Icona del menu

MuchBetter Azienda
ADDENDUM SULLA PROTEZIONE DEI DATI

1. Definizioni

Tutti i termini in maiuscolo non definiti nel presente Addendum sulla protezione dei dati ("DPA") hanno il significato stabilito nell'Accordo.

  1. Affiliato indica qualsiasi persona o entità che controlla, è controllata da o è sottoposta a comune controllo con una Parte, direttamente o indirettamente. Ai fini della presente definizione, per "controllo" (inclusi, con significati correlati, i termini "controllante", "controllato da" e "sotto comune controllo con") si intende il potere di gestire o dirigere gli affari della persona o entità in questione, sia tramite il possesso di titoli con diritto di voto, sia tramite contratto o altro.
  2. Accordo indica il Contratto di Servizi per Conto Aziendale MuchBetter tra MIR e il Titolare del Conto che prevede l'accesso o l'elaborazione di Dati Personali;
  3. Giurisdizione approvata indica uno stato membro dello SEE o un'altra giurisdizione che potrebbe essere approvata come avente adeguate tutele legali per i dati dalla Commissione Europea o dai regolamenti di adeguatezza del Regno Unito emanati ai sensi della Sezione 17A del Data Protection Act 2018 o dei Paragrafi 4 e 5 dell'Allegato 21 del Data Protection Act 2018, a seconda dei casi;
  4. Incidente di violazione significa una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentale o illecito ai dati personali trasmessi, archiviati o altrimenti elaborati;
  5. Leggi sulla protezione dei dati indica tutte le leggi, le norme, le direttive e i regolamenti nazionali ed esteri applicabili in materia di privacy dei dati, sicurezza dei dati e/o protezione dei dati personali, inclusa la direttiva sulla privacy e le comunicazioni elettroniche 2002/58/CE (e le rispettive leggi locali di attuazione) relative al trattamento dei dati personali e alla protezione della privacy nel settore delle comunicazioni elettroniche (direttiva sulla privacy e le comunicazioni elettroniche), inclusi eventuali emendamenti o sostituzioni, incluso il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 ("GDPR") e incluso il Data Protection Act 2018 e il GDPR in quanto parte della legge di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 dell'European Union (Withdrawal) Act 2018 ("UK GDPR").
  6. SEE indica i paesi che sono membri dello Spazio economico europeo.
  7. MIR significa MIR Limited UK Ltd, fornitore di servizi di account aziendali MuchBetter
  8. Dati personali o "Dati Personali" indica qualsiasi informazione riguardante o correlabile a una persona fisica identificabile. Include qualsiasi informazione che possa essere collegata a una persona fisica o utilizzata per identificarla, direttamente o indirettamente. I Dati Personali sono considerati Informazioni Riservate, indipendentemente dalla fonte.
  9. Processo indica qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'adattamento o la modifica, l'accesso, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, il blocco, la cancellazione o la distruzione. I termini "Processi" o "Elaborazione" devono essere interpretati di conseguenza.
  10. Clausole contrattuali standard o “SCC” il modulo applicabile delle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio a partire dal 4 giugno 2021, come di volta in volta modificato, sostituito o sostituito.
  11. Addendum del Regno Unito indica l'Addendum sul trasferimento internazionale dei dati alle Clausole contrattuali standard, entrato in vigore il 21 marzo 2022.

 

2. Applicazione del presente DPA

  1. Il presente DPA si applicherà solo nella misura in cui saranno soddisfatte tutte le seguenti condizioni:
    1. Ciascuna Parte elabora i Dati Personali resi disponibili dall'altra Parte in relazione al Contratto;
    2. Al trattamento dei dati personali si applicano le leggi sulla protezione dei dati.
  2. Il presente DPA si applicherà esclusivamente ai servizi concordati dalle Parti nell'Accordo e che incorpora il DPA per riferimento.

 

3. Protezione dei dati e privacy

  1. Nella misura in cui una Parte ha accesso o altrimenti Elabora i Dati Personali resi disponibili all'altra Parte, allora tale Parte dovrà:
    1. Sarà un Titolare del trattamento indipendente dei dati personali e determinerà le finalità e le modalità del trattamento in conformità con l'Accordo e le Leggi sulla protezione dei dati.
    2. Elaborare i dati personali esclusivamente in conformità con i requisiti delle leggi sulla protezione dei dati e, come richiesto dalle leggi sulla protezione dei dati, mantenere registri scritti accurati di tutte le attività di elaborazione di tutti i dati personali svolte ai sensi del Contratto.
    3. Fatto salvo quanto precede, essere responsabile di fornire all'interessato tutte le informazioni richieste ai sensi delle Leggi sulla protezione dei dati e di consentire agli interessati di esercitare i propri diritti ai sensi delle Leggi sulla protezione dei dati e fornire all'altra Parte ragionevole cooperazione e assistenza per adempiere a quanto precede e a qualsiasi obbligo legale o normativo;
    4. Implementare e mantenere misure di sicurezza fisiche, tecniche e organizzative commercialmente ragionevoli e appropriate per proteggere i Dati Personali da distruzione accidentale o illecita; perdita accidentale, alterazione, divulgazione o accesso non autorizzati ai dati personali trasmessi, archiviati o altrimenti elaborati e tutte le altre forme illecite di Elaborazione;
    5. Adempiere a tutti gli obblighi di notifica della violazione dei dati personali all'autorità di controllo e agli obblighi di comunicazione agli interessati, come richiesto dalle leggi sulla protezione dei dati;
    6. Informare l'altra Parte senza indebito ritardo e non oltre ventiquattro (24) ore, dopo essere venuta a conoscenza di un Incidente di Violazione.
  2. La Parte che inizialmente ottiene i Dati Personali da un interessato sarà responsabile dell'ottenimento di eventuali consensi richiesti dall'interessato (in ogni caso nella misura necessaria per conformarsi alle Leggi sulla Protezione dei Dati) e della fornitura di informazioni all'interessato prima della raccolta dei Dati Personali (ad esempio "Informativa sulla Privacy" o "Informativa sulla Privacy"), come necessario per conformarsi alle Leggi sulla Protezione dei Dati. Quanto precede non pregiudica le responsabilità dell'altra Parte ai sensi delle Leggi sulla Protezione dei Dati (come l'obbligo di fornire informazioni all'interessato quando i Dati Personali sono trattati in relazione al trattamento dei Dati Personali).
  3. Ciascuna Parte può nominare subappaltatori, comprese le Affiliate, per elaborare i Dati Personali per suo conto ("Sub-Responsabili") allo scopo di adempiere ai propri obblighi e servizi ai sensi del Contratto, a condizione che: (i) la nomina sia soggetta a un accordo scritto con il Sub-Responsabile nominato contenente, ove applicabile, termini che forniscano una protezione equivalente dei Dati Personali come previsto dal presente Addendum sulla Protezione dei Dati; e (ii) ciascuna Parte sarà responsabile per gli atti o le omissioni dei propri Sub-Responsabili nella stessa misura in cui è responsabile per le proprie azioni o omissioni ai sensi del presente Addendum sulla Protezione dei Dati, del Contratto e delle Leggi sulla Protezione dei Dati.

 

4. Il trasferimento dei dati personali

Le Parti non elaboreranno o trasferiranno Dati Personali al di fuori di una Giurisdizione Approvata;

  1. se una Parte desidera elaborare dati personali o trasferire dati personali a una giurisdizione diversa da una giurisdizione approvata, si riterrà che abbia sottoscritto le SCC, ove applicabili insieme all'Addendum del Regno Unito, nel qual caso: (i) l'Addendum del Regno Unito e le SCC sono qui incorporati per riferimento; e (ii) la Parte che divulga i dati personali sarà considerata l'Esportatore e la Parte che riceve i dati personali sarà considerata l'Importatore (come questi termini sono definiti nel presente documento).

 

5. Generale

  1. Qualora una qualsiasi delle Leggi sulla protezione dei dati venga sostituita da Leggi sulla protezione dei dati nuove o modificate (incluse eventuali decisioni o interpretazioni di un tribunale o di un'autorità governativa competente in merito), le Leggi sulla protezione dei dati nuove o modificate saranno considerate incorporate nel presente Addendum sulla protezione dei dati ed entrambe le Parti inizieranno tempestivamente a conformarsi a tali Leggi sulla protezione dei dati.
  2. In caso di conflitto o incongruenza tra i termini del presente DPA e le Clausole contrattuali standard o l'Addendum del Regno Unito (a seconda dei casi), prevarranno i termini delle Clausole contrattuali standard o dell'Addendum del Regno Unito (a seconda dei casi).

 

Allegato I delle CSC

  1. L'allegato 1 fa parte del DPA e stabilisce l'interpretazione concordata delle Parti dei rispettivi obblighi ai sensi dell'Addendum del Regno Unito e/o delle Clausole contrattuali standard.
  2. Le Parti concordano che ai fini del trasferimento dei Dati Personali tra MIR e il Titolare del Conto, si applicherà quanto segue:
    1. La clausola 7 delle CSC non sarà applicabile
    2. L'autorità di controllo è l'Information Commissioner's Office del Regno Unito, in cui è incorporato l'Addendum del Regno Unito, oppure l'Irish Data Protection Commissioner, in cui sono incorporati solo gli SCC.
    3. Nei casi in cui si applica l'Addendum del Regno Unito, si applicano le leggi dell'Inghilterra e del Galles, mentre nei casi in cui non si applica si applicano le leggi dell'Irlanda.
    4. Le Parti scelgono i tribunali inglesi come foro e giurisdizione quando si applica l'Addendum del Regno Unito e quelli irlandesi quando non si applica.
    5. Nella Tabella 4 dell'Addendum del Regno Unito, ciascuna parte può recedere dal contratto in conformità alla sezione 19 dell'Addendum del Regno Unito.

 

Identificazione delle parti

“Esportatore di dati”: il trasmettitore dei Dati Personali;

“Importatore di dati”: il destinatario dei dati personali

Descrizione del trasferimento

Interessati

I Dati Personali trattati riguardano le seguenti categorie di Interessati (specificare):

  • ☐ I dipendenti di MIR
  • ☐ I clienti di MIR
  • ☐ Utenti finali del titolare dell'account
  • ☐ Dipendenti del titolare del conto
  • ☐ Clienti del titolare del conto
  • ☐ Altro: ________

 

Categorie di dati personali

I Dati Personali trasferiti riguardano le seguenti categorie di dati (specificare):

  • ☐ Informazioni di contatto (nome, età, sesso, indirizzo, numero di telefono, indirizzo e-mail, ecc.)
  • ☐ Dati finanziari e di pagamento (ad esempio numero di carta di credito, conto bancario, transazioni)
  • ☐ Documenti d'identità governativi (passaporto, patente di guida)
  • ☐ Identificatori del dispositivo e attività di rete Internet o elettronica (indirizzi IP, GAID/IDFA, cronologia di navigazione, timestamp)
  • ☐ Informazioni sulla geolocalizzazione
  • ☐ Dati biometrici
  • ☐ Altro: ________

 

Categorie speciali di dati (se appropriato)

I Dati Personali trasferiti riguardano le seguenti categorie particolari di dati (si prega di specificare):

  • ☐ Nessuno
  • ☐ Dati genetici o biometrici
  • ☐ Dati sanitari
  • ☐ Origine razziale o etnica
  • ☐ Opinioni politiche, credenze religiose o filosofiche
  • ☐ Altro: ________

 

La frequenza del trasferimento:

  • ☐ Una tantum
  • ☐ Continuo
  • ☐ Altro: ________

 

Natura del trattamento

  • ☐ Collezione
  • ☐ Registrazione
  • ☐ Organizzazione o strutturazione
  • ☐ Deposito
  • ☐ Adattamento o modifica
  • ☐ Recupero
  • ☐ Consulenza
  • ☐ Divulgazione, diffusione o altrimenti messa a disposizione
  • ☐ Analisi
  • ☐ Cancellazione o distruzione
  • ☐ Altro: ________
  •  

Finalità del trasferimento e ulteriore elaborazione

  • ☐ Per fornire, gestire e operare i Servizi dell'account MBB
  • ☐ Altro: ________

 

Periodo di conservazione

I dati personali saranno conservati per la durata del Contratto o in conformità con la legge applicabile.

Allegato II delle CSC – Misure tecniche e organizzative, comprese le misure tecniche e organizzative per garantire la sicurezza dei dati

Il presente allegato costituisce parte integrante del DPA e descrive le misure di sicurezza tecniche e organizzative implementate dall'importatore dei dati.

Tenendo conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, l'importatore dei dati attua misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tra cui, tra l'altro, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di elaborazione;
  • la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento; e
  • mantenimento delle politiche di sicurezza delle informazioni e di riservatezza dei dati
Registrati
Menu Principale

Pop-up MB

Chiudi