Data Processing Agreement Maggio 2023
Documenti
Contenuti
Questo Accordo di Elaborazione dei Dati si applica a te se ti sei registrato ai Servizi di MessageBird (inclusi tramite qualsiasi delle sue Affiliate) prima, il, o dopo il 3 Maggio, 2023. Il nostro Accordo di Elaborazione dei Dati archiviato è disponibile qui.
Questo Accordo di Elaborazione dei Dati, incluse le appendici, (“DPA”) fa parte dell'Accordo tra MessageBird e il Cliente per l'acquisto di servizi di comunicazione (online) da MessageBird per riflettere l'accordo delle Parti riguardo al trattamento dei Dati Personali del Cliente. In questo DPA, i termini “tu”, “tuo”, o “Cliente” si riferiscono a te (soggetto alla Sezione 1.2 sotto), e i termini “noi”, “nostro” o “MessageBird” si riferiscono a noi. I termini in maiuscolo usati in questo DPA ma non definiti di seguito sono definiti nei Termini e Condizioni Generali di MessageBird o altro Accordo con noi che regola il tuo uso dei Servizi.
Le parti concordano che questo DPA sostituirà qualsiasi addendum di protezione dei dati o simile accordo che le parti possono aver precedentemente stipulato in connessione con i Servizi.
Introduzione
1. Scope, Customer Affiliates and Term
1.1 Ambito. Questo DPA regola il trattamento dei Dati Personali del Cliente da parte di MessageBird come responsabile del trattamento.
1.2 Affiliate del Cliente. Il Cliente stipula questo DPA per proprio conto e, nella misura richiesta dalle Leggi sulla Protezione dei Dati, in nome e per conto delle sue Affiliate (come definite nei Termini), se e nella misura in cui fornisci a tali Affiliate l'accesso ai Servizi e noi trattiamo i Dati Personali del Cliente per i quali tali Affiliate si qualificano come titolari del trattamento dei dati (“Affiliate del Cliente”). Ai fini di questo DPA solo, e salvo indicazione contraria, i termini “Cliente” e “tu” includeranno Cliente e Affiliate del Cliente.
2. Definizioni
“Dati dell'account” sono tutti i Dati Personali forniti da te o per te a MessageBird in connessione con la stipula e l'amministrazione del Contratto e del tuo account, inclusi, ma non limitati a, informazioni di contatto, dettagli di fatturazione e corrispondenza sulla stipula e l'amministrazione del Contratto e dei Servizi correlati.
“CCPA” indica il California Consumer Privacy Act del 2018 e qualsiasi regolamento promulgato ai sensi dello stesso, in ciascun caso, come modificato di volta in volta.
“Dati del cliente” indica qualsiasi dato e altra informazione o contenuto inviato da te o per te (o da un utente della tua Applicazione del cliente) ai sensi del Contratto e elaborato o archiviato dai Servizi.
“Dati personali del cliente” indica i Dati Personali contenuti nei Dati del cliente elaborati da MessageBird come responsabile del trattamento, salvo diversa specifica in questo DPA.
“Leggi sulla protezione dei dati” indica tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza o trattamento dei Dati Personali ai sensi del Contratto, inclusi, ad esempio e ove applicabile, il GDPR o il CCPA.
“EEA” indica, ai fini di questo DPA, lo Spazio Economico Europeo e la Svizzera.
“GDPR” indica o (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche in merito al trattamento dei Dati Personali e sulla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); o (ii) esclusivamente per quanto riguarda il Regno Unito, il Data Protection Act 2018.
“MessageBird” indica la società MessageBird che è parte di questo DPA, ossia l'entità contraente elencata nella Sezione 15 dei Termini e Condizioni Generali (Entità Contraente), salvo diversa indicazione nel tuo Modulo d'Ordine. Tu o MessageBird potreste anche essere indicati individualmente come una “Parte” e insieme come “Parti” in questo DPA.
“Dati personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, direttamente o indirettamente, da sola o in combinazione con altre informazioni.
“Violazione dei dati personali” indica qualsiasi distruzione accidentale, non autorizzata o illegale, perdita, alterazione, divulgazione di, o accesso ai Dati personali del cliente e qualsiasi altro termine simile ai sensi delle Leggi sulla protezione dei dati applicabili come “Violazione della sicurezza”.
“Servizi” indica tutti i prodotti e servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da te sotto qualsiasi Modulo d'Ordine; o (b) utilizzati da te.
“Clausole Contrattuali Standard” indica Controller to Processor (Modulo due) o Processor to Processor (Modulo tre), a seconda dei casi, delle Clausole Contrattuali Standard per il trasferimento di Dati Personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio approvato dalla Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021, come attualmente riportato su https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
“Sub-responsabile del trattamento” indica un'entità terza che elabora i Dati personali del cliente per conto dell'entità MessageBird agendo come responsabile del trattamento o come sub-responsabile del trattamento.
“Clausole Contrattuali Standard del Regno Unito” indica una o tutte le seguenti: (i) accordo sul trasferimento internazionale dei dati emesso dal Commissario per le Informazioni del Regno Unito ai sensi della sezione 119A del DPA 2018; (ii) il modulo per il trasferimento internazionale dei dati alle clausole contrattuali standard della Commissione Europea per i trasferimenti internazionali di dati emesso dal Commissario per le Informazioni del Regno Unito ai sensi della sezione 119A del DPA 2018; o (iii) tali disposizioni contrattuali standard emesse dal Commissario per le Informazioni del Regno Unito o dalla Commissione Europea che possono sostituirle di volta in volta.
I termini come “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “interessato”, ecc. avranno il significato assegnato loro ai sensi del GDPR. La definizione di “titolare del trattamento” include “business”, “consumatore”, “controller” e “organizzazione”; “responsabile del trattamento” include “fornitore di servizi”, “processore” e “intermediario dei dati”; “interessato” include “consumatore” e “individuo”; e “Dati personali” include “informazioni personali”, in ciascun caso come definito nel CCPA e altre Leggi sulla protezione dei dati applicabili. I termini “finalità commerciale”, “scopo commerciale”, “vendita” e “condivisione” avranno lo stesso significato delle Leggi sulla protezione dei dati applicabili e, in ogni caso, i loro termini analoghi saranno interpretati di conseguenza.
3. Trattamento dei Dati Personali del Cliente
3.1 Scopi. Tratteremo i Dati Personali del Cliente solo nella misura necessaria (i) per fornire i Servizi, includendo la trasmissione delle comunicazioni, garantendo la sicurezza dei servizi, fornendo report tecnici e di consegna, fornendo supporto e sviluppando e implementando miglioramenti e aggiornamenti in conformità con le tue istruzioni documentate a noi come responsabile del trattamento dei dati, come specificato nella Sezione 3.2 di questo DPA, (ii) per i nostri scopi commerciali legittimi come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento dei dati, e (iii) come altrimenti richiesto dalla legge applicabile.
3.2 Istruzioni del Cliente. L'Accordo e questo DPA costituiscono le tue istruzioni complete per noi come responsabile del trattamento dei dati al momento della firma di questo DPA. Rispetteremo altre istruzioni ragionevolmente documentate a condizione che tali istruzioni siano coerenti con i termini dell'Accordo.
3.3 Dettagli del Trattamento. L'Annex I, Parte B (Descrizione del trasferimento) dell'Appendice I di questo DPA specifica la natura e lo scopo del trattamento da parte nostra come responsabili del trattamento dei dati o Sub-responsabili, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali, e le categorie di soggetti interessati.
3.4 Scopi Legittimi di Business. Riconosci che trattiamo i Dati Personali del Cliente come titolari autonomi del trattamento dei dati nella misura necessaria per i seguenti scopi legittimi di business: fatturazione, gestione degli account, reportistica finanziaria e interna, contrasto e prevenzione delle minacce alla sicurezza, attacchi informatici e crimini informatici che possono riguardare te, noi o i nostri servizi, modellazione business (ad es. previsioni, pianificazione della capacità e dei ricavi, e strategia del prodotto), prevenzione e rilevamento delle frodi, spam e abusi, miglioramento dei prodotti o servizi nella suite Bird, e per adempiere ai nostri obblighi legali.
4. Customer Obligations
4.1 Legalità. Laddove agisci come titolare del trattamento dei Dati Personali del Cliente, garantisci che tutte le attività di trattamento siano legali, abbiano uno scopo specifico e che tutte le notifiche e consensi richiesti o altre basi legali appropriate siano in atto per consentire il trasferimento legale dei Dati Personali del Cliente. Se sei un responsabile del trattamento dei dati (nel qual caso agiremo come Sub-responsabile), garantirai che il relativo titolare del trattamento dei dati assicuri che le condizioni elencate in questa Sezione 4.1 siano soddisfatte.
4.2 Conformità. Sei l'unico responsabile di (a) garantire di rispettare le Leggi sulla Protezione dei Dati applicabili al tuo utilizzo dei Servizi e al tuo stesso trattamento dei Dati Personali del Cliente, (b) effettuare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano le tue esigenze e (c) implementare e mantenere misure di privacy e sicurezza per i componenti che fornisci o controlli (inclusi, ma non limitati a, password, dispositivi utilizzati con i Servizi e Applicazioni del Cliente).
5. Sicurezza
5.1 Misure di Sicurezza. Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e scopi del trattamento, così come del rischio di probabilità e gravità variabile per i diritti e le libertà delle persone fisiche, implementeremo e manterremo misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali del Cliente da Violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati del Cliente che i nostri sistemi usano per elaborare i Dati Personali del Cliente. Le misure di sicurezza applicate da noi sono descritte nell'Appendice II.
5.2 Aggiornamenti delle Misure di Sicurezza. Sei responsabile per la revisione delle informazioni fornite da noi in relazione alla sicurezza dei Dati Personali del Cliente e per fare una valutazione indipendente su se tali informazioni soddisfano i tuoi requisiti e obblighi legali sotto le Leggi sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progresso e sviluppo tecnico, e che possiamo aggiornare o modificare le nostre misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non risultino in un degrado della sicurezza complessiva dei Dati Personali del Cliente.
5.3 Controlli di Accesso. Applichiamo i principi di "necessità di sapere" e "minimo privilegio" assicurando che l'accesso ai Dati Personali del Cliente sia limitato a quel Personale richiesto per la fornitura dei Servizi e in linea con l'Accordo, inclusa questa DPA.
5.4 Riservatezza del Trattamento. Garantiremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali del Cliente (inclusi il nostro personale, agenti e Sub-processori) siano informati della natura confidenziale di tali Dati Personali del Cliente e saranno sotto un'obbligazione di riservatezza appropriata (che sia un dovere contrattuale o statutario) che sopravvive alla cessazione del loro impegno.
5.5 Risposta e Notifica di Violazione dei Dati Personali. Nel momento in cui veniamo a conoscenza di una Violazione dei Dati Personali, noi senza indebito ritardo (i) ti notificheremo, (ii) investigeremo la Violazione dei Dati Personali, (iii) forniremo tempestivamente informazioni relative alla Violazione dei Dati Personali man mano che diventa nota o come ragionevolmente richiesto da te, e (iv) prenderemo misure commercialmente ragionevoli per mitigare gli effetti e prevenire la ricorrenza della Violazione dei Dati Personali.
6. Assistenza
6.1 Assistenza alla Protezione dei Dati. Forniremo l'assistenza ragionevolmente richiesta per consentirti di adempiere ai tuoi obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusa la notifica di una Violazione dei Dati Personali, valutando il livello di sicurezza appropriato del trattamento, e assistendoti nella realizzazione di una valutazione d'impatto della protezione dei dati pertinente.
6.2 Assistenza con i Diritti degli Interessati dei Dati. Ti forniremo un'assistenza ragionevole per consentirti di adempiere ai tuoi obblighi verso gli interessati che esercitano i loro diritti ai sensi delle Leggi sulla Protezione dei Dati rendendo disponibili misure tecniche e organizzative tramite il tuo account. Per evitare malintesi, tu in qualità di titolare del trattamento sei responsabile di gestire qualsiasi richiesta o reclamo dagli interessati in merito ai Dati Personali del Cliente di un interessato.
7. Divulgazione e Richieste di Divulgazione
7.1 Limitazioni sulla Divulgazione e Accesso. Non forniremo accesso o divulgheremo Dati Personali del Cliente eccetto (i) come da voi diretto, (ii) come stabilito nel Contratto e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di Divulgazione. Vi informeremo il prima possibile se riceviamo una richiesta da un organismo governativo o regolatorio di divulgare Dati Personali del Cliente, a meno che tale notifica sia proibita dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica di richiesta di divulgazione disponibile su https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Elenco degli attuali Sub-processori. Accetti l'ingaggio dei Sub-processori elencati in MessageBird's overview of Processors and Subprocessors sotto l'intestazione “End User Personal Data”, che contiene una procedura per iscriverti alle notifiche di modifiche al nostro uso di Sub-processori. Se ti iscrivi a tali notifiche, e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di qualsiasi cambiamento nei Sub-processori non appena ragionevolmente possibile.
8.2 Nomina dei Sub-processori. Attraverso questo DPA, ci fornisci un'autorizzazione scritta generale per coinvolgere Sub-processori per il trattamento dei Dati Personali del Cliente, soggetto alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
Limiteremo l'accesso ai Dati Personali del Cliente da parte dei Sub-processori a quanto strettamente necessario per fornire i servizi specificati nell'accordo con il sub-processore;
Concordiamo obblighi di protezione dei dati con il Sub-processore che sono sostanzialmente gli stessi degli obblighi previsti da questo DPA; e
Rimaniamo responsabili nei tuoi confronti ai sensi di questo DPA per l'adempimento degli obblighi di protezione dei dati del Sub-processore.
9. Trasferimenti Transfrontalieri di Customer Personal Data
9.1 Trasferimenti di Dati Personali dei Clienti. Potremmo trasferire Dati Personali dei Clienti a condizione che tutte le garanzie appropriate richieste dalle Leggi sulla Protezione dei Dati siano in atto. Questo può includere una valutazione preventiva dell'impatto del trasferimento dei dati, l'adozione, il monitoraggio e la valutazione di misure supplementari tecniche, organizzative e legali, diritti dei soggetti dei dati applicabili, e che siano disponibili rimedi legali efficaci per i soggetti dei dati.
9.2 Clausole Contrattuali Standard del Sub-incaricato. A meno che non si applichi una decisione di adeguatezza o un meccanismo di trasferimento alternativo, abbiamo stipulato e manterremo Clausole Contrattuali Standard con i Sub-incaricati (compresi i nostri Affiliate) situati fuori dall'EEA, soggetti ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per i Trasferimenti di Dati Personali dei Clienti. Nella misura in cui l'uso dei Servizi richiede un meccanismo di trasferimento transfrontaliero di dati per esportare legalmente Dati Personali dei Clienti da una giurisdizione (ad es. l'EEA, California, Singapore, Svizzera, o il Regno Unito) a noi situati al di fuori di quella giurisdizione, si applicherà questa sezione. Se, nell'esecuzione dei Servizi, Dati Personali dei Clienti soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy degli individui che si applica a questo DPA viene trasferito a MessageBird situata in paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi sulla Protezione dei Dati, i meccanismi di trasferimento elencati di seguito si applicheranno a tali trasferimenti e possono essere direttamente applicati dalle parti nella misura in cui tali trasferimenti sono soggetti alle Leggi sulla Protezione dei Dati.
9.3.1 Le parti convengono che le Clausole Contrattuali Standard si applicheranno ai Dati Personali dei Clienti che vengono trasferiti tramite i Servizi dall'EEA o dalla Svizzera, sia direttamente che tramite trasferimento successivo, a un'entità MessageBird situata in un paese al di fuori dell'EEA o della Svizzera che non sia riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, l'autorità competente per la Svizzera) come fornitore di un livello adeguato di protezione dei dati personali.
9.3.1.1 Quando si agisce come titolare del trattamento e MessageBird è un responsabile del trattamento, il modulo due delle Clausole Contrattuali Standard dell'UE si applicherà a qualsiasi tale trasferimento di Dati Personali dei Clienti dall'EEA. Quando si agisce come responsabile del trattamento e MessageBird è un sub-responsabile del trattamento, il modulo tre delle Clausole Contrattuali Standard si applicherà a qualsiasi tale trasferimento di Dati Personali dei Clienti dall'EEA.
9.3.1.2 MessageBird sarà considerata l'importatore di dati e voi sarete considerati l'esportatore di dati sotto le Clausole Contrattuali Standard. La firma di questo DPA da parte di ciascuna parte sarà considerata come firma delle Clausole Contrattuali Standard applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti sotto l'Allegato 1 e l'Allegato 2 delle Clausole Contrattuali Standard sono disponibili nell'Appendice I e Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno esclusivamente per quanto riguarda un trasferimento di Dati Personali dei Clienti dall'EEA.
9.3.1.3 Quando le Clausole Contrattuali Standard richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti lo hanno fatto come indicato di seguito:
i. La Clausola Opzionale 7 “Clausola di docking” non sarà adottata.
ii. Per la Clausola 9 “Utilizzo dei sub-incaricati”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: l'importatore dei dati ha l'autorizzazione generale del titolare del trattamento per l'impegno di sub-incaricato/i da una lista concordata. L'importatore dei dati informerà specificamente il titolare del trattamento per iscritto di eventuali cambiamenti intenzionati a quella lista attraverso l'aggiunta o la sostituzione di sub-incaricati almeno 10 giorni lavorativi prima, fornendo così al titolare del trattamento tempo sufficiente per opporsi a tali cambiamenti prima dell'impegno del/i sub-incaricato/i. L'importatore dei dati fornirà all'esportatore dei dati le informazioni necessarie per consentire all'esportatore dei dati di esercitare il suo diritto di obiezione. L'importatore dei dati informerà l'esportatore dei dati dell'impegno del/i sub-incaricato/i.”
iii. Per la Clausola 11 (a) “Ricorso”, le parti non adottano l'Opzione.
iv. Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno regolate dalla legge di uno degli Stati Membri dell'UE, a condizione che tale legge consenta diritti di terzi beneficiari. Le Parti concordano che questa sarà la legge dei Paesi Bassi.”
v. Per la Clausola 18 (b) “Scelta del Foro e della Giurisdizione”: “Le Parti concordano che questi saranno i tribunali dei Paesi Bassi.”
9.3.2 Le parti convengono che le Clausole Contrattuali Standard del Regno Unito si applicheranno ai Dati Personali dei Clienti trasferiti tramite i Servizi dal Regno Unito, sia direttamente che tramite trasferimento successivo, a un'entità MessageBird situata in un paese esterno al Regno Unito che non sia riconosciuto dall'autorità regolatoria competente del Regno Unito o dall'organo governativo per il Regno Unito come fornitore di un livello adeguato di protezione dei dati personali.
10. Audit
10.1 Rapporto di Audit. La nostra piattaforma di comunicazione sarà regolarmente sottoposta a audit secondo lo standard ISO 27001:2013 (o equivalente). L'audit potrà essere, a nostra esclusiva discrezione, un audit interno o un audit svolto da terzi. Su richiesta scritta, ti forniremo un riassunto del rapporto di audit ("Rapporto di Audit"), in modo che tu possa verificare la nostra conformità agli standard di audit e a questo DPA. Tali Rapporti di Audit, così come qualsiasi conclusione o risultato specificato al loro interno, sono le nostre Informazioni Riservate.
10.2 Richieste di informazioni del cliente. Metteremo a tua disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni fatte da te, incluse risposte a questionari di sicurezza delle informazioni e di audit che siano ragionevoli in termini di ambito e necessarie per confermare la conformità con questo DPA, a condizione che tu (i) abbia prima fatto un ragionevole sforzo per ottenere le informazioni richieste dalla Documentazione, dai Rapporti di Audit e da altre informazioni fornite o rese pubbliche da noi, e (ii) non eserciti questo diritto più di una volta all'anno, a meno che una violazione dei Dati Personali o un cambiamento significativo nelle nostre attività di elaborazione in relazione ai Servizi richieda l'esecuzione di un ulteriore questionario. Tutte le risposte fornite sono le nostre Informazioni Riservate.
10.3 Audit del cliente. Se un Rapporto di Audit fornito da noi a te ti dà ragioni fondate per credere che non stiamo rispettando i nostri obblighi ai sensi di questo DPA, in relazione ai Dati Personali del Cliente forniti da te, consentiremo a un revisore indipendente e qualificato nominato da te e approvato da noi, di auditare le attività di elaborazione dei Dati Personali pertinenti e applicabili, a condizione che, nella misura massima consentita dalla legge applicabile, siano soddisfatti i seguenti requisiti:
Dovrai fornirci almeno sessanta (60) giorni di preavviso ragionevole prima di esercitare il diritto di audit;
Il revisore concorda con noi obblighi di riservatezza conformi agli standard di mercato;
Tu e il revisore prendete misure per minimizzare il disturbo alle nostre operazioni aziendali;
L'audit sarà condotto durante l'orario lavorativo normale;
Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o ai sistemi non coinvolti nella fornitura dei Servizi; e
Sarai responsabile di tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Comunicazione e diritti dell'affiliato cliente
L'ingresso in questo DPA a nome e per conto di un Cliente Affiliato come stabilito nella Sezione 1.2 costituisce un DPA separato tra noi e tale Cliente Affiliato, soggetto a quanto segue:
12.1. Comunicazione. Il Cliente che è parte contraente dell'Accordo rimane responsabile per il coordinamento di tutte le comunicazioni con noi ai sensi di questo DPA e ha il diritto di effettuare e ricevere qualsiasi comunicazione in relazione a questo DPA per conto dei suoi Affiliati del Cliente.
12.2 Diritti degli Affiliati del Cliente. Qualora un Affiliato del Cliente diventi parte del DPA con noi, esso dovrà, nella misura richiesta dalle Leggi sulla Protezione dei Dati, avere il diritto di esercitare i diritti e cercare rimedi ai sensi di questo DPA, fatte salve le seguenti condizioni:
(i) Salvo che le Leggi sulla Protezione dei Dati richiedano al Cliente Affiliato di esercitare un diritto o cercare un rimedio ai sensi di questo DPA contro MessageBird direttamente da sé, le parti convengono che (i) soltanto il Cliente che è parte contraente dell'Accordo eserciterà tale diritto o cercherà tale rimedio per conto dell'Affiliato del Cliente, e (ii) il Cliente che è parte contraente dell'Accordo eserciterà tali diritti ai sensi di questo DPA non separatamente per ciascun Affiliato del Cliente individualmente ma in maniera combinata per se stesso e per tutti i suoi Affiliati del Cliente insieme.
(ii) Le parti convengono che il Cliente che è parte contraente dell'Accordo, quando un audit in loco delle procedure rilevanti per la protezione dei Dati Personali del Cliente viene effettuato per suo conto come stabilito nella Sezione 10.3 di questo DPA, adotterà tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto di se stesso e di tutti i suoi Affiliati del Cliente in un unico audit.
Per chiarezza, un Affiliato del Cliente non diventa parte contraente dell'Accordo.
13. California Consumer Privacy Act.
Nella misura in cui è applicabile, facciamo i seguenti impegni aggiuntivi nei vostri confronti per quanto riguarda il trattamento dei Dati Personali dei Clienti entro l'ambito del CCPA.
13.1 I nostri obblighi secondo le leggi sulla protezione dei dati degli Stati Uniti. I termini “business purpose”, “commercial purpose”, “consumer”, “sell” e “share” come usati in questa Sezione 13.1 hanno i significati dati loro nel CCPA. Nella misura in cui è applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali dei Clienti soggetti al CCPA e ad altre leggi sulla protezione dei dati statunitensi applicabili (“Dati Personali U.S.”) in conformità con le disposizioni del CCPA e altre leggi sulla protezione dei dati statunitensi. Per quanto riguarda i Dati Personali U.S., siamo un fornitore di servizi secondo il CCPA e un responsabile del trattamento secondo altre leggi sulla protezione dei dati statunitensi. Non venderemo i Dati Personali U.S. Non tratterremo, utilizzeremo o divulgheremo alcun Dato Personale U.S. (i) per alcuno scopo diverso dai business purposes specificati nell'Accordo (incluso trattenere, utilizzare o divulgare Dati Personali U.S. per uno scopo commerciale diverso dal business purpose specificato nell'Accordo o come altrimenti permesso dal CCPA o dalle leggi applicabili); o (ii) al di fuori della relazione commerciale diretta con voi e noi.
13.2 Obblighi del Cliente. Rappresentate e assicurate che avete fornito avviso all'Utente Finale che i Dati Personali vengono utilizzati o condivisi in conformità con le leggi sulla protezione dei dati applicabili. Sarete responsabili della conformità con i requisiti delle leggi sulla protezione dei dati nella misura applicabile a voi come titolare del trattamento.
14. Legge applicabile e risoluzione delle controversie. Qualsiasi disputa, pretesa o controversia (“Controversie”) derivante da o relativa a questo DPA sarà governata e interpretata in conformità con le leggi dei Paesi Bassi. Ciascuna Parte accetta che i tribunali competenti di Amsterdam avranno giurisdizione esclusiva per risolvere qualsiasi Controversia derivante da o relativa a questo DPA.
