Addendum sulla elaborazione dati

Il presente Addendum sulla elaborazione dati (“DPA”) è in vigore a partire dal 27 settembre 2021, o alla data di entrata in vigore (“Data dientrata in vigore”) in cui l’utente, in qualità di cliente commerciale (“utente” o il “Cliente”)acquista i Servizi (come definiti di seguito) da Clipchamp Pty Ltd (ACN 162516556), una affiliata di Microsoft Corporation (“Clipchamp”, “noi”, “ci”, “nostro”,o“Provider di servizi”), e fa parte di tutti gli accordi (incluse, senza limitazioni, le Condizioni (come definite di seguito)), ordini di acquisto, dichiarazioni di lavoro e altri documenti contrattuali tra le parti (individualmente e collettivamente, il “Contratto”). Il presente DPA è sottoscritto da Clipchamp e/o da eventuali Consociate associate (come definite di seguito) che forniscono Servizi al Cliente e il Cliente e/o eventuali Consociate associate (come definite di seguito) che acquistano Servizi da Clipchamp ai sensi di un Contratto. Il presente DPA si applica nella misura in cui il Provider di servizi riceve, archivia o tratta i Dati personali per conto del Cliente in relazione a qualsiasi Servizio. Clipchamp e il Cliente sono individualmente una “parte” e, collettivamente, le “parti” del presente DPA. Il Contratto incorpora espressamente il presente DPA. In caso di conflitto tra il presente DPA e il Contratto, il Contratto prevarrà nella misura del controllo (salvo nella misura limitata in cui i termini del DPA siano richiesti dalla legge applicabile, nel qual caso i termini pertinenti nel presente DPA prevarranno nella misura del conflitto). I termini in maiuscolo, non definiti nel presente DPA, hanno i rispettivi significati assegnati loro nel Contratto.

1. DEFINIZIONI.

I seguenti termini hanno il significato indicato di seguito solo ai fini del DPA e non si applicano alle Condizioni di Clipchamp (“Condizioni”). Altre condizioni possono essere definite inline nel presente DPA.

1.1 “Affiliate” indica le entità che possiedono, sono di proprietà di, o sono di comune proprietà di una delle parti.

1.2 Le “Operazioni aziendali” sono costituite da quanto segue: ciascuna come evento della fornitura dei Servizi al Cliente: (1) Gestione account e fatturazioni; (2) compensazione (ad es. calcolo delle commissioni dei dipendenti e degli incentivi per i partner); (3) creazione di report interni e modellazione aziendale (ad es. previsioni, ricavi, pianificazione della capacità, strategia del prodotto); (4) combattere le frodi, crimine informatico, o cyberattacchi che potrebbero influire sui Servizi di Clipchamp o sui prodotti e servizi delle sue Affiliate; (5) migliorare la funzionalità principale dell’accessibilità, privacy o efficienza energetica; e (6) rendicontazione finanziaria e conformità agli obblighi legali (fatte salve le limitazioni alla divulgazione dei Dati trattati descritte nella Sezione 2.9 di seguito).

1.3 “Titolare del trattamento” indica l’entità che determina le finalità e i mezzi del trattamento dei Dati personali.

1.4 “Legge sulla protezione dei dati personali” indica tutte le leggi sulla protezione dei dati personali e sulla privacy applicabili al Trattamento dei Dati personali ai sensi del Contratto, tra cui, ove applicabile, la Legge sulla protezione dei dati dell’UE e l’Australian Privacy Act del 1988 (Cth).

1.5 Per “Interessato” si intende la persona a cui si riferiscono i Dati personali.

1.6 “Legge UE sulla protezione dei dati personali” indica (i) prima del 25 maggio 2018, la Direttiva 95/46/CE del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei Dati personali e sulla libera circolazione di tali dati (“Direttiva”); (ii) a partire dal 25 maggio 2018, Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei Dati personali e sulla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (“GDPR”); e (iii) Direttiva e GDPR come recepiti nella legislazione nazionale di ciascuno Stato membro.

1.7 “Clausole contrattuali standard” indica le clausole contrattuali standard applicabili per i Responsabili del trattamento come approvate dalla Commissione europea che sono incorporate nel presente DPA.

1.8 “Dati personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile che viene inviata al Provider di servizi dal Cliente nell’ambito dei Servizi.

1.9 “Violazione dei Dati Personali” indica una violazione di sicurezza dei Servizi che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali.

1.10 “Elaborare” o “Elaborazione” indica qualsiasi operazione o insieme di operazioni che si esegue sui Dati personali, sia che si tratti di mezzi automatici o meno, come la raccolta, registrazione, organizzazione, archiviazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione tramite trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, blocco, cancellazione o distruzione.

1.11 “Dati elaborati” indica: (a) i Dati della società; (b) i Dati dei Servizi professionali; (c) i Dati personali; e (d) qualsiasi altro dato trattato da Clipchamp in relazione ai Servizi che siano informazioni riservate del Cliente ai sensi del Contratto.

1.12 “Responsabile del trattamento” indica un’entità che tratta i Dati personali per conto del Titolare del trattamento.

1.13 “Servizi Professionali” indica i seguenti servizi: (a) Servizi di consulenza di Clipchamp, costituiti da pianificazione, consigli, guida, migrazione dei dati, servizi di implementazione e sviluppo di soluzioni/software forniti nell’ambito di un ordine di servizio Clipchamp che incorpora il presente DPA per riferimento; e (b) servizi di supporto tecnico forniti da Clipchamp che aiutano i clienti a identificare e risolvere i problemi che interessano i Servizi, incluso il supporto tecnico fornito come parte dei servizi di supporto di Clipchamp e di qualsiasi altro servizio di supporto tecnico.

1.14 “Dati dei Servizi Professionali” indica tutti i dati, inclusi tutti i file di testo, audio, video, immagine o software, forniti a Clipchamp, da o per conto di un Cliente (o che il Cliente autorizza Clipchamp a ottenere dai Servizi) o altrimenti ottenuti o elaborati da o per conto di Clipchamp attraverso un engagement con Clipchamp per ottenere Servizi Professionali.

1.15 “Servizi” indica, individualmente e collettivamente, qualsiasi prodotto, servizio o documentazione forniti dal Provider di servizi al Cliente ai sensi del Contratto.

1.16 “Sub-responsabile del trattamento” indica qualsiasi Responsabile del trattamento utilizzato o incaricato dal Provider di servizi o da qualsiasi membro del suo gruppo di società che tratta i Dati della società, i Dati dei servizi professionali e/o i Dati personali ai sensi del Contratto come descritto nell’Articolo 28 del GDPR. Un Sub-responsabile del trattamento può includere terze parti o qualsiasi membro del gruppo di società del Provider di servizi (ad es., Affiliate del Provider di servizi).

1.17 “Fornire Servizi” consiste in uno o più dei seguenti elementi: (a) Fornire funzionalità come concesse in licenza, configurate e utilizzate dal Cliente e dai suoi utenti, tra cui fornire esperienze utente personalizzate; (b) Risoluzione dei problemi (prevenire, rilevare e riparare problemi); e (c) Miglioramento continuo (installare gli ultimi aggiornamenti e apportare miglioramenti alla produttività, affidabilità, efficacia, qualità e sicurezza degli utenti).

1.18 “Fornire Servizi Professionali” è costituito da uno o più dei seguenti elementi: (a) Fornitura dei Servizi Professionali, tra cui la fornitura di supporto tecnico, pianificazione professionale, consigli, guida, migrazione dei dati, distribuzione, e servizi di sviluppo di soluzioni/software; (b) Risoluzione dei problemi (prevenire, rilevamento, indagare, mitigare, e risolvere i problemi, inclusi gli Incidenti di Sicurezza e i problemi identificati nei Servizi Professionali o nei Prodotti (o Prodotti) pertinenti durante la fornitura dei Servizi Professionali); e (c) Miglioramento continuo (miglioramento della consegna, efficacia, qualità, e la sicurezza dei Servizi Professionali e del Prodotto(i) sottostante in base ai problemi identificati durante la fornitura dei Servizi Professionali, tra cui l’installazione degli ultimi aggiornamenti e la correzione dei difetti del software).

2. AMBITO, RUOLI, ELABORAZIONE E RICHIESTE DEGLI INTERESSATI.

2.1 Ambito. Ai fini di chiarezza, il presente DPA si applica solo alla Elaborazione dei dati in ambienti controllati da Clipchamp e dai Sub-responsabili del trattamento di Clipchamp in cui Clipchamp agisce in qualità di Responsabile del trattamento ai sensi della legge applicabile. Quindi, il presente DPA si applica al rapporto contrattuale delle parti se i Dati della società, i Dati personali, e/o i Dati dei servizi professionali sono coinvolti e vengono inviati a Clipchamp dal Cliente ma non si applicano se (a) i dati non includono i Dati personali (come definiti dalla legge applicabile), (b) Dati della società, Dati personali e i Dati dei Servizi Professionali in ogni momento durante e per l’esecuzione dei Servizi rimangono presso la sede del Cliente o negli ambienti operativi di terzi selezionati del Cliente o (c) Clipchamp agisce in qualità di Titolare del trattamento ai sensi della legge applicabile per l’esecuzione dei Servizi. Se Clipchamp è il Titolare del trattamento ai sensi della legge applicabile per l’esecuzione dei Servizi, o se altrimenti richiesto dalla legge applicabile, le parti riconoscono e accettano che l’informativa sulla privacy di Clipchamp all’indirizzo https://clipchamp.com/en/privacy/ si applicherà al trattamento dei dati associati ai Servizi al posto del presente DPA. Inoltre, il Cliente comprende e accetta che le anteprime private, le anteprime pubbliche e qualsiasi altro beta test di funzionalità, strumenti o funzionalità (individualmente e collettivamente, “Anteprime”) possono adottare misure di privacy e sicurezza minori o diverse rispetto a quelle tipicamente presenti nei Servizi. Se non diversamente indicato, i Clienti non devono utilizzare le Anteprime per trattare Dati personali o altri dati soggetti a requisiti di conformità legali o normativi. Per i Servizi, le seguenti condizioni del presente DPA non si applicano alle Anteprime: Elaborazione dei Dati personali; GDPR, CCPA e Sicurezza dei dati.

2.2 Ruoli delle parti.  Fatto salvo quanto stabilito nella Sezione 2.9 (Trattamento per le Operazioni aziendali), le parti riconoscono e convengono che, in relazione all’Elaborazione dei Dati personali ai sensi del presente DPA, il Cliente può agire in qualità di Titolare del trattamento o Responsabile del trattamento e il Provider di servizi può agire in qualità di Responsabile del trattamento o Sub-responsabile del trattamento. La Sezione 2.9 stabilisce circostanze limitate in cui Clipchamp può agire come Titolare del trattamento indipendente con il Cliente.

2.3 Trattamento dei Dati personali da parte del Cliente.  Il Cliente, nell’utilizzo dei Servizi, rispetterà i propri obblighi ai sensi della Legge sulla protezione dei dati personali in relazione al trattamento dei Dati personali e a qualsiasi istruzione di elaborazione che invia al Provider di servizi. Il Cliente dichiara e garantisce di disporre delle autorizzazioni necessarie affinché il Provider di servizi tratti i Dati personali allo scopo di fornire i Servizi al Cliente in conformità con il Contratto. A scanso di equivoci, in tutti i casi in cui si applica la Legge sulla protezione dei dati personali dell'UE e la Società è il responsabile del trattamento, la Società dichiara e garantisce a Clipchamp che le indicazioni della Società, inclusa la nomina di Clipchamp quale responsabile o sub-responsabile del trattamento, sono state autorizzate dal titolare del trattamento pertinente.

2.4 Trattamento dei Dati personali da parte del Provider di servizi.  Il Provider di servizi utilizzerà e tratterà in altro modo i Dati della società, i Dati dei Servizi professionali e i Dati personali solo come descritto e soggetto alle limitazioni fornite di seguito (a) per fornire al Cliente i Servizi in conformità con le istruzioni documentate del Cliente e (b) per le operazioni aziendali relative alla fornitura dei Servizi al Cliente. Nonostante ciò, il Cliente ordina al Provider di servizi di trattare i Dati del Cliente, i Dati dei Servizi professionali e i Dati personali: (i) in conformità con il Contratto, (ii) nell’ambito di qualsiasi Trattamento avviato dal Cliente nel suo utilizzo dei Servizi, (iii) per rispettare le altre istruzioni ragionevoli del Cliente nella misura in cui siano coerenti con le Condizioni del Contratto, e (iv) in conformità con i diritti e i doveri connessi ai Dati personali. L’elaborazione dei Dati della società, dei Dati di servizio professionale e/o Dati personali al di fuori dell’ambito di applicazione del Contratto richiederà un accordo scritto preventivo tra il Provider di servizi e il Cliente mediante una modifica scritta al Contratto. Previa comunicazione scritta, il Cliente può risolvere il Contratto se il Provider di servizi rifiuta di seguire le ragionevoli istruzioni del Cliente che sono al di fuori di quelle concordate per l’esecuzione dei Servizi, nella misura in cui tali istruzioni siano necessarie per la conformità alla Legge sulla protezione dei dati personali. Il Provider di servizi informerà il Cliente se non può più rispettare i diritti e i doveri connessi ai Dati personali e cesserà immediatamente il trattamento di tali Dati personali e adotterà le misure necessarie per porre rimedio a qualsiasi trattamento non autorizzato.

2.5 Richieste degli Interessati.  Il Provider di servizi farà tutto il possibile per informare tempestivamente il Cliente di qualsiasi richiesta dell’Interessato di accesso, correzione, modifica o cancellazione dei Dati personali di tale individuo. Nella misura in cui il Cliente non abbia accesso a tali Dati personali attraverso il suo utilizzo dei Servizi per rispondere a tale richiesta, il Provider di servizi fornirà al Cliente cooperazione e assistenza commercialmente ragionevoli in relazione alla risposta alla richiesta di un Interessato di accedere ai Dati personali di tale individuo nella misura consentita dalla legge. Il Cliente sarà responsabile di eventuali costi derivanti dalla fornitura di tale assistenza da parte del Provider di servizi.

2.6 Durata.  La durata dell’Elaborazione ai sensi del Contratto continuerà fino alla risoluzione dei Servizi applicabili come stabilito nel Contratto.

2.7 Scopo.  Lo scopo dell’Elaborazione è la fornitura dei Servizi da parte del Provider di servizi al Cliente in conformità con il Contratto e come specificato in qualsiasi ordine di servizio stipulato ai sensi del Contratto.

2.8 Proprietà.  Per ciò che concerne le parti, il Cliente conserverà tutti i diritti, la titolarità e gli interessi relativi ai Dati del Cliente. Clipchamp non acquisisce alcun diritto sui Dati della Società, ad eccezione dei diritti che la Società concede a Clipchamp nel Contratto o nella presente Sezione 2.8 del DPA. Nonostante ciò, la presente Sezione 2.8 non influisce sui diritti di Clipchamp relativi al software o ai servizi che Clipchamp concede in licenza al Cliente.

2.9 Elaborazione per le operazioni aziendali. Durante l’Elaborazione per le Operazioni aziendali, Clipchamp applicherà i principi di minimizzazione dei dati e non utilizzerà o altrimenti tratterà i Dati della società, i Dati dei servizi professionali o i Dati personali per: (a) profilatura dell’utente, (b) pubblicità o scopi commerciali simili non correlati ai Servizi, o (c) qualsiasi altro scopo, diverso dagli scopi stabiliti nel presente DPA. Nella misura in cui Clipchamp utilizzi o tratti in altro modo i Dati personali soggetti alla Legge sulla protezione dei dati personali dell’UE per le operazioni aziendali in relazione alla fornitura dei Servizi al Cliente, Clipchamp rispetterà gli obblighi di un titolare del trattamento dei dati indipendente ai sensi della Legge sulla protezione dei dati personali dell’UE per l’uso in tali circostanze limitate. A scanso di equivoci, Clipchamp accetta le responsabilità aggiuntive di un “titolare del trattamento” dei dati ai sensi della Legge sulla protezione dei dati personali dell’UE per il trattamento in relazione alle sue Operazioni aziendali per: (a) agire in conformità con i requisiti normativi, nella misura richiesta dalla Legge sulla protezione dei dati personali dell’UE; e (b) fornire maggiore trasparenza al Cliente e confermare la responsabilità di Clipchamp per tale trattamento. Clipchamp adotta misure di salvaguardia per proteggere i Dati della società, i Dati dei Servizi Professionali e i Dati Personali durante l’Elaborazione, comprese quelle identificate nel presente DPA e quelle contemplate nell’Articolo 6(4) del GDPR. Per quanto riguarda l’elaborazione dei Dati personali ai sensi della presente Sezione, Clipchamp assume gli impegni stabiliti nella sezione Ulteriori misure di salvaguardia. A tali fini (i) qualsiasi divulgazione dei Dati personali da parte di Clipchamp, come descritto nell’Allegato II all’Allegato 1 (Misure tecniche e organizzative, comprese le Misure tecniche e organizzative per garantire la sicurezza dei Dati) (individualmente e collettivamente, “Protezioni aggiuntive”), che è stata trasferita in relazione alle Operazioni aziendali è considerata una “Divulgazione pertinente” e (ii) gli impegni in Misure di sicurezza aggiuntive si applicano a tali Dati personali.

2.10 Elaborazione dei Dati Personali; GDPR. Tutti i Dati personali elaborati da Clipchamp in relazione alla fornitura dei Servizi sono ottenuti come parte (a) dei Dati della società, (b) dei Dati dei Servizi professionali o (c) dei dati generati, derivati o raccolti da Clipchamp per o a sostegno della prestazione dei Servizi (compresi i dati inviati a Clipchamp a seguito dell’uso da parte del Cliente di funzionalità basate sui servizi o ottenuti da Clipchamp dal software installato localmente). I Dati Personali forniti a Clipchamp da o per conto della Società tramite l'utilizzo dei Servizi costituiscono anch’essi Dati della società. I Dati personali forniti a Clipchamp da o per conto del Cliente tramite l’utilizzo dei Servizi professionali sono anch’essi Dati dei Servizi professionali. Gli identificatori pseudonimizzati possono essere inclusi nei dati elaborati da Clipchamp in relazione alla fornitura dei Servizi e sono anche Dati personali. Anche i Dati personali pseudonimizzati, o resi anonimi ma non anonimi, o i Dati personali derivati dai Dati personali sono Dati personali.

2.11 Divulgazione dei Dati elaborati. Clipchamp non divulgherà né fornirà l’accesso ai Dati elaborati, tranne: (1) come indicato dal Cliente; (2) come descritto nel presente DPA; o (3) come richiesto dalla legge applicabile. Tutto il trattamento dei Dati trattati è soggetto all’obbligo di riservatezza di Clipchamp ai sensi del Contratto. Clipchamp non divulgherà né fornirà l’accesso ai Dati elaborati alle forze dell’ordine, a meno che non sia richiesto dalla legge applicabile. Qualora le autorità giudiziarie o di polizia dovessero richiedere a Clipchamp i Dati elaborati, Clipchamp cercherà di reindirizzare tali autorità alla Società stesso per la comunicazione diretta di tali dati. Se costretto a divulgare o fornire l’accesso a qualsiasi Dato elaborato alle forze dell’ordine, Clipchamp informerà tempestivamente il Cliente e fornirà una copia della richiesta a meno che Clipchamp non sia o ritenga ragionevolmente che sia legalmente vietato farlo. Nel caso in cui riceva richieste di divulgazione dei Dati elaborati da parte di terzi, Clipchamp ne darà immediata comunicazione alla Società, salvo disposizioni di legge contrarie. Clipchamp respingerà la richiesta qualora non sia tenuta per legge a soddisfarla. Qualora la richiesta sia valida, Clipchamp tenterà di reindirizzare tali terzi affinché rivolgano la richiesta direttamente al Cliente. A scanso di equivoci, Clipchamp non fornirà ad alcun terzo: (a) l’accesso in modo diretto, indiretto, programmato o senza restrizioni ai Dati elaborati, (b) le chiavi di crittografia della piattaforma utilizzate per la protezione dei Dati elaborati o gli strumenti per decrittografarli né (c) alcun tipo di accesso ai Dati elaborati qualora Clipchamp sia a conoscenza del fatto che tali dati vengano usati per scopi diversi da quelli definiti nella richiesta avanzata dai terzi. A sostegno di quanto sopra, Clipchamp potrà fornire ai terzi le informazioni di contatto di base del Cliente.

3. SUB-TRATTAMENTO.

3.1 Utilizzo dei Sub-responsabili del trattamento.  Il Cliente riconosce e accetta che (a) le affiliate del Provider di servizi e i fornitori di servizi terzi possono essere incaricati in qualità di Sub-responsabili del trattamento in relazione alla fornitura dei Servizi. Tali Sub-responsabile del trattamento potranno accedere ai Dati personali solo per fornire i servizi che il Provider di servizi ha incaricato di fornire in relazione ai Servizi, ed è loro vietato utilizzare i Dati personali per qualsiasi altro scopo. Il Provider di servizi ha stipulato un accordo scritto con ciascun Sub-responsabile del trattamento contenente obblighi di protezione dei dati personali coerenti con il DPA nella misura applicabile alla natura dei servizi forniti dal Sub-responsabile del trattamento.

3.2 Responsabilità per i Sub-responsabili del trattamento.  Il Provider di servizi sarà responsabile per le azioni dei suoi Subresponsabili del trattamento nella stessa misura in cui il Provider di servizi sarebbe responsabile se svolgesse i servizi del Sub-responsabile del trattamento direttamente ai sensi del DPA, salvo quanto diversamente stabilito nel Contratto.

3.3 Obiezione ai Sub-responsabili del trattamento.  Su richiesta, il Provider di servizi fornirà un elenco aggiornato dei Sub-responsabili del trattamento per i Servizi a cui il Cliente accede. Nel caso in cui il Cliente si opponga ragionevolmente a un Sub-responsabile del trattamento, il Provider di servizi informerà il Cliente di eventuali alternative disponibili per modificare i Servizi o ricevere i Servizi da un Sub-responsabile del trattamento alternativo, insieme a eventuali addebiti o modifiche applicabili alle Condizioni. Se un’alternativa accettabile per il Cliente non è disponibile entro un periodo di tempo ragionevole, il Cliente può interrompere i Servizi che non possono essere forniti dal Provider di servizi senza il Sub-responsabile del trattamento discutibile, e ricevere un rimborso proporzionale per il restante periodo inutilizzato dei Servizi.

4. SICUREZZA E PRIVACY DEI DATI PERSONALI.

4.1 Misure di sicurezza da parte del Provider di servizi.  Il Provider di servizi mantiene un programma di sicurezza scritto per proteggere dalle Violazioni dei Dati personali e per preservare la sicurezza e la riservatezza dei Dati personali elaborati dal Provider di servizi nella fornitura dei Servizi, in conformità con la Legge sulla protezione dei dati. Il programma di sicurezza del Provider di servizi include garanzie tecniche e fisiche appropriate per le dimensioni e le risorse del Provider di servizi e i tipi di informazioni che il Provider di servizi elabora. Il Provider di servizi può aggiornare le proprie misure di sicurezza di volta in volta in conformità con lo sviluppo delle migliori pratiche del settore, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza dei Servizi. Per tutti i Servizi per i quali il Provider di servizi ottiene certificazioni o verifiche di terze parti, su richiesta, il Provider di servizi fornirà una copia della certificazione o verifica di terze parti più recente del Provider di servizi, a seconda dei casi, che il Provider di servizi generalmente mette a disposizione dei propri clienti al momento della richiesta.

4.2 Personale del Provider di servizi.  Il Provider di servizi garantirà che l’accesso da parte del personale del Provider di servizi ai Dati personali sia limitato al personale del Provider di servizi che necessita di tale accesso per eseguire il Contratto. Il personale del Provider di servizi che accede ai Dati personali sarà informato della natura riservata dei Dati personali, sarà soggetto a obblighi scritti di riservatezza e avrà ricevuto una formazione adeguata alle proprie responsabilità e alla natura dei Dati personali.

4.3 Misure di sicurezza del Cliente.  Un Servizio potrà rendere disponibili funzionalità e funzioni di sicurezza che la Società potrà scegliere di utilizzare (ad esempio, la crittografia dei dati in movimento). Nella misura in cui il Servizio fornisca al Cliente controlli e funzionalità per consentire al Cliente di gestire il Servizio, Il Cliente è responsabile della configurazione del Servizio in modo appropriato e dell’utilizzo dei controlli disponibili come il Cliente lo ritiene adeguato per mantenere un’adeguata sicurezza, protezione, cancellazione e backup dei Dati personali. Il Cliente è inoltre responsabile dell’implementazione di adeguate misure tecniche e organizzative relative al suo utilizzo dei Servizi in modo da consentire al Cliente di rispettare la Legge sulla protezione dei dati personali.

5. RISPOSTA ALLA VIOLAZIONE DEI DATI PERSONALI.

Il Provider di servizi farà del proprio meglio per informare tempestivamente il Cliente di qualsiasi divulgazione o perdita non autorizzata di Dati personali, come richiesto dalla Legge sulla protezione dei dati personali e in conformità alle disposizioni pertinenti del Contratto. Il Provider di servizi adotterà le misure appropriate per identificare e porre rimedio alla causa di tale divulgazione o perdita non autorizzata e fornirà informazioni relative alla Violazione dei dati personali come ragionevolmente richiesto dal Cliente. Le notifiche saranno consegnate agli amministratori del Cliente per il Servizio con normali mezzi di notifica, ad eccezione del fatto che, a causa del fatto che la tempistica sia essenziale allora in questa situazione saranno inviate e-mail all’indirizzo e-mail archiviato presso Clipchamp per il Cliente. È responsabilità della Società garantire che la stessa tenga sempre aggiornate le informazioni di contatto sulla console applicabile dei Servizi. Il Cliente riconosce che il Provider di servizi non informerà il Cliente di tentativi di violazione della sicurezza non riusciti che non comportino l’accesso non autorizzato o la perdita di Dati personali.

6. TRASFERIMENTI ED ESPORTAZIONI DI DATI.

6.1 Trasferimenti dati.  Il Cliente riconosce e acconsente al trasferimento dei Dati personali da parte del Provider di servizi (incluso, se il Cliente si trova in Europa, al di fuori dello SEE e Svizzera in conformità con la Sezione 6.2 di seguito e se il Cliente si trova in Australia, al di fuori dell’Australia), subordinatamente alla conformità del Provider di servizi alla Legge sulla protezione dei dati applicabile e ai requisiti del presente DPA.

6.2 Trasferimenti dati dallo SEE e dalla Svizzera.  A meno che il Provider di servizi non abbia fornito un meccanismo di trasferimento adeguato alternativo (come riconosciuto dalla Legge sulla protezione dei dati personali) per il Paese applicabile o il Provider di servizi agisca in qualità di Sub-responsabile del trattamento, le Clausole contrattuali tipo si applicheranno ai Dati personali trasferiti dal Provider di servizi dallo Spazio economico europeo (“SEE”) e/o dalla Svizzera in un Paese non riconosciuto dalla Commissione europea o dall’Autorità federale svizzera per la protezione dei dati come fornitore di un livello adeguato di protezione dei Dati personali. Tali trasferimenti di Dati personali al di fuori dello SEE o della Svizzera saranno disciplinati dal Modulo 2 delle Clausole contrattuali tipo, disponibile all’indirizzo http://dati.europa.eu/eli/dec_impl/2021/914/oj (le “Nuovi cluster a copia singola”) e i trasferimenti di Dati personali al di fuori del Regno Unito saranno disciplinati dalle Clausole contrattuali standard disponibili all’indirizzo https://eur-lex.europa.eu/contenuto-legale/en/TXT/?uri=CELEX%3A32010D0087 (le “I cluster a copia singola legacy”). I nuovi cluster a copia singola e quelli legacy sono incorporati e fanno parte del presente DPA. Come utilizzato nei Nuovi cluster a copia singola e nei cluster a copia singola legacy, il termine “importatore di dati” indica il Provider di servizi e il termine “esportatore di dati” indica la Società e le sue Consociate. Fermo restando quanto sopra, ai fini delle Clausole contrattuali tipo:

  • la Clausola 7 facoltativa dei Nuovi cluster a copia singola non sarà applicabile,

  • l’opzione 1 della Clausola 9(a) dei Nuovi cluster a copia singola sarà applicabile e il periodo di tempo sarà specificato come 30 giorni;

  • l’opzione 1 della Clausola 17 dei Nuovi cluster a copia singola sarà applicabile e farà riferimento alla Repubblica d’Irlanda;

  • il testo facoltativo nella Clausola 11(a) dei Nuovi cluster a copia singola non sarà applicabile;

  • Gli Allegati I, II e III dei Nuovi cluster a copia singola e l’Appendice I dei cluster a copia singola legacy saranno sostituiti nella loro interezza dall’Allegato 1 qui accluso.

6.3 Meccanismo alternativo di esportazione dei dati. Se il Provider di servizi adotta un altro meccanismo alternativo di esportazione dei dati (come riconosciuto dalla Legge sulla protezione dei dati personali), le Clausole contrattuali tipo cesseranno di applicarsi con effetto dalla data in cui il Provider di servizi implementa tale nuovo meccanismo di esportazione dei dati. 

7. ELIMINAZIONE DEI DATI.

Durante e dopo il Contratto, il Provider di servizi eliminerà o restituirà al Cliente tutti i Dati personali in suo possesso o sotto il suo controllo come previsto nel Contratto, salvo nella misura in cui il Provider di servizi sia tenuto dalla legge applicabile a conservare Dati personali specifici (nel qual caso il Provider di servizi archivierà i dati e implementerà misure ragionevoli per impedire qualsiasi ulteriore trattamento dei Dati personali). I termini del presente DPA continueranno ad applicarsi a tali Dati personali.

8. COLLABORAZIONE.

8.1 DPIA, Documentazione delle attività di trattamento e Consultazioni precedenti.  Nella misura richiesta dalla Legge sulla protezione dei dati personali dell’UE, il Provider di servizi, previa ragionevole notifica e a spese del Cliente, fornirà le informazioni ragionevolmente richieste riguardanti i Servizi per consentire al Cliente di eseguire valutazioni d’impatto sulla protezione dei dati (“DPIA”), registrazioni delle attività di trattamento e/o consultazioni precedenti con le autorità per la protezione dei dati. A scanso di equivoci, Clipchamp fornirà (ove richiesto) documenti e informazioni al Cliente e manterrà tali documenti e informazioni accurati e aggiornati nella misura richiesta dalla Legge UE sulla protezione dei dati personali.

8.2 Richieste di divulgazione legale.  Se il Provider di servizi riceve una richiesta legalmente vincolante per la divulgazione dei Dati personali che è soggetta al presente DPA, tale richiesta sarà immediatamente inoltrata al Cliente per consentire al Cliente l’opportunità di intraprendere qualsiasi processo legale che ritenga appropriato in relazione alla protezione o alla divulgazione dei Dati personali. Nonostante ciò, Clipchamp può rendere tali informazioni disponibili all’autorità di controllo se richiesto dalla Legge sulla protezione dei dati personali.

8.3 Audit.  Per quanto riguarda le verifiche descritte nelle Clausole 5(f), 11 e 12(2) delle Clausole modello dell’UE, il Cliente accetta che le verifiche saranno eseguite in conformità con le seguenti specifiche: Su richiesta dell’esportatore dei dati, e fatti salvi gli obblighi di riservatezza stabiliti nel Contratto, Il Provider di servizi dovrà: entro un periodo ragionevole dopo tale richiesta, mettere a disposizione dell’esportatore dei dati (o un revisore terzo indipendente dell’esportatore dei dati che non sia un concorrente del Provider di servizi) informazioni riguardanti la conformità del Provider di servizi agli obblighi stabiliti nel DPA, che possono essere sotto forma di report e certificazioni di audit di terzi, nella misura in cui il Provider di servizi disponga di tali rapporti o certificazioni attuali e li renda generalmente disponibili ai clienti. Il Cliente rimborserà al Provider di servizi il tempo trascorso e le spese sostenute per qualsiasi verifica in loco alle tariffe standard dei servizi professionali del Provider di servizi. Prima dell’inizio di qualsiasi verifica, il Provider di servizi e l’esportatore dei dati concorderanno l’ambito, la tempistica e la durata.

9. LIMITAZIONE DI RESPONSABILITÀ.

9.1 ESCLUSIONE DI DANNI. IN NESSUN CASO NESSUNA DELLE PARTI SARÀ RESPONSABILE NEI CONFRONTI DELL’ALTRA PARTE PER EVENTUALI DANNI INDIRETTI, INCIDENTALI, ESEMPLARI, SPECIALI O CONSEQUENZIALI, DERIVANTI DA O IN RELAZIONE AL PRESENTE DPA O AL PRESENTE CONTRATTO, ANCHE SE PREVENTIVAMENTE AVVISATI DELLA POSSIBILITÀ DI TALE PERDITA O DANNO.

9.2 Responsabilità totale.  LE RESPONSABILITÀ ASSOCIATE AL PRESENTE CONTRATTO SARANNO SOGGETTE ALLA LIMITAZIONE DI RESPONSABILITÀ STABILITA NEL CONTRATTO. QUALORA NEL CONTRATTO NON VENGA STABILITA ALCUNA LIMITAZIONE DI RESPONSABILITÀ, IN NESSUN CASO LA RESPONSABILITÀ COMPLESSIVA DI UNA DELLE PARTI NEI CONFRONTI DELL'ALTRA PARTE PER QUALSIASI CAUSA DI AZIONE E TEORIA DI RESPONSABILITÀ SUPERERÀ UNA (1) VOLTA L'IMPORTO EFFETTIVO PAGATO DAL CLIENTE AL PROVIDER DI SERVIZI NEI DODICI (12) MESI PRECEDENTI AI SENSI DEL CONTRATTO.

10. IN GENERALE.

10.1 Modifica e supplemento.  Le parti convengono di determinare ed eseguire reciprocamente modifiche appropriate alle condizioni del presente DPA che non alterano materialmente gli aspetti economici o l’allocazione del rischio stabilito dal Contratto (i) se richiesto da un’autorità di controllo o da un altro governo o ente normativo, (ii) se necessario per rispettare la Legge sulla protezione dei dati personali, o (iii) implementare o aderire alle clausole contrattuali standard riviste che possono essere emesse ai sensi della Legge sulla protezione dei dati personali. A scanso di equivoci, le clausole contrattuali standard stabilite nel Contratto internazionale sul trasferimento dei dati del Regno Unito (“ITDA”)all’indirizzo https://ico.organizzazioneuk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf si applicheranno ai trasferimenti di dati personali dal Regno Unito agli Stati Uniti e ad altre giurisdizioni non adeguate ai sensi del presente DPA. Condizioni supplementari possono essere aggiunte come Allegato o Appendice al presente DPA laddove tali condizioni si applichino solo al trattamento dei Dati personali ai sensi della Legge sulla protezione dei dati personali di Paesi o giurisdizioni specifici. Ciascuna delle parti può fornire notifica di tali modifiche all’altra e la DPA modificata entrerà in vigore, in conformità ai termini del Contratto.

10.2 Legge Applicabile e Foro per la Risoluzione delle Controversie. Fatto salvo quanto diversamente richiesto per rispettare la Legge sulla protezione dei dati personali (ivi inclusa, a titolo esemplificativo ma non esaustivo, la Legge sulla protezione dei dati personali dell’UE), il presente DPA sarà interpretato e applicato in conformità con il Contratto indipendentemente dai principi sul conflitto di leggi (“legge applicabile”). Ciascuna parte accetta che qualsiasi azione, causa o altro procedimento basato su o derivante dal presente DPA (ciascuna, una “Controversia”)sarà intentata e mantenuta in conformità con il Contratto, e ciascuna parte acconsente alla giurisdizione e alla sede obbligatorie di tali arbitri e tribunali e rinuncia a qualsiasi diritto di opporsi alla giurisdizione e alla sede. La parte prevalente in qualsiasi Controversia avrà il diritto di recuperare le ragionevoli spese e spese legali, tranne che nell’arbitrato, laddove il recupero delle spese e dei costi legali sarà disciplinato dal Contratto e dalle regole di arbitrato. Al presente DPA non si applicherà la United Nations Convention on Contracts for the International Sale of Goods (Convenzione sui contratti delle Nazioni Unite per la vendita internazionale di beni) e la Uniform Computer Information Transactions Act (Legge sulle transazioni informatiche uniformi).

10.3 Varie. Ai fini del presente DPA, tutti i termini definiti che si riferiscono al singolare includono il plurale e viceversa. Salvo nella misura in cui un diverso DPA sia stato o sarà eseguito tra le parti in merito all’oggetto del presente documento, il presente DPA costituisce l’intero accordo tra le parti e sostituisce tutte le proposte, verbali o scritte, tutte le negoziazioni, conversazioni o discussioni tra le parti relative all’oggetto del presente DPA e tutte le precedenti trattative o norme o usanze di settore.

10.4 Legge sulla privacy dei consumatori della California (California Consumer Privacy Act, CCPA). Se Clipchamp tratta Dati personali nell’ambito del CCPA, Clipchamp assume i seguenti impegni aggiuntivi nei confronti del Cliente. Clipchamp tratterà i Dati della società, i Dati dei Servizi Professionali e i Dati Personali per conto del Cliente e, non conserverà, utilizzerà o divulgherà tali dati per scopi diversi da quelli stabiliti nel DPA e come consentito dal CCPA, anche in base a qualsiasi esenzione di “vendita”. In nessun caso Clipchamp venderà tali dati. Le presenti CCPA non limitano né riducono gli impegni per la protezione dei dati personali che Clipchamp assume nei confronti della Società nelle DPA e/o in un altro contratto stipulato tra Clipchamp e la Società. Nella misura richiesta dalla legge applicabile, l’Addendum CCPA accluso come Allegato 2 al presente DPA si applicherà ai Servizi.

10.5 Dati biometrici. Se il Cliente utilizza i Servizi per trattare i Dati biometrici, nella misura consentita dalla legge applicabile, il Cliente è responsabile di: (i) fornire notifica agli interessati, anche in relazione ai periodi di conservazione e distruzione; (ii) ottenere il consenso degli interessati; e (iii) eliminare i Dati biometrici, il tutto come appropriato e richiesto ai sensi dei Requisiti di protezione dei dati personali applicabili. Clipchamp tratterà tali Dati biometrici seguendo le istruzioni documentate del Cliente (come descritto nella sezione “Ambito, ruoli, trattamento e richieste dell’Interessato” di cui sopra) e proteggerà tali Dati biometrici in conformità ai termini di sicurezza e protezione dei dati ai sensi del presente DPA. Ai fini della presente sezione, “Dati biometrici” avrà il significato stabilito nell’Articolo 4 del GDPR e, se applicabile, termini equivalenti in altre Leggi sulla protezione dei dati personali.

ALLEGATO 1

ALLEGATO I

A.   ELENCO DELLE PARTI

Esportatore(i):

Nome: Il Cliente o le sue affiliate o i loro rispettivi clienti e affiliate del cliente che sono utenti dei prodotti o servizi del Provider di servizi (“Soluzioni del Provider di servizi”) e si trovano nello Spazio economico europeo o in Svizzera. Indirizzo: Indirizzo specificato nel Contratto. Nome, posizione e dettagli di contatto della persona: Come descritto nel Contratto; se non descritto nel Contratto, allora il firmatario del Contratto. Telefono: Come descritto nella sezione delle notifiche del Contratto; se non descritto nel Contratto, allora “Non disponibile”. Indirizzo di posta elettronica: Come descritto nella sezione delle notifiche del Contratto; se non descritto nel Contratto, allora “Non disponibile”. Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Utilizzo dei Servizi Clipchamp come descritto nel Contratto. Firma e data: Stesso firmatario e stessa data del Contratto. Ruolo (titolare del trattamento/responsabile del trattamento): Titolare del trattamento

Importatore(i):

Nome: Clipchamp Pty Ltd (ACN 162516556) Indirizzo: Level 1, 315 Brunswick Street, Fortitude Valley QLD 4006, Australia Nome, posizione e dettagli di contatto della persona: Clipchamp Pty Ltd, c/o Microsoft Corporation, Attn: Chief Privacy Officer, 1 Microsoft Way, Redmond, WA 98052 USA Telefono: N/D e-mail: privacy@clipchamp.com Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Eseguire i Servizi Clipchamp come descritto nel Contratto. Firma e data: Stesso firmatario e stessa data del Contratto. Ruolo (titolare del trattamento/responsabile del trattamento): Processore

B.   DESCRIZIONE DEL TRASFERIMENTO

Il Cliente, in qualità di esportatore dei dati, può inviare i dati personali a Clipchamp (importatore dei dati), la cui portata è determinata e controllata dall’esportatore dei dati a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, le seguenti categorie di interessati i cui dati personali vengono trasferiti:

  • Clienti potenziali, clienti, partner commerciali, fornitori e dipendenti dell’esportatore di dati (persone fisiche)

  • Dipendenti o contatti dell’esportatore dei dati e/o dei potenziali clienti, partner commerciali e fornitori dell’esportatore dei dati

  • Utenti degli esportatori di dati autorizzati dall’esportatore di dati a utilizzare i Servizi

  • Persone le cui immagini possono apparire nei video caricati dagli utenti degli esportatori di dati

Il Cliente, in qualità di esportatore dei dati, può inviare i dati personali a Clipchamp (importatore dei dati), la cui portata è determinata e controllata dall’esportatore dei dati a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, le seguenti categorie di dati personali trasferiti:

  • Informazioni sul contatto, informazioni sull’impiego e sull’istruzione, indirizzo IP, dati di connessione, dati di localizzazione e dati personali inclusi nei contenuti creati da o sull’utente (inclusi, a titolo esemplificativo ma non esaustivo, video e immagini che appaiono nei video caricati dagli utenti degli esportatori di dati).

Dati sensibili trasferiti (se applicabile) e restrizioni o misure di salvaguardia applicate che tengono pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio limitazione rigorosa delle finalità, restrizioni di accesso (incluso l’accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro dell’accesso ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive:

  • Alla Data di validità del Contratto, le parti non prevedono il trasferimento di categorie speciali di dati personali. Nonostante ciò, il Cliente, in qualità di esportatore di dati, può inviare categorie speciali di dati a Clipchamp (importatore di dati), la cui misura è determinata e controllata dall’esportatore di dati a sua esclusiva discrezione, attraverso caricamenti video, campi di testo o altri contenuti, e che, per chiarezza, può rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza a sindacati e/o la salute o la vita sessuale.

La frequenza del trasferimento (ad es. se i dati vengono trasferiti una tantum o in modo continuo):

Continuo.

Natura dell’elaborazione:

  • Per eseguire i Servizi come descritto nel Contratto.

Finalità del trasferimento dei dati e dell’ulteriore elaborazione:

  • Per eseguire i Servizi come descritto nel Contratto.

Il periodo per il quale i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:

  • Per la durata del Contratto.

Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche l’oggetto, la natura e la durata dell’elaborazione:

  • Inlconformità al DPA, L’importatore di dati potrà impiegare altre società per erogare servizi limitati per suo conto, ad esempio l’erogazione di supporto tecnico. A tali subappaltatori sarà consentito ottenere i Dati personali solo per erogare, su richiesta dell’importatore, i servizi, con il divieto di utilizzarli per qualsiasi altro scopo.

C.   AUTORITÀ DI CONTROLLO COMPETENTE

L’autorità di controllo competente è:

  • L’autorità di controllo della Repubblica d’Irlanda

ALLEGATO II -

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE LE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Clipchamp mantiene politiche di sicurezza documentate per i Servizi applicabili, che sono disponibili per la Società in un Allegato ai sensi dei termini di riservatezza del Contratto.

Subresponsabili del trattamento

L'elenco dei Sub-responsabili del trattamento approvati di Clipchamp è disponibile ai sensi delle condizioni di riservatezza del Contratto inviando una richiesta al rappresentante di vendita Clipchamp. A scanso di equivoci, qualsiasi elenco di Sub-responsabili del trattamento può essere aggiornato da Clipchamp come stabilito nel Contratto e/o nel presente DPA.

ALLEGATO 2

Addendum al California Consumer Privacy Act

Il presente Addendum CCPA (“Addendum”)datato alla Data di entrata in vigore del Contratto (come definito di seguito) è incorporato e fa parte dell’ordine d’acquisto, del contratto e/o del contratto/appendice sulla protezione dei dati personali stipulato tra Clipchamp e/o le sue Affiliate identificatedi seguito (“Provider di servizi”) e il Cliente e/o le sue Affiliate per il Contratto. Il Provider di servizi e il Cliente sono individualmente una “parte” e, collettivamente, le “parti”. Ai fini del presente Addendum, per “Affiliate” si intende qualsiasi entità che, direttamente o indirettamente, sia di proprietà o controllata da una parte, laddove per “controllo” si intende il possesso, direttamente o indirettamente, del potere di controllare o di determinare la direzione della gestione e delle politiche di un’entità, sia attraverso la proprietà di titoli con diritto di voto, tramite contratto o altrimenti. Salvo diversamente stabilito nel presente documento, qualsiasi termine non definito nel presente Addendum avrà il significato stabilito nel Contratto.

Il presente Addendum stabilisce i termini e le condizioni relativi alla conformità con il California Consumer Privacy Act del 2018, Codice civile Cal. §1798.100 e seguenti e relative normative (“CCPA”) e successive occasionali modifiche. In caso di conflitto tra il presente Addendum e il Contratto, il presente Addendum prevarrà, ove applicabile. I termini in maiuscolo identificati nel presente Addendum avranno lo stesso significato definito nel CCPA, salvo diversamente indicato.

Le parti concordano su quanto segue:

  • Nella misura applicabile, il Provider di servizi rispetterà sempre il CCPA, comprese eventuali modifiche allo stesso. Inoltre, nella misura in cui le Informazioni personali (come definite nel CCPA) (“Informazioni personali”)siano raccolte dal Provider di servizi a seguito del presente Contratto, il Provider di servizi non conserverà, utilizzerà o divulgherà le Informazioni personali per scopi diversi dalla fornitura dei Servizi specificati nel Contratto. In particolare, il Provider di servizi non dovrà conservare, utilizzare o divulgare le Informazioni personali se non per scopi consentiti ai sensi del Contratto.

  • Conservare, usare o divulgare le Informazioni personali al di fuori del rapporto commerciale diretto tra il Provider di servizi e il Cliente; a condizione, tuttavia, che il Provider di servizi possa divulgare Informazioni personali e consentire il trattamento delle Informazioni personali da parte di fornitori di servizi che svolgono servizi per o per conto del Provider di servizi, a condizione che tali fornitori di servizi siano soggetti a requisiti contrattuali equivalenti in relazione alle Informazioni personali applicabili al Provider di servizi ai sensi del Contratto e del presente Addendum. Il Provider di servizi rimarrà responsabile delle azioni dei suoi Provider di servizi.

Fatta salva qualsiasi disposizione contraria contenuta nel presente Contratto, le parti convengono che qualsiasi fornitura di Informazioni personali da parte del Cliente al Provider di servizi è necessaria per realizzare uno scopo aziendale e non fa parte di ed è esplicitamente esclusa dallo scambio di corrispettivo o qualsiasi altra cosa di valore tra le parti.

Se è necessaria una modifica al presente Addendum a causa di una modifica delle leggi o dei regolamenti in materia di protezione dei dati personali, ciascuna delle parti può fornire una notifica scritta all’altra parte di tale modifica della legge. Le parti discuteranno e negozieranno in buona fede eventuali modifiche necessarie al presente Addendum per affrontare tale modifica non appena ragionevolmente possibile.

It looks like your preferred language is English