Soource has raised €1.5M to revolutionize procurement
Read the articleIn vigore dal 01 Luglio 2024
INTRODUZIONE
Il presente Accordo sul trattamento dei dati e i suoi Allegati ("DPA") sono incorporati e fanno parte del Contratto tra il Cliente e Soource, così come costituito ai sensi delle Condizioni Generali di Servizio. Ai fini del presente DPA come “Normativa Rilevante” si intendono complessivamente il Regolamento UE 2016/679, il D.Lgs. n. 196/2003 e/o qualsiasi provvedimento adottato da Legislatori e/o Autorità pubbliche nazionali e/o europee in materia di trattamento di dati personali (ivi compresi i provvedimenti assunti dalle Autorità di controllo), applicabile durante il periodo di validità del presente DPA, cui si fa riferimento anche per tutte le definizioni utilizzate tra le quali quelle di “trattamento di dati”, “titolare del trattamento”, “responsabile del trattamento” e “dato personale”. Il presente DPA riflette l'accordo delle parti in relazione a (i) il trattamento dei dati personali del Cliente da parte di Soource in qualità di Responsabile del trattamento per conto del Cliente e (ii) il trattamento dei dati personali del Titolare del trattamento da parte di ciascuna parte in qualità di titolare del trattamento in relazione ai determinati Servizi presenti sulla Piattaforma. Il DPA sostituisce ogni differente accordo tra le Parti in relazione al trattamento dei dati personali. In caso di conflitto con le disposizioni del Contratto, prevarranno le disposizioni del DPA. La durata del presente DPA seguirà la durata del Contratto. I termini non altrimenti definiti nel presente DPA avranno il significato stabilito nel Contratto o nella Normativa Rilevante in materia di protezione dati personali.
31. RESPONSABILITÀ DEL CLIENTE
31.1. Rispetto delle leggi. Nell'ambito del Contratto e dell'utilizzo dei Servizi da parte degli Utenti Autorizzati, il Cliente sarà responsabile del rispetto di tutti i requisiti applicabili ai sensi delle Normativa Rilevante. In particolare, ma senza pregiudicare la generalità di quanto precede, il Cliente riconosce e accetta di essere l'unico responsabile per: (i) l'accuratezza, la qualità e la legalità dei Dati personali del Cliente e dei mezzi con cui ha acquisito tali dati; (ii) rispettare tutti i requisiti di trasparenza e liceità necessari ai sensi della Normativa Rilevante per il trattamento dei Dati personali del Cliente, inclusa la fornitura di avvisi adeguati, l'ottenimento di tutti i consensi e le autorizzazioni necessarie e il rispetto delle preferenze di opt-out (ove ne ricorrano i presupposti); (iii) garantire che l’Utente Autorizzato abbia il diritto di trasferire, o fornire l'accesso a, i Dati personali del Cliente a Soource per il Trattamento in conformità con i termini del Contratto (incluso il presente DPA); (iv) rispettare tutte le leggi applicabili a qualsiasi e-mail o altro contenuto creato, inviato o gestito tramite i Servizi (comprese quelle relative all'ottenimento dei consensi per l'invio di e-mail, il contenuto delle e-mail e le pratiche di distribuzione delle e-mail); e (v) garantire che l'utilizzo dei Dati personali del Titolare del trattamento sia conforme alla Normativa Rilevante e sia strettamente limitato alle finalità stabilite nel Contratto (incluso il presente DPA). Il Cliente ci informerà senza indebito ritardo se non è in grado di adempiere alle proprie responsabilità ai sensi della presente Clausola o della Normativa Rilevante.
31.2. Istruzioni del Cliente. Il Cliente è responsabile di garantire che le istruzioni fornite in merito al trattamento dei dati personali siano conformi alle leggi applicabili, compresa la Normativa Rilevante. Le Parti convengono che il Contratto (connesso al presente DPA), insieme all'utilizzo dei Servizio da parte degli Utenti Autorizzati in conformità al Contratto, costituisce l'Istruzione completa del Cliente in relazione al trattamento dei dati personali da parte di Soource. Il Cliente può fornire ulteriori istruzioni durante la Durata del Contratto in coerenza con quanto previsto dal Contratto oltre che la natura e l’uso legittimo dei Servizi di Soource. Soource si riserva di accettare o meno le istruzioni aggiuntive, anche in considerazione dei rispettivi obblighi di legge.
31.3. Sicurezza. Il Cliente è responsabile di determinare in modo indipendente se la sicurezza dei dati prevista dalla Piattaforma e tramite il Servizio soddisfino adeguatamente i propri obblighi ai sensi delle leggi applicabili e della Normativa Rilevante. Fermo restando le misure di sicurezza adottate da Soource, il Cliente è inoltre responsabile dell'uso sicuro della Piattaforma e dei suoi Servizi, inclusa la protezione della sicurezza dei Dati personali in transito da e verso la Piattaforma (incluso il backup o la crittografia sicura di tali dati).
32. OBBLIGHI DI SOOURCE IN QUALITÀ DI RESPONSABILE DEL TRATTAMENTO
32.1. Trattamenti in qualità di responsabile. Le Parti hanno definito nell’Allegato 1 la descrizione del trattamento svolto da parte di Soource in qualità di Responsabile del trattamento ai sensi della presente Sezione 32.
32.2. Rispetto delle Istruzioni. Tratteremo i Dati personali del Cliente solo per le finalità descritte nel presente DPA o come altrimenti concordato nell'ambito delle Istruzioni legittime, come indicato nella Clausola 31.2. Soource non è responsabile del rispetto delle leggi sulla protezione dei dati applicabili al Cliente o al suo settore di appartenenza che non sono generalmente applicabili a Soource.
32.3. Istruzioni in violazione. Qualora le Istruzioni fornite dal Cliente, anche ai sensi del DPA, risultino in violazione di qualsiasi legge applicabile e/o della Normativa Rilevante, Soource (i) informerà tempestivamente il Cliente di tale violazione nella misura consentita dalla legge applicabile; e (ii) ove necessario, cesserà qualsiasi Trattamento (diverso dalla mera archiviazione e mantenimento della sicurezza dei Dati personali del Cliente interessati) fino al momento in cui il Cliente non emette nuove Istruzioni che in coerenza con la Normativa Rilevante. Qualora si applichi la presente Clausola, Soource non potrà essere ritenuta responsabile nei confronti del Cliente ai sensi del Contratto o del DPA per la mancata esecuzione dei Servizi fino alla ricezione di nuove e corrette Istruzioni in merito al trattamento dei dati personali.
32.4. Sicurezza. Soource implementa e mantiene misure tecniche e organizzative adeguate per proteggere i Dati personali del Cliente, come descritto nell'Allegato 2 del presente DPA ("Misure di sicurezza"). In deroga a qualsiasi disposizione contraria, possiamo modificare o aggiornare le Misure di sicurezza a nostra discrezione, a condizione che tale modifica o aggiornamento non comporti un degrado materiale della protezione offerta dalle Misure di sicurezza.
32.5. Riservatezza. Soource si adopera affinché tutto il proprio personale autorizzato a trattare i Dati personali del Cliente sia soggetto ad adeguati obblighi di riservatezza (sia contrattuale che legale).
32.6. Violazione dei dati personali del Cliente. Soource informerà il Cliente senza indebito ritardo non appena verrà a conoscenza di qualsiasi violazione dei dati personali del Cliente e fornendo informazioni tempestive relative alla violazione dei dati personali non appena ne verrà a conoscenza o ragionevolmente richiesta. Su richiesta del Cliente, Soource fornirà prontamente al Cliente l'assistenza ragionevole necessaria per consentire al Cliente di notificare le pertinenti violazioni dei dati personali alle autorità competenti e/o agli interessati qualora richiesto dalla Normativa Rilevante.
32.7. Cancellazione o restituzione dei Dati personali del Cliente. Elimineremo o restituiremo tutti i Dati del Cliente, inclusi i Dati personali del Cliente (incluse le relative copie) trattati ai sensi del presente DPA, al termine o alla scadenza del Contratto in conformità con le nostre procedure informatiche e al Contratto. La presente Clausola non si applicherà nei casi in cui la legge applicabile imponga a Soource di conservare alcuni o tutti i Dati del Cliente, o nel caso in cui i Dati del Cliente siano stati archiviati su sistemi di backup, che saranno isolati e protetti in modo sicuro da qualsiasi ulteriore elaborazione, per essere eliminati in conformità con le pratiche di eliminazione di Soource.
32.8. In caso di assistenza necessaria per recuperare i Dati del Cliente durante la Durata del Contratto, Soource fornirà un'assistenza ragionevole, a spese del Cliente. Il Cliente sarà informato in anticipo di eventuali costi applicabili che saranno commercialmente ragionevoli.
33. RICHIESTE DEGLI INTERESSATI
33.1. La Piattaforma fornisco all’Utente Autorizzato una serie di funzionalità che può utilizzare per recuperare, correggere, eliminare o limitare i Dati personali del Cliente, che può utilizzare per assisterlo in relazione ai suoi obblighi ai sensi della Normativa Rilevante, inclusi gli obblighi relativi alla risposta alle richieste degli Interessati di esercitare i loro diritti ai sensi della Normativa Rilevante ("Richieste dell'interessato").
33.2. Nella misura in cui il Cliente non sia in grado di rispondere in modo indipendente a una Richiesta dell'interessato tramite le funzionalità presenti sulla Piattaforma, su richiesta scritta forniremo al Cliente un'assistenza ragionevole per rispondere a qualsiasi Richiesta dell'interessato o richiesta da parte delle autorità per la protezione dei dati relative al Trattamento dei dati personali del Cliente ai sensi del Contratto. Il Cliente rimborserà i costi commercialmente ragionevoli derivanti da questa assistenza e Soource informerà il Cliente di tali costi in anticipo.
33.3. Se una Richiesta dell'Interessato o un'altra comunicazione relativa al Trattamento dei Dati personali del Cliente ai sensi del Contratto viene inviata direttamente a Soource, informeremo immediatamente l’Interessato di rivolgersi al Cliente, salvo che tale Interessato non sia soggetto ad altri termini. Il Cliente, per quanto di sua competenza, sarà l'unico responsabile della risposta sostanziale a tali richieste o comunicazioni dell'interessato che coinvolgono i dati personali del Cliente.
34. ULTERIORI RESPONSABILI DEL TRATTAMENTO (SUB-RESPONSABILI)
34.1. Il Cliente accetta che Soource abbia una autorizzazione generale ad utilizzare ulteriori
responsabili del trattamento nel rispetto di quanto previsto dalla clausola I.24 delle CGS, al fine di eseguire i trattamenti svolti per conto del Cliente.
34.2. I soggetti attualmente individuati quali sub-responsabili del trattamento e le altre terze parti coinvolte, sono indicate nell’Allegato 1 del presente DPA.
34.3. Ai sub-responsabili del trattamento saranno imposti termini e condizioni relative al
trattamento dei dati e alla loro sicurezza, che forniscano almeno lo stesso livello di protezione dei Dati personali del Cliente di quelli previsti dal presente DPA, nella misura applicabile alla natura dei servizi forniti da tali sub-responsabili. Soource rimarrà comunque responsabile per il rispetto da parte di ciascun sub-responsabile degli obblighi del presente DPA e per eventuali atti o omissioni di tale sub-responsabile che ci causino la violazione di uno qualsiasi dei suoi obblighi ai sensi del presente DPA.
35. TRASFERIMENTO DEI DATI
35.1. Il Cliente riconosce e accetta che Soource possa trattare i Dati del Cliente su base globale come necessario per fornire la Piattaforma e i Servizi in conformità con il Contratto, e in particolare che i Dati personali del Cliente possono essere trasferiti e trattati da sub-responsabili del trattamento che operano fuori dall’Unione Europea. Laddove i Dati personali del Cliente vengano trasferiti al di fuori dell’Unione Europea, ciascuna parte garantirà che tali trasferimenti avvengano in conformità con i requisiti della Normativa Rilevante.
35.2. Soource non trasferirà i Dati personali a paesi o destinatari che non siano riconosciuti come in grado di fornire un livello adeguato di protezione dei Dati personali dei clienti (ai sensi della Normativa Rilevante), a meno che non adottino prima tutte le misure necessarie per garantire che il trasferimento sia conforme alla Normativa Rilevante. Tali misure possono includere (a titolo esemplificativo ma non esaustivo) (i) il trasferimento di tali dati a un destinatario coperto da un quadro adeguato o da un altro meccanismo di trasferimento legalmente adeguato riconosciuto dalle autorità o dai tribunali competenti in grado di fornire un livello adeguato di protezione dei Dati personali del Cliente, incluso il Data Privacy Framework statunitense; (ii) a un destinatario che ha ottenuto l'autorizzazione alle norme vincolanti d'impresa in conformità con le leggi europee sulla protezione dei dati; o (iii) a un destinatario che ha eseguito le Clausole Contrattuali Standard (così come indicate nella Decisione di Esecuzione UE 2021/914) in ogni caso come adottate o approvate in conformità con la Normativa Rilevante.
36. AUDIT E VERIFICHE DEL CLIENTE
36.1. Il Cliente accetta che nei limiti di una volta per anno solare, salvo eventuali incidenti intervenuti nel corso del rapporto contrattuale, il Cliente potrà procedere ad attività di revisione (es. la compilazione di questionari) o ispezioni anche presso la sede di Soource, a spese del Cliente. In questo caso il Cliente è tenuto ad informare il Soource della volontà di procedere con un preavviso di almeno 30 (trenta) giorni e le Parti concorderanno date, tempi e modalità in modo da non arrecare danno all’ordinaria attività di Soource. Soource si riserva di addebitare eventuali costi ragionevoli derivanti dall’esecuzione dell’ispezione di cui al presente punto che saranno comunicati entro 15 (quindici) giorni dal preavviso fornito dal Cliente. Nel caso in cui il Cliente non accetti l’addebito di tali costi, il Cliente non procederà all’ispezione e accetterà le dichiarazioni proposte da Soource.
36.2. Nella misura in cui Soource metterà a disposizione dei propri clienti materiale informativo relativo a certificazioni, verifiche o valutazioni di compliance, il Cliente si riterrà soddisfatto di tale disponibilità di materiale informativo e non richiederà l’inserimento di tali informazioni all’interno di questionari o altre richieste. In caso di violazione al Cliente saranno addebitati i costi ragionevoli del personale o dei professionisti coinvolti per rispondere ai quesiti posti dal Cliente.
37. TERMINI IN QUALITÀ DI AUTONOMI TITOLARI
37.1. Scopo. La presente sezione "Termini in qualità di autonomi titolari" si applicherà nella misura in cui le Parti trattano i Dati personali in relazione all'utilizzo dei Servizi da parte del Cliente che non siano svolti per conto del Cliente stesso.
37.2. Ruolo delle Parti. Le Parti riconoscono e accettano di agire in qualità di Titolari del trattamento dei dati personali e di rispettare i rispettivi obblighi ai sensi della Normativa Rilevante durante il trattamento dei dati personali. Per chiarezza, nulla nel Contratto o nella presente sezione limiterà in alcun modo Soource dalla raccolta, dall'utilizzo o dalla condivisione di dati che Soource elaborerebbe altrimenti indipendentemente dall'utilizzo della Piattaforma da parte del Cliente e dei suoi Utenti Autorizzati.
37.3. Rispetto delle leggi. Ciascuna parte garantirà che i Dati personali che condivide o mette a disposizione dell'altra parte siano stati raccolti in conformità con la Normativa Rilevante, tra cui (i) fornire adeguate comunicazioni agli Interessati; (ii) stabilire una base giuridica per il trattamento dei dati personali del titolare del trattamento, compreso l’interesse legittimo ove applicabile; (iii) l'attuazione di misure tecniche e organizzative adeguate per proteggere i Dati personali; e (iv) adempiere a eventuali obblighi di segnalazione relativi a violazioni dei dati personali che coinvolgono i Dati personali. Per quanto riguarda le Parti, il Cliente è responsabile di fornire tutte le avvertenze, i consensi e i meccanismi di opt-out necessari in virtù del suo uso della Piattaforma Soource e di garantire un’adeguata informativa all’interessato che preveda la comunicazione dei dati anche a Soource. Se un interessato contatta una delle Parti per esercitare i propri diritti ai sensi della Normativa Rilevante, la Parte contattata dovrà soddisfare direttamente la richiesta o, se ciò non è fattibile, informare tempestivamente e coordinarsi con l'altra Parte per garantire che la richiesta sia soddisfatta in conformità con la Normativa Rilevante. Il Cliente accetta di eliminare i dati acquisiti dall’uso dei Servizi se determina di non disporre di una base giuridica adeguata e indipendente (o termini sostanzialmente simili) per il trattamento di tali dati ai sensi della Normativa Rilevante. Il Cliente accetta altresì di coadiuvare Soource nella corretta informazione agli interessati della propria informativa al trattamento dei dati personali, qualora previsto dai Servizi e che non farà alcuna azione volta ad ostacolare tale attività. Il Cliente riconosce e accetta che Soource opererà quale autonomo titolare del trattamento in conformità alla informativa privacy che sarà di volta in volta messa a disposizione tramite la Piattaforma.
37.4. Sicurezza. Soource implementerà e manterrà misure di sicurezza ragionevoli per proteggere i Dati personali trattati. Tutti i dati personali sono protetti utilizzando tecniche e organizzative adeguate. Soource potrà mettere a disposizione del Cliente informazioni più dettagliate previa richiesta scritta da parte del Cliente.
37.5. Limitazione di finalità. Per quanto riguarda i dati personali condivisi da Soource tramite la Piattaforma, il Cliente garantisce che utilizzerà questi dati solo per finalità di comunicazione contrattuale o per la comunicazione prima della stipula di un contratto, istruendo di conseguenza tutti gli Utenti Autorizzati. Il Cliente terrà indenne Soource da ogni pretesa, anche dei soggetti interessati i cui dati sono stati acquisiti dal Cliente, di qualsiasi natura, anche relativa ad eventuali sanzioni che abbiano tratto origine dall’attività del Cliente.
37.6. Comunicazione delle richieste di cancellazione. Se Soource informa il Cliente che un interessato ha richiesto la rimozione dei propri dati personali dalla Piattaforma, il Cliente dovrà rimuovere tali dati dal suo possesso senza ingiustificato ritardo, a meno che il Cliente non disponga di un'altra valida base giuridica ai sensi della Normativa Rilevante per trattare tali dati.
38. MECCANISMI DI TRASFERIMENTO
38.1. Nel caso di utilizzo del Clausole Contrattuali Standard (“T-SCC”) per i Trasferimenti fuori dall’Unione Europea, dette clausole faranno parte del Contratto come segue:
38.1.1. In relazione ai Dati personali del Cliente che Soource elabora in qualità di Responsabile del trattamento; (i) i termini del Modulo Due delle T-SCC si applicano nella misura in cui il Cliente è un Titolare del trattamento e i termini del Modulo Tre si applicano nella misura in cui il Cliente è un Responsabile del trattamento dei Dati personali del Cliente; (ii) nella clausola 7, si applica la clausola di adesione successiva; (iii) nella Clausola 9, si applica l'Opzione 2 e le modifiche ai Sub-responsabili del trattamento saranno notificate in conformità con la sezione "Ulteriori Responsabili del Trattamento" del presente DPA; (iv) nella clausola 11, la lingua facoltativa è soppressa; v) nelle clausole 17 e 18, le parti convengono che la legge applicabile e il foro competente per le controversie relative alle T-SCC sarà il Foro indicato nel Contratto; (vi) gli Allegati delle T-SCC saranno considerati completati con le informazioni riportate negli Allegati del presente DPA; e (vii) l'autorità di controllo che agirà in qualità di autorità di controllo competente sarà determinata in conformità con il GDPR.
38.1.2. In relazione ai Dati Personali del Titolare del trattamento per i quali Soource e il Cliente sono ciascuno Titolare del trattamento (i) si applicano i termini del Modulo Uno; (ii) nella clausola 7, si applica la clausola di adesione successiva; (iii) nella clausola 11, la lingua facoltativa è soppressa; (iv) nelle Clausole 17 e 18, le parti convengono che la legge applicabile e il foro competente per le controversie relative alle T-SCC sarà il Foro indicato nel Contratto; (v) gli Allegati delle T-SCC saranno considerati completati con le informazioni riportate negli Allegati del presente DPA; e (vi) l'autorità di controllo che agirà in qualità di autorità di controllo competente sarà la il Garante per la protezione dei dati personali italiano.
38.1.3. In relazione ai Dati personali del Cliente che Soource elabora in qualità di Responsabile del trattamento, il Cliente accetta che, rispettando i nostri obblighi ai sensi della sezione "Ulteriori responsabili del trattamento" del presente DPA, Soource adempie ai propri obblighi ai sensi della Sezione 9 delle T-SCC. Ai fini della Clausola 9(c) delle T-SCC, il Cliente riconosce che potremmo essere limitati dalla divulgazione degli accordi con i sub-responsabili del trattamento, ma Soource farà ogni ragionevole sforzo per richiedere a qualsiasi sub-responsabile nominato da Soource gli consenta di divulgare l'accordo con i sub-responsabili del trattamento al Cliente e Soource fornirà (su base riservata) tutte le informazioni ragionevolmente possibili. Il Cliente riconosce e accetta inoltre che eserciterà i propri diritti di audit ai sensi della Clausola 8.9 delle T-SCC nel rispetto di quanto previsto dalla Sezione 36 del presente DPA.
38.2. Meccanismo di trasferimento alternativo. Nel caso in cui Soource sia tenuta ad adottare un meccanismo di trasferimento alternativo ai sensi della Normativa Rilevante, in aggiunta o diverso dai meccanismi sopra descritti, tale meccanismo di trasferimento alternativo si applicherà automaticamente al posto dei meccanismi descritti nel presente DPA (ma solo nella misura in cui tale meccanismo di trasferimento alternativo sia conforme alla Normativa Rilevante), e il Cliente accetta di sottoscrivere tali altri documenti o di intraprendere le azioni che potrebbero essere ragionevolmente necessarie per dare effetto legale a tale meccanismo di trasferimento alternativo.
39. MODIFICHE AL DPA
39.1. Soource può modificare il DPA in presenza di circostanze esterne alla propria volontà
(“Circostanze Esterne”: modifica normativa, ordine di una Autorità competente o sue indicazioni, ecc.) o per circostanze interne (“Circostanze Interne”: modifica della Piattaforma, miglioramento dei Servizi, revoca di funzionalità, ecc.).
39.2. Nella misura in cui la modifica del DPA possa comportare un impatto sostanzialmente negativo per il Cliente, come determinato da Soource, Soource farà ogni sforzo commerciale ragionevole per informare il Cliente con un anticipo di 30 giorni (o con un anticipo inferiore in presenza di circostanze esterne) rispetto all’entrata in vigore della modifica. In presenza di un impatto sostanzialmente negativo derivante dalla modifica, il Cliente ha facoltà di recedere dal Contratto fino alla data di entrata in vigore della modifica stessa, con un preavviso di almeno 30 giorni. In caso di esercizio del diritto di recesso per tale motivazione, le condizioni del DPA resteranno invariate per il Cliente fino a cessazione.
40. DISPOSIZIONI GENERALI
40.1. Clausola di salvaguardia. Nel caso in cui singole disposizioni del presente DPA risultino non valide o inapplicabili, la validità e l'applicabilità delle altre disposizioni del presente DPA non saranno pregiudicate.
40.2. Limitazione di responsabilità. La responsabilità di ciascuna Parte, derivante da o correlata al presente DPA (comprese le T-SCC, ove applicabili), sia per contratto, illecito civile o in base a qualsiasi altra teoria di responsabilità, saranno soggette alle limitazioni ed esclusioni di responsabilità stabilite nella sezione "Limitazione di responsabilità" delle CGS e qualsiasi riferimento in tale sezione alla responsabilità di una parte significa responsabilità complessiva di tale parte ai sensi del Contratto (incluso il presente DPA). In nessun caso la responsabilità di una delle parti sarà limitata in relazione ai diritti di protezione dei dati di qualsiasi individuo ai sensi del presente DPA o altro.
40.3. Rinvio. Per quanto qui non espressamente previsto, si rimanda a quanto disposto nel Contratto.