NeuroCRMAddendum sul trattamento dei dati
Il presente Addendum sul trattamento dei dati (“DPA”) costituisce parte integrante dei Termini di servizio tra te (“Cliente”, il titolare del trattamento) ed Empire Luxury International Corporation (DBA Neuro Empire) (“NeuroCRM”, il responsabile del trattamento) e disciplina il trattamento dei dati personali contenuti nel Contenuto del Cliente. In caso di conflitto in materia di protezione dei dati, il presente DPA prevale sui Termini.
1. Ruoli e ambito di applicazione
Per quanto riguarda il Contenuto del Cliente, il Cliente è il titolare del trattamento (o un responsabile del trattamento che agisce per conto dei propri clienti) e NeuroCRM è il responsabile del trattamento (o sub-responsabile del trattamento). NeuroCRM tratta il Contenuto del Cliente unicamente al fine di fornire il Servizio e sulla base delle istruzioni documentate del Cliente, che comprendono i Termini, il presente DPA e l'utilizzo delle funzionalità del Servizio. NeuroCRM agisce in qualità di titolare autonomo del trattamento soltanto per i limitati dati di account, fatturazione e sicurezza descritti nell'Informativa sulla privacy.
2. Dettagli del trattamento
Oggetto: fornitura del Servizio NeuroCRM. Durata: la durata dell'abbonamento del Cliente, oltre ad eventuali periodi di cessazione graduale. Natura e finalità: operazioni di hosting, archiviazione e trattamento necessarie a fornire il Servizio così come configurato dal Cliente. Categorie di interessati: i contatti, i lead, i clienti, il personale del Cliente e le altre persone fisiche i cui dati il Cliente inserisce. Categorie di dati personali: come determinate dal Cliente, di norma dati identificativi e di contatto, documentazione aziendale e comunicazioni; il Cliente non deve inserire dati appartenenti a categorie particolari salvo quanto concordato per iscritto.
3. Istruzioni del Cliente e conformità
NeuroCRM tratterà il Contenuto del Cliente esclusivamente sulla base di istruzioni documentate, anche per quanto riguarda i trasferimenti, salvo che ciò sia richiesto dalla legge applicabile (nel qual caso NeuroCRM ne informerà il Cliente, salvo che ciò sia vietato). NeuroCRM informerà il Cliente qualora ritenga che un'istruzione violi la legge applicabile in materia di protezione dei dati. Il Cliente è responsabile della liceità del Contenuto del Cliente e di disporre di tutte le informative e i consensi richiesti.
4. Riservatezza del personale
NeuroCRM garantisce che il personale autorizzato a trattare il Contenuto del Cliente sia vincolato da obblighi di riservatezza e tratti i dati esclusivamente secondo le istruzioni ricevute.
5. Misure di sicurezza
NeuroCRM attua misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, tra cui la cifratura in transito e dei token di accesso a riposo, l'isolamento logico dei tenant, controlli degli accessi e registrazione dei log, resilienza e backup, nonché riesami periodici. Una sintesi è disponibile su richiesta e nell'Informativa sulla privacy.
6. Sub-responsabili del trattamento
Il Cliente concede un'autorizzazione generale affinché NeuroCRM si avvalga di sub-responsabili del trattamento. Un elenco aggiornato è disponibile all'indirizzo /legal/subprocessors. NeuroCRM impone a ciascun sub-responsabile del trattamento obblighi di protezione dei dati non meno tutelanti di quelli del presente DPA e resta responsabile del loro operato. NeuroCRM fornirà un preavviso di almeno 30 giorni in merito a qualsiasi sub-responsabile del trattamento nuovo o sostitutivo; il Cliente può opporsi per ragionevoli motivi di protezione dei dati e, qualora le parti non riescano a risolvere l'opposizione, il Cliente può recedere dal Servizio interessato e ottenere il rimborso dei canoni prepagati non utilizzati.
7. Richieste degli interessati e assistenza
Tenuto conto della natura del trattamento, NeuroCRM assisterà il Cliente, mediante misure adeguate e nei limiti di quanto commercialmente ragionevole, nel rispondere alle richieste degli interessati e nell'adempiere ai propri obblighi in materia di sicurezza, notifica delle violazioni, valutazioni d'impatto sulla protezione dei dati e consultazione preventiva. Qualora NeuroCRM riceva una richiesta direttamente da un interessato, la inoltrerà al Cliente e non vi risponderà se non secondo le istruzioni ricevute o se richiesto dalla legge.
8. Notifica delle violazioni dei dati personali
NeuroCRM notificherà al Cliente senza ingiustificato ritardo, e in ogni caso entro 24 ore dal momento in cui ne viene a conoscenza, qualsiasi violazione dei dati personali confermata o ragionevolmente sospetta che interessi il Contenuto del Cliente, e fornirà le informazioni disponibili per aiutare il Cliente ad adempiere ai propri obblighi di notifica, con aggiornamenti man mano che le indagini procedono. Tale notifica non costituisce un riconoscimento di colpa o di responsabilità. La determinazione se notificare alle autorità di controllo o agli interessati, e l'effettuazione di tali notifiche, sono di responsabilità del Cliente in qualità di titolare del trattamento; NeuroCRM fornisce una ragionevole collaborazione.
9. Trasferimenti internazionali
Qualora il trattamento comporti un trasferimento di dati personali al di fuori del SEE, del Regno Unito o della Svizzera verso un Paese privo di una decisione di adeguatezza, le parti incorporano le Standard Contractual Clauses (2021/914), Module Two (controller to processor) della Commissione europea, completate con le informazioni contenute nel presente DPA, unitamente all'UK International Data Transfer Addendum e agli adattamenti svizzeri, ove applicabili; in alternativa NeuroCRM può fare affidamento sull'EU-US Data Privacy Framework ove certificato. NeuroCRM applica misure supplementari ove opportuno. In caso di conflitto, le SCC prevalgono unicamente nella misura necessaria.
10. Contorno dei dati russo (152-FZ)
Per i dati personali delle persone fisiche nella Federazione Russa, NeuroCRM mantiene un contorno russo separato con registrazione e archiviazione primaria su server situati in Russia, in conformità alla Federal Law No. 152-FZ, e tratta tali dati su istruzione del Cliente ai sensi dell'Article 6(3) 152-FZ. Questo contorno e il relativo flusso di notifica delle violazioni (preliminare entro 24 ore ed esiti entro 72 ore a Roskomnadzor) operano in modo indipendente dalla catena GDPR. Si veda la Politica sul trattamento dei dati personali (Russia).
11. Audit
NeuroCRM metterà a disposizione le informazioni necessarie per dimostrare la conformità al presente DPA e consentirà lo svolgimento di audit. Per ridurre al minimo le interruzioni, NeuroCRM può soddisfare le richieste di audit fornendo certificazioni o report di terze parti aggiornati (quali ISO 27001 o SOC 2 Type II) ove disponibili. Gli audit in loco o dettagliati sono limitati a una volta all'anno (salvo a seguito di una violazione), richiedono un preavviso di almeno 30 giorni, un ambito concordato di comune accordo, riservatezza, e sono condotti durante l'orario lavorativo senza ingiustificate interferenze.
12. Restituzione e cancellazione
Alla cessazione, a scelta del Cliente effettuata entro 30 giorni, NeuroCRM restituirà il Contenuto del Cliente in un formato di uso comune oppure lo cancellerà e, su richiesta, certificherà la cancellazione entro un termine ragionevole, salvo nella misura in cui la conservazione sia richiesta dalla legge. I backup ordinari vengono sovrascritti secondo il ciclo di rotazione standard.
13. Responsabilità e prevalenza
La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni previste nei Termini di servizio, incluso il massimale rafforzato per le violazioni in materia di protezione dei dati. Il presente DPA, comprese le SCC ivi incorporate, prevale sulle disposizioni contrastanti dei Termini in materia di protezione dei dati. Il DPA è disciplinato dalle disposizioni in materia di legge applicabile e risoluzione delle controversie dei Termini applicabili al Cliente.