Il presente Contratto di elaborazione dati (il "Partner DPA") è incorporato nel/nei contratto/i stipulato/i tra te ("Partner") e BROSH, Inc. ("BROSH") e disciplina la condivisione dei dati tra te e BROSH (esclusi i contratti con i clienti tra il Partner e BROSH che disciplinano l'acquisto e l'utilizzo da parte del Partner dei prodotti e servizi BROSH) ("Contratto Partner").

Il presente DPA del Partner riguarda il trattamento di: (1) Dati personali che il Partner carica, trasferisce o altrimenti fornisce a BROSH in relazione a un Contratto partner; e (2) Dati personali che BROSH (o i suoi clienti) caricano, trasferiscono o altrimenti forniscono al Partner in relazione al Contratto partner.

Nel complesso, il presente Partner DPA (inclusi gli SCC, come definiti di seguito) e il Partner Agreement sono denominati nel presente Partner DPA "Accordo". In caso di conflitto o incongruenza tra uno qualsiasi dei termini dell'Accordo, prevarranno le disposizioni dei seguenti documenti (in ordine di precedenza): (a) gli SCC, (b) il presente Partner DPA e (c) il Partner Agreement.

Lo scopo del presente DPA dei partner è stabilire un quadro per affrontare scenari in cui:

1. BROSH e il Partner possono, in relazione al Contratto di partnership, essere ciascuno Titolare del trattamento (come definito di seguito) dei Dati personali europei e, in alcuni casi, trasferire tali Dati personali europei all'altra parte affinché quest'ultima agisca in qualità di Titolare del trattamento di tali Dati personali europei;
2. BROSH e il Partner possono essere entrambi Titolari del trattamento dei dati personali europei e, in alcuni casi, trasferire tali dati personali europei all'altra parte affinché quest'ultima fornisca determinati servizi all'altra parte in qualità di Responsabile del trattamento (ad esempio, eseguendo servizi come Partner di soluzioni o completando una chiamata API); oppure
3. BROSH e il Partner possono essere entrambi Responsabili del trattamento dei Dati personali europei di un Cliente comune e trasferire tali dati all'altra parte affinché li elabori secondo le istruzioni di tale Cliente comune.

1. DEFINIZIONI

I termini "Azienda" e "Fornitore di servizi" avranno il significato loro attribuito nel CCPA.

"Informazioni personali della California" indica i dati personali soggetti alla protezione del CCPA.

"CCPA" indica la sezione 1798.100 e seguenti del Codice civile della California (noto anche come California Consumer Privacy Act del 2018).

"Titolare del trattamento" indica la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

"Leggi sulla protezione dei dati" indica tutte le leggi o i regolamenti applicabili in tutto il mondo in materia di protezione dei dati e privacy che si applicano alla rispettiva parte nel ruolo di Elaborazione dei dati personali in questione ai sensi dell'Accordo, inclusi, senza limitazioni, le Leggi europee sulla protezione dei dati, il CCPA e le leggi sulla protezione dei dati e sulla privacy di Australia e Singapore; in ogni caso come modificato, abrogato, consolidato o sostituito di volta in volta. "Europa" indica l'Unione europea, lo Spazio economico europeo e/o i loro stati membri, la Svizzera e il Regno Unito.

"Leggi europee sulla protezione dei dati" indica le leggi sulla protezione dei dati applicabili in Europa, tra cui: (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; e (iii) le implementazioni nazionali applicabili di (i) e (ii); o (iii) il GDPR in quanto costituisce parte del diritto interno del Regno Unito in virtù della Sezione 3 dell'European Union (Withdrawal) Act 2018 ("UK GDPR"); e (iv) la legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e la relativa Ordinanza ("Swiss DPA"); in ogni caso, come possono essere modificate, sostituite o abrogate.

Per "Dati personali europei" si intendono i Dati personali la cui condivisione ai sensi del presente Contratto è regolamentata dalle Leggi europee sulla protezione dei dati.

Per "Cliente congiunto" si intende un cliente sia del Partner che di BROSH.

Per "Dati personali del cliente congiunto" si intendono tutti i dati personali per i quali un cliente congiunto agisce in qualità di Titolare del trattamento.

Per "Dati personali BROSH" si intendono tutti i Dati personali per i quali BROSH agisce in qualità di Titolare del trattamento.

Per "Dati personali del Partner" si intendono tutti i Dati personali per i quali il Partner agisce in qualità di Titolare del trattamento.

Per "Dati personali" si intendono tutte le informazioni relative a una persona fisica identificata o identificabile, laddove tali informazioni siano contenute nei Dati personali BROSH, nei Dati personali dei partner o nei Dati personali dei clienti congiunti e siano protette in modo analogo ai dati personali o alle informazioni di identificazione personale ai sensi delle Leggi sulla protezione dei dati applicabili.

Per "violazione dei dati personali" si intende qualsiasi distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illecito ai dati personali.

"Elaborazione" significa qualsiasi operazione o insieme di operazioni eseguite su Dati Personali, che comprendono la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la restrizione o la cancellazione di Dati Personali. I termini "Elaborazione", "Elaborazioni" e "Elaborato" saranno interpretati di conseguenza.

Per "responsabile del trattamento" si intende la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che tratta dati personali per conto del titolare del trattamento.

Per "clausole contrattuali tipo" o "CSS" si intendono le clausole contrattuali tipo allegate alla decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021.

Per "Sub-responsabile" si intende qualsiasi entità che fornisce servizi di elaborazione a un Responsabile.

Per "Autorità di vigilanza" si intende un'autorità pubblica indipendente istituita da uno Stato membro dello Spazio economico europeo, dalla Svizzera o dal Regno Unito.

"Addendum del Regno Unito" indica l'Addendum sul trasferimento internazionale dei dati (versione B.1.0) emesso dall'ICO del Regno Unito ai sensi dell'articolo 119A del Data Protection Act 2018, come eventualmente modificato, sostituito o abrogato.

2. CONFORMITÀ ALLE LEGGI

Ciascuna delle parti dichiara e garantisce che rispetterà i rispettivi obblighi e doveri previsti dalle Leggi applicabili in materia di protezione dei dati.

3. SCENARI DI RESPONSABILITÀ CONGIUNTA

Ciascuna parte, nella misura in cui, insieme all'altra parte, agisce come Responsabile del trattamento relativamente ai Dati personali del Cliente congiunto, (i) rispetterà le istruzioni e le restrizioni stabilite in qualsiasi accordo con il Cliente congiunto; e (ii) coopererà ragionevolmente con l'altra parte per consentire l'esercizio dei diritti di protezione dei dati come stabilito nelle Leggi sulla protezione dei dati applicabili. Entrambe le parti riconoscono e concordano che ciascuna parte agisce come Responsabile del trattamento per il Cliente congiunto e nessuna delle due parti sta ingaggiando l'altra come Sub-responsabile.

4. SCENARI DA CONTROLLER A CONTROLLER

Ciascuna parte, nella misura in cui, insieme all'altra parte, agisce in qualità di Titolare del trattamento dei Dati personali, coopererà ragionevolmente con l'altra parte per consentire l'esercizio dei diritti di protezione dei dati come stabilito dalle Leggi sulla protezione dei dati applicabili.

Le parti riconoscono e concordano che ciascuna agisce in modo indipendente in qualità di Titolare del trattamento dei dati personali e che le parti non sono titolari congiunti del trattamento come definito dalle leggi europee sulla protezione dei dati.

5. SCENARI DA CONTROLLER A RESPONSABILE DEL TRATTAMENTO

A. Relazione tra le parti. I diritti, le responsabilità e gli obblighi delle parti in relazione alle Sezioni 6 – 9 del presente DPA sono i seguenti:

Per le operazioni di elaborazione in cui BROSH elabora i dati personali per conto del partner e su sua indicazione, il termine "responsabile del trattamento" si riferisce a BROSH, il termine "titolare del trattamento" si riferisce al partner e il termine "dati personali" si riferisce ai dati personali del partner. Per le operazioni di elaborazione dei dati in cui il partner elabora i dati personali per conto del partner e su sua indicazione, il termine "responsabile del trattamento" si riferisce al partner, il termine "titolare del trattamento" si riferisce a BROSH e il termine "dati personali" si riferisce ai dati personali di BROSH.

B. Ambito del trattamento .

Nel contesto degli scenari descritti nella Sezione 5.a di cui sopra, ciascuna parte accetta di elaborare i Dati personali solo per gli scopi stabiliti nel Contratto partner applicabile e/o nel/i contratto/i del Partner con il Cliente congiunto. Per evitare dubbi, le categorie di Dati personali elaborati e le categorie di interessati soggetti al presente DPA sono descritte nell'Allegato A al presente DPA.

6. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

Le parti nella loro qualità di Titolare del trattamento convengono di:

A. Fornire istruzioni al Responsabile del trattamento e determinare le finalità e i mezzi del trattamento dei Dati personali da parte del Responsabile del trattamento in conformità con l'Accordo; e

B. Adempiere ai propri obblighi di protezione, sicurezza e di altro tipo in relazione ai Dati Personali prescritti dalle Leggi sulla Protezione dei Dati applicabili per un Titolare del Trattamento: (i) stabilendo e mantenendo una procedura per l'esercizio dei diritti delle persone i cui Dati Personali sono trattati per conto del Titolare del Trattamento; (ii) trattando solo i dati che sono stati raccolti in modo lecito e valido e garantendo che tali dati saranno pertinenti e proporzionati ai rispettivi utilizzi; e (iii) garantendo la conformità alle disposizioni del presente DPA da parte del proprio personale o di terzi che accedono o utilizzano i Dati Personali per suo conto.

7. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
A. Requisiti di elaborazione . Le parti nella loro qualità di elaboratori concordano di:

a. Elaborare i Dati Personali (i) solo allo scopo di fornire, supportare e migliorare il prodotto e i servizi del Processore (incluso per fornire approfondimenti e altri report), utilizzando misure di sicurezza tecniche e organizzative appropriate; e (ii) in conformità con le istruzioni ricevute dal Titolare del trattamento. Il Processore non utilizzerà o elaborerà i Dati Personali per nessun altro scopo. Il Processore informerà tempestivamente il Titolare del trattamento per iscritto se non è in grado di rispettare i requisiti previsti dalle Sezioni 6 - 9 del presente DPA, nel qual caso il Titolare del trattamento può recedere dal Contratto e da qualsiasi Contratto Partner applicabile o adottare qualsiasi altra azione ragionevole, inclusa la sospensione delle operazioni di elaborazione dei dati;

b. Informare tempestivamente e senza indebito ritardo il Titolare del trattamento qualora, a giudizio del Responsabile del trattamento, un'istruzione del Titolare del trattamento violi le Leggi applicabili in materia di protezione dei dati;

c. Se il Responsabile del trattamento raccoglie Dati personali da individui per conto del Titolare del trattamento, seguire le istruzioni del Titolare del trattamento in merito a tale raccolta di Dati personali;

d. Adottare misure ragionevoli dal punto di vista commerciale per garantire che (i) le persone da essa impiegate e (ii) le altre persone incaricate di svolgere attività per conto del Responsabile del trattamento rispettino i termini del Contratto e gli Accordi con i partner applicabili;

e. Dichiarare e garantire che i propri dipendenti, agenti autorizzati e tutti i Sub-responsabili sono soggetti a un rigoroso obbligo di riservatezza (sia esso un obbligo contrattuale o un obbligo statutario) e non consentiranno a nessuna persona di elaborare i dati personali che non sia soggetta a tale obbligo di riservatezza;

f. Se intende ingaggiare dei Sub-responsabili per aiutarla ad adempiere ai propri obblighi in conformità con il presente DPA o delegare tutte o parte delle attività di elaborazione a tali Sub-responsabili, (i) fornire al Titolare del trattamento un elenco dei Sub-responsabili attualmente ingaggiati dal Responsabile del trattamento (tale elenco per BROSH è disponibile online all'indirizzo https://www.brosh.io/pagex/it/sub-processors-page.html ) e notificare al Titolare del trattamento l'ingaggio di eventuali nuovi Sub-responsabili almeno 30 giorni prima, dando al Titolare del trattamento l'opportunità di opporsi; (ii) rimanere responsabile nei confronti del Titolare del trattamento per gli atti e le omissioni dei Sub-responsabili in merito alla protezione dei dati laddove tali Sub-responsabili agiscano in base alle istruzioni del Responsabile del trattamento; e (iii) stipulare accordi contrattuali con tali Sub-responsabili che li obblighino a fornire lo stesso livello di protezione dei dati e sicurezza delle informazioni previsto nel presente documento;

g. Su richiesta, fornire al Titolare del trattamento le policy sulla privacy e sulla sicurezza del Responsabile del trattamento; e

h. Informare il Titolare del trattamento se il Responsabile del trattamento intraprende una revisione di sicurezza indipendente.

B. Notifica al Titolare del trattamento . Il Responsabile del trattamento informerà immediatamente e senza indebito ritardo il Titolare del trattamento se il Responsabile del trattamento viene a conoscenza di:

a. Qualsiasi inosservanza da parte del Responsabile del trattamento o dei suoi dipendenti delle Sezioni 6 – 9 del presente DPA o delle Leggi sulla protezione dei dati applicabili relative alla protezione dei Dati personali trattati ai sensi del presente DPA;

b. Qualsiasi richiesta giuridicamente vincolante di divulgazione di Dati personali da parte di un'autorità governativa o di un'autorità di polizia, a meno che al Responsabile del trattamento non sia altrimenti vietato per legge di informare il Titolare del trattamento, ad esempio per preservare la riservatezza di un'indagine da parte delle autorità di polizia;

c. Qualsiasi avviso, richiesta o indagine da parte di un'Autorità di vigilanza in merito ai Dati personali; o

d. Qualsiasi reclamo o richiesta (in particolare, richieste di accesso, rettifica o blocco dei Dati Personali) ricevuti direttamente dagli interessati del Titolare del trattamento. Il Responsabile del trattamento non risponderà a tali richieste senza la previa autorizzazione scritta del Titolare del trattamento.

C. Assistenza al Titolare del trattamento. Il Responsabile del trattamento fornirà assistenza tempestiva e ragionevole al Titolare del trattamento per quanto riguarda:

a. Rispondere a qualsiasi richiesta da parte di un individuo di esercitare i diritti previsti dalle Leggi sulla protezione dei dati applicabili (inclusi i suoi diritti di accesso, correzione, opposizione, cancellazione e portabilità dei dati, ove applicabile) e il Responsabile del trattamento accetta di informare tempestivamente il Titolare del trattamento se tale richiesta viene ricevuta direttamente;

b. L'indagine sulle violazioni dei dati personali e la notifica all'autorità di controllo e ai titolari dei dati interessati in merito a tali violazioni dei dati personali; e

c. ove opportuno, la predisposizione di valutazioni d'impatto sulla protezione dei dati e, ove necessario, lo svolgimento di consultazioni con qualsiasi autorità di controllo.

D. Elaborazione richiesta.

Se il Responsabile del trattamento è tenuto dalle Leggi sulla protezione dei dati a trattare Dati personali per un motivo diverso da quello connesso al Contratto, il Responsabile del trattamento informerà il Titolare del trattamento di tale requisito prima di qualsiasi trattamento, a meno che al Responsabile del trattamento non sia legalmente vietato informare il Titolare del trattamento di tale trattamento (ad esempio, a causa di requisiti di segretezza che possono esistere ai sensi delle leggi applicabili degli Stati membri dell'UE).

E. Sicurezza . Il Responsabile del trattamento:

a. Mantenere misure di sicurezza organizzative e tecniche appropriate (anche per quanto riguarda personale, strutture, hardware e software, archiviazione e reti, controlli di accesso, monitoraggio e registrazione, rilevamento di vulnerabilità e violazioni, risposta agli incidenti, crittografia dei Dati personali durante il trasporto e a riposo) per proteggere i Dati personali da accessi non autorizzati o accidentali, perdite, alterazioni, divulgazioni o distruzioni;

b. Essere responsabile dell'adeguatezza delle misure di sicurezza, privacy e riservatezza di tutto il personale del Responsabile del trattamento in relazione ai Dati personali e rispondere di qualsiasi inadempimento da parte di tale personale del Responsabile del trattamento dei termini del presente DPA;

c. Adottare misure appropriate per confermare che tutto il personale del Responsabile del trattamento stia proteggendo la sicurezza, la privacy e la riservatezza dei Dati personali in conformità con i requisiti del presente DPA; e

d. Notificare al Titolare del trattamento qualsiasi violazione dei dati personali da parte del Responsabile del trattamento, dei suoi Sub-responsabili o di qualsiasi altra terza parte che agisca per conto del Responsabile del trattamento senza indebito ritardo e in ogni caso entro 48 ore dal momento in cui si è venuti a conoscenza di una violazione dei dati personali.

F. Disposizioni aggiuntive per le informazioni personali della California .

Quando il Responsabile elabora le Informazioni personali della California in conformità alle istruzioni ricevute dal Titolare, le parti riconoscono e concordano che il Titolare è un'azienda e il Responsabile è un fornitore di servizi ai fini del CCPA. Le parti concordano che il Responsabile elaborerà le Informazioni personali della California come fornitore di servizi esclusivamente allo scopo di fornire, supportare e migliorare i servizi del Responsabile (incluso fornire approfondimenti e altri report) (lo "Scopo aziendale") o come altrimenti consentito dal CCPA.

8. AUDIT, CERTIFICAZIONE

A. Audit dell'autorità di vigilanza .

Se un'Autorità di vigilanza richiede un audit delle strutture di elaborazione dati da cui il Responsabile elabora i Dati personali al fine di accertare o monitorare la conformità alle Leggi sulla protezione dei dati, il Responsabile coopererà a tale audit. Il Titolare rimborserà al Responsabile le spese ragionevoli sostenute per collaborare all'audit, a meno che tale audit non riveli la non conformità del Responsabile al presente DPA.

B. Certificazione del processore .

Il Responsabile del trattamento deve, su richiesta del Titolare del trattamento (non più di una richiesta per anno solare) tramite e-mail (laddove BROSH sia il Responsabile del trattamento, tali e-mail dovranno essere inviate a privacy@brosh.io; laddove il Responsabile del trattamento sia il Partner, il Partner dovrà istituire e fornire a BROSH, su richiesta, un unico punto di contatto per la corrispondenza e-mail relativa alla protezione dei dati), certificare per iscritto la conformità al presente DPA.

9. RESTITUZIONE E CANCELLAZIONE DEI DATI

Le parti concordano che alla cessazione dei servizi di elaborazione dati o su richiesta ragionevole del Titolare, il Responsabile dovrà e dovrà adottare misure ragionevoli per far sì che eventuali Sub-responsabili, a scelta del Titolare, restituiscano tutti i Dati personali europei e le copie di tali dati al Titolare o li distruggano in modo sicuro e dimostrino in modo soddisfacente per il Titolare di aver adottato tali misure, a meno che le Leggi sulla protezione dei dati non impediscano al Responsabile di restituire o distruggere tutti o parte dei Dati personali europei divulgati. In tal caso, il Responsabile accetta di preservare la riservatezza dei Dati personali europei da esso conservati e che elaborerà attivamente tali Dati personali europei solo dopo tale data al fine di rispettare le leggi applicabili.

10. TRASFERIMENTI DEI DATI

Ogniqualvolta i Dati Personali vengano trasferiti al di fuori del Paese di origine, ciascuna parte garantirà che tali trasferimenti avvengano nel rispetto dei requisiti delle Leggi sulla Protezione dei Dati.

a. Dati personali del partner . Per i trasferimenti di dati personali europei dal partner a BROSH per l'elaborazione da parte di BROSH in una giurisdizione al di fuori dell'Europa che non fornisce un livello adeguato di protezione dei dati personali (ai sensi delle leggi europee sulla protezione dei dati applicabili), le parti concordano che:

(i) Clausole contrattuali standard : le parti concordano di rispettare e trattare i dati europei in conformità con le clausole contrattuali standard come incorporate nella Sezione 10(c) di seguito.

(ii) Privacy Shield : sebbene BROSH, Inc. non faccia affidamento sullo Scudo per la privacy UE-USA come base giuridica per i trasferimenti di dati personali alla luce della sentenza della Corte di giustizia dell'UE nella causa C-311/18, finché BROSH, Inc. sarà autocertificata per lo Scudo per la privacy, BROSH Inc. elaborerà i dati personali europei in conformità con i principi dello Scudo per la privacy e informerà il partner se non è in grado di rispettare tale requisito.

Le parti concordano che i soggetti interessati per i quali un'entità BROSH elabora Dati personali europei sono beneficiari terzi ai sensi delle SCC. Se BROSH non è in grado o non è più in grado di rispettare questi requisiti, i Dati personali europei saranno elaborati e utilizzati esclusivamente all'interno del territorio di uno stato membro dell'Unione Europea e qualsiasi movimento di Dati personali europei verso un paese non UE richiede il previo consenso scritto del Partner in merito ai Dati personali europei. BROSH notificherà tempestivamente al Partner qualsiasi incapacità da parte di BROSH di rispettare le disposizioni della presente Sezione 10(a).

b. Dati personali BROSH. Per i trasferimenti di Dati personali europei da BROSH al Partner per l'elaborazione da parte del Partner in una giurisdizione al di fuori dell'Europa che non fornisce un livello adeguato di protezione dei Dati personali (ai sensi delle Leggi europee sulla protezione dei dati applicabili), le parti concordano che:

(i) Clausole contrattuali standard : le parti concordano di rispettare e trattare i dati europei in conformità con le clausole contrattuali standard come incorporate nella Sezione 10(c) di seguito.

(ii) Privacy Shield : finché BROSH, Inc. sarà autocertificata ai sensi del Privacy Shield, il Partner elaborerà i dati personali europei in conformità con i principi del Privacy Shield e informerà BROSH se non è in grado di rispettare questo requisito.

Le parti concordano che i soggetti interessati per i quali il Partner elabora i Dati personali europei sono beneficiari terzi ai sensi delle SCC. Se il Partner non è in grado o non è più in grado di rispettare questi requisiti, i Dati personali europei saranno elaborati e utilizzati esclusivamente all'interno del territorio di uno stato membro dell'Unione Europea e qualsiasi spostamento di Dati personali europei verso un paese non UE richiede il previo consenso scritto di BROSH in merito ai Dati personali. Il Partner dovrà prontamente informare BROSH di qualsiasi incapacità del Partner di rispettare le disposizioni della presente Sezione 10(b).

c. Clausole contrattuali standard. Le Parti riconoscono e concordano che ai fini delle SCC: (i) in relazione ai Dati personali del Partner, l'"esportatore di dati" sarà il Partner e l'"importatore di dati" sarà BROSH (che agisce per conto proprio e delle sue Affiliate); (ii) in relazione ai Dati personali BROSH l'"esportatore di dati" sarà BROSH (che agisce per conto proprio e delle sue Affiliate) e l'"importatore di dati" sarà il Partner; (iii) i termini del Modulo Uno si applicheranno laddove entrambe le parti siano Titolari del trattamento e i termini del Modulo Due si applicheranno laddove la parte che riceve Dati personali ai sensi delle SCC agisca come Responsabile del trattamento per conto dell'altra parte come Titolare del trattamento; (iv) nella Clausola 7, si applicherà la clausola di docking facoltativa; (v) nella Clausola 9, si applicherà l'Opzione 2 del Modulo Due e il Responsabile del trattamento otterrà l'autorizzazione per i Sub-responsabili in conformità alla Sezione 7(a) del presente DPA; (vi) nella Clausola 11, la lingua facoltativa verrà eliminata; (vii) nella clausola 17 e nella clausola 18(b), le SCC saranno disciplinate dalle leggi e le controversie saranno risolte dinanzi ai tribunali della Repubblica d'Irlanda o dello Stato membro dello SEE in cui è stabilita l'entità giuridica BROSH che ha stipulato l'Accordo o, se tale BROSH non è stabilito nello SEE, della Repubblica d'Irlanda; (viii) nell'allegato I delle SCC, i dettagli delle parti sono stabiliti nell'Accordo; e (ix) le restanti informazioni nell'allegato I e nell'allegato II delle SCC saranno considerate completate con le informazioni stabilite nell'Allegato A del presente DPA.

d. Trasferimenti nel Regno Unito. In relazione ai Dati personali soggetti al GDPR del Regno Unito, le SCC si applicheranno in conformità alla Sezione 10(c) di cui sopra e alle seguenti modifiche aggiuntive: (i) le SCC saranno modificate come specificato dall'Addendum del Regno Unito, che sarà incorporato tramite riferimento; (ii) le Tabelle da 1 a 3 nella Parte 1 dell'Addendum del Regno Unito saranno popolate con le informazioni pertinenti stabilite nell'Allegato A del presente DPA; (iii) la Tabella 4 nella Parte 1 dell'Addendum del Regno Unito sarà considerata completata selezionando "nessuno dei due"; e (iv) qualsiasi conflitto tra le SCC e l'Addendum del Regno Unito sarà risolto in conformità alla Sezione 10 e alla Sezione 11 dell'Addendum del Regno Unito.

e. Trasferimenti svizzeri. In relazione ai Dati personali soggetti al DPA svizzero, le SCC si applicheranno in conformità alla Sezione 10(c) di cui sopra e alle seguenti modifiche aggiuntive: (i) i riferimenti al "Regolamento (UE) 2016/679" e agli articoli specifici in esso contenuti saranno interpretati come riferimenti al DPA svizzero e agli articoli o sezioni equivalenti in esso contenuti; (ii) i riferimenti a "UE", "Unione" e "Stato membro" saranno sostituiti con riferimenti a "Svizzera"; (iii) i riferimenti all'"autorità di vigilanza competente" e ai "tribunali competenti" saranno sostituiti con riferimenti al "Commissario federale svizzero per la protezione dei dati" e ai "tribunali competenti della Svizzera"; e (iv) nella Clausola 17 e nella Clausola 18(b), le SCC saranno disciplinate dalle leggi e le controversie saranno risolte dinanzi ai tribunali della Svizzera.

11. TERM

Il presente DPA rimarrà in vigore fintantoché una delle parti eseguirà operazioni di trattamento dei dati personali sui dati personali caricati o altrimenti forniti dall'altra parte ai sensi e in conformità con l'accordo di partenariato.

12. INDENNITÀ

Ciascuna Parte difenderà, indennizzerà e terrà indenne l'altra e le sue sussidiarie, affiliate e i rispettivi funzionari, amministratori, dipendenti e agenti da e contro tutte le perdite, danni, responsabilità, carenze, azioni, sentenze, interessi, premi, sanzioni, multe, costi o spese di qualsiasi tipo, comprese le ragionevoli spese legali, il costo di far valere qualsiasi diritto di indennizzo ai sensi del presente documento e il costo di perseguire qualsiasi fornitore di assicurazioni, derivanti da o risultanti da qualsiasi richiesta di terzi contro l'altra derivante da o risultante dal mancato rispetto da parte della parte inadempiente di uno qualsiasi dei suoi obblighi ai sensi del presente DPA o delle leggi, regolamenti o principi applicabili contenuti nelle Leggi europee sulla protezione dei dati. La responsabilità di ciascuna Parte sarà soggetta alla limitazione di responsabilità nel Contratto partner applicabile.

ALLEGATO A

ALLEGATO A - DESCRIZIONE DEL TRASFERIMENTO

1. Categorie di interessati . I dati personali trasferiti riguardano le seguenti categorie di interessati, a seconda dell'accordo tra l'importatore e l'esportatore dei dati:

Membri BROSH; clienti e dipendenti potenziali e effettivi dell'esportatore di dati; responsabili delle vendite e del marketing dell'esportatore di dati; e terze parti che hanno, o potrebbero avere, un rapporto commerciale con l'esportatore di dati (ad esempio inserzionisti, clienti, abbonati aziendali, appaltatori e utenti del prodotto).

2. Categorie di dati personali . I dati personali trasferiti riguardano le seguenti categorie di dati:

I dati trasferiti sono i dati personali forniti dall'esportatore di dati all'importatore di dati in relazione al Contratto di partnership. Tali dati personali possono includere nome, cognome, indirizzo e-mail, informazioni di contatto, istruzione e storia lavorativa e altre informazioni fornite nei profili dei membri BROSH, curriculum, dati CRM relativi a lead di vendita ed elenchi di clienti, eventuali note fornite dall'esportatore di dati in merito a quanto sopra e altre attività dei membri BROSH svolte sulla piattaforma BROSH.

1. Dati sensibili (se del caso) . I dati personali trasferiti possono riguardare le seguenti categorie particolari di dati:
   Nessuno.
2. Frequenza del trasferimento .
   I dati personali vengono trasferiti in modo continuativo.
3. Natura e finalità del trattamento . Il trasferimento è effettuato per le seguenti finalità:
   Il trasferimento è finalizzato a consentire la relazione tra le parti contemplata dal Contratto Partner. Il "Contratto Partner" è il/i contratto/i stipulato/i dall'importatore di dati e dall'esportatore di dati che regolano la condivisione dei dati tra tali parti (ma escludendo i contratti con i clienti tra Partner e BROSH che regolano l'acquisto da parte del Partner di prodotti e servizi BROSH).
4. Periodo di conservazione dei dati personali :
   I dati personali trasferiti tra le parti possono essere conservati solo per il periodo di tempo consentito ai sensi del Contratto di partnership. Le parti concordano che ciascuna parte, nella misura in cui, insieme all'altra parte, agisce come Titolare del trattamento dei Dati personali, coopererà ragionevolmente con l'altra parte per consentire l'esercizio dei diritti di protezione dei dati come stabilito dalle Leggi sulla protezione dei dati.
5. Oggetto, natura e durata del trattamento .
   L'oggetto, la natura e la durata del trattamento sono quelli descritti nell'Accordo, incluso il presente DPA.
6. Autorità di vigilanza competente . Ai fini delle Clausole contrattuali standard, l'autorità di vigilanza competente è l'autorità dello Stato membro SEE in cui è stabilito il Partner o il rappresentante SEE del Partner (rispetto ai Dati personali del Partner) o l'[Irish Data Protection Commissioner] (rispetto ai Dati personali BROSH). Ai fini dei trasferimenti nel Regno Unito e in Svizzera, l'autorità di vigilanza competente è l'Information Commissioner del Regno Unito o lo Swiss Federal Data Protection Information Commissioner (a seconda dei casi).

ALLEGATO B – MISURE DI SICUREZZA

Utilizziamo una varietà di tecnologie e procedure di sicurezza per aiutarti a proteggere i tuoi Dati Personali. Tutti i Dati Personali sono protetti utilizzando misure fisiche, tecniche e organizzative appropriate. Per maggiori informazioni sulla Sicurezza presso BROSH, consulta https://www.brosh.io/pagex/it/Security-Policy.html .