Contratto di abbonamento per Acre Intrusion Connect

Data: 15 maggio 2024

tra e

Vanderbilt International AB
Englundavägen 7
Scatola 1275
17124 Solna
Svezia

e

L'utente finale o il fornitore di servizi, che sottoscrive e/o utilizza il servizio software Acre Intrusion Connect

Contratto di abbonamento

§ 1 Ambito di applicazione

1. Il seguente contratto di abbonamento è valido per il servizio software Acre Intrusion Connect e i servizi di accompagnamento forniti da Vanderbilt International (SWE) AB (di seguito denominata «Vanderbilt») agli utenti finali e/o ai fornitori di servizi.
2. Ai fini del presente Contratto di abbonamento
   a. per «Servizio software Acre Intrusion Connect» si intende la soluzione basata su cloud progettata per il monitoraggio, la gestione e la manutenzione di Acre Intrusion Panels da remoto; attualmente, il servizio software Acre Intrusion Connect comprende un'applicazione web (tramite browser Internet) e app mobili per la piattaforma Android e Apple;
   b. un «Acre Intrusion Panel» deve comprendere almeno un componente hardware del pannello Acre Intrusion prodotto o distribuito dalle società del gruppo Acree (vedere https://acresecurity.com/);
   c. «Utenti finali»: individui o entità che utilizzano il servizio software Acre Intrusion Connect per monitorare, gestire e mantenere un Acre Intrusion Panel per proprio conto;
   d. «Fornitori di servizi» indica individui o entità che utilizzano il servizio software Acre Intrusion Connect per monitorare, gestire e mantenere i pannelli antintrusione Acre per conto degli utenti finali o per assistere gli utenti finali a farlo; e
   e. Per «Clienti» si intendono rispettivamente gli Utenti finali o i Fornitori di servizi.
3. Il presente Contratto di abbonamento prevarrà su qualsiasi offerta, ordine, conferma o altro documento o accordo simile che contenga termini e condizioni divergenti o si riferisca a termini e condizioni diversi dal presente Contratto di abbonamento, inclusi i termini e le condizioni generali del Cliente.

§ 2 Ambito dei servizi

1. Vanderbilt fornirà il servizio software Acre Intrusion Connect in base alle specifiche del servizio di Vanderbilt, salvo diverso accordo. Fermo restando quanto sopra, Vanderbilt può sviluppare continuamente il servizio software Acre Intrusion Connect, senza essere obbligata a farlo. Ciò deve essere fatto, tra l'altro, per tenere conto del progresso tecnico, per migliorare la sicurezza, la funzionalità e l'operabilità del servizio software Acre Intrusion Connect o per garantire la conformità alla legge applicabile («Innovazione continua»). Tali modifiche sono consentite senza il consenso del Cliente se l'oggetto e le prestazioni del servizio software Acre Intrusion Connect sono almeno mantenuti e gli interessi del Cliente non sono irragionevolmente compromessi. Vanderbilt fornirà regolarmente informazioni sull'innovazione continua, ad esempio via e-mail, tramite note di rilascio o all'interno del servizio software Acre Intrusion Connect stesso.
2. In base alle specifiche di servizio applicabili, la disponibilità del sistema del servizio software Acre Intrusion Connect include periodi di manutenzione programmati regolarmente durante i quali non vi è alcun obbligo di esecuzione.
3. Il luogo di esecuzione e trasferimento del rischio per il servizio software Acre Intrusion Connect è il punto di trasferimento della connessione Internet del rispettivo server utilizzato da Vanderbilt per fornire il servizio software Acre Intrusion Connect.

§ 3 Diritto d'uso

1. All'utente finale e/o ai dipendenti dell'utente finale, se del caso, verrà concesso il diritto non esclusivo di utilizzare il servizio software Acre Intrusion Connect per monitorare, gestire e mantenere un Acre Intrusion Panel per proprio conto, a condizione che lui e/o i suoi dipendenti e il rispettivo Acre Intrusion Panel siano registrati nel servizio software Acre Intrusion Connect.
2. Al Fornitore di servizi e/o ai dipendenti del Fornitore di servizi, se del caso, verrà concesso il diritto non esclusivo di utilizzare il servizio software Acre Intrusion Connect per monitorare, gestire e mantenere Acre Intrusion Panels per conto di terzi o per assistere terzi a farlo, a condizione che lui e/o i suoi dipendenti, nonché i rispettivi Acre Intrusion Panels e le terze parti siano registrati nel servizio software Acre Intrusion Connect. A scanso di equivoci, il fornitore di servizi può o meno addebitare a queste terze parti i suoi servizi.
3. Per quanto riguarda le app mobili del servizio software Acre Intrusion Connect, il diritto di utilizzo include il download, l'installazione e l'esecuzione di queste app per gli scopi menzionati nei paragrafi 1. e 2. precedenti.
4. Il diritto di utilizzare il servizio software Acre Intrusion Connect non è trasferibile e non autorizza l'utente finale o il fornitore di servizi a concedere diritti in merito a terzi.
5. L'uso del servizio software Acre Intrusion Connect per scopi diversi da quelli sopra descritti è vietato. In particolare, il Cliente non deve copiare, utilizzare, distribuire o rendere altrimenti disponibile alcun contenuto del servizio software Acre Intrusion Connect, inclusi, a titolo esemplificativo ma non esaustivo, software, immagini, grafici, testi e/o marchi.

§ 4 Retribuzione

1. Per gli utenti finali, il servizio software Acre Intrusion Connect sarà gratuito, salvo diverso accordo.
2. Per i fornitori di servizi, il servizio software Acre Intrusion Connect verrà addebitato in base al piano di abbonamento applicabile o ad altro prezzo concordato.
3. Le tariffe di abbonamento ricorrenti devono essere pagate in anticipo durante le prime due settimane di ciascun periodo di abbonamento.
4. Tutti i prezzi sono al netto di IVA, altre tasse e/o dazi ufficiali, che devono essere pagati in aggiunta ai prezzi, se applicabili.
5. Se il cliente è in ritardo con il pagamento della remunerazione dovuta, Vanderbilt ha diritto agli interessi a decorrere dal giorno della scadenza del pagamento. Il tasso di interesse deve essere superiore di 8 punti percentuali al tasso del principale strumento di rifinanziamento della Banca Centrale Europea in vigore alla data di scadenza del pagamento. In caso di ritardo nel pagamento, Vanderbilt può, dopo averne informato il Cliente, sospendere l'esecuzione del contratto fino al ricevimento del pagamento o risolvere il contratto e chiedere il risarcimento del danno subito da Vanderbilt.
6. Il Cliente non può, sulla base di un reclamo nei confronti di Vanderbilt, trattenere in tutto o in parte l'importo dovuto, né compensare alcuna parte di tale pagamento, senza la previa approvazione di Vanderbilt.

§ 5 Protezione e trattamento dei dati

Le disposizioni dell'Accordo sul trattamento dei dati per conto contenute nell'Addendum A sono parte integrante del presente Accordo e si applicano al trattamento dei dati personali.

§ 6 Obblighi del cliente

1. Il Cliente si impegna a utilizzare il servizio software Acre Intrusion Connect solo per scopi o servizi legali. In tal modo, dovrà osservare le leggi della Svezia e le leggi di quei paesi in cui si trova il Cliente, nonché le leggi di quei paesi in cui si trovano i rispettivi Acre Intrusion Panel e/o le terze parti assistite.
2. Il Cliente deve indennizzare Vanderbilt, le sue società affiliate e i suoi fornitori dai reclami fatti valere da terzi a causa della violazione dei diritti, in particolare dei diritti d'autore, dei diritti di proprietà industriale o dei diritti sui dati personali, nella misura in cui la violazione è stata causata dal Cliente o dai suoi dipendenti.

§ 7 Garanzia

1. Il Cliente deve notificare senza indebito ritardo a Vanderbilt eventuali errori che compaiono nel servizio software Acre Intrusion Connect. Tale avviso non deve in nessun caso essere dato oltre due (2) settimane dopo il verificarsi dell'errore. Se il Cliente non comunica a Vanderbilt entro il suddetto termine, il Cliente perde i suoi diritti ai sensi della garanzia.
2. Vanderbilt gestirà eventuali errori entro un tempo ragionevole. La gestione degli errori ai sensi del presente Contratto include la delimitazione della causa dell'errore, la diagnosi dell'errore nonché l'eliminazione dell'errore o la prevenzione dei suoi effetti che compromettono la funzionalità del servizio software Acre Intrusion Connect. La gestione degli errori può, in particolare, essere fornita sotto forma di patch, aggiornamenti o upgrade, istruzioni su come aggirare l'errore o, previa consultazione con il Cliente, anche fornendo una versione principale più recente del servizio software Acre Intrusion Connect. Vanderbilt deciderà a propria discrezione, sulla base di una valutazione professionale, il tipo e la portata della gestione degli errori da fornire, tenendo conto dell'interesse del Cliente per la funzionalità del servizio software Acre Intrusion Connect.
3. Il Cliente deve informare immediatamente Vanderbilt di qualsiasi reclamo in cui si affermi che il servizio software Acre Intrusion Connect di Vanderbilt viola i diritti d'autore o i diritti di proprietà industriale e intellettuale di terzi. In tal caso e a condizione che Vanderbilt abbia avuto una ragionevole opportunità di presentare il proprio caso, Vanderbilt, a sua esclusiva discrezione, otterrà per il cliente il diritto di utilizzare il servizio software Acre Intrusion Connect, modificare il servizio software Acre Intrusion Connect in modo tale da eliminare la violazione, sostituire il servizio software Acre Intrusion Connect con un altro servizio di qualità ed efficienza corrispondenti o terminare il servizio software Acre Intrusion Connect e rimborsare la sua remunerazione meno una ragionevole detrazione per l'uso provvisorio .
4. I reclami dei clienti per errori e difetti in generale si prescrivono un anno dopo il verificarsi dell'errore o del difetto. Il termine di prescrizione di un anno non si applica alla responsabilità per danni causati colposamente a lesioni alla vita, al corpo o alla salute, o alla responsabilità per altri danni in caso di violazione intenzionale dell'obbligo, o nella misura in cui Vanderbilt abbia dolosamente omesso di rivelare l'errore o il difetto o fornito una garanzia per la qualità dell'oggetto o nell'ambito di una responsabilità ai sensi della legge sulla responsabilità del prodotto.

§ 8 Limitazione di responsabilità, statuto delle limitazioni

1. Vanderbilt è responsabile senza restrizioni per i danni causati colposamente da lesioni alla vita, al corpo o alla salute. Vanderbilt sarà inoltre responsabile senza restrizioni in caso di violazione intenzionale degli obblighi e nella misura in cui Vanderbilt abbia omesso dolosamente di rivelare il difetto e nella misura della responsabilità ai sensi della legge applicabile sulla responsabilità del prodotto. Nella misura in cui Vanderbilt si è assunta una garanzia per la qualità o la durata dell'eventuale servizio software Acre Intrusion Connect, Vanderbilt sarà responsabile senza restrizioni, ma solo nella misura coperta dalla garanzia.
2. Per altri danni si applica quanto segue: Vanderbilt non è responsabile per eventuali danni indiretti e consequenziali, perdita di profitto, perdita di produzione, interruzione delle operazioni, rivendicazioni contrattuali di terzi, perdita di utilizzo o spese di finanziamento. La responsabilità complessiva di Vanderbilt per danni, danni/penali liquidati, richieste di risarcimento e indennizzi, indipendentemente dalla base giuridica dei reclami e con riferimento a tutti gli episodi di danno previsti dal contratto, non può in alcun caso superare 25.000, - EUR (in parole: venticinquemila euro) per evento e nel complesso. In ogni caso, la responsabilità complessiva di Vanderbilt ai sensi del contratto (come stabilito nella presente clausola) scadrà alla fine dello statuto di prescrizione applicabile per il servizio software Acre Intrusion Connect.
3. L'obiezione di colpa contributiva (ad es. violazione degli obblighi del Cliente) rimane aperta.
4. Per quanto riguarda la responsabilità per errori e difetti in generale, si applica il periodo di prescrizione previsto dal § 7 punto 4 del presente Contratto di abbonamento.

§ 9 Riservatezza

1. Per «Informazioni riservate» ai sensi del presente Contratto di abbonamento si intendono tutte le informazioni che Vanderbilt o il Cliente proteggono dalla divulgazione illimitata a terzi mediante misure appropriate, che sono contrassegnate come tali o che devono essere considerate riservate in base alle circostanze della divulgazione o del loro contenuto.
2. Le parti si impegnano a proteggere tutte le informazioni riservate dell'altra parte ottenute prima e nel corso dell'esecuzione del contratto per un periodo di tempo illimitato nello stesso modo in cui proteggono le proprie informazioni riservate comparabili con misure appropriate e a trattarle in modo riservato. La divulgazione da parte della parte ricevente a terzi è consentita solo nella misura necessaria per l'esercizio dei diritti della parte ricevente o per l'esecuzione del contratto e tali persone sono soggette a obblighi di riservatezza sostanzialmente paragonabili a quelli qui stabiliti. I duplicati delle informazioni riservate della rispettiva controparte devono, per quanto tecnicamente possibile, contenere tutte le notifiche e le annotazioni relative al loro carattere riservato o segreto contenute nell'originale.
3. L'obbligo di mantenere la riservatezza non si applica alle informazioni che (a) sono state sviluppate indipendentemente dalla parte ricevente, (b) sono state legalmente fornite alla parte ricevente da una terza parte senza violazione del presente Accordo o di qualsiasi altro accordo, (c) erano note alla parte ricevente senza restrizioni al momento della divulgazione, o (d) erano disponibili al pubblico al momento della divulgazione o successivamente diventano disponibili al pubblico senza violazione degli obblighi da parte della parte ricevente.

§ 10 Durata, risoluzione

1. Salvo diverso accordo, il contratto ha una durata di dodici mesi dalla data di inizio (anno contrattuale), salvo diverso accordo. Il contratto è automaticamente prorogato di un altro anno in ciascun caso se non viene risolto da una delle parti contraenti almeno tre mesi prima della fine del rispettivo anno contrattuale.
2. La risoluzione senza preavviso per giusta causa rimane inalterata.
3. Il Cliente deve garantire che entro tre mesi dalla scadenza del contratto tutti i contenuti e i dati (compresi i dati personali) memorizzati da lui o dai suoi clienti sui server di Vanderbilt siano stati scaricati da lui e altrimenti protetti da lui. Tre mesi dopo la scadenza del contratto, l'obbligo di Vanderbilt di archiviare tali contenuti e dati cesserà e Vanderbilt potrà eliminare tutti i contenuti e i dati (compresi i dati personali). Prima della cancellazione, tuttavia, Vanderbilt informerà il Cliente dell'imminente cancellazione per iscritto o in forma di testo con un preavviso di due settimane o più.

§ 11 Anticorruzione e anticorruzione

Il Cliente deve (i) rispettare tutte le leggi, i regolamenti, i codici e le sanzioni applicabili in materia di anticorruzione e anticorruzione, inclusi, a titolo esemplificativo ma non esaustivo, il Bribery Act del Regno Unito e lo US Foreign and Corrupt Practice Act («Requisiti pertinenti»), (ii) adottare e mantenere le proprie politiche e procedure relative all'anticorruzione e alla corruzione, (iii) segnalare tempestivamente a Vanderbilt qualsiasi richiesta o richiesta di non conformità il dovuto vantaggio finanziario o di altro tipo ricevuto dal Cliente in relazione al presente contratto, (iv) notificare immediatamente a Vanderbilt se un un funzionario pubblico straniero diventa funzionario o dipendente del Cliente o acquisisce un interesse diretto o indiretto nel Cliente (e il Cliente garantisce di non avere funzionari pubblici stranieri come funzionari, dipendenti o proprietari diretti o indiretti) e (v) non intraprendere alcuna attività, pratica o condotta che costituirebbe un reato ai sensi dei Requisiti pertinenti. Il Cliente deve fornire le prove di conformità che Vanderbilt possa ragionevolmente richiedere. La violazione di questa clausola sarà considerata una violazione sostanziale che autorizza Vanderbilt a risolvere immediatamente il contratto e richiedere il risarcimento per eventuali perdite subite da Vanderbilt.

§ 12 Forza maggiore

Vanderbilt ha il diritto di sospendere immediatamente l'adempimento dei propri obblighi ai sensi del contratto nella misura in cui tale esecuzione sia ostacolata o resa irragionevolmente onerosa da una delle seguenti circostanze: controversie industriali e qualsiasi altra circostanza al di fuori del controllo di Vanderbilt, come incendio, guerra, mobilitazione militare estesa, insurrezione, requisizione, sequestro, embargo, restrizioni nell'uso del potere e difetti o ritardi consegne da parte di subappaltatori causate da una delle circostanze di cui alla presente clausola.

§ 13 Controversie e legge applicabile

1. Il contratto è regolato dalla legge svedese, indipendentemente dalle disposizioni sui conflitti di legge. La Convenzione delle Nazioni Unite sui contratti di vendita internazionale di merci non si applica.
2. Qualsiasi controversia, controversia o reclamo derivante da o in relazione al contratto, o alla violazione, risoluzione o nullità dello stesso, sarà risolta definitivamente mediante arbitrato in conformità con le Regole di arbitrato dell'Istituto arbitrale della Camera di commercio di Stoccolma. Il tribunale arbitrale sarà composto da tre arbitri. La sede dell'arbitrato sarà Stoccolma. La lingua da utilizzare nel procedimento arbitrale sarà l'inglese.
3. Le parti si impegnano, a tempo indeterminato, a non divulgare l'esistenza o il contenuto di qualsiasi sentenza o decisione relativa o in relazione al contratto o di qualsiasi informazione riguardante negoziazioni, procedimenti arbitrali o mediazioni in relazione allo stesso. Tale impegno di riservatezza non si applica in relazione alle informazioni che una parte è tenuta a divulgare per legge, in base a un ordine di un'autorità governativa, ai sensi delle norme di borsa applicabili, o che possono essere richieste per l'esecuzione di una sentenza o di una sentenza. Fermo restando quanto sopra, Vanderbilt ha il diritto di rivolgersi al tribunale distrettuale di Stoccolma in primo grado per quanto riguarda le richieste di pagamento dovuto.

Addendum A

Accordo sul trattamento dei dati per conto

per Acre Intrusion Connect

fra

L'utente finale o il fornitore di servizi che utilizza il servizio software Acre Intrusion Connect

- di seguito «Titolare» —

e

Vanderbilt International AB
Englundavägen 7
Scatola 1275
17124 Solna
Svezia

- di seguito «Processore» -.

Clausola 1

Oggetto dell'accordo

1. Il processore fornirà il servizio software Acre Intrusion Connect, una soluzione basata su cloud progettata per il monitoraggio, la gestione e la manutenzione di Acre Intrusion Panels da remoto; attualmente, il servizio software Acre Intrusion Connect comprende un'applicazione Web (tramite browser Internet) e app mobili per le piattaforme Android e Apple (di seguito denominate «Servizio software Acre Intrusion Connect»). In tal modo, il Responsabile tratta i Dati personali esclusivamente per conto e secondo le istruzioni del Titolare ai sensi dell'art. 4 n. 8 e dell'art. 28 GDPR (trattamento per conto).
2. Il presente accordo disciplina i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali e a tale riguardo prevale su tutti gli altri accordi delle parti. Le clausole contrattuali standard allegate sono parte integrante del presente Accordo. In caso di contraddizione tra le presenti Clausole e le disposizioni dei relativi accordi tra le Parti esistenti nel momento in cui le presenti Clausole sono concordate o stipulate successivamente, prevarranno le presenti Clausole.
3. Ai fini del presente Contratto, per «Utenti finali» si intendono le persone o le entità che utilizzano il servizio software Acre Intrusion Connect per monitorare, gestire e mantenere un Acre Intrusion Panel per proprio conto. «Fornitori di servizi» indica individui o entità che utilizzano il servizio software Acre Intrusion Connect per monitorare, gestire e mantenere i pannelli antintrusione AAcre per conto degli utenti finali o per assistere gli utenti finali a farlo; e «Titolare» indica rispettivamente un utente finale o un fornitore di servizi. Il Titolare e il Processore possono essere indicati come «Parte» o congiuntamente come «Parti» ai fini del presente Contratto.
4. Le Parti intendono per «GDPR» il Regolamento (UE) 2016/679, noto anche come Regolamento generale sulla protezione dei dati.
5. Il presente Accordo si basa sulle definizioni di cui all'articolo 4 del GDPR, in particolare per quanto riguarda i termini «Trattamento dei dati» o «Trattamento» (di dati) ai sensi dell'articolo 4 n. 2 del GDPR.
6. Per «Dati personali» ai sensi del presente Accordo, le Parti intendono i dati personali che il Responsabile elabora per conto del Titolare, per cui è irrilevante che il Processore li abbia ricevuti dal Titolare, dagli interessati o da terzi e se il trattamento avvenga nell'ambito degli obblighi di prestazione del Processore o in altro modo, nella misura in cui provengano dalla sfera del Titolare.

Clausola 2

Durata

1. I servizi del Processore per il Titolare del trattamento risulteranno dal contratto concluso separatamente tra le Parti di seguito il «Contratto principale».
2. La durata del Trattamento deve corrispondere alla durata del Contratto principale. Il presente Accordo rimarrà valido oltre la fine del Contratto principale per tutto il tempo in cui il Processore detiene i dati personali per conto del Titolare del trattamento.
3. Il Responsabile del trattamento non acquisirà alcun diritto sui dati personali e sarà obbligato a consegnare i dati personali in un formato che possa essere letto e ulteriormente elaborato dal Titolare in qualsiasi momento su prima richiesta. I diritti di conservazione del Processore in relazione ai Dati personali e ai relativi supporti dati sono esclusi.
4. Dopo tre mesi dalla scadenza del Contratto principale o su richiesta del Titolare, il Processore cancellerà tutti i Dati personali e i supporti dati forniti o trattati per conto del Titolare. Il Processore documenterà la cancellazione di tutti i Dati personali ancora esistenti e fornirà tale documentazione su richiesta del Titolare. Prima della cancellazione, tuttavia, il Processore informerà il Titolare dell'imminente cancellazione per iscritto o in forma di testo con un preavviso di due settimane o più.

Clausola 3

Varie

1. Le modifiche e le integrazioni al presente Contratto devono essere apportate per iscritto o in forma testuale. Ciò vale anche per qualsiasi deroga a questo requisito formale.
2. Se singole disposizioni del presente Contratto sono o diventano non valide o inapplicabili in tutto o in parte, ciò non pregiudica la validità delle restanti disposizioni. Le parti si impegnano a sostituire la disposizione non valida con una disposizione legalmente ammissibile che si avvicini di più allo scopo della disposizione non valida e soddisfi al meglio i requisiti dell'articolo 28 GDPR.
3. Il presente Contratto è regolato dalla legge svedese, indipendentemente dalle disposizioni sui conflitti di legge.
4. Qualsiasi controversia, controversia o reclamo derivante da o in relazione al contratto, o alla violazione, risoluzione o nullità dello stesso, sarà risolta definitivamente mediante arbitrato in conformità con le Regole di arbitrato dell'Istituto arbitrale della Camera di commercio di Stoccolma. Il tribunale arbitrale sarà composto da tre arbitri. La sede dell'arbitrato sarà Stoccolma. La lingua da utilizzare nel procedimento arbitrale sarà l'inglese.
5. Le parti si impegnano, a tempo indeterminato, a non divulgare l'esistenza o il contenuto di qualsiasi sentenza o decisione relativa o in relazione al contratto o di qualsiasi informazione riguardante negoziazioni, procedimenti arbitrali o mediazioni in relazione allo stesso. Tale impegno di riservatezza non si applica in relazione alle informazioni che una parte è tenuta a divulgare per legge, in base a un ordine di un'autorità governativa, ai sensi delle norme di borsa applicabili, o che possono essere richieste per l'esecuzione di una sentenza o di una sentenza.

***

Clausole contrattuali standard

SEZIONE I

Clausola 1

Scopo e ambito

1. Lo scopo di queste clausole contrattuali standard (le clausole) è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
2. I titolari e i responsabili del trattamento elencati nell'allegato I hanno accettato le presenti clausole al fine di garantire la conformità all'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 e/o all'articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725.
3. Le presenti clausole si applicano al trattamento dei dati personali come specificato nell'allegato II.
4. Gli allegati da I a IV sono parte integrante delle clausole.
5. Le presenti clausole non pregiudicano gli obblighi ai quali è soggetto il titolare del trattamento in virtù del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725.
6. Queste clausole non garantiscono di per sé il rispetto degli obblighi relativi ai trasferimenti internazionali ai sensi del capo V del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725.

Clausola 2

Invariabilità delle clausole

1. Le parti si impegnano a non modificare le clausole, ad eccezione dell'aggiunta di informazioni agli allegati o dell'aggiornamento delle informazioni in essi contenute.
2. Ciò non impedisce alle Parti di includere le clausole contrattuali standard stabilite nelle presenti Clausole in un contratto più ampio o di aggiungere altre clausole o garanzie aggiuntive a condizione che non contraddicano direttamente o indirettamente le Clausole o non pregiudichino i diritti o le libertà fondamentali degli interessati.

Clausola 3

Interpretazione

1. Se queste clausole utilizzano i termini definiti rispettivamente nel regolamento (UE) 2016/679 o nel regolamento (UE) 2018/1725, tali termini hanno lo stesso significato di tale regolamento.
2. Le presenti clausole devono essere lette e interpretate alla luce delle disposizioni rispettivamente del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725.
3. Le presenti clausole non devono essere interpretate in modo contrario ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679/regolamento (UE) 2018/1725 o in modo da pregiudicare i diritti o le libertà fondamentali degli interessati.

Clausola 4

Gerarchia

In caso di contraddizione tra le presenti Clausole e le disposizioni dei relativi accordi tra le Parti esistenti nel momento in cui le presenti Clausole sono concordate o stipulate successivamente, prevarranno le presenti Clausole.

Clausola 5

Clausola di docking

1. Qualsiasi entità che non è parte delle presenti clausole può, con l'accordo di tutte le parti, aderire alle presenti clausole in qualsiasi momento in qualità di titolare del trattamento o responsabile del trattamento completando gli allegati e firmando l'allegato I.
2. Una volta completati e firmati gli allegati di cui alla lettera a), l'entità aderente è considerata parte delle presenti clausole e ha i diritti e gli obblighi di un titolare del trattamento o di un responsabile del trattamento, conformemente alla sua designazione nell'allegato I.
3. L'entità aderente non avrà diritti o obblighi derivanti dalle presenti clausole del periodo precedente a diventare Parte.

SEZIONE II — OBBLIGHI DELLE PARTI

Clausola 6

Descrizione del/dei trattamento/i

I dettagli delle operazioni di trattamento, in particolare le categorie di dati personali e le finalità del trattamento per cui i dati personali sono trattati per conto del responsabile del trattamento, sono specificati nell'allegato II.

Clausola 7

Obblighi delle parti

7.1. Istruzioni

1. Il responsabile del trattamento tratta i dati personali solo su istruzioni documentate del responsabile del trattamento, a meno che ciò non sia richiesto dal diritto dell'Unione o dello Stato membro a cui è soggetto il responsabile del trattamento. In tal caso, il responsabile del trattamento informa il titolare del trattamento di tale requisito legale prima del trattamento, a meno che la legge lo vieti per importanti motivi di interesse pubblico. Il responsabile del trattamento può inoltre impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Queste istruzioni devono essere sempre documentate.
2. Il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo avviso, le istruzioni fornite dal titolare del trattamento violano il regolamento (UE) 2016/679/regolamento (UE) 2018/1725 o le disposizioni applicabili sulla protezione dei dati dell'Unione o degli Stati membri.

7.2. Limitazione dello scopo

Il responsabile del trattamento tratta i dati personali solo per gli scopi specifici del trattamento, come indicato nell'allegato II, a meno che non riceva ulteriori istruzioni dal responsabile del trattamento.

7.3. Durata del trattamento dei dati personali

Il trattamento da parte del trasformatore ha luogo solo per la durata specificata nell'allegato II.

7.4. Sicurezza del trattamento

1. Il responsabile del trattamento deve almeno attuare le misure tecniche e organizzative specificate nell'allegato III per garantire la sicurezza dei dati personali. Ciò include la protezione dei dati da una violazione della sicurezza che comporti la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso non autorizzati ai dati (violazione dei dati personali). Nel valutare il livello di sicurezza adeguato, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, della portata, del contesto e delle finalità del trattamento e dei rischi connessi per gli interessati.
2. Il responsabile del trattamento concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

7.5. Dati sensibili

Se il trattamento riguarda dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici o biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona, o dati relativi a condanne penali e reati («dati sensibili»), il responsabile del trattamento applicherà restrizioni specifiche e/o garanzie aggiuntive.

7.6 Documentazione e conformità

1. Le Parti saranno in grado di dimostrare la conformità alle presenti Clausole.
2. Il responsabile del trattamento tratterà tempestivamente e adeguatamente le richieste del responsabile del trattamento dei dati in conformità con le presenti Clausole.
3. Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nelle presenti clausole e derivanti direttamente dal regolamento (UE) 2016/679 e/o dal regolamento (UE) 2018/1725. Su richiesta del titolare del trattamento, il responsabile del trattamento deve inoltre consentire e contribuire agli audit delle attività di trattamento previste dalle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di non conformità. Nel decidere in merito a una revisione o a un audit, il titolare del trattamento può tenere conto delle certificazioni pertinenti detenute dal responsabile del trattamento.
4. Il titolare del trattamento può scegliere di condurre l'audit da solo o incaricare un revisore indipendente. Gli audit possono includere anche ispezioni presso i locali o le strutture fisiche del responsabile del trattamento e, se del caso, devono essere effettuati con un preavviso ragionevole.
5. Le parti mettono le informazioni di cui alla presente clausola, compresi i risultati di eventuali audit, a disposizione delle autorità di vigilanza competenti su richiesta.

7.7. Uso di sottoprocessori

1. Il responsabile del trattamento non può subappaltare nessuna delle sue operazioni di trattamento eseguite per conto del titolare del trattamento in conformità con le presenti clausole a un subprocessore, senza la previa autorizzazione scritta specifica del responsabile del trattamento. Il responsabile del trattamento deve presentare la richiesta di autorizzazione specifica almeno tre mesi prima dell'assunzione del subresponsabile in questione, insieme alle informazioni necessarie per consentire al titolare del trattamento di decidere in merito all'autorizzazione. L'elenco dei subresponsabili autorizzati dal titolare del trattamento è riportato nell'allegato IV. Le parti mantengono aggiornato l'allegato IV.
2. Se il responsabile del trattamento si avvale di un subresponsabile per lo svolgimento di specifiche attività di trattamento (per conto del responsabile del trattamento), lo fa mediante un contratto che impone al subprocessore, in sostanza, gli stessi obblighi di protezione dei dati imposti al responsabile del trattamento ai sensi delle presenti clausole. Il responsabile del trattamento garantisce che il subprocessore rispetti gli obblighi a cui è soggetto ai sensi delle presenti clausole e del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725.
3. Su richiesta del titolare del trattamento, il responsabile del trattamento fornisce una copia di tale contratto di subprocessore e delle eventuali successive modifiche al titolare del trattamento. Nella misura necessaria per proteggere il segreto aziendale o altre informazioni riservate, compresi i dati personali, il responsabile del trattamento può oscurare il testo dell'accordo prima di condividerne la copia.
4. Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento per l'adempimento degli obblighi del subprocessore in conformità al contratto stipulato con il responsabile del trattamento. Il responsabile del trattamento comunica al titolare del trattamento qualsiasi inadempimento da parte del subresponsabile del trattamento dei propri obblighi contrattuali.
5. Il responsabile del trattamento concorda una clausola del terzo beneficiario con il subprocessore in base alla quale, nel caso in cui il responsabile del trattamento sia effettivamente scomparso, abbia cessato di esistere legalmente o sia diventato insolvente, il responsabile del trattamento ha il diritto di recedere dal contratto di subprocessore e di incaricare il subprocessore di cancellare o restituire i dati personali.

7.8. Trasferimenti internazionali

1. Qualsiasi trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del responsabile del trattamento avviene solo sulla base di istruzioni documentate del responsabile del trattamento o al fine di soddisfare un requisito specifico ai sensi del diritto dell'Unione o dello Stato membro a cui è soggetto il responsabile del trattamento e avviene in conformità al capo V del regolamento (UE) 2016/679 o al regolamento (UE) 2018/1725.
2. Il titolare del trattamento concorda che laddove il responsabile del trattamento incarichi un subincaricato ai sensi della clausola 7.7. per svolgere specifiche attività di trattamento (per conto del titolare del trattamento) e tali attività di trattamento comportino un trasferimento di dati personali ai sensi del capo V del regolamento (UE) 2016/679, il responsabile e il subresponsabile possono garantire la conformità al capo V del regolamento (UE) 2016/679 utilizzando clausole contrattuali standard adottate dalla Commissione ai sensi dell'articolo 46 (2) del Regolamento (UE) 2016/679, ha previsto le condizioni per la l'uso di tali clausole contrattuali standard è soddisfatto.

Clausola 8

Assistenza al titolare del trattamento

1. Il responsabile del trattamento comunica tempestivamente al responsabile del trattamento qualsiasi richiesta ricevuta dall'interessato. Non deve rispondere alla richiesta stessa, a meno che non sia autorizzato a farlo dal responsabile del trattamento.
2. Il responsabile del trattamento assiste il titolare del trattamento nell'adempimento dei suoi obblighi di risposta alle richieste degli interessati di esercitare i loro diritti, tenendo conto della natura del trattamento. Nell'adempimento degli obblighi di cui alle lettere a) e b), il responsabile del trattamento deve attenersi alle istruzioni del titolare del trattamento
3. Oltre all'obbligo del responsabile del trattamento di assistere il responsabile del trattamento ai sensi della clausola 8 (b), il responsabile del trattamento assisterà inoltre il responsabile del trattamento nel garantire il rispetto dei seguenti obblighi, tenendo conto della natura del trattamento dei dati e delle informazioni a sua disposizione:
   1. l'obbligo di effettuare una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali (una «valutazione d'impatto sulla protezione dei dati») laddove un tipo di trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche;
   2. l'obbligo di consultare la o le autorità di controllo competenti prima del trattamento laddove una valutazione d'impatto sulla protezione dei dati indichi che il trattamento comporterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per mitigare il rischio;
   3. l'obbligo di garantire che i dati personali siano accurati e aggiornati, informando immediatamente il responsabile del trattamento se viene a conoscenza che i dati personali che sta trattando sono inesatti o sono diventati obsoleti;
   4. gli obblighi di cui all'articolo 32 del Regolamento (UE) 2016/679.
4. Le parti stabiliscono nell'allegato III le misure tecniche e organizzative appropriate con le quali il responsabile del trattamento è tenuto ad assistere il titolare del trattamento nell'applicazione della presente clausola, nonché la portata e la portata dell'assistenza richiesta.

Clausola 9

Notifica di violazione dei dati personali

In caso di violazione dei dati personali, il responsabile del trattamento collabora con il titolare del trattamento e lo assiste affinché rispetti gli obblighi previsti dagli articoli 33 e 34 del regolamento (UE) 2016/679 o dagli articoli 34 e 35 del regolamento (UE) 2018/1725, ove applicabile, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.

9.1 Violazione dei dati relativa ai dati trattati dal titolare del trattamento

In caso di violazione dei dati personali riguardanti i dati trattati dal responsabile del trattamento, il processore assisterà il responsabile del trattamento:

1. nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il responsabile del trattamento ne è venuto a conoscenza, se pertinente/ (a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche);
2. per ottenere le seguenti informazioni che, ai sensi dell'articolo 33, paragrafo 3, del Regolamento (UE) 2016/679, devono essere riportate nella notifica del responsabile del trattamento e devono includere almeno:
   1. la natura dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati interessati e le categorie e il numero approssimativo di registrazioni di dati personali interessati;
   2. le probabili conseguenze della violazione dei dati personali;
   3. le misure adottate o proposte dal titolare del trattamento per porre rimedio alla violazione dei dati personali, comprese, se del caso, misure per attenuarne i possibili effetti negativi.
   Se e nella misura in cui non è possibile fornire tutte queste informazioni contemporaneamente, la notifica iniziale deve contenere le informazioni allora disponibili e le ulteriori informazioni, non appena disponibili, devono essere fornite successivamente senza indebito ritardo.
3. nel rispettare, ai sensi dell'articolo 34 del Regolamento (UE) 2016/679, l'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, quando è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche.

9.2 Violazione dei dati relativa ai dati trattati dal processore

In caso di violazione dei dati personali riguardanti i dati trattati dal responsabile del trattamento, quest'ultimo ne informa il responsabile del trattamento senza ingiustificato ritardo dopo che il responsabile del trattamento è venuto a conoscenza della violazione. Tale notifica deve contenere almeno:

1. una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e record di dati interessati);
2. i dati di un punto di contatto in cui è possibile ottenere ulteriori informazioni sulla violazione dei dati personali;
3. le sue probabili conseguenze e le misure adottate o proposte per porre rimedio alla violazione, anche per mitigarne i possibili effetti negativi.

Se e nella misura in cui non è possibile fornire tutte queste informazioni contemporaneamente, la notifica iniziale deve contenere le informazioni allora disponibili e le ulteriori informazioni, non appena disponibili, devono essere fornite successivamente senza indebito ritardo.

Le parti stabiliscono nell'allegato III tutti gli altri elementi che il responsabile del trattamento deve fornire per assisterlo nel rispetto degli obblighi del titolare del trattamento ai sensi degli articoli 33 e 34 del regolamento (UE) 2016/679.

SEZIONE III — DISPOSIZIONI FINALI

Clausola 10

Inosservanza delle Clausole e risoluzione

1. Fatte salve le disposizioni del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725, nel caso in cui il responsabile del trattamento violi gli obblighi ai sensi delle presenti clausole, il responsabile del trattamento può ordinare al responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o il contratto non sia risolto. Il responsabile del trattamento informerà tempestivamente il titolare del trattamento nel caso in cui non sia in grado di rispettare le presenti Clausole, per qualsiasi motivo.
2. Il responsabile del trattamento ha il diritto di recedere dal contratto nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole se:
   1. il trattamento dei dati personali da parte del responsabile del trattamento è stato sospeso dal responsabile del trattamento ai sensi della lettera a) e se la conformità alle presenti clausole non viene ripristinata entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
   2. il responsabile del trattamento viola in modo sostanziale o persistente le presenti clausole o i suoi obblighi ai sensi del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725;
   3. il responsabile del trattamento non rispetta una decisione vincolante di un tribunale competente o della o delle autorità di vigilanza competenti in merito ai suoi obblighi ai sensi delle presenti clausole o del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725.
3. Il responsabile del trattamento ha il diritto di recedere dal contratto nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole se, dopo aver informato il responsabile del trattamento che le sue istruzioni violano i requisiti legali applicabili ai sensi della clausola 7.1 (b), il responsabile del trattamento insiste sul rispetto delle istruzioni.
4. Dopo la risoluzione del contratto, il responsabile del trattamento, a scelta del responsabile del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica al titolare del trattamento di averlo fatto, oppure restituisce tutti i dati personali al responsabile del trattamento e ne cancella le copie esistenti, a meno che il diritto dell'Unione o degli Stati membri non richieda la conservazione dei dati personali. Fino alla cancellazione o alla restituzione dei dati, il responsabile del trattamento continuerà a garantire il rispetto delle presenti clausole.

***

ALLEGATO I ELENCO DELLE PARTI

Titolare:

L'utente finale o il fornitore di servizi, che sottoscrive e/o utilizza il servizio software Acre Intrusion Connect

Processore:

Vanderbilt International AB
Englundavägen 7
Scatola 1275
17124 Solna
Svezia

ALLEGATO II: DESCRIZIONE DEL TRATTAMENTO

Categorie di interessati i cui dati personali vengono trattati

Controllori o dipendenti dei controllori, utenti finali o dipendenti degli utenti finali.

Categorie di dati personali trattati

Dati generali:

• Nome e cognome
• Altri nomi
• Indirizzo
• Codice postale
• Numero/i di telefono
• Nome utente
• Password
• Indirizzo/i email
• Lingua
• Informazioni sulle domande di sicurezza
• Informazioni di pagamento, incluso il numero della carta di credito e/o i dettagli del conto bancario, se applicabili
• Identificatori di telefoni cellulari (per notifiche push)
• Informazioni sull'azienda di installazione
• Informazioni sul controllo degli accessi (immagine utente, dati della carta, PIN, diritti utente)
• Dati di verifica degli allarmi, inclusi filmati audio e/o video (se l'allarme è stato attivato; nessun rilevamento biometrico; nessuna memorizzazione continua;)
• Notifiche di sicurezza di Acre Intruion-Panels
• Informazioni sull'audit

Dati dell'abbonamento:

• Nome e cognome
• Indirizzo
• Codice postale
• Numero/i di telefono
• Nome utente
• Password
• Indirizzo/i email
• Lingua
• Informazioni sulle domande di sicurezza
• Informazioni di pagamento, incluso il numero della carta di credito e/o i dettagli del conto bancario, se applicabili

Dati sensibili trattati (se applicabile) e applicate restrizioni o garanzie che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio una rigorosa limitazione delle finalità, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), registrazione degli accessi ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive:

Nessuna.

Descrizione e natura del trattamento

• Programmazione remota completa dei pannelli antintrusione Acre
• Comunicazione «sempre attiva» che consente l'accesso immediato
• Struttura organizzativa a supporto del flusso di lavoro aziendale
• Ruoli e responsabilità definibili per i servizi di supporto dei fornitori di servizi
• Monitoraggio delle comunicazioni
• Rapporti di manutenzione
• Manutenzione dei file di configurazione
• Servizi di backup automatizzati
• Accesso remoto da qualsiasi PC, telefono o tablet

Scopo (i) per il quale i dati personali vengono trattati per conto del responsabile del trattamento

Fornitura e utilizzo del servizio software Acre Intrusion Connect, una soluzione basata su cloud progettata per il monitoraggio, la gestione e la manutenzione degli Acre Intrusion Panel forniti da remoto da Vanderbilt.

Durata del trattamento

Per il periodo di registrazione del Titolare

Per il trattamento da parte di (sub) processori, oggetto e natura del trattamento

Processore:

Vanderbilt International AB elabora i dati generali e i dati di abbonamento in base all'allegato II per fornire il servizio software Acre Intrusion Connect.

Sottoprocessori:

1.

Vanderbilt International (IRL) Ltd.
Parco commerciale e tecnologico di Clonshaugh
Dublino D17 KV 84
Irlanda

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
Il sottoprocessore esegue e gestisce tecnicamente gli Acre Intruion-Services di Vanderbilt sui servizi cloud forniti dal sottoprocessore n. 2. Elabora i dati generali e di abbonamento secondo l'allegato II.

2.

Microsoft Ireland Operations Limited
Un Microsoft Place, South County Business Park, Leopardstown,
Dublino 18, D18 P521
Irlanda

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
Il sottoprocessore fornisce agli host i servizi cloud utilizzati dal processore e dal sottoprocessore n. 1 per eseguire e gestire Acre Intruion-Services di Vanderbilt. Elabora i dati generali e di abbonamento in base all'allegato II.

3.

Grey Matter Ltd.
I vecchi Maltings
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Regno Unito

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
Il sottoprocessore fornisce supporto tecnico al sottoprocessore n. 1. Elabora i dati generali e di abbonamento secondo l'allegato II.

4.

Chargebee Inc.
340S Viale dei Limoni, #1537
Walnut, California 91789, Stati Uniti
privacy@chargebee.com

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
La gestione degli abbonamenti, degli account e della fatturazione è fornita da questo sottoprocessore. Elabora i dati dell'abbonamento in base all'allegato II.

5.

Ayden
Casella postale 10095
1001 SITO
Amsterdam
Paesi Bassi

La loro politica sulla privacy può essere visualizzata all'indirizzo https://www.adyen.com/policies-and-disclaimer/applicant-privacy-notice

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
La gestione dei pagamenti è fornita da questo sottoprocessore. Elabora i dati di pagamento secondo l'allegato II.

6.

Stripe, Inc.
Viale Oyster Point 354
South San Francisco, California, 94080, Stati Uniti
Attenzione: Stripe Legal
Stripe Payments Europe Limited
1 Grand Canal Street Lower, Grand Canal Dock, Dublino, D02 H210, Irlanda

La loro politica sulla privacy può essere visualizzata all'indirizzo https://stripe.com/us/privacy

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
La gestione dei pagamenti è fornita da questo sottoprocessore. Elabora i dati di pagamento secondo l'allegato II.

ALLEGATO III MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Vanderbilt ha implementato e manterrà per i Dati del Titolare del trattamento nel servizio software Acre Intrusion Connect le seguenti misure di sicurezza, che insieme agli impegni di sicurezza contenuti nel presente Contratto (inclusi i Termini GDPR), sono l'unica responsabilità di Vanderbilt in relazione alla sicurezza di tali dati.

I. Organizzazione delle pratiche di sicurezza delle informazioni

Proprietà della sicurezza. Vanderbilt ha nominato uno o più responsabili della sicurezza responsabili del coordinamento e del monitoraggio delle norme e delle procedure di sicurezza.

Ruoli e responsabilità in materia di sicurezza. Il personale di Vanderbilt che ha accesso ai Dati del Titolare è soggetto a obblighi di riservatezza.

Programma di gestione del rischio. Vanderbilt ha eseguito una valutazione del rischio prima di elaborare i dati del controller o avviare il servizio software Acre Intrusion Connect.

Vanderbilt conserva i suoi documenti di sicurezza in conformità ai suoi requisiti di conservazione dopo che non sono più in vigore.

II. Pratiche di gestione patrimoniale

Inventario delle risorse. Vanderbilt mantiene un inventario di tutti i supporti su cui sono archiviati i Dati del Titolare, se presenti. L'accesso agli inventari di tali supporti è limitato al personale di Vanderbilt autorizzato per iscritto ad avere tale accesso. Tuttavia, per lo più, se non esclusivamente, i Dati del Titolare sono archiviati presso il subprocessore di Vanderbilt, che ospita il servizio software Acre Intrusion Connect (vedere i dettagli nell'allegato IV).

Gestione delle risorse

• Vanderbilt classifica i Dati del Titolare per aiutarli a identificarli e per consentire un'adeguata limitazione dell'accesso ad essi.
• Vanderbilt impone restrizioni alla stampa dei Dati del Titolare e dispone di procedure per lo smaltimento dei materiali stampati che contengono tali dati.
• Il personale di Vanderbilt deve ottenere l'autorizzazione di Vanderbilt prima di archiviare i Dati del Titolare su dispositivi portatili, accedere a distanza a tali dati o elaborare tali dati al di fuori delle strutture di Vanderbilt.

III. Pratiche di sicurezza delle risorse umane

Formazione sulla sicurezza. Vanderbilt informa il proprio personale sulle procedure di sicurezza pertinenti e sui rispettivi ruoli. Vanderbilt informa inoltre il proprio personale delle possibili conseguenze della violazione delle norme e delle procedure di sicurezza.

IV. Pratiche di sicurezza fisica e ambientale

Accesso fisico alle strutture. Vanderbilt limita l'accesso alle strutture in cui i sistemi informativi che elaborano i Dati del Titolare sono accessibili o localizzati a persone autorizzate identificate.

Accesso fisico ai componenti. Vanderbilt conserva i registri dei supporti in entrata e in uscita contenenti gli eventuali Dati del Titolare, inclusi il tipo di supporto, il mittente/destinatario autorizzati, la data e l'ora, il numero di supporti e i tipi di dati in essi contenuti.

Protezione dalle interruzioni. Vanderbilt e/o i suoi subprocessori utilizzano una serie di sistemi standard di settore per proteggersi dalla perdita di dati dovuta a guasti all'alimentazione o interferenze di linea.

Smaltimento dei componenti. Vanderbilt e/o i suoi subprocessori utilizzano processi standard del settore per eliminare i Dati del Titolare quando non sono più necessari.

V. Pratiche di gestione delle comunicazioni e delle operazioni

Politica operativa. Vanderbilt conserva documenti di sicurezza che descrivono le sue misure di sicurezza e le relative procedure e responsabilità del personale che ha accesso ai Dati del Titolare.

Procedure di recupero dati

• Su base continuativa, ma non meno frequentemente di una volta alla settimana (a meno che non si siano verificati aggiornamenti durante tale periodo), Vanderbilt e/o i suoi subprocessori conservano più copie dei Dati del Titolare da cui tali dati possono essere recuperati.
• Vanderbilt e/o i suoi subprocessori archiviano copie dei Dati del Titolare e delle procedure di recupero dei dati in un luogo diverso da quello in cui si trovano le apparecchiature informatiche principali che elaborano i Dati del Titolare.
• Vanderbilt e/o i suoi subprocessori dispongono di procedure specifiche che regolano l'accesso alle copie dei Dati del Titolare.
• Vanderbilt e/o i suoi subprocessori esaminano le procedure di recupero dei dati almeno ogni 12 mesi.
• Vanderbilt e/o i suoi subprocessori registrano le attività di ripristino dei dati, inclusa la persona responsabile, la descrizione dei dati ripristinati e, ove applicabile, la persona responsabile e quali dati (se presenti) hanno dovuto essere inseriti manualmente nel processo di recupero dei dati.

Software dannoso. Vanderbilt e/o i suoi subprocessori dispongono di controlli anti-malware per evitare che software dannoso ottenga l'accesso non autorizzato ai Dati del Titolare, incluso il software dannoso proveniente da reti pubbliche.

Dati oltre i confini

• Vanderbilt e/o i suoi subprocessori crittografano o consentono al Titolare di crittografare i Dati del Titolare trasmessi su reti pubbliche.
• Vanderbilt e/o i suoi subprocessori limitano l'accesso ai Dati del Titolare nei media che escono dalle sue strutture.

Registrazione degli eventi. Vanderbilt e/o i suoi subprocessori registrano o consentono al Titolare di registrare, accedere e utilizzare i sistemi informativi contenenti i Dati del Titolare, registrando l'ID di accesso, l'ora, l'autorizzazione concessa o negata e l'attività pertinente.

VI. Pratiche di controllo degli accessi

Politica di accesso. Vanderbilt e/o i suoi subprocessori mantengono un registro dei privilegi di sicurezza delle persone che hanno accesso ai Dati del Titolare.

Autorizzazione all'accesso

• Vanderbilt e/o i suoi subprocessori mantengono e aggiornano un registro del personale autorizzato ad accedere ai sistemi di Vanderbilt e/o dei suoi subprocessori che contengono i Dati del Titolare.
• Vanderbilt e/o i suoi subprocessori disattivano le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo non superiore a sei mesi.
• Vanderbilt e/o i suoi subprocessori identificano il personale che può concedere, modificare o annullare l'accesso autorizzato a dati e risorse.
• Vanderbilt e/o i suoi subprocessori garantiscono che laddove più di una persona abbia accesso ai sistemi contenenti i Dati del Titolare, le persone abbiano identificatori/accessi separati.

Privilegio minimo

• Il personale di supporto tecnico è autorizzato ad avere accesso ai dati del titolare e ai dati dei servizi professionali solo quando necessario.
• Vanderbilt e/o i suoi subprocessori limitano l'accesso ai Dati del Titolare solo alle persone che richiedono tale accesso per svolgere la propria funzione lavorativa.

Integrità e riservatezza

• Vanderbilt ordina al personale di Vanderbilt di disattivare le sessioni amministrative quando escono dai locali controllati da Vanderbilt o quando i computer vengono lasciati incustoditi.
• Vanderbilt memorizza le password in modo da renderle incomprensibili mentre sono in vigore.

Autenticazione

• Vanderbilt e/o i suoi subprocessori utilizzano pratiche standard del settore per identificare e autenticare gli utenti che tentano di accedere ai sistemi informativi.
• Laddove i meccanismi di autenticazione si basano su password, Vanderbilt richiede che le password vengano rinnovate regolarmente.
• Laddove i meccanismi di autenticazione si basano su password, Vanderbilt richiede che la password sia lunga almeno otto caratteri.
• Vanderbilt garantisce che gli identificatori disattivati o scaduti non vengano concessi ad altre persone.
• Vanderbilt e/o i suoi subprocessori monitorano, o consentono al Titolare di monitorare, i ripetuti tentativi di accesso al sistema informativo utilizzando una password non valida.
• Vanderbilt e/o i suoi subprocessori adottano procedure standard di settore per disattivare le password che sono state danneggiate o divulgate inavvertitamente.
• Vanderbilt e/o i suoi subprocessori utilizzano pratiche di protezione con password standard del settore, comprese pratiche progettate per mantenere la riservatezza e l'integrità delle password quando vengono assegnate e distribuite e durante l'archiviazione.

Progettazione della rete. Vanderbilt e/o i suoi subprocessori dispongono di controlli per evitare che le persone si assumano diritti di accesso non assegnati per ottenere l'accesso ai Dati del Titolare ai quali non sono autorizzati ad accedere.

VII. Pratiche di gestione degli incidenti di sicurezza delle informazioni

Processo di risposta agli incidenti

• Vanderbilt conserva un registro delle violazioni della sicurezza con una descrizione della violazione, il periodo di tempo, le conseguenze della violazione, il nome del segnalante e a chi è stata segnalata la violazione e la procedura per il recupero dei dati.
• Per ogni violazione della sicurezza che costituisce un incidente di sicurezza, la notifica da parte di Vanderbilt (come descritto nella precedente sezione «Notifica degli incidenti di sicurezza») verrà effettuata senza indebito ritardo e, in ogni caso, entro 72 ore.
• Vanderbilt traccia, o consente al Titolare di tracciare, le divulgazioni dei Dati del Titolare, inclusi quali dati sono stati divulgati, a chi e in che momento.

Monitoraggio del servizio. Vanderbilt e/o il personale addetto alla sicurezza dei suoi subprocessori verificano i registri almeno ogni 12 mesi per proporre misure correttive, se necessario.

VIII. Pratiche di gestione della continuità operativa

• Vanderbilt mantiene piani di emergenza e di emergenza per le strutture in cui i sistemi informativi di Vanderbilt che elaborano i Dati del Titolare sono accessibili o si trovano.
• L'archiviazione ridondante di Vanderbilt e/o dei suoi subprocessori e le relative procedure per il recupero dei dati sono progettate per tentare di ricostruire i Dati del Titolare nel loro stato originale o replicato per ultima prima della loro perdita o distruzione.

ALLEGATO IV: ELENCO DEI SUBRESPONSABILI

Il titolare del trattamento ha autorizzato l'uso dei seguenti subprocessori:

1.

Vanderbilt International (IRL) Ltd.
Parco commerciale e tecnologico di Clonshaugh
Dublino D17 KV 84
Irlanda

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
Il sottoprocessore esegue e gestisce tecnicamente gli AAcre Intruion-Services di Vanderbilt sui servizi cloud forniti dal sottoprocessore n. 2. Elabora i dati generali e di abbonamento secondo l'allegato II.

2.

Microsoft Ireland Operations Limited
Un Microsoft Place, South County Business Park, Leopardstown,
Dublino 18, D18 P521
Irlanda

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
Il sottoprocessore fornisce agli host i servizi cloud utilizzati dal processore e dal sottoprocessore n. 1 per eseguire e gestire Acre Intruion-Services di Vanderbilt. Elabora i dati generali e di abbonamento in base all'allegato II.

3.

Grey Matter Ltd.
I vecchi Maltings
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Regno Unito

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
Il sottoprocessore fornisce supporto tecnico al sottoprocessore n. 1. Elabora i dati generali e di abbonamento secondo l'allegato II.

4.

Chargebee Inc.
340S Viale dei Limoni, #1537
Walnut, California 91789, Stati Uniti
privacy@chargebee.com

Descrizione del trattamento (inclusa una chiara delimitazione delle responsabilità nel caso in cui più subresponsabili siano autorizzati):
La gestione degli abbonamenti, degli account e della fatturazione è fornita da questo sottoprocessore. Elabora i dati dell'abbonamento in base all'allegato II.

ALLEGATO V: Paesi terzi

Oltre al trattamento dei Dati personali in uno stato membro dell'Unione Europea o in un altro stato contraente dell'Accordo sullo Spazio Economico Europeo, il Cliente acconsente al trattamento dei Dati personali da parte di subprocessori nel seguente paese/regione:

Regno Unito, per quanto riguarda i dati generali e di abbonamento ai sensi dell'allegato II.

Il livello di protezione adeguato è stabilito (i) DECISIONE DI ESECUZIONE DELLA COMMISSIONE del 28.6.2021 ai sensi del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali da parte del Regno Unito; e/o (ii) da clausole standard di protezione dei dati (art. 46 par. 2 lett. c e d GDPR).

Stati Uniti d'America (USA) per quanto riguarda i Dati di abbonamento ai sensi dell'Allegato II.

Il livello di protezione adeguato è stabilito da clausole standard di protezione dei dati (art. 46 par. 2 lett. c e d GDPR).