ACCORDO DI TRATTAMENTO DEI DATI DEI CLIENTI IDEXX
(Revisione 18 maggio 2023)
Il presente Accordo per il trattamento dei dati ("DPA") e le Schede dell'Accordo per il trattamento dei dati applicabili che si trovano qui (ciascuna una "Scheda DPA") si applicano al trattamento dei dati personali ("Dati personali del cliente") da parte di IDEXX per conto del cliente ("Cliente") soggetto al Regolamento generale sulla protezione dei dati 2016/679 ("GDPR") o a qualsiasi altra legge sulla protezione dei dati qui identificata (insieme, "Leggi sulla protezione dei dati") al fine di fornire servizi ("Servizi") ai sensi di un accordo tra IDEXX e il Cliente ("Accordo"). Quando nel presente DPA si fa riferimento a IDEXX, si intende IDEXX B.V. o un'affiliata di IDEXX B.V. che ha stipulato l'accordo con il Cliente. Il Cliente e IDEXX saranno indicati collettivamente come "Parti" o separatamente come "Parte". Il presente DPA e il relativo Schema di DPA sono incorporati nell'Accordo applicabile per il Servizio applicabile. In caso di conflitto, il Modulo DPA prevale sul DPA, che prevale sul resto dell'Accordo, a meno che non sia esplicitamente stabilito diversamente nel presente DPA.
1 Definizioni
1.1 Tutte le definizioni incluse nell'Accordo si applicano anche al presente DPA, a meno che non sia stabilito diversamente nel presente DPA. I termini in maiuscolo utilizzati e non definiti nel presente documento hanno il significato loro attribuito dalle leggi applicabili in materia di protezione dei dati. Inoltre, le seguenti definizioni si applicano al presente DPA:
1.2 Affiliato: qualsiasi persona o entità che controlla, è controllata da o è sotto controllo comune con un'altra persona o entità. A tal fine, per "controllo" si intende (i) il possesso, diretto o indiretto, del potere di dirigere la gestione o le politiche dell'entità soggetta, attraverso il possesso di titoli di voto, per contratto o in altro modo, o (ii) il possesso, diretto o indiretto, di almeno il cinquanta per cento (50%) dei titoli di voto o di altri interessi di proprietà dell'entità soggetta, o nel caso in cui tale entità risieda in un paese in cui tale livello di proprietà non è consentito, la percentuale massima di proprietà ivi consentita;
1.3 Paese terzo: qualsiasi paese che non fornisce un livello adeguato di protezione dei dati in base alle leggi sulla protezione dei dati applicabili;
1.4 Violazione dei dati personali: una violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali del Cliente trasmessi, memorizzati o altrimenti elaborati.
2 Oggetto del presente Accordo sulla protezione dei dati
2.1 In relazione al trattamento dei Dati personali del Cliente in relazione ai Servizi e al Contratto applicabili, IDEXX sarà il Responsabile del trattamento e il Cliente sarà il Titolare del trattamento. Il trattamento dei dati personali a cui si applica il presente DPA è descritto nelle relative schede DPA.
2.2 Il presente DPA integra l'Accordo e annulla qualsiasi accordo (orale e/o scritto) di data precedente relativo al trattamento dei Dati personali tra il Cliente che agisce in qualità di Controllore e IDEXX che agisce in qualità di Responsabile del trattamento in relazione ai Dati personali, se applicabile.
3 Trattamento dei dati personali
3.1 IDEXX rispetterà tutte le leggi sulla protezione dei dati in relazione ai Servizi applicabili a IDEXX in qualità di Responsabile del trattamento. Il Cliente garantisce di trattare o di aver trattato i Dati personali del Cliente in conformità alla legge applicabile. Il Cliente dovrà, alla prima richiesta di IDEXX, fornire prontamente tutte le informazioni pertinenti richieste a IDEXX per iscritto, anche in forma elettronica. IDEXX non è responsabile dell'adempimento degli obblighi del Cliente ai sensi della legge applicabile, compresi, senza limitazioni, gli obblighi del Cliente nei confronti dei propri clienti o clienti, come l'obbligo del Cliente di informare i propri clienti o clienti dei destinatari del trattamento dei loro dati personali. IDEXX non è responsabile di determinare i requisiti o le leggi o i regolamenti applicabili all'attività dell'Utente, o che un Servizio soddisfi i requisiti di tali leggi o regolamenti applicabili. Tra le parti, il Cliente è responsabile della legittimità del trattamento dei Dati personali del Cliente. Il Cliente non utilizzerà i Servizi in modo tale da violare la legge sulla protezione dei dati personali.
3.2 Il Programma DPA applicabile per un Servizio contiene un elenco delle categorie di Soggetti interessati, dei tipi di Dati personali del Cliente e di eventuali Categorie speciali di Dati personali. La durata del trattamento corrisponde alla durata del Servizio, se non diversamente indicato nel Programma DPA. Lo scopo e l'oggetto del trattamento è la fornitura del Servizio come descritto nell'Accordo.
3.3 IDEXX tratterà i Dati Personali del Cliente solo per conto del Cliente e in conformità alle istruzioni documentate del Cliente, a meno che non sia richiesto diversamente dalla legge sulla protezione dei dati applicabile. L'ambito delle istruzioni del Cliente per il trattamento dei Dati personali del Cliente è definito nell'Accordo e, se applicabile, nell'uso e nella configurazione delle funzionalità del Servizio da parte del Cliente e dei suoi utenti autorizzati. IDEXX informerà immediatamente il Cliente se, a suo parere, una qualsiasi delle istruzioni del Cliente viola le leggi applicabili in materia di protezione dei dati, e IDEXX potrà sospendere l'esecuzione di tale istruzione fino a quando il Cliente non ne avrà modificato o confermato la legittimità in forma documentata.
3.4 IDEXX garantirà che i suoi dipendenti e le altre persone coinvolte nel trattamento dei dati personali del Cliente si siano impegnati alla riservatezza, nella misura in cui tali persone non siano vincolate da un adeguato obbligo di riservatezza previsto dalla legge. IDEXX garantirà che tali dipendenti o altre persone da essa incaricate rispettino tutti gli obblighi previsti dal presente DPA e dall'Accordo. IDEXX garantirà che l'accesso di IDEXX ai dati personali del cliente sia limitato ai dipendenti e alle altre persone che eseguono i servizi in conformità con l'accordo.
4 Misure di sicurezza
4.1 IDEXX implementerà misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato in relazione ai Dati personali. Le misure di sicurezza tecniche e organizzative che IDEXX deve implementare, tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, sono descritte nelle Misure tecniche e organizzative incluse negli Schemi DPA. IDEXX può aggiornare o modificare le proprie misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino una riduzione della sicurezza complessiva dei Servizi.
5 Segnalazione di violazioni di dati personali
5.1 L'obbligo di IDEXX di notificare al Cliente una violazione dei dati personali e di intraprendere azioni in relazione a una violazione dei dati personali non comporta il riconoscimento di alcun difetto o responsabilità da parte di IDEXX in relazione a tale violazione dei dati personali.
5.2 Non appena IDEXX viene a conoscenza di una violazione dei dati personali di cui il Cliente non è stato ancora informato, IDEXX informerà il Cliente senza indebito ritardo, secondo le modalità stabilite da IDEXX. IDEXX informerà il contatto fornito dal Cliente in relazione ai Servizi. Il Cliente è responsabile dell'aggiornamento dei dati delle persone di contatto del Cliente comunicati a IDEXX. Nel caso in cui IDEXX non raggiunga in tempo la/e persona/e di contatto indicata/e dal Cliente, ciò sarà a rischio del Cliente.
5.3 Quando il Cliente stesso è a conoscenza di una violazione dei dati personali rilevante per la fornitura dei Servizi da parte di IDEXX, il Cliente dovrà informare IDEXX senza indebito ritardo, includendo le informazioni in merito a quali misure sono state o saranno adottate dal Cliente.
5.4 Al rilevamento di una violazione dei dati personali da parte di IDEXX, IDEXX fornirà al Cliente ogni ragionevole feedback sul possibile impatto della violazione dei dati personali sul Cliente e sugli interessati. Il feedback include una descrizione della natura e della portata della violazione dei dati personali, delle misure pianificate e già adottate per affrontare la Violazione dei dati personali.
5.5 Su richiesta del Cliente, IDEXX fornirà anche l'assistenza ragionevolmente necessaria per la composizione della documentazione pertinente in relazione alla violazione dei dati personali. Il Cliente rimarrà comunque responsabile dell'obbligo di mantenere una panoramica interna delle Violazioni dei dati personali che si sono verificate.
5.6 Il Cliente è responsabile di informare l'autorità governativa competente e/o i soggetti interessati dalla violazione dei dati personali, nella misura in cui ciò è richiesto dalle leggi applicabili in materia di protezione dei dati. Se il Cliente richiede a IDEXX di informare l'interessato o gli interessati e/o l'autorità governativa competente sulla Violazione dei dati personali, IDEXX lo farà solo dopo aver ricevuto un'istruzione scritta e completa da parte del Cliente e l'approvazione di tale istruzione scritta da parte di IDEXX. Ciò non comporta alcuna responsabilità per IDEXX in relazione alla (notifica della) violazione dei dati personali.
6 Assistenza
6.1 Tenendo conto della natura del trattamento dei dati e delle informazioni a disposizione delle Parti, le Parti si forniranno reciprocamente tutta l'assistenza necessaria per adempiere agli obblighi che incombono sulle Parti ai sensi della legge sulla protezione dei dati personali applicabile, in particolare gli obblighi relativi alla sicurezza dei dati personali, agli obblighi di notifica delle violazioni dei dati personali, all'obbligo di informazione e all'esecuzione di valutazioni d'impatto sulla protezione dei dati, compresa la consultazione preventiva dell'autorità governativa competente.
6.2 Il Cliente presenterà una richiesta scritta per qualsiasi assistenza di cui al presente DPA. IDEXX potrà addebitare al Cliente l'esecuzione di tale assistenza o di un'istruzione aggiuntiva; tali oneri non saranno superiori ad un costo ragionevole e saranno indicati in un preventivo e concordati per iscritto dalle Parti.
7 Diritti di verifica del Cliente
7.1 Il Cliente può, a proprie spese e previa consultazione con IDEXX, effettuare un audit del sistema di elaborazione dati utilizzato da IDEXX per elaborare i dati personali del Cliente, al fine di esaminare se le ragionevoli misure di sicurezza tecniche e organizzative adottate in relazione ai dati personali elaborati nel contesto del presente DPA siano in linea con le misure descritte nella sezione 4 del presente DPA.
7.2 IDEXX metterà a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi del Cliente di concludere un accordo di trattamento dei dati in linea con i requisiti pertinenti a tale riguardo ai sensi della legge sulla protezione dei dati applicabile, e consentirà e contribuirà alle verifiche, comprese le ispezioni, condotte dal Cliente. In consultazione con IDEXX, il Cliente può incaricare una terza parte (esperto) di eseguire i propri diritti di audit, a condizione che tale terza parte sia vincolata da un adeguato obbligo di riservatezza.
7.3 L'esecuzione di un audit da parte del Cliente o per conto del Cliente non causerà alcun ritardo nelle attività commerciali di IDEXX o di uno qualsiasi dei suoi Subprocessori.
8 Sub Responsabili
8.1 Il Cliente autorizza l'assunzione di altri Responsabili del trattamento dei Dati personali del Cliente da parte di IDEXX, incluse, a titolo esemplificativo, le Affiliate di IDEXX ("Sub Responsabilii"). Un elenco degli attuali Sub Responsabili terzi è riportato qui, come può essere aggiornato da IDEXX di volta in volta. IDEXX informerà il Cliente, secondo le modalità stabilite da IDEXX, di qualsiasi modifica prevista in merito all'aggiunta o alla sostituzione di tali Subprocessori. Il Cliente può opporsi a qualsiasi nuovo Subprocessore risolvendo l'Accordo mediante comunicazione scritta a IDEXX, a condizione che il Cliente fornisca tale comunicazione a IDEXX entro 60 giorni dalla data in cui IDEXX ha informato il Cliente dell'assunzione del Sub Responsabile . Tale diritto di risoluzione è l'unico ed esclusivo rimedio a disposizione del Cliente nel caso in cui questi si opponga a un nuovo Sub Responsabili
8.2 IDEXX stipulerà e applicherà un accordo scritto di trattamento dei dati con i suoi Sub Responsabili con obblighi di privacy e sicurezza dei dati sostanzialmente simili, ma non meno protettivi, di quelli stabiliti nel presente DPA. IDEXX rimarrà responsabile dell'adempimento dei propri obblighi ai sensi dell'Accordo, del presente DPA e delle leggi applicabili in materia di protezione dei dati.
9 Trasferimento transfrontaliero dei dati personali
9.1 I dati personali del cliente possono essere trasferiti in un Paese terzo da IDEXX o da subprocessori incaricati da IDEXX.
9.2 In caso di trasferimento dei dati personali del Cliente in un Paese terzo, le parti collaboreranno per garantire la conformità alle leggi sulla protezione dei dati applicabili, come indicato nelle sezioni seguenti.
9.3 Con la stipula del Contratto, il Cliente sottoscrive le Clausole Contrattuali Standard per i trasferimenti internazionali (Decisione di esecuzione (UE) 2021/914 della Commissione o qualsiasi versione aggiornata o sostitutiva della stessa) ("SCC"), compilate come dettagliato nella Sezione 9.3.1 di seguito, a meno che non sia stato dichiarato applicabile un diverso strumento di trasferimento dei dati al relativo trasferimento dei Dati Personali del Cliente nella Legge sulla Protezione dei Dati applicabile qui identificata, il quale strumento di trasferimento dei dati identificato si applicherà e regolerà il trasferimento dei Dati Personali del Cliente al Paese Terzo. Nella misura prevista dalle leggi sulla protezione dei dati diverse dal GDPR, le SCC si applicheranno anche al trasferimento dei dati personali del cliente da parte di clienti non situati nel SEE o in Svizzera a un'entità IDEXX situata in un Paese non adeguato.
9.3.1 Le SCC si applicheranno completate come segue:
a ) Si applicherà il modulo 2 - dal responsabile del trattamento all'incaricato del trattamento.
b ) Nella clausola 7 si applicherà la clausola di aggancio opzionale.
c ) Nella clausola 9 si applicherà l'opzione 2 e il periodo di notifica preventiva sarà di 14 giorni.
d ) Nella clausola 11 non si applicherà la lingua opzionale.
e ) Nella clausola 17 si applicherà l'opzione 1 e si applicherà la legge dei Paesi Bassi. f ) Nella clausola 18(b) si applicherà la legge dei Paesi Bassi. Nella clausola 17, si applicherà l'opzione 1 e si applicherà la legge dei Paesi Bassi.
f ) Nella clausola 18(b), le controversie saranno risolte davanti ai tribunali dei Paesi Bassi.
g ) L'Allegato I (A. Elenco delle parti, B. Descrizione del trasferimento, C. Autorità di vigilanza competente) delle SCC sarà considerato completato con le informazioni di cui alla Sezione B dell'Allegato DPA applicabile ai Servizi.
h ) L'Allegato II (Misure di sicurezza tecniche e organizzative) delle SCC si intende completato con le informazioni di cui alla Sezione B dello Schema di DPA applicabile ai Servizi.
i ) L'Allegato III (Elenco dei Subprocessori) si intende completato con l'elenco dei Subprocessori identificato al precedente punto 8.1.
9.4 IDEXX stipulerà il Modulo Tre delle SCC (Processor-to-Processor) con ogni Subprocessore situato in un Paese Terzo, come elencato nel rispettivo DPA Exhibit, ove richiesto dalle leggi sulla protezione dei dati applicabili. IDEXX può trasferire e conservare i Dati Personali verso e nelle proprie sedi negli Stati Uniti o in altri paesi in cui hanno sede le sue Affiliate. Tali trasferimenti sono soggetti a un accordo intersocietario tra le Affiliate di IDEXX che include le SCC del modulo tre (Processor-to-Processor) applicabili.
9.5 Nulla di quanto contenuto nell'Accordo o nel presente DPA potrà essere interpretato come prevalente su eventuali clausole contrastanti delle SCC. Il Cliente riconosce di aver avuto la possibilità di esaminare le SCC e di ottenerne una copia da IDEXX.
10 Richieste degli interessati
Su ragionevole richiesta scritta del Cliente, IDEXX fornirà la ragionevole assistenza per facilitare che il Cliente sia in grado di adempiere ai suoi obblighi in qualità di responsabile del trattamento dei dati se un Soggetto interessato esercita uno qualsiasi dei suoi diritti ai sensi delle leggi sulla protezione dei dati applicabili.
11 Generale
11.1 Costi: I costi che IDEXX può sostenere nell'adempimento dei propri obblighi ai sensi del presente DPA (ad esempio, fornendo assistenza al Cliente nel rispondere alle richieste degli interessati) possono comportare l'addebito al Cliente di lavoro aggiuntivo. In tal caso, IDEXX informerà il Cliente.
11.2 Indennità: Il Cliente dovrà tenere completamente indenne IDEXX da qualsiasi reclamo da parte di terzi, compresi i soggetti interessati, imposto a IDEXX come risultato di una violazione della legge applicabile, che può essere attribuita al Cliente o a uno qualsiasi dei suoi dipendenti o appaltatori.
11.3 Durata e risoluzione: Il presente DPA entra in vigore alla data in cui IDEXX elabora per la prima volta i Dati personali per conto del Cliente nell'esecuzione dell'Accordo. Il presente DPA rimarrà in vigore per la durata dell'Accordo. Nel caso in cui l'Accordo cessi, anche il presente DPA cessa per effetto di legge, senza ulteriori azioni legali. A meno che IDEXX non sia obbligata dalla legge applicabile a conservare i Dati Personali, IDEXX dovrà, alla cessazione del presente DPA, garantire che (i) i Dati Personali saranno restituiti o forniti al Cliente, o (ii) i Dati Personali saranno distrutti, su richiesta scritta del Cliente, che può essere anche in forma elettronica. Qualsiasi obbligo derivante dal presente DPA che, per sua natura, ha effetto postcontrattuale, ivi compreso, a titolo esemplificativo e non esaustivo, il presente Paragrafo DPA, continuerà ad essere in vigore anche dopo la cessazione del presente DPA.
11.4 Deviazioni e rinegoziazione: Le deviazioni e le aggiunte al presente DPA saranno valide solo se espressamente concordate per iscritto, anche in forma elettronica.
Il Cliente dovrà informare tempestivamente IDEXX su qualsiasi modifica che sia o possa essere rilevante per l'Accordo e il trattamento dei Dati Personali.
Se il presente DPA è tradotto in più lingue, il testo inglese farà fede ai fini dell'interpretazione o in caso di conflitto o incoerenza tra le varie traduzioni.