Clausole contrattuali standard

Abbiamo redatto questo DPA per includere tutte le possibili configurazioni di CCS. Non è detto che tutte siano applicabili al tuo caso specifico. Per maggiore chiarezza:  

Il presente Contratto per il trattamento dei dati ("DPA") di SurveyMonkey è parte integrante del Contratto con SurveyMonkey e contiene alcuni termini relativi a protezione, privacy e sicurezza dei dati in conformità con la legislazione in materia di protezione dei dati, ove applicabile. Nel caso in cui (e solo nella misura in cui) vi sia un conflitto tra le diverse leggi e normative sulla protezione dei dati, le parti si impegnano ad attenersi ai requisiti più stringenti o allo standard più elevato che, in caso di controversia al riguardo, sarà determinato esclusivamente da SurveyMonkey. 

Il presente DPA viene stipulato tra il cliente e l'entità SurveyMonkey interessata, stabilita come segue: 

(i) per i clienti residenti in un paese diverso dagli Stati Uniti, l'entità contraente è SurveyMonkey Europe UC ; 

(ii)  per i clienti residenti negli Stati Uniti, l'entità contraente è SurveyMonkey Inc. 

Questa è la versione più recente del DPA (datata15 febbraio 2024). 

Nel presente DPA le seguenti espressioni avranno il significato loro assegnato qui di seguito, salvo ove il contesto non richieda diversamente : 

"Contratto" indica un qualsivoglia accordo tra SurveyMonkey Inc. o SurveyMonkey Europe e un cliente inerente ai Servizi. Detto accordo può essere intitolato in diversi modi, per esempio "Modulo d'ordine", "Ordine di vendita", "Condizioni di utilizzo" o "Contratto sui servizi applicabile" o "Contratto sui servizi principale". 

"Articolo 28" indica l'articolo 28 del GDPR e del UK GDPR applicabile, a seconda del caso, al trattamento dei Dati personali del cliente.  

"Cliente" indica il cliente identificato nel Contratto e/o che è parte contraente del Contratto.  

"Dati del cliente" indica tutti i dati (ivi compresi, a mero titolo di esempio, i Dati personali del cliente) forniti a SurveyMonkey da o per conto del cliente nell'ambito dell'utilizzo dei Servizi da parte del cliente, e qualsiasi dato inviato al cliente da soggetti terzi attraverso i Servizi.  

"Dati personali del cliente" indica tutti i Dati personali inviati ai Servizi dal o al cliente e sottoposti a trattamento da parte di SurveyMonkey allo scopo di erogare i Servizi al cliente, ivi compresi, a puro titolo di esempio, i dati personali di cui all'Appendice 2 del presente Contratto per il trattamento dei dati. 

"Legislazione in materia di protezione dei dati" indica qualsivoglia norma inderogabile in materia di privacy o protezione dei dati direttamente applicabile a SurveyMonkey in quanto responsabile del trattamento o fornitore di servizi (a seconda del caso) in relazione al trattamento di Dati personali previsto dal Contratto, ivi comprese le seguenti norme: 
(i) il Regolamento generale sulla protezione dei dati (UE) 2016/679)("GDPR") e tutte le altre leggi o normative applicabili dell'UE, del SEE o di uno Stato membro del mercato unico europeo o relativi eventuali aggiornamenti, emendamenti o sostituzioni applicabili al trattamento dei dati personali previsto dal Contratto;

(ii) la nuova legge federale svizzera sulla protezione dei dati ("nLPD");

(iii) tutte le leggi e normative degli Stati Uniti applicabili al trattamento dei dati personali previsto dal presente Contratto, ivi compreso, a titolo di esempio, il CCPA (del 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199)("CCPA"); 

(iv) tutte le leggi e i regolamenti che si applicano al trattamento dei dati personali ai sensi del Contratto di volta in volta in vigore nel Regno Unito (incluso il GDPR del Regno Unito); e

(v) il Personal Information Protection and Electronic Documents Act ("PIPEDA"), o qualsiasi aggiornamento, modifica o sostituzione dello stesso che si applichi al trattamento dei dati personali in Canada.

I termini "titolare del trattamento", "valutazione d'impatto sulla protezione dei dati", "trattare", "trattamento", "responsabile del trattamento", "autorità di controllo" hanno lo stesso significato specifico nel GDPR o nel GDPR del Regno Unito.

I termini "Azienda", "Scopo(i) aziendale(i)", "Scopo(i) commerciale(i)", "Informazioni personali", "Fornitore di servizi", "Vendere" e "Condividere" hanno gli stessi significati definiti nel CCPA. 

"SurveyMonkey" o "la nostra società" indica SurveyMonkey Inc. nel caso di Clienti residenti negli Stati Uniti, e SurveyMonkey Europe nel caso di Clienti residenti al di fuori degli Stati Uniti. 

"SurveyMonkey Europe" indica SurveyMonkey Europe UC, una società irlandese con sede all'indirizzo 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irlanda. 

"SurveyMonkey Inc." indica SurveyMonkey Inc., una società del Delaware con sede all'indirizzo One Curiosity Way, San Mateo, CA 94403, Stati Uniti.  

"Informativa sulla privacy di SurveyMonkey" indica l'Informativa sulla privacy di SurveyMonkey disponibile alla pagina https://it.surveymonkey.com/mp/legal/privacy/.

"Dati personali" indica quelle informazioni relative a un individuo vivente che è, o può essere, ragionevolmente identificato sulla base di dette informazioni, prese da sole o associate ad altre ("Interessato").

"Servizi" indica i servizi che il Cliente ordina da SurveyMonkey in virtù del Contratto. 

"CCS" indica le "Clausole contrattuali standard" annesse alla Decisione della Commissione europea del: i) 4 giugno 2021 in merito alle clausole contrattuali standard per il trasferimento di dati personali in paesi terzi conformemente al GDPR, o ii) (sino al momento in cui SurveyMonkey non stipula le Clausole contrattuali standard di cui al punto i)), 5 febbraio 2010 per il trasferimento di Dati personali del cliente a responsabili del trattamento con sede in paesi terzi ai sensi della direttiva 95/46/CE. Laddove si applica la nLPD, tutti i riferimenti fatti nelle CCS devono essere intesi come riferimenti corrispondenti alla nLPD. Per tutti i termini utilizzati in questo contesto si farà pertanto riferimento alla definizione fornita nella nLPD.

"Integrazione per il Regno Unito" indica (i) il modello di clausole integrative emesso dall'Information Commissioner's Office e presentato dinanzi al Parlamento britannico in accordo con la sezione 119A del UK Data Protection Act 2018 in data 2 febbraio 2022, e relative eventuali revisioni successive ai sensi della sezione 18 delle Clausole obbligatorie; dove il modello di clausole integrative a cui si fa riferimento nella presente definizione indica il documento intitolato "International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0", in vigore dal 21 marzo 2022; o (ii) (sino al momento in cui SurveyMonkey non stipula l'Integrazione per il Regno Unito di cui al punto (i)), la decisione della Commissione europea del 5 febbraio 2010 per il trasferimento di dati personali a responsabili del trattamento con sede in paesi terzi ai sensi della direttiva 95/46/CE.

"UK GDPR" indica il regolamento europeo GDPR recepito dalle legislazioni di Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 del European Union (Withdrawal) Act 2018, come modificato dal Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 e 2020 e dall'eventuale legislazione di volta in volta in vigore nel Regno Unito che modifica o sostituisce successivamente il regolamento UK GDPR.

Nell'ambito dell'erogazione dei Servizi al Cliente, SurveyMonkey è responsabile del trattamento dei Dati personali del Cliente per le finalità del GDPR. In relazione al CCPA, come applicabile, SurveyMonkey e il Cliente concordano che SurveyMonkey è un Fornitore di servizi e il Cliente è l'Azienda relativamente alle Informazioni personali.

Il presente DPA rimarrà in vigore fino al momento della scadenza del Contratto o della sua risoluzione (conformemente ai termini ivi stabiliti). 

Il Cliente dovrà assicurare e qui garantisce e dichiara di essere autorizzato a trasferire i Dati del cliente a SurveyMonkey, in modo che SurveyMonkey possa sottoporli legalmente a trattamento e trasferire i dati personali in accordo ai termini del presente DPA. Il Cliente dovrà fare in modo di informare i relativi soggetti interessati di tale uso, trattamento e trasferimento, come richiesto dalla Legislazione in materia di protezione dei dati, e di ricevere dagli stessi il loro legittimo consenso (se del caso). Il Cliente è tenuto altresì a garantire la legittimità e la correttezza del trattamento dei dati personali da parte di SurveyMonkey. Il Cliente si impegna a rispettare tutte le leggi applicabili in materia di protezione dei dati.

In caso di trattamento di Dati personali del cliente da parte di SurveyMonkey ove il Cliente sia responsabile del trattamento, SurveyMonkey si impegna a:

(a) effettuare il trattamento attenendosi esclusivamente alle istruzioni documentate del Cliente e nel rispetto della Legislazione in materia di protezione dei dati, anche relativamente ai trasferimenti di dati personali in altre giurisdizioni o a organizzazioni internazionali, e le parti accettano che il Contratto costituisce l'insieme di istruzioni documentate del Cliente sulla base delle quali SurveyMonkey sottopone a trattamento i Dati personali del cliente (compreso all'esterno dell'area SEE), congiuntamente ad altre ragionevoli istruzioni fornite dal Cliente a SurveyMonkey (per esempio via email), laddove esse siano coerenti con il Contratto; 

(b) garantire che tutto il personale SurveyMonkey coinvolto nel trattamento dei Dati personali del cliente sia soggetto a obblighi di riservatezza relativi ai Dati personali; 

(c) fornire al Cliente le informazioni necessarie a dimostrare la sua conformità agli obblighi previsti dall'Articolo 28 (o requisiti analoghi previsti dalla Legislazione in materia di protezione dei dati, se applicabili al Cliente), qualora tali informazioni siano detenute da SurveyMonkey e non siano altrimenti accessibili al Cliente tramite il proprio account e le aree utente o sui siti web di SurveyMonkey, a condizione che il Cliente invii una richiesta scritta a SurveyMonkey con almeno 14 giorni di anticipo;

(d) collaborare come ragionevolmente richiesto dal Cliente per consentire a quest'ultimo di dare seguito a richieste da parte di soggetti interessati di esercitare i propri diritti riconosciuti dalla Legislazione in materia di protezione dei dati in relazione ai dati personali trattati da SurveyMonkey nell'ambito dell'erogazione dei Servizi; 

(e) fornire assistenza, se richiesto dal Cliente, nella gestione di richieste ricevute direttamente da un Interessato relative ai propri Dati personali inviati tramite i Servizi;

(e) non conservare i Dati personali del cliente nel suo account una volta che il Cliente li ha eliminati, se non al fine di ottemperare alle leggi e alle normative vigenti e nella misura in cui possano essere altrimenti conservati in copie di backup regolarmente eseguite per garantire la continuità del business e il recupero dei dati in caso di emergenza secondo le nostre regole di conservazione; 

(g) collaborare con l'autorità di controllo o l'organismo che di volta in volta eventualmente le subentra o la sostituisce (o, per quanto richiesto dal Cliente, con altra autorità di regolamentazione della privacy o della protezione dei dati prevista dalla Legislazione in materia di protezione dei dati) nell'espletamento delle attività di detta autorità, se richiesto; 

(h) assistere il Cliente come ragionevolmente richiesto, qualora il Cliente: 

(i) conduca una valutazione d'impatto della protezione dei dati che riguardi i Servizi (che potrebbe comportare la consegna di documentazione per consentire al cliente di eseguire la valutazione); o

(ii) abbia l'obbligo di comunicare un Incidente di sicurezza (come di seguito definito) all'autorità di controllo o al soggetto interessato coinvolto.

(i) non vendere o condividere alcuna informazione personale;

(j) non raccogliere, conservare, utilizzare, divulgare o trattare in altro modo le informazioni personali se non per i seguenti specifici scopi aziendali e commerciali: (1) fornire i nostri Servizi come descritto nel presente Contratto; (2) migliorare i nostri servizi esistenti e svilupparne di nuovi (ad esempio, conducendo ricerche per sviluppare nuovi prodotti o funzionalità); (3) adempiere i nostri scopi operativi e gli scopi operativi dei nostri fornitori e partner di integrazione; (4) garantire la sicurezza e l'integrità, nella misura in cui l'uso delle informazioni personali dell'interessato sia ragionevolmente necessario e proporzionato a tali scopi; (5) eseguire operazioni di debug per identificare e correggere gli errori che compromettono la funzionalità prevista; (6) impieghi transitori o a breve termine, come la personalizzazione di contenuti relativi ai servizi visualizzati da noi o dai nostri fornitori di servizi; e (7) altri impieghi di cui si riceverà notifica come consentito dalla Legislazione in materia di protezione dei dati;

(k) non conservare, utilizzare, combinare o divulgare le informazioni personali raccolte ai sensi del Contratto al di fuori del rapporto commerciale diretto tra SurveyMonkey e il Cliente, a meno che non sia espressamente consentito dal CCPA;  

(l) ove prescritto dalla Legislazione in materia di protezione dei dati, informare il Cliente qualora SurveyMonkey venga a conoscenza che le istruzioni da esso ricevute violano le disposizioni della Legislazione in materia di protezione dei dati. Nonostante quanto sopra, SurveyMonkey non avrà alcun obbligo di controllare o verificare la legittimità di qualsiasi istruzione ricevuta dal Cliente. Qualora stabilisca di non poter più adempiere ai propri obblighi ai sensi del CCPA, SurveyMonkey informerà il Cliente; e

(m) comprendere le limitazioni e gli obblighi stabiliti nel presente DPA e da tutte le leggi applicabili in materia di protezione dei dati e conformarsi a tali requisiti. 

6.1 Trattamento secondario. Il Cliente fornisce a SurveyMonkey un'autorizzazione generale di impiegare subincaricati successivi, fermo restando il rispetto dei requisiti fissati nella presente Sezione 6.

Elenco di subincaricati. Fatte salve le clausole di riservatezza del Contratto o altrimenti imposte da SurveyMonkey, SurveyMonkey si impegna a:

(a) rendere disponibile al Cliente un elenco dei subfornitori SurveyMonkey coinvolti nel trattamento o in qualità di responsabili incaricati o subincaricati del trattamento dei Dati personali del Cliente in relazione all'erogazione dei Servizi ("Subincaricati"), congiuntamente a una descrizione della natura dei servizi forniti da ciascun Subincaricato ("Elenco dei subincaricati"). È possibile richiedere una copia dell'Elenco dei subincaricati qui; 

(b) garantire che tutti i Subincaricati menzionati nell'Elenco dei subincaricati siano vincolati da condizioni contrattuali che, sotto tutti gli aspetti sostanziali, non siano meno rigorose di quelle contenute nel presente DPA; e 

(c) rispondere di tutte le azioni e omissioni dei propri Subincaricati nella stessa misura in cui risponderebbe se eseguisse i servizi di ciascuno di detti Subincaricati direttamente in base ai termini del presente DPA, salvo ove diversamente stabilito nel Contratto. 

6.3 Subincaricati nuovi/sostitutivi.  SurveyMonkey si impegna a comunicare per iscritto al cliente l'eventuale aggiunta di un nuovo Subincaricato ovvero la sostituzione di un Subincaricato esistente in qualsiasi momento durante la validità del presente Contratto ("Avviso di nuovo subincaricato").Il cliente si impegna a iscriversi alla mailing list fornita da SurveyMonkey qui, attraverso la quale detti avvisi saranno inviati per e-mail, o in alternativa a controllare gli eventuali aggiornamenti dell'elenco qui. Qualora abbia un ragionevole motivo per opporsi all'impiego da parte di SurveyMonkey di un Subincaricato nuovo o sostitutivo, il Cliente si impegna a comunicarlo per iscritto a SurveyMonkey tempestivamente e in ogni caso entro 30 giorni dal ricevimento dell'Avviso di nuovo subincaricato. In caso di una tale ragionevole opposizione, il cliente o SurveyMonkey potranno risolvere quella parte del Contratto relativa ai Servizi che non possono essere adeguatamente erogati senza il Subincaricato al quale il cliente si è opposto (tale risoluzione potrebbe comportare, ad esclusiva discrezione e scelta di SurveyMonkey, la risoluzione dell'intero Contratto) con effetto immediato inviandone comunicazione scritta all'altra parte. Tale risoluzione non darà diritto ad alcun rimborso delle tariffe pagate in anticipo dal Cliente per il periodo successivo alla risoluzione.

7.1 Misure di sicurezza. Tenendo conto dello stato dell'arte, del costo di implementazione e della natura, portata, contesto e finalità dei Servizi, così come del livello di rischio, SurveyMonkey ha implementato opportune misure tecniche e organizzative (come da Appendice 1) per garantire un livello di sicurezza adeguato al rischio di trattamento illecito o non autorizzato, perdita accidentale e/o danneggiamento dei Dati del Cliente. A intervalli ragionevoli, SurveyMonkey verifica e valuta l'efficacia di tali misure tecniche e organizzative, allo scopo di garantire la sicurezza del trattamento.

7.2 Comunicazione di incidenti di sicurezza e violazioni. Nel caso in cui venga a conoscenza di un accesso illecito o non autorizzato a Dati personali, secondo la definizione riportata nel Contratto per il trattamento dei dati, ovvero di un'azione di acquisizione, alterazione, utilizzo, divulgazione o distruzione degli stessi, in relazione all'account del contraente ("Incidente di sicurezza"), SurveyMonkey prenderà ragionevoli misure per comunicarlo al contraente senza ingiustificato ritardo. Tra gli Incidenti di sicurezza non rientrano i tentativi o le attività non andati a buon fine, che non compromettono la sicurezza dei Dati personali, tra cui tentativi falliti di accesso, ping, scansione di porte, attacchi di tipo Denial of service, o altri attacchi di rete su firewall o sistemi in rete. La comunicazione al Cliente di un Incidente di sicurezza non rappresenta assunzione di responsabilità da parte di SurveyMonkey.

7.3 SurveyMonkey si impegnerà anche a collaborare, per quanto possibile, con il Cliente nell'ambito di eventuali indagini correlate a Incidenti di sicurezza, stilando le comunicazioni eventualmente necessarie e fornendo qualunque altra informazione ragionevolmente richiesta dal Cliente in relazione all'Incidente di sicurezza. 

8.1 Audit. Qualora SurveyMonkey sottoponga a trattamento i Dati personali del cliente per il Cliente in qualità di responsabile (soltanto), il Cliente si impegna a informare per iscritto SurveyMonkey, con un preavviso minimo di un mese, dell'eventuale audit che il Cliente intende condurre direttamente o tramite un auditor indipendente da esso incaricato (purché nessuna persona che esegue l'audit rappresenti o agisca per conto di un concorrente di SurveyMonkey) ("Auditor"). L'ambito dell'audit sarà il seguente:

(a) Il Cliente sarà autorizzato a effettuare un solo audit per ciascun anno di abbonamento, se non altrimenti obbligato per legge o da un ente normativo con l'autorità di eseguire o favorire l'esecuzione di più di un audit nello stesso anno (nel qual caso, il Cliente e SurveyMonkey concorderanno, prima di tali audit, un ragionevole rimborso da accordare a SurveyMonkey per le spese sostenute).

(b) SurveyMonkey accetta, pur rispettando le ragionevoli limitazioni del caso in materia di riservatezza, di fornire prova di eventuali certificazioni e standard di conformità detenute e, se richiesto, renderà disponibile al Cliente una relazione esecutiva sui più recenti test di penetrazione annuali di SurveyMonkey, che dovrà includere le misure correttive adottate da SurveyMonkey in seguito a tali test di penetrazione. 

(c) L'ambito dell'audit sarà limitato ai sistemi, ai processi e alla documentazione di SurveyMonkey correlati al trattamento e alla protezione dei Dati personali del cliente e l'Auditor eseguirà le verifiche nel rispetto delle ragionevoli restrizioni del caso in materia di riservatezza imposte da SurveyMonkey.

(d) Il Cliente informerà tempestivamente SurveyMonkey di eventuali presunte non conformità o problemi di sicurezza riscontrati nel corso dell'audit, fornendole in via confidenziale i dettagli completi.

8.2Le parti concordano che, salvo diverso ordine o provvedimento vincolante emesso da un'autorità di controllo o un ente normativo con autorità sul Cliente, la presente Sezione 8 definisce l'ambito completo dei diritti di audit del Cliente nei confronti di SurveyMonkey.

9.1 Nella misura applicabile, per quanto riguarda il trasferimento (diretto o tramite trasferimento successivo) di Dati personali del Cliente dallo Spazio economico europeo ("SEE"), dalla Svizzera o dal Regno Unito in paesi esterni all'SEE, alla Svizzera e al Regno Unito che non prevedono adeguati standard di protezione dei dati così come stabiliti dalla Commissione Europea o dalla legislazione pertinente in materia di protezione dei dati, SurveyMonkey si basa:

(a) sulle CCS; e

(b) per i trasferimenti soggetti alle disposizioni del UK GDPR, sull'Integrazione per il Regno Unito; o

(c) su altre eventuali adeguate tutele o deroghe (in misura opportunamente limitata), specificate o ammesse dalla legislazione in materia di protezione dei dati. 

9.2 Ove richiesto, con il presente le parti stipulano le CCS (copia delle quali è accessibile qui) e l'Integrazione per il Regno Unito (Appendice 3). Le CCS sono incorporate per riferimento nel presente Contratto e si applicano come di seguito indicato: 

(a) se il cliente stipula un contratto con SurveyMonkey Inc. negli Stati Uniti ai sensi del Contratto sui servizi ed è titolare del trattamento dei Dati personali del cliente che, con l'utilizzo dei Servizi, vengono trasferiti dal SEE in paesi che secondo la Commissione europea non assicurano adeguati livelli di protezione dei Dati personali, SurveyMonkey stipula la CCS in qualità di importatore di dati e il cliente stipula le CCS in qualità di esportatore di dati e si applicherà unicamente il modulo due delle CCS; e/o

(b) se il cliente stipula un contratto con SurveyMonkey Inc. negli Stati Uniti ai sensi del Contratto sui servizi ed è responsabile del trattamento dei Dati personali del cliente che, con l'utilizzo dei Servizi, vengono trasferiti dal SEE in paesi che secondo la Commissione europea non assicurano adeguati livelli di protezione dei Dati personali, SurveyMonkey stipula le CCS in qualità di importatore di dati e il cliente stipula le CCS in qualità di esportatore di dati e si applicherà unicamente il modulo tre delle CCS; e/o

(c) se il cliente non è residente nel SEE e stipula un contratto con SurveyMonkey Europe UC per l'archiviazione dei Dati personali del cliente all'interno del SEE ai sensi del Contratto ed è titolare del trattamento dei Dati personali del cliente che, con l'utilizzo dei Servizi, vengono trasferiti dal SEE in paesi che secondo la Commissione europea non assicurano adeguati livelli di protezione dei Dati personali, SurveyMonkey stipula la CCS in qualità di esportatore di dati e il cliente stipula le CCS in qualità di importatore di dati e si applicherà unicamente il modulo quattro delle CCS; e

(d) nella clausola 7, troverà applicazione la cosiddetta docking clause (clausola di adesione posteriore) facoltativa;

(e) nella clausola 11, la lingua facoltativa non sarà applicata;

(f) nella clausola 17, le CCS saranno disciplinate dalla legislazione irlandese;

(g) nella clausola 18, le controversie saranno risolte dinanzi ai tribunali irlandesi; e

(h) gli Allegati I e II delle CCS saranno considerati completati con le informazioni specificate nel Contratto e i dettagli indicati nelle Appendici al presente Contratto per il trattamento dei dati.

9.3 Per i trasferimenti protetti dalla nLPD, le CCS si applicheranno in conformità alla precedente Sezione 9.2, a eccezione di: 

(a) qualsiasi riferimento al GDPR contenuto nelle CCS deve essere interpretato come riferimento alla nLPD;  

(b) qualsiasi riferimento a "UE", "Unione" e "diritto degli Stati membri" deve essere interpretato come riferimento alla Svizzera e al diritto svizzero; e  

(c ) qualsiasi riferimento all'"autorità di controllo competente" e ai "tribunali competenti" deve essere interpretato come un riferimento all'autorità e ai tribunali competenti per la protezione dei dati in Svizzera, a meno che le CCS, attuate come descritto sopra, non possano essere utilizzate per trasferire legittimamente tali Dati personali del Cliente in conformità con la nLPD, nel qual caso le CCS svizzere saranno invece incorporate per riferimento e costituiranno parte integrante del presente DPA e si applicheranno a tali trasferimenti. Ai fini delle CCS svizzere, gli allegati pertinenti delle CCS svizzere saranno popolati utilizzando le informazioni contenute nelle Appendici I e II del presente DPA (a seconda dei casi) e si applicheranno le disposizioni interpretative di cui alla presente Sezione 9.3 (come applicabili e come richiesto ai fini del rispetto della nLPD).

9.4 Dietro richiesta scritta e conformemente alle disposizioni contenute nelle Clausole contrattuali standard o nell'Integrazione per il Regno Unito (se applicabile), SurveyMonkey si impegna a fornire al Cliente copia delle Clausole contrattuali standard o dell'Integrazione per il Regno Unito stipulate con gli importatori dei dati nella sua funzione di responsabile del trattamento.

10.1 Responsabilità del trattamento dei dati. La responsabilità complessiva di ciascuna parte per qualsivoglia rivendicazione, sia essa in sede contrattuale, di illecito civile (inclusa negligenza), di violazione di obblighi legali o altro, derivante da o correlata al presente DPA , sarà stabilita nel Contratto, se non diversamente concordato per iscritto.

10.2 Conflitto. In caso di conflitto o ambiguità tra: (i) i termini del presente DPA e i termini del Contratto, riguardo all'oggetto del presente DPA, prevarranno i termini del DPA ; (ii) i termini di una qualsiasi clausola contenuta nel presente DPA e una qualsiasi disposizione delle Clausole contrattuali standard, prevarrà la disposizione delle Clausole contrattuali standard.

10.3 Trattamento indipendente. Il Cliente rimane unico responsabile della propria conformità alla legislazione in materia di protezione dei dati per quanto concerne i dati personali non correlati ai Servizi raccolti e trattati in maniera indipendente. Il Cliente provvederà a fornire le proprie informative sulla privacy, in modo chiaro e ben visibile, nelle quali sono descritte accuratamente le proprie modalità di trattamento dei dati e SurveyMonkey non sarà responsabile di alcun trattamento di dati personali effettuato dal Cliente in dette circostanze. In virtù del presente strumento, il Cliente tiene completamente indenne SurveyMonkey da qualsivoglia tipo di rivendicazione o responsabilità derivante dalla raccolta e dall'uso dei dati da parte del Cliente in dette circostanze.

10.4 Intero contratto. Il Contratto (che incorpora il presente DPA) e qualsivoglia Modulo d'ordine rappresentano l'accordo completo tra le parti e superano eventuali altri accordi o termini e condizioni precedenti o contemporanei, scritti o verbali, relativi all'oggetto ivi disciplinato. Ciascuna parte conferma di non essersi basata su alcuna dichiarazione non registrata nel Contratto che la inducesse a sottoscrivere il Contratto stesso.

10.5 Separabilità di singole clausole. Se una qualsiasi delle disposizioni del presente DPA viene dichiarata illegittima dall’autorità giurisdizionale competente, la disposizione viene invalidata senza inficiare i restanti termini contrattuali. Nessuna disposizione contenuta nel presente Contratto per il trattamento dei dati è finalizzata a instaurare una partnership o joint venture tra le parti, né dovrà essere considerata in tal senso, né autorizza alcuna parte a sottoscrivere eventuali impegni per o per conto dell'altra parte, salvo ove espressamente stabilito nel presente documento.

10.6 Copia elettronica. Il DPA viene consegnato in formato elettronico.

10.7 Legge regolatrice. Il presente DPA sarà disciplinato in base alle leggi dell'Irlanda e le parti accettano la giurisdizione esclusiva dei tribunali irlandesi (per quanto attiene a tutte le controversie contrattuali e non), eccetto in caso di violazione presunta o effettiva di attuali o future leggi, regolamenti, norme, orientamenti normativi e principi di autoregolamentazione a livello statale o federale negli Stati Uniti d'America, nel qual caso si applicheranno le leggi dello Stato della California, se non diversamente stabilito dalla legge.

Descrizione delle misure di sicurezza tecniche e organizzative attuate da SurveyMonkey 

SurveyMonkey si impegna a tenere in essere misure di protezione fisiche, tecniche e amministrative ("Misure di sicurezza") per proteggere la sicurezza, riservatezza e integrità dei dati personali che le vengono forniti ai fini dell'erogazione dei Servizi al Cliente. 

Tra le Misure di sicurezza rientrano: 

(a) Ambito: organizzazione della sicurezza delle informazioni.

(i) Ruoli e responsabilità dedicati alla sicurezza. Il personale di SurveyMonkey con accesso ai dati è soggetto a obblighi di riservatezza.

(ii) Programma di gestione dei rischi. SurveyMonkey esegue una valutazione dei rischi, ove opportuno, prima di trattare i dati.

(b) Ambito: Gestione degli asset

(i) Trattamento degli asset.

(1) SurveyMonkey ha posto in essere procedure per l'eliminazione dei materiali stampati contenenti i Dati del cliente.

(2) SurveyMonkey gestisce un inventario di tutti gli hardware sui quali sono archiviati i Dati del cliente.

(3) SurveyMonkey classifica i dati personali dei clienti sottoposti a trattamento per permetterne l'identificazione e limitarne adeguatamente l'accesso (ad esempio tramite nome utente, password e crittografia).

(c) Ambito: sicurezza delle risorse umane.

(i) Formazione sulla sicurezza.

(1) SurveyMonkey informa i membri del proprio personale sulle procedure di sicurezza rilevanti e sui loro rispettivi ruoli, mettendoli altresì al corrente delle possibili conseguenze derivanti dalla violazione di norme e procedure di sicurezza.

(d) Ambito: sicurezza fisica e ambientale.

(i) Accesso fisico alle strutture. SurveyMonkey limita l'accesso alle strutture in cui si trovano i sistemi informatici che trattano i Dati del cliente riservandolo a determinate persone autorizzate.

(ii) Protezione da interruzioni. SurveyMonkey si avvale di una serie di sistemi standard del settore per proteggere i dati dalla perdita dovuta a interruzioni dell'alimentazione di corrente o interferenze di linea.

(iii) Eliminazione dei componenti. SurveyMonkey segue procedure standard del settore per cancellare i Dati del cliente nel momento in cui non sono più necessari.

(e) Ambito: gestione delle comunicazioni e delle operazioni. 

(i) Politica operativa. SurveyMonkey tiene una documentazione relativa alla sicurezza in cui sono descritte le proprie misure di sicurezza, le relative procedure e le responsabilità assegnate ai membri del personale che hanno accesso ai Dati del cliente. 

(ii) Procedure di recupero dei dati.  

(1) SurveyMonkey crea periodicamente e continuamente delle copie di backup dei Dati del cliente dalle quali è possibile recuperare gli stessi in caso di perdita della copia principale. 

(2) SurveyMonkey conserva le copie dei Dati del cliente e le procedure di recupero dei dati in un luogo separato da quello in cui si trovano i sistemi informatici principali con i quali vengono trattati i Dati del cliente. 

(3) SurveyMonkey ha in essere specifiche procedure per regolare l'accesso alle copie dei dati Dati del cliente. 

(iii) Software dannosi. SurveyMonkey utilizza dei controlli anti-malware per evitare l'accesso non autorizzato ai Dati del cliente tramite software nocivi, compresi quelli provenienti dalle reti pubbliche.

(iv) Dati oltre confine. 

(1) SurveyMonkey esegue la crittografia dei Dati del cliente che vengono trasmessi sulle reti pubbliche. 

(v) Registrazione degli eventi.

(1) SurveyMonkey registra l'utilizzo dei propri sistemi di elaborazione dei dati. 

(2) SurveyMonkey registra l'accesso e l'uso dei sistemi informatici contenenti i Dati del cliente, registrando ID di accesso, data e ora e alcune attività rilevanti.

(f) Ambito: Gestione degli incidenti che riguardano la sicurezza delle informazioni

(i) Processo di risposta agli incidenti. 

(1) SurveyMonkey dispone di un piano di risposta agli incidenti.  

(2) SurveyMonkey tiene un registro delle violazioni della sicurezza con la descrizione della violazione, l'indicazione del periodo di tempo, le conseguenze della violazione, il nome della persona che l'ha segnalata e della persona alla quale è stata segnalata, e le eventuali azioni correttive.

(g) Ambito: gestione della continuità del business.

(i) L'archiviazione ridondante di SurveyMonkey e le sue procedure di recupero dei dati sono progettate per tentare di ricostruire i Dati del cliente nel loro stato originale precedente alla loro eventuale perdita o distruzione.   

(h) Controllo degli accessi alle aree in cui viene effettuato il trattamento.  Processi finalizzati a evitare l'accesso da parte di persone non autorizzate ai sistemi di elaborazione dati (cioè telefoni, database, server applicativi e relativi hardware) sui quali vengono trattati o utilizzati i Dati del cliente; tali processi includono: 

(i) designazione di aree protette; 

(ii) protezione e limitazione dei percorsi di accesso;

(iii) protezione dei telefoni mobili/cellulari;   

(iv) protezione dei sistemi di elaborazione dati e dei personal computer;

(v) registrazione, monitoraggio e tracciamento di tutti gli accessi ai centri dati in cui sono ospitati i Dati del cliente;  

(vi) protezione dei centri dati in cui sono ospitati i Dati del cliente con sistema di allarme di sicurezza e altre adeguate misure di sicurezza; e 

(vii) la struttura è progettata per resistere a condizioni atmosferiche sfavorevoli e altri eventi naturali ragionevolmente prevedibili, è protetta giorno e notte da personale di sorveglianza, controllo degli accessi con tessera magnetica e/o riconoscimento biometrico (in base al livello di rischio) e accesso controllato da accompagnatore; inoltre è provvista in loco di generatori di emergenza che intervengono in caso di blackout.

(i) Controllo degli accessi ai sistemi di elaborazione dati. Processi finalizzati a evitare l'utilizzo dei sistemi di elaborazione dati da parte di persone non autorizzate; essi comprendono:  

(i) identificazione del terminale e/o dell'utente del terminale dei sistemi di elaborazione dati; 

(ii) disconnessione automatica dopo 30 minuti o meno di inattività del terminale; richiesta password e identificazione per riaprire il terminale;

(iii) emissione e protezione di codici identificativi;  

(iv) requisiti di complessità delle password (lunghezza minima, scadenza, ecc.); e

(v) protezione da accessi esterni tramite un firewall standard del settore.  

(j) Controllo degli accessi ad aree specifiche in cui si trovano i sistemi di elaborazione dati. Misure atte a garantire che solo le persone autorizzate a usare i sistemi di elaborazione dati possano accedere ai dati nell'ambito ed entro i limiti dei rispettivi permessi di accesso (autorizzazioni) e che i Dati personali del cliente non possano essere letti, copiati, modificati o rimossi senza autorizzazione; tra queste misure rientrano:

(i) attuazione di politiche vincolanti per i dipendenti e formazione di ciascun dipendente sui rispettivi diritti di accesso ai Dati personali del  cliente;

(ii) azioni disciplinari efficaci e commisurate nei confronti di persone che accedono ai Dati personali del cliente senza autorizzazione; 

(iii) rilascio dei dati solo a persone autorizzate; 

(iv) attuazione dei principi di accesso con privilegi minimi alle informazioni contenenti i Dati personali del cliente basati rigorosamente sui requisiti del "need to know"; 

(v) gestione della rete di produzione e dell'accesso ai dati regolata da VPN, autenticazione a due fattori e controlli di accesso basati sul ruolo;

(vi) registrazione delle informazioni da parte di sistemi applicativi e di infrastruttura in strutture gestite centralmente a scopo di ricerca e risoluzione dei problemi, controlli della sicurezza e analisi; e 

(vii) criteri per la conservazione delle copie di backup che sono conformi alle leggi vigenti e appropriati alla natura dei dati in questione e ai corrispondenti rischi.

(k) Controllo delle trasmissioni. Procedure atte a evitare che i Dati personali del cliente siano letti, copiati, alterati o eliminati da soggetti non autorizzati durante la loro trasmissione o durante il trasporto dei supporti su cui sono memorizzati; tali procedure sono finalizzate anche a garantire la possibilità di verificare e stabilire a quali organismi è previsto il trasferimento dei Dati personali del cliente per mezzo delle strutture di trasmissione dati; tra esse rientrano: 

(i) utilizzo di firewall e tecnologie di crittografia per proteggere i gateway e le pipeline attraverso cui viaggiano i dati;

(ii) implementazione di connessioni VPN per salvaguardare la connessione alla rete aziendale interna;

(iii) monitoraggio costante dell'infrastruttura (per esempio ICMP-Ping a livello di rete, analisi dello spazio su disco a livello di sistema, consegna di specifiche pagine di prova a livello di applicazione); e

(iv) monitoraggio della completezza e correttezza del trasferimento di dati (controllo end-to-end). 

(l) Controllo dell'archiviazione. Quando i Dati personali del cliente vengono archiviati, ne viene eseguita una copia di backup in forma crittografata come previsto dalle apposite procedure di backup e recupero, utilizzando una soluzione di crittografia per uso commerciale; analogamente, vengono crittografati tutti i dati definiti Dati personali del cliente memorizzati su un qualsiasi dispositivo portatile o laptop o su un supporto di memoria portatile . Saranno impiegate soluzioni di crittografia con chiave non inferiore a 128 bit per la crittografia simmetrica e non inferiore a 1024 bit (o più) per la crittografia asimmetrica;

(m) Controllo dei dati inseriti. Misure destinate a garantire la possibilità di verificare e stabilire se e da chi i Dati personali del cliente sono stati inseriti nei sistemi di elaborazione dati o rimossi; tra esse rientrano:

(i) autenticazione dei membri del personale autorizzati;

(ii) misure protettive per l'immissione dei dati in memoria e per la lettura, alterazione ed eliminazione dei dati memorizzati;

(iii) utilizzo di codici utente (password);

(iv) prova dell'autorizzazione all'immissione stabilita all'interno dell'organizzazione dell'importatore di dati; e

(v) garanzia di blocco degli ingressi alle strutture in cui avviene l'elaborazione dei dati (le stanze in cui sono collocati i computer fisici e le relative apparecchiature).

(n) Controllo della disponibilità. Misure finalizzate a garantire la protezione dei Dati personali del cliente da distruzione o perdita accidentale, ivi compresa la ridondanza dell'infrastruttura e i backup regolari eseguiti sui server dei database. 

(o) Segregazione del trattamento. Procedure atte a garantire che i dati raccolti per finalità diverse possano essere trattati separatamente; tra esse rientrano:

(i) separazione dei dati tramite sicurezza delle applicazioni per gli utenti appropriati;

(ii) memorizzazione dei dati, a livello di database, in tabelle diverse, separate dal modulo o dalla funzione che supportano;

(iii) progettazione di interfacce, processi batch e report solo per scopi e funzioni specifici, cosicché i dati raccolti per finalità specifiche vengano trattati separatamente; e

(iv) esclusione dei dati dinamici dall'utilizzo per scopi di test: a tale scopo possono essere utilizzati solo i dati fittizi appositamente generati.

(p) Programma di gestione delle vulnerabilità. Un programma che garantisce il controllo regolare dei sistemi per rilevare eventuali vulnerabilità e porvi tempestivamente rimedio; questo programma comprende:

(i) scansione periodica di tutte le reti, compresi gli ambienti di test e produzione; e 

(ii) svolgimento di test di penetrazione periodici e correzione tempestiva delle eventuali vulnerabilità.

(q) Distruzione dei dati. In caso di scadenza o risoluzione del Contratto da una delle parti, o altrimenti su richiesta del Cliente a seguito della richiesta da parte di un soggetto interessato o un ente normativo: 

(i) tutti i Dati del cliente saranno distrutti in modo sicuro entro 3 mesi; e

(ii) tutti i Dati del cliente saranno eliminati da tutti i dispositivi di archiviazione di SurveyMonkey e/o di soggetti terzi, compresi i backup, entro 6 mesi dalla risoluzione o ricevuta della richiesta da parte del Cliente, eccezion fatta nel caso in cui SurveyMonkey sia tenuta per legge a conservare una categoria di dati per un periodo più lungo. SurveyMonkey si impegna a distruggere tutti i dati non più necessari in maniera da garantire che gli stessi non possano più essere recuperati.

(r) Standard e certificazioni. Le soluzioni e/o le posizioni di archiviazione dei dati dispongono come minimo dei report SOC 1 (SSAE 16) o SOC 2; certificazioni o livelli di sicurezza simili o equivalenti saranno esaminati caso per caso.

(s) Controllo in loco. Tutti i dipendenti e gli eventuali terzisti che lavorano in presenza presso le sedi del cliente dovranno attenersi a qualsivoglia ragionevole regola, regolamento, prassi e procedura (comprese, per esempio, le disposizioni relative alla sicurezza) prescritta in generale dal cliente e utilizzare le proprietà del cliente unicamente per gli scopi stabiliti nel contratto loro applicabile, impegnandosi a restituire dette proprietà al cliente non appena completati i servizi in questione.

(t) Strategia relativa alla qualità dei dati. SurveyMonkey mette in atto una strategia volta a preservare un adeguato standard di qualità dei dati e correggere eventuali dati errati o incompleti "by design", cioè già in fase di ingegnerizzazione.  SurveyMonkey conserva gli hash crittografici di determinati dati di produzione e i registri delle modifiche dei dati di dominio per monitorare e tenere traccia delle modifiche.  Abbiamo messo in atto delle procedure che consentono agli utenti di correggere i propri dati personali o di revocare il consenso al trattamento degli stessi, come pure di correggere problemi relativi ai dati che si verificano all'interno del sistema.

(i) SurveyMonkey raccoglie dai clienti informazioni accurate, pertinenti e complete al fine di permettere le loro operazioni commerciali. 

(ii) SurveyMonkey conserva i dati in base alle disposizioni e ai termini temporali fissati nelle politiche relative al ciclo di vita, consentendo coerentemente l'accesso ai dati. 

(iii) Lo standard di qualità dei dati può variare da cliente a cliente, in base ai rispettivi casi d'uso. 

(u) Privacy by design. SurveyMonkey ha adottato politiche e procedure volte realizzare la cosiddetta "privacy by design".  L'ambito di tutti i dati all'interno del sistema è definito in base all'accesso adeguato, definito "by policy", e il rispettivo ciclo di vita viene rispettato "by policy", cioè secondo le disposizioni contenute nelle politiche.  Tutti i sistemi connessi alla produzione dispongono di default di meccanismi di minimizzazione e pseudo-anonimizzazione dei dati, nell'ottica di prevenire problemi di privacy e sicurezza piuttosto che porvi rimedio successivamente.  

(i) La protezione dei dati è un aspetto che prendiamo in considerazione già in fase di progettazione e implementazione dei sistemi, dei servizi, dei prodotti e delle procedure commerciali, trattando la privacy dei dati come una funzione fondamentale del nostro servizio. 

(ii) Prevediamo i rischi e gli eventi lesivi della privacy prima che accadano, adottando provvedimenti atti a prevenire i danni che questi possono provocare alle persone.

(iii) Trattiamo soltanto i dati personali necessari per conseguire i nostri scopi e li utilizziamo unicamente per dette finalità. 

(iv) Ci assicuriamo che i dati personali vengano protetti automaticamente in qualsiasi sistema informatico, servizio, prodotto e/o nell'ambito di qualunque pratica commerciale, cosicché le persone non debbano eseguire azioni specifiche per tutelare la propria privacy.

(v) Mettiamo a disposizione efficaci impostazioni predefinite per la privacy, offrendo opzioni e controlli intuitivi, e rispettiamo le preferenze degli utenti.

(vi) Ci avvaliamo di responsabili del trattamento che forniscono garanzie sufficienti relative alle proprie misure tecniche e organizzative di protezione dei dati "by design". 

(vii) Se nell'ambito delle nostre attività di trattamento dei dati utilizziamo altri sistemi, servizi o prodotti, ci assicuriamo di utilizzare solo quelli di progettisti e produttori che tengono conto dei problemi legati alla privacy dei dati. 

(v) Test sulla postura di sicurezza dei dati. SurveyMonkey si impegna a testare la postura di sicurezza dei dati almeno una volta all'anno attraverso un pen test eseguito tramite uno strumento standard del settore (per esempio BurpScanner), o in alternativa ricorrendo al servizio o alla consulenza di un soggetto terzo certificato. 

(x) Strategia di prevenzione della perdita di dati. SurveyMonkey si serve di iniziative di formazione e training come strategia di prevenzione della perdita di dati.  L'accesso ai dati memorizzati nel sistema è circoscritto e minimizzato per evitare che gli utenti possano accedervi senza necessità.  Nell'ambito della formazione annuale di aggiornamento sulla sicurezza, tutti gli utenti sono tenuti a sottoscrivere le politiche che disciplinano l'accesso adeguato ai dati dei clienti. 

(y) Misure tecniche di sicurezza. SurveyMonkey è una società distribuita, pertanto non dispone di firewall aziendali interni o di sistemi antintrusione per la propria rete interna.  Qualsiasi accesso alle risorse aziendali deve essere effettuato tramite canali crittografati.  Tutte le risorse aziendali devono essere conservate all'interno di sistemi con MFA. 

Finalità e natura del trattamento dei dati personali, Categorie di dati personali, Soggetti interessati 

ALLEGATI ALLE Clausole contrattuali standard

ALLEGATO I -

A. ELENCO DELLE PARTI

MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento

MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento

MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento

Esportatori di dati: come indicato nel Contratto

Nome, posizione e dati di contatto della persona di riferimento: come indicato nel Contratto

Attività relative ai dati trasferiti in base alle presenti Clausole: come indicato nell'Appendice 2 del DPA

Importatori di dati: come indicato nel Contratto

Nome: come indicato nel Contratto

Nome, posizione e dati di contatto della persona di riferimento: come indicato nel Contratto

Attività relative ai dati trasferiti in base alle presenti Clausole: come indicato nell'Appendice 2 del DPA

B. DESCRIZIONE DEL TRASFERIMENTO

MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento

MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento

MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento

Categorie di interessati i cui dati personali sono oggetto di trasferimento: come indicato nell'Appendice 2 del DPA

Categorie di dati personali trasferiti: come indicato nell'Appendice 2 del DPA

Dati sensibili trasferiti (se applicabile) e restrizioni o tutele applicate che tengono pienamente conto della natura dei dati e dei rischi implicati, quali, per esempio, rigorosa limitazione delle finalità, restrizioni all'accesso (fra cui accesso consentito solo al personale che ha ricevuto un training specializzato), tenuta di un registro degli accessi ai dati, limitazioni al trasferimento successivo o ulteriori misure di sicurezza: come indicato nelle Appendici 1 e 2 del DPA

La frequenza del trasferimento (per esempio se i dati vengono trasferiti occasionalmente o in modo continuo): occasionale e continuo (a seconda dell'utilizzo dei Servizi)

Natura del trattamento: come indicato nell'Appendice 2 del DPA

Finalità del trasferimento dei dati e ulteriore trattamento: come indicato nell'Appendice 2 del DPA

Il periodo di conservazione dei dati personali o, ove non sia possibile, i criteri usati per stabilire tale periodo: come indicato nel Contratto e come dichiarato qui

In relazione ai trasferimenti a (sub) incaricati, specificare anche l'oggetto, la natura e la durata del trattamento: Vedere qui.

C. AUTORITÀ DI CONTROLLO COMPETENTE

Identificare le autorità di controllo competenti conformemente alla clausola 13: Irlanda

ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE INDICATE NELL'APPENDICE 1 DEL DPA

ALLEGATO III – ELENCO DEI SUBINCARICATI

MODULO DUE: Trasferimento da titolare del trattamento a responsabile del trattamento

MODULO TRE: Trasferimento da responsabile del trattamento a responsabile del trattamento

MODULO QUATTRO: Trasferimento da responsabile del trattamento a titolare del trattamento. Il cliente ha autorizzato l'impiego dei seguenti subincaricati: Vedere qui.

INTEGRAZIONE PER IL REGNO UNITO 

1. 1. In relazione ai dati trasferiti soggetti alle disposizioni del regolamento GDPR del Regno Unito, con il presente le parti stipulano l'Integrazione per il Regno Unito (copia della quale è accessibile qui), la quale viene incorporata per riferimento nel presente Contratto. Per i trasferimenti di dati soggetti al GDPR del Regno Unito, qualsiasi riferimento all'"autorità di controllo competente" e ai "tribunali competenti" deve essere interpretato come riferimento all'autorità di protezione dei dati e ai tribunali pertinenti nel Regno Unito. 

2. Le parti accettano che il formato e il contenuto delle tabelle riportate nella Parte 1 dell'Integrazione per il Regno Unito saranno modificate e sostituite con la tabella sottostante.

3. In caso di conflitto o incoerenza tra il presente Contratto e l'Integrazione per il Regno Unito, sarà quest'ultima ad avere la precedenza e regolare il conflitto o l'incoerenza in questione.