Contratto di elaborazione digitale

OneTake AI utilizza un sistema di "contenitori" per consentire all'AI di OneTake Chat di avere un contesto sulla vostra attività e fornire risposte completamente personalizzate, mentre la vostra proprietà intellettuale è protetta e non accessibile da altri account OneTake Chat.

Contratto di elaborazione digitale

  1. Relazioni tra processori e sottoprocessori
    1. Fornitore come Responsabile del trattamento. Nelle situazioni in cui l'Utente è un Titolare dei Dati personali dell'Utente, il Fornitore sarà considerato un Responsabile del trattamento che elabora i Dati personali per conto dell'Utente.
    2. Fornitore come Subprocessore. Nelle situazioni in cui il Cliente è un Responsabile del trattamento dei Dati personali del Cliente, il Fornitore sarà considerato un Subprocessore dei Dati personali del Cliente.
  2. Elaborazione
    1. Dettagli del trattamento. L'Allegato I(B) del Frontespizio descrive l'oggetto, la natura, la finalità e la durata di questo Trattamento, nonché le Categorie di Dati Personali raccolti e le Categorie di Interessati.
    2. Istruzioni per il trattamento. Il Cliente incarica il Fornitore di trattare i Dati personali del Cliente: (a) per fornire e mantenere il Servizio; (b) come può essere ulteriormente specificato attraverso l'uso del Servizio da parte del Cliente; (c) come documentato nel Contratto; e (d) come documentato in qualsiasi altra istruzione scritta fornita dal Cliente e riconosciuta dal Fornitore in merito al trattamento dei Dati personali del Cliente ai sensi del presente DPA. Il Fornitore si atterrà a tali istruzioni, a meno che ciò non sia vietato dalle Leggi applicabili. Il Fornitore informerà immediatamente il Cliente se non è in grado di seguire le istruzioni di trattamento. Il Cliente ha dato e darà solo istruzioni conformi alle Leggi applicabili.
    3. Trattamento da parte del Fornitore. Il Fornitore tratterà i Dati personali del cliente solo in conformità con la presente DPA, compresi i dettagli del frontespizio. Se il Fornitore aggiorna il Servizio per aggiornare i prodotti, le caratteristiche o le funzionalità esistenti o per includerne di nuovi, il Fornitore può modificare le Categorie di Soggetti dei Dati, le Categorie di Dati Personali, i Dati di Categoria Speciale, le Limitazioni o le Salvaguardie dei Dati di Categoria Speciale, la Frequenza di Trasferimento, la Natura e lo Scopo dell'Elaborazione e la Durata dell'Elaborazione come necessario per riflettere gli aggiornamenti, notificando al Cliente gli aggiornamenti e le modifiche.
    4. Trattamento da parte del cliente. Laddove il Cliente sia un Responsabile del trattamento e il Fornitore un Subprocessore, il Cliente si atterrà a tutte le Leggi applicabili che si applicano al Trattamento dei Dati personali del Cliente. L'accordo del Cliente con il suo Responsabile del trattamento richiederà analogamente al Cliente di rispettare tutte le Leggi applicabili che si applicano al Cliente in qualità di Responsabile del trattamento. Inoltre, l'Acquirente si atterrà ai requisiti del Subprocessore previsti dal contratto dell'Acquirente con il suo Responsabile del trattamento.
    5. Consenso al trattamento. L'Utente ha rispettato e continuerà a rispettare tutte le Leggi applicabili in materia di protezione dei dati per quanto riguarda la fornitura dei Dati personali dell'Utente al Fornitore e/o al Servizio, compresa l'effettuazione di tutte le comunicazioni, l'ottenimento di tutti i consensi, la fornitura di una scelta adeguata e l'implementazione delle salvaguardie pertinenti richieste dalle Leggi applicabili in materia di protezione dei dati.
    6. Sottoprocessori.
      1. Il Fornitore non fornirà, trasferirà o consegnerà i Dati personali del Cliente a un Subprocessore a meno che il Cliente non abbia approvato il Subprocessore. L'elenco attuale dei Subprocessori approvati include l'identità dei Subprocessori, il loro paese di ubicazione e i compiti di elaborazione previsti. Il Fornitore informerà l'Utente con almeno 10 giorni lavorativi di anticipo e per iscritto di qualsiasi modifica prevista ai Subprocessori approvati, che si tratti dell'aggiunta o della sostituzione di un Subprocessore, in modo da consentire all'Utente di avere il tempo sufficiente per opporsi alle modifiche prima che il Fornitore inizi a utilizzare i nuovi Subprocessori. Il Fornitore fornirà all'Utente le informazioni necessarie per consentirgli di esercitare il proprio diritto di opposizione alla modifica dei Subprocessori approvati. L'Acquirente ha 30 giorni di tempo dalla notifica di una modifica ai Subprocessori approvati per opporsi, altrimenti si riterrà che l'Acquirente accetti le modifiche. Se l'Acquirente si oppone alla modifica entro 30 giorni dalla notifica, l'Acquirente e il Fornitore collaboreranno in buona fede per risolvere l'obiezione o il problema dell'Acquirente.
      2. Quando si assume un Subprocessore, il Fornitore avrà un accordo scritto con il Subprocessore che garantisce che il Subprocessore acceda e utilizzi i Dati personali dell'Utente (i) solo nella misura necessaria per eseguire gli obblighi ad esso subappaltati e (ii) in conformità con i termini del Contratto.
      3. Se il GDPR si applica al Trattamento dei Dati personali del Cliente, (i) gli obblighi di protezione dei dati descritti nel presente DPA (di cui all'articolo 28(3) del GDPR, se applicabile) sono imposti anche al Subprocessore e (ii) l'accordo del Fornitore con il Subprocessore incorporerà tali obblighi, compresi i dettagli su come il Fornitore e il suo Subprocessore si coordineranno per rispondere a richieste o domande sul Trattamento dei Dati personali del Cliente. Inoltre, il Fornitore condividerà, su richiesta dell'Utente, una copia dei suoi accordi (compresi eventuali emendamenti) con i suoi Subprocessori. Nella misura necessaria a proteggere i segreti aziendali o altre informazioni riservate, compresi i dati personali, il Fornitore può riformulare il testo dell'accordo con il suo Subprocessore prima di condividerne una copia.
      4. Il Fornitore rimane pienamente responsabile di tutti gli obblighi subappaltati ai suoi Subprocessori, compresi gli atti e le omissioni dei suoi Subprocessori nell'elaborazione dei Dati personali dell'utente. Il Fornitore comunicherà all'Utente qualsiasi inadempienza da parte dei suoi Subprocessori nell'adempimento di un obbligo sostanziale relativo ai Dati personali dell'Utente ai sensi dell'accordo tra il Fornitore e il Subprocessore.
  3. Trasferimenti vincolati
    1. Autorizzazione. L'Utente accetta che il Fornitore possa trasferire i Dati personali dell'Utente al di fuori del SEE, del Regno Unito o di altri territori geografici pertinenti, se necessario per fornire il Servizio. Se il Fornitore trasferisce i Dati personali dell'utente in un territorio per il quale la Commissione europea o un'altra autorità di vigilanza pertinente non ha emesso una decisione di adeguatezza, il Fornitore implementerà le opportune salvaguardie per il trasferimento dei Dati personali dell'utente in tale territorio in conformità con le Leggi sulla protezione dei dati applicabili.
    2. Trasferimenti ex SEE. Il Cliente e il Fornitore concordano che se il GDPR protegge il trasferimento dei Dati personali del Cliente, il trasferimento avviene dal Cliente all'interno del SEE al Fornitore al di fuori del SEE e il trasferimento non è disciplinato da una decisione di adeguatezza della Commissione europea, con la stipula del presente DPA si ritiene che il Cliente e il Fornitore abbiano sottoscritto le SCC SEE e i relativi allegati, che sono incorporati per riferimento. Qualsiasi trasferimento di questo tipo viene effettuato ai sensi delle CCS del SEE, che vengono completate come segue:
      1. Il Modulo Due (Controller to Processor) delle SCC SEE si applica quando il cliente è un Controller e il Provider tratta i dati personali del cliente in qualità di Processor.
      2. Il Modulo Tre (Processore a Subprocessore) delle SCC SEE si applica quando il Cliente è un Processore e il Fornitore tratta i dati personali del Cliente per conto del Cliente in qualità di Subprocessore.
      3. Per ogni modulo, si applica quanto segue (se applicabile):
        1. La clausola di attracco opzionale di cui alla clausola 7 non si applica;
        2. Nella Clausola 9, si applica l'opzione 2 (autorizzazione generale scritta) e il periodo minimo di preavviso per le modifiche al Subprocessore è di 10 giorni lavorativi;
        3. Nella clausola 11, la lingua opzionale non si applica;
        4. Tutte le parentesi quadre della clausola 13 sono state eliminate;
        5. Nella clausola 17 (opzione 1), le SCC SEE saranno disciplinate dalle leggi dello Stato membro di riferimento;
        6. Nella clausola 18(b), le controversie saranno risolte dai tribunali dello Stato membro di riferimento; e
        7. Il frontespizio del presente DPA contiene le informazioni richieste nell'allegato I, nell'allegato II e nell'allegato III dei CCS SEE.
    3. Trasferimenti fuori dal Regno Unito. Il Cliente e il Fornitore concordano che se il GDPR del Regno Unito protegge il trasferimento dei Dati personali del Cliente, il trasferimento avviene dal Cliente all'interno del Regno Unito al Fornitore al di fuori del Regno Unito e il trasferimento non è disciplinato da una decisione di adeguatezza presa dal Segretario di Stato del Regno Unito, allora con la stipula del presente DPA si ritiene che il Cliente e il Fornitore abbiano sottoscritto l'Addendum del Regno Unito e i relativi Allegati, che sono incorporati per riferimento. Qualsiasi trasferimento di questo tipo viene effettuato ai sensi dell'Addendum per il Regno Unito, che viene compilato come segue:
      1. La sezione 3.2 del presente DPA contiene le informazioni richieste nella tabella 2 dell'addendum del Regno Unito.
      2. La tabella 4 dell'addendum britannico è modificata come segue: Nessuna delle parti può porre fine all'Addendum per il Regno Unito come stabilito nella Sezione 19 dell'Addendum per il Regno Unito; nella misura in cui l'ICO emette un Addendum approvato rivisto ai sensi della Sezione 18 dell'Addendum per il Regno Unito, le parti lavoreranno in buona fede per rivedere il presente DPA di conseguenza.
      3. Il frontespizio contiene le informazioni richieste dagli allegati 1A, 1B, II e III dell'addendum del Regno Unito.
    4. Altri trasferimenti internazionali. Per i trasferimenti di dati personali in cui la legge svizzera (e non quella di uno Stato membro del SEE o del Regno Unito) si applica alla natura internazionale del trasferimento, i riferimenti al GDPR nella clausola 4 delle SCC SEE sono, nella misura in cui ciò sia legalmente richiesto, modificati in modo da fare riferimento alla Legge federale svizzera sulla protezione dei dati o al suo successore, e il concetto di autorità di controllo includerà il Commissario federale svizzero per la protezione dei dati e delle informazioni.
  4. Risposta agli incidenti di sicurezza
    1. Quando viene a conoscenza di un incidente di sicurezza, il Fornitore dovrà: (a) informare l'Utente senza ritardi ingiustificati, quando possibile, ma non oltre 72 ore dal momento in cui viene a conoscenza dell'Incidente di sicurezza; (b) fornire tempestivamente informazioni sull'Incidente di sicurezza non appena ne viene a conoscenza o come ragionevolmente richiesto dall'Utente; e (c) adottare tempestivamente misure ragionevoli per contenere e indagare sull'Incidente di sicurezza. La notifica o la risposta del Fornitore a un Incidente di sicurezza come richiesto dal presente DPA non sarà interpretata come un riconoscimento da parte del Fornitore di qualsiasi colpa o responsabilità per l'Incidente di sicurezza.
  5. Audit e rapporti
    1. Diritti di verifica. Il Fornitore fornirà all'Acquirente tutte le informazioni ragionevolmente necessarie per dimostrare la sua conformità al presente DPA e il Fornitore consentirà e contribuirà alle verifiche, comprese le ispezioni da parte dell'Acquirente, per valutare la conformità del Fornitore al presente DPA. Tuttavia, il Fornitore può limitare l'accesso ai dati o alle informazioni se l'accesso del Cliente alle informazioni avrebbe un impatto negativo sui diritti di proprietà intellettuale del Fornitore, sugli obblighi di riservatezza o su altri obblighi previsti dalle Leggi applicabili. Il Cliente riconosce e concorda che eserciterà i propri diritti di verifica ai sensi del presente DPA e qualsiasi diritto di verifica concesso dalle Leggi applicabili in materia di protezione dei dati istruendo il Fornitore a rispettare i requisiti di rendicontazione e due diligence riportati di seguito. Il Fornitore conserverà le registrazioni della sua conformità al presente DPA per 3 anni dopo la scadenza del DPA.
    2. Rapporti sulla sicurezza. Il Cliente riconosce che il Fornitore viene regolarmente sottoposto a verifiche rispetto agli standard definiti nella Politica di sicurezza da parte di revisori terzi indipendenti. Su richiesta scritta, il Fornitore fornirà all'Utente, su base confidenziale, una copia riassuntiva del Rapporto aggiornato in modo che l'Utente possa verificare la conformità del Fornitore agli standard definiti nella Politica di sicurezza.
    3. Due diligence di sicurezza. Oltre al Rapporto, il Fornitore risponderà a ragionevoli richieste di informazioni da parte dell'Acquirente per confermare la conformità del Fornitore al presente DPA, comprese le risposte a questionari sulla sicurezza delle informazioni, sulla due diligence e sugli audit, o fornendo ulteriori informazioni sul proprio programma di sicurezza delle informazioni. Tutte le richieste di questo tipo devono essere formulate per iscritto e indirizzate al Referente per la sicurezza del Fornitore e possono essere effettuate solo una volta all'anno.
  6. Coordinamento e cooperazione
    1. Risposta alle richieste. Se il Fornitore riceve una richiesta o una domanda da parte di terzi in merito all'elaborazione dei Dati personali dell'utente, il Fornitore informerà l'utente della richiesta e non risponderà alla richiesta senza il previo consenso dell'utente. Esempi di questo tipo di richieste e indagini sono un ordine giudiziario o amministrativo o di un'agenzia di regolamentazione in merito ai Dati personali dell'utente, laddove la notifica all'utente non sia vietata dalla Legge applicabile, o una richiesta da parte di un soggetto interessato. Se consentito dalla Legge Applicabile, il Fornitore seguirà le ragionevoli istruzioni dell'Utente in merito a tali richieste, compresa la fornitura di aggiornamenti sullo stato e altre informazioni ragionevolmente richieste dall'Utente. Se un soggetto interessato presenta una richiesta valida ai sensi delle Leggi applicabili in materia di protezione dei dati per eliminare o rinunciare alla fornitura dei Dati personali del cliente al Fornitore, il Fornitore assisterà il cliente nell'adempimento della richiesta in base alla Legge applicabile in materia di protezione dei dati. Il Fornitore collaborerà e fornirà un'assistenza ragionevole al Cliente, a spese del Cliente, in qualsiasi risposta legale o altra azione procedurale intrapresa dal Cliente in risposta a una richiesta di terzi in merito al Trattamento dei Dati personali del Cliente da parte del Fornitore ai sensi del presente DPA.
    2. DPIA e DTIA. Se richiesto dalle Leggi applicabili in materia di protezione dei dati, il Fornitore assisterà ragionevolmente il Cliente nella conduzione di qualsiasi valutazione d'impatto sulla protezione dei dati o di trasferimento dei dati e nelle consultazioni con le autorità competenti in materia di protezione dei dati, tenendo conto della natura del Trattamento e dei Dati personali del Cliente.
  7. Cancellazione dei dati personali del cliente
    1. Cancellazione da parte del Cliente. Il Fornitore consentirà all'Utente di eliminare i Dati personali dell'Utente in modo coerente con la funzionalità dei Servizi. Il Fornitore si atterrà a questa istruzione non appena ragionevolmente possibile, ad eccezione dei casi in cui la conservazione dei Dati personali dell'utente sia richiesta dalla Legge applicabile.
    2. Cancellazione alla scadenza del DPA.
      1. Dopo la scadenza del DPA, il Fornitore restituirà o eliminerà i Dati personali del cliente su istruzione del cliente, a meno che l'ulteriore conservazione dei Dati personali del cliente non sia richiesta o autorizzata dalla Legge applicabile. Se la restituzione o la distruzione non è fattibile o è vietata dalle Leggi applicabili, il Fornitore compirà sforzi ragionevoli per evitare un ulteriore trattamento dei Dati personali dell'utente e continuerà a proteggere i Dati personali dell'utente rimasti in suo possesso, custodia o controllo. Ad esempio, le Leggi applicabili potrebbero richiedere al Fornitore di continuare a ospitare o elaborare i Dati personali dell'utente.
      2. Se il Cliente e il Fornitore hanno stipulato le SCC del SEE o l'Addendum del Regno Unito come parte del presente DPA, il Fornitore fornirà al Cliente la certificazione di cancellazione dei Dati personali descritta nella Clausola 8.1(d) e nella Clausola 8.5 delle SCC del SEE solo se il Cliente la richiede.
  8. Limitazione di responsabilità
    1. Limiti di responsabilità e rinuncia ai danni. Nella misura massima consentita dalle Leggi applicabili in materia di protezione dei dati, la responsabilità totale cumulativa di ciascuna parte nei confronti dell'altra parte derivante da o correlata al presente DPA sarà soggetta alle rinunce, alle esclusioni e alle limitazioni di responsabilità indicate nel Contratto.
    2. Richieste di risarcimento da parte di terzi. Qualsiasi reclamo presentato contro il Fornitore o le sue Affiliate derivante da o correlato al presente DPA può essere presentato solo dall'entità del Cliente che è parte del Contratto.
    3. Eccezioni. Il presente DPA non limita alcuna responsabilità nei confronti di un individuo in merito ai suoi diritti di protezione dei dati ai sensi delle leggi applicabili in materia di protezione dei dati. Inoltre, il presente DPA non limita alcuna responsabilità tra le parti per le violazioni dei CCS del SEE o dell'Addendum del Regno Unito.
  9. Conflitti tra documenti
    1. Il presente DPA costituisce parte integrante dell'Accordo e lo integra. In caso di incongruenza tra il presente DPA, l'Accordo o una qualsiasi delle loro parti, la parte elencata prima prevarrà su quella elencata dopo per tale incongruenza: (1) i CCS del SEE o l'Addendum del Regno Unito, (2) il presente DPA e quindi (3) l'Accordo.
  10. Durata dell'accordo
    1. Il presente DPA avrà inizio nel momento in cui il Fornitore e il Cliente concordano un frontespizio per il DPA e firmano o accettano elettronicamente il Contratto e continuerà fino alla scadenza o alla risoluzione del Contratto. Tuttavia, il Fornitore e il Cliente resteranno soggetti agli obblighi previsti dal presente DPA e dalle Leggi sulla protezione dei dati applicabili fino a quando il Cliente non smetterà di trasferire i Dati personali del Cliente al Fornitore e il Fornitore non smetterà di trattare i Dati personali del Cliente.
  11. Definizioni
    1. Per "Leggi applicabili" si intendono le leggi, le norme, i regolamenti, le ordinanze dei tribunali e gli altri requisiti vincolanti di un'autorità governativa pertinente che si applicano o regolano una parte.
    2. "Leggi applicabili in materia di protezione dei dati" indica le Leggi applicabili che regolano il modo in cui il Servizio può trattare o utilizzare le informazioni personali di un individuo, i dati personali, le informazioni di identificazione personale o altri termini simili.
    3. "Titolare del trattamento" avrà il significato dato dalle Leggi applicabili in materia di protezione dei dati per la società che determina lo scopo e la portata del trattamento dei dati personali.
    4. "Frontespizio" indica un documento firmato o accettato elettronicamente dalle parti che incorpora le presenti Condizioni standard DPA e identifica il Fornitore, il Cliente e l'oggetto e i dettagli del trattamento dei dati.
    5. "Dati personali del Cliente" indica i Dati personali che il Cliente carica o fornisce al Fornitore nell'ambito del Servizio e che sono disciplinati dalla presente DPA.
    6. "DPA" indica i presenti Termini standard DPA, il Frontespizio tra il Fornitore e il Cliente e le politiche e i documenti a cui si fa riferimento o che sono allegati al Frontespizio.
    7. "CCS SEE" indica le clausole contrattuali standard allegate alla Decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio europeo.
    8. Per "Spazio Economico Europeo" o "SEE" si intendono gli Stati membri dell'Unione Europea, la Norvegia, l'Islanda e il Liechtenstein.
    9. "GDPR" indica il Regolamento dell'Unione Europea 2016/679 così come implementato dalle leggi locali della relativa nazione membro del SEE.
    10. "Dati personali" avrà il significato attribuito dalle Leggi sulla protezione dei dati applicabili alle informazioni personali, ai dati personali o ad altri termini simili.
    11. "Elaborazione" o "Trattamento" avrà il significato attribuito dalle Leggi applicabili in materia di protezione dei dati per qualsiasi utilizzo o esecuzione di un'operazione informatica sui Dati personali, anche con metodi automatici.
    12. "Responsabile del trattamento" ha il significato attribuito dalle leggi applicabili in materia di protezione dei dati alla società che tratta i dati personali per conto del Titolare.
    13. "Rapporto" indica i rapporti di audit preparati da un'altra società secondo gli standard definiti nella Politica di sicurezza per conto del Fornitore.
    14. "Trasferimento limitato" indica (a) laddove si applica il GDPR, un trasferimento di dati personali dal SEE a un paese al di fuori del SEE che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea; e (b) laddove si applica il GDPR del Regno Unito, un trasferimento di dati personali dal Regno Unito a qualsiasi altro paese che non è soggetto a regolamenti di adeguatezza adottati ai sensi della sezione 17A dello United Kingdom Data Protection Act 2018.
    15. "Incidente di sicurezza" indica una violazione dei dati personali come definita nell'articolo 4 del GDPR.
    16. "Servizio" indica il prodotto e/o i servizi descritti nel Contratto.
    17. "Dati di categoria speciale" avrà il significato dato dall'articolo 9 del GDPR.
    18. "Subprocessore" avrà il significato dato dalle Leggi applicabili sulla protezione dei dati per una società che, con l'approvazione e l'accettazione del Titolare, assiste il Responsabile del trattamento nell'elaborazione dei dati personali per conto del Titolare.
    19. "UK GDPR" indica il Regolamento dell'Unione Europea 2016/679 come implementato dalla sezione 3 dell'European Union (Withdrawal) Act of 2018 del Regno Unito nel Regno Unito.
    20. "Addendum del Regno Unito" indica l'addendum per il trasferimento internazionale di dati alle SCC del SEE emesso dall'Information Commissioner per le parti che effettuano trasferimenti limitati ai sensi della S119A(1) del Data Protection Act 2018.