sono disponibili nell'Appendice I e Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno esclusivamente per quanto riguarda un trasferimento di Dati Personali dei Clienti dall'EEA.
9.3.1.3 Quando le Clausole Contrattuali Standard richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti lo hanno fatto come indicato di seguito:
i. La Clausola Opzionale 7 “Clausola di docking” non sarà adottata.
ii. Per la Clausola 9 “Utilizzo dei sub-incaricati”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: l'importatore dei dati ha l'autorizzazione generale del titolare del trattamento per l'impegno di sub-incaricato/i da una lista concordata. L'importatore dei dati informerà specificamente il titolare del trattamento per iscritto di eventuali cambiamenti intenzionati a quella lista attraverso l'aggiunta o la sostituzione di sub-incaricati almeno 10 giorni lavorativi prima, fornendo così al titolare del trattamento tempo sufficiente per opporsi a tali cambiamenti prima dell'impegno del/i sub-incaricato/i. L'importatore dei dati fornirà all'esportatore dei dati le informazioni necessarie per consentire all'esportatore dei dati di esercitare il suo diritto di obiezione. L'importatore dei dati informerà l'esportatore dei dati dell'impegno del/i sub-incaricato/i.”
iii. Per la Clausola 11 (a) “Ricorso”, le parti non adottano l'Opzione.
iv. Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno regolate dalla legge di uno degli Stati Membri dell'UE, a condizione che tale legge consenta diritti di terzi beneficiari. Le Parti concordano che questa sarà la legge dei Paesi Bassi.”
v. Per la Clausola 18 (b) “Scelta del Foro e della Giurisdizione”: “Le Parti concordano che questi saranno i tribunali dei Paesi Bassi.”
9.3.2 Le parti convengono che le Clausole Contrattuali Standard del Regno Unito si applicheranno ai Dati Personali dei Clienti trasferiti tramite i Servizi dal Regno Unito, sia direttamente che tramite trasferimento successivo, a un'entità MessageBird situata in un paese esterno al Regno Unito che non sia riconosciuto dall'autorità regolatoria competente del Regno Unito o dall'organo governativo per il Regno Unito come fornitore di un livello adeguato di protezione dei dati personali.
10. Audit
10.1 Rapporto di Audit. La nostra piattaforma di comunicazione sarà regolarmente sottoposta a audit secondo lo standard ISO 27001:2013 (o equivalente). L'audit potrà essere, a nostra esclusiva discrezione, un audit interno o un audit svolto da terzi. Su richiesta scritta, ti forniremo un riassunto del rapporto di audit ("Rapporto di Audit"), in modo che tu possa verificare la nostra conformità agli standard di audit e a questo DPA. Tali Rapporti di Audit, così come qualsiasi conclusione o risultato specificato al loro interno, sono le nostre Informazioni Riservate.
10.2 Richieste di informazioni del cliente. Metteremo a tua disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni fatte da te, incluse risposte a questionari di sicurezza delle informazioni e di audit che siano ragionevoli in termini di ambito e necessarie per confermare la conformità con questo DPA, a condizione che tu (i) abbia prima fatto un ragionevole sforzo per ottenere le informazioni richieste dalla Documentazione, dai Rapporti di Audit e da altre informazioni fornite o rese pubbliche da noi, e (ii) non eserciti questo diritto più di una volta all'anno, a meno che una violazione dei Dati Personali o un cambiamento significativo nelle nostre attività di elaborazione in relazione ai Servizi richieda l'esecuzione di un ulteriore questionario. Tutte le risposte fornite sono le nostre Informazioni Riservate.
10.3 Audit del cliente. Se un Rapporto di Audit fornito da noi a te ti dà ragioni fondate per credere che non stiamo rispettando i nostri obblighi ai sensi di questo DPA, in relazione ai Dati Personali del Cliente forniti da te, consentiremo a un revisore indipendente e qualificato nominato da te e approvato da noi, di auditare le attività di elaborazione dei Dati Personali pertinenti e applicabili, a condizione che, nella misura massima consentita dalla legge applicabile, siano soddisfatti i seguenti requisiti:
Dovrai fornirci almeno sessanta (60) giorni di preavviso ragionevole prima di esercitare il diritto di audit;
Il revisore concorda con noi obblighi di riservatezza conformi agli standard di mercato;
Tu e il revisore prendete misure per minimizzare il disturbo alle nostre operazioni aziendali;
L'audit sarà condotto durante l'orario lavorativo normale;
Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o ai sistemi non coinvolti nella fornitura dei Servizi; e
Sarai responsabile di tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Comunicazione e diritti dell'affiliato cliente
L'ingresso in questo DPA a nome e per conto di un Cliente Affiliato come stabilito nella Sezione 1.2 costituisce un DPA separato tra noi e tale Cliente Affiliato, soggetto a quanto segue:
12.1. Comunicazione. Il Cliente che è parte contraente dell'Accordo rimane responsabile per il coordinamento di tutte le comunicazioni con noi ai sensi di questo DPA e ha il diritto di effettuare e ricevere qualsiasi comunicazione in relazione a questo DPA per conto dei suoi Affiliati del Cliente.
12.2 Diritti degli Affiliati del Cliente. Qualora un Affiliato del Cliente diventi parte del DPA con noi, esso dovrà, nella misura richiesta dalle Leggi sulla Protezione dei Dati, avere il diritto di esercitare i diritti e cercare rimedi ai sensi di questo DPA, fatte salve le seguenti condizioni:
(i) Salvo che le Leggi sulla Protezione dei Dati richiedano al Cliente Affiliato di esercitare un diritto o cercare un rimedio ai sensi di questo DPA contro MessageBird direttamente da sé, le parti convengono che (i) soltanto il Cliente che è parte contraente dell'Accordo eserciterà tale diritto o cercherà tale rimedio per conto dell'Affiliato del Cliente, e (ii) il Cliente che è parte contraente dell'Accordo eserciterà tali diritti ai sensi di questo DPA non separatamente per ciascun Affiliato del Cliente individualmente ma in maniera combinata per se stesso e per tutti i suoi Affiliati del Cliente insieme.
(ii) Le parti convengono che il Cliente che è parte contraente dell'Accordo, quando un audit in loco delle procedure rilevanti per la protezione dei Dati Personali del Cliente viene effettuato per suo conto come stabilito nella Sezione 10.3 di questo DPA, adotterà tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto di se stesso e di tutti i suoi Affiliati del Cliente in un unico audit.
Per chiarezza, un Affiliato del Cliente non diventa parte contraente dell'Accordo.
13. California Consumer Privacy Act.
Nella misura in cui è applicabile, facciamo i seguenti impegni aggiuntivi nei vostri confronti per quanto riguarda il trattamento dei Dati Personali dei Clienti entro l'ambito del CCPA.
13.1 I nostri obblighi secondo le leggi sulla protezione dei dati degli Stati Uniti. I termini “business purpose”, “commercial purpose”, “consumer”, “sell” e “share” come usati in questa Sezione 13.1 hanno i significati dati loro nel CCPA. Nella misura in cui è applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA e ad altre leggi sulla protezione dei dati statunitensi applicabili (“Dati Personali U.S.”) in conformità con le disposizioni del CCPA e altre leggi sulla protezione dei dati statunitensi. Per quanto riguarda i Dati Personali U.S., siamo un fornitore di servizi secondo il CCPA e un responsabile del trattamento secondo altre leggi sulla protezione dei dati statunitensi. Non venderemo i Dati Personali U.S. Non tratterremo, utilizzeremo o divulgheremo alcun Dato Personale U.S. (i) per alcuno scopo diverso dai business purposes specificati nell'Accordo (incluso trattenere, utilizzare o divulgare Dati Personali U.S. per uno scopo commerciale diverso dal business purpose specificato nell'Accordo o come altrimenti permesso dal CCPA o dalle leggi applicabili); o (ii) al di fuori della relazione commerciale diretta con voi e noi.
13.2 Obblighi del Cliente. Rappresentate e assicurate che avete fornito avviso all'Utente Finale che i Dati Personali vengono utilizzati o condivisi in conformità con le leggi sulla protezione dei dati applicabili. Sarete responsabili della conformità con i requisiti delle leggi sulla protezione dei dati nella misura applicabile a voi come titolare del trattamento.
14. Legge applicabile e risoluzione delle controversie. Qualsiasi disputa, pretesa o controversia (“Controversie”) derivante da o relativa a questo DPA sarà governata e interpretata in conformità con le leggi dei Paesi Bassi. Ciascuna Parte accetta che i tribunali competenti di Amsterdam avranno giurisdizione esclusiva per risolvere qualsiasi Controversia derivante da o relativa a questo DPA.