Accordo sul trattamento dei dati (DPA) di Ultralytics
Esamina l'Accordo sul trattamento dei dati di Ultralytics che copre la gestione dei dati personali, le misure di sicurezza e la conformità alle leggi sulla protezione dei dati dell'UE e del Regno Unito.
Il presente Accordo di Elaborazione Dati ("DPA") è incorporato e costituisce parte integrante (i) dei Termini di Servizio di Ultralytics e/o (ii) di qualsiasi modulo d'ordine, contratto aziendale o altro accordo scritto applicabile che faccia riferimento al presente DPA (ciascuno, l'"Accordo") tra il cliente ("Cliente", "tu") e Ultralytics, Inc. ("Ultralytics", "Società", "noi").
Il presente DPA riflette l'accordo tra le parti in merito a:
- (A) Termini da Titolare a Responsabile: il Trattamento da parte di Ultralytics dei Dati Personali del Cliente in qualità di Responsabile (o sub-responsabile laddove il Cliente sia Responsabile) per conto del Cliente in relazione ai Servizi; e
- (B) Termini da Titolare a Titolare: il Trattamento da parte di ciascuna parte dei Dati Personali del Titolare in qualità di Titolare autonomo, esclusivamente nella misura descritta nella Sezione 10.
Il presente DPA rimane in vigore per la durata dell'Accordo e per tutto il periodo in cui Ultralytics Tratta i Dati Personali del Cliente per conto del Cliente.
Il presente DPA si applica esclusivamente al Trattamento dei Dati Personali del Cliente da parte di Ultralytics all'interno della Piattaforma Ultralytics. Per evitare ogni dubbio, il presente DPA non si applica all'uso, alla distribuzione o al funzionamento da parte del Cliente dei modelli open-source YOLO di Ultralytics al di fuori della Piattaforma Ultralytics, che viene condotto sotto l'esclusiva responsabilità del Cliente.
Ultralytics può aggiornare il presente DPA di volta in volta per riflettere modifiche alla legge, alla guida normativa o ai Servizi, con effetto dalla data di pubblicazione, a condizione che gli aggiornamenti non riducano sostanzialmente le tutele della privacy per i Dati Personali del Cliente senza il consenso del Cliente (tranne laddove richiesto dalla legge applicabile).
Link to this sectionDefinizioni#
"Affiliata" indica qualsiasi entità che controlla direttamente o indirettamente, è controllata da, o è sotto controllo comune con una parte, dove per "controllo" si intende la proprietà di oltre il 50% dei diritti di voto.
"Tutele Appropriate" indica quei meccanismi legalmente applicabili per i trasferimenti di Dati Personali come consentito dalle Leggi sulla Protezione dei Dati applicabili, in particolare, ma non limitatamente a, l'Articolo 46 del GDPR.
"Sub-responsabile" indica qualsiasi Responsabile incaricato da Ultralytics o dalle sue Affiliate per Trattare i Dati Personali del Cliente per conto di Ultralytics in relazione ai Servizi.
"Dati dell'Account della Società" indica i dati personali relativi al rapporto della Società con il Cliente, inclusi i nomi o le informazioni di contatto degli individui autorizzati dal Cliente ad accedere all'account del Cliente e le informazioni di fatturazione degli individui che il Cliente ha associato al proprio account. I Dati dell'Account della Società includono anche tutti i dati che la Società potrebbe dover raccogliere allo scopo di gestire il proprio rapporto con il Cliente, la verifica dell'identità o come altrimenti richiesto dalle leggi e dai regolamenti applicabili.
"Dati di Utilizzo della Società" indica i dati di utilizzo del Servizio raccolti ed elaborati dalla Società in relazione alla fornitura dei Servizi, inclusi, senza limitazione, i dati utilizzati per identificare la fonte e la destinazione di una comunicazione, i log delle attività e i dati utilizzati per ottimizzare e mantenere le prestazioni dei Servizi, nonché per indagare e prevenire l'abuso del sistema.
"Dati del Cliente" indica qualsiasi dato, contenuto, materiale, file o informazione (inclusi dataset, immagini, video, annotazioni, etichette, metadati, input e output di modelli e altri contenuti) che il Cliente o i suoi utenti autorizzati caricano, inviano tramite, trasmettono a, o rendono altrimenti disponibile per il Trattamento in relazione ai Servizi, inclusi tutti i dati generati per il Cliente tramite l'uso dei Servizi da parte del Cliente.
"Violazione dei Dati Personali del Cliente" indica una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illegale ai Dati Personali del Cliente Trattati da Ultralytics o dai suoi Sub-responsabili in relazione ai Servizi. La Violazione dei Dati Personali del Cliente non include tentativi o attività non riusciti che non compromettono i Dati Personali del Cliente (ad esempio, tentativi di accesso non riusciti, scansioni di porte, attacchi denial-of-service o altri attacchi a firewall o sistemi in rete).
"Leggi sulla Protezione dei Dati" indica tutte le leggi applicabili relative alla privacy e alla protezione dei dati che si applicano al Trattamento dei Dati Personali da parte di una parte ai sensi dell'Accordo, incluso (ove applicabile) il GDPR, il GDPR del Regno Unito, la LPD svizzera, ePrivacy/PECR, il CCPA/CPRA e altre leggi sulla privacy degli stati degli Stati Uniti applicabili.
"GDPR" indica il Regolamento (UE) 2016/679; "GDPR del Regno Unito" indica il GDPR come incorporato nella legge del Regno Unito; "LPD svizzera" indica la Legge federale svizzera sulla protezione dei dati (come rivista). "Istruzioni" indica le istruzioni documentate del Cliente a Ultralytics riguardanti il Trattamento dei Dati Personali del Cliente, come descritto nella Sezione 2.2.
"SCC" indica le clausole contrattuali standard dell'UE (Decisione 2021/914); "Addendum del Regno Unito" indica l'Addendum sul trasferimento internazionale dei dati dell'ICO. Altri termini in maiuscolo hanno i significati attribuiti nelle Leggi sulla Protezione dei Dati e/o nell'Accordo.
"Servizi" indica i servizi e le funzionalità messi a disposizione da Ultralytics al Cliente ai sensi dell'Accordo, inclusi la Piattaforma Ultralytics e qualsiasi supporto, amministrazione e documentazione correlati, come ulteriormente descritto nell'Accordo.
"Piattaforma Ultralytics" indica l'ambiente software-as-a-service basato su cloud di Ultralytics tramite il quale i Clienti possono caricare, gestire, annotare e versionare dataset; addestrare, valutare, confrontare, esportare e distribuire modelli di visione artificiale; gestire progetti e utenti; e accedere a funzionalità e supporto correlati, e tramite il quale Ultralytics Tratta i Dati Personali del Cliente per conto del Cliente in conformità con il presente DPA.
"Modelli Open-Source YOLO di Ultralytics" indica i modelli di visione artificiale open-source e il relativo codice sorgente messi a disposizione da Ultralytics con licenze open-source applicabili, che i Clienti possono scaricare, distribuire, ospitare e utilizzare autonomamente nei propri ambienti. Per chiarezza, laddove i Clienti distribuiscano o utilizzino i Modelli Open-Source YOLO di Ultralytics al di fuori della Piattaforma Ultralytics, Ultralytics non Tratta Dati Personali per conto del Cliente ai sensi del presente DPA.
Link to this sectionResponsabilità del Cliente#
2.1 Conformità alle Leggi. Il Cliente è responsabile della conformità alle Leggi sulla Protezione dei Dati in relazione al suo Trattamento dei Dati Personali e al suo utilizzo dei Servizi, inclusa la fornitura delle informative richieste e l'ottenimento di eventuali consensi e autorizzazioni necessari.
2.2 Istruzioni. L'Accordo (incluso il presente DPA), insieme alla configurazione e all'utilizzo dei Servizi da parte del Cliente in conformità con l'Accordo, costituiscono le Istruzioni complete del Cliente a Ultralytics per il Trattamento dei Dati Personali del Cliente. Il Cliente può fornire Istruzioni aggiuntive durante la durata del contratto, a condizione che siano coerenti con l'Accordo e i Servizi. Se Ultralytics ritiene ragionevolmente che le Istruzioni aggiuntive richiedano modifiche sostanziali o oneri, le parti discuteranno in buona fede.
2.3 Dati Vietati. Salvo quanto espressamente concordato per iscritto dalle parti (incluso l'accordo su tutele aggiuntive richieste dalle Leggi sulla Protezione dei Dati applicabili), il Cliente non fornirà, invierà tramite, o renderà altrimenti disponibile a Ultralytics alcuna Categoria Particolare di Dati Personali ai sensi dell'Articolo 9 del GDPR (o equivalente), o dati relativi a condanne penali o reati ai sensi dell'Articolo 10 del GDPR.
A titolo esemplificativo e senza limitazione, i Dati Vietati includono:
- numeri di identificazione rilasciati dal governo (come numeri di passaporto, numeri di identificazione nazionale o numeri di previdenza sociale);
- informazioni sulla salute o mediche, inclusi identificatori biometrici utilizzati allo scopo di identificare univocamente una persona fisica;
- informazioni riguardanti l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale di un individuo;
- dati genetici o dati biometrici trattati allo scopo di identificare univocamente una persona fisica;
- dati personali relativi a minori, laddove limitati dalle Leggi sulla Protezione dei Dati applicabili;
- e dati relativi a condanne penali, presunta condotta criminale o attività delle forze dell'ordine.
Inoltre, i Servizi non sono destinati a elaborare altri dati che richiedono una maggiore protezione ai sensi delle Leggi sulla Protezione dei Dati applicabili, come dati di carte di pagamento, numeri di conto bancario o geolocalizzazione precisa. Il Cliente è l'unico responsabile di garantire che dataset, immagini, video, annotazioni, etichette, metadati o altri contenuti caricati o elaborati tramite i Servizi non includano Dati Vietati. Qualsiasi Trattamento di Dati Vietati in violazione della presente Sezione costituisce una violazione sostanziale del presente DPA.
2.4 Dati Inappropriati; Manleva. Il Cliente è l'unico responsabile della legalità dei Dati Personali del Cliente forniti a Ultralytics e di garantire che siano appropriati per i Servizi. Il Cliente difenderà e terrà indenne Ultralytics da e contro qualsiasi pretesa di terzi derivante dalla fornitura da parte del Cliente di Dati Personali ai Servizi in violazione dell'Accordo, del presente DPA o delle Leggi sulla Protezione dei Dati applicabili.
Link to this sectionObblighi di Ultralytics come Responsabile#
3.1 Limitazione delle Finalità. Ultralytics Tratterà i Dati Personali del Cliente solo (a) per fornire i Servizi in conformità con l'Accordo e l'Allegato A, (b) in conformità con le Istruzioni del Cliente e (c) come richiesto dalla legge applicabile. Ultralytics non utilizzerà i Dati Personali del Cliente o i Dati del Cliente per addestrare, migliorare o sviluppare i modelli generali o commercialmente disponibili di Ultralytics, salvo laddove espressamente istruita dal Cliente per iscritto o tramite i Servizi.
3.2 Conflitto di Leggi. Se Ultralytics viene a conoscenza di non poter Trattare i Dati Personali del Cliente in conformità con le Istruzioni a causa di un requisito legale, Ultralytics (nella misura consentita dalla legge) informerà il Cliente e, ove necessario, sospenderà il Trattamento interessato (diverso dalla conservazione sicura) finché il Cliente non fornirà Istruzioni conformi.
3.3 Riservatezza del Personale. Ultralytics garantirà che le persone autorizzate a trattare i Dati Personali del Cliente siano vincolate da obblighi di riservatezza. Il Cliente accetta che Ultralytics possa divulgare i Dati Personali del Cliente ai propri consulenti professionali e revisori nella misura ragionevolmente richiesta in relazione all'esecuzione dell'Accordo/DPA, soggetti a obblighi di riservatezza.
3.4 Sub-trattamento. Ultralytics può incaricare Sub-responsabili in conformità con la Sezione 5 e rimane responsabile per l'adempimento da parte loro di obblighi equivalenti.
3.5 Cancellazione / Restituzione. Al termine dei Servizi, Ultralytics cancellerà o restituirà i Dati Personali del Cliente in conformità con l'Accordo e l'Allegato A, a meno che la conservazione non sia richiesta dalla legge. La certificazione di cancellazione ai sensi delle SCC sarà fornita su richiesta del Cliente.
Link to this sectionDiritti dell'Interessato (o Consumatore)#
4.1 Richiesta dell'Interessato (o Consumatore). Ultralytics dovrà, nella misura legalmente consentita, informare il Cliente presso il contatto principale nell'account senza indebito ritardo se Ultralytics riceve una richiesta da un Interessato (o Consumatore) di esercitare il diritto di accesso (o divulgazione), il diritto di rettifica, la limitazione del Trattamento, la cancellazione (o eliminazione o il "diritto all'oblio"), la portabilità dei dati, l'opposizione al Trattamento, o il diritto di non essere soggetto a un processo decisionale individuale automatizzato ("Richiesta dell'Interessato (o Consumatore)").
4.2 Assistenza. Tenendo conto della natura del Trattamento, Ultralytics fornirà assistenza ragionevole al Cliente per rispondere alle richieste di esercizio dei diritti dell'Interessato ai sensi delle Leggi sulla Protezione dei Dati, nella misura in cui il Cliente non possa soddisfare la richiesta utilizzando la funzionalità del Servizio disponibile.
4.3 DPIA; Consultazione Preventiva. Tenendo conto della natura del Trattamento e delle informazioni disponibili a Ultralytics, Ultralytics fornirà assistenza ragionevole al Cliente con (i) valutazioni di impatto sulla protezione dei dati e (ii) la consultazione e/o cooperazione del Cliente con le autorità di vigilanza, in ogni caso laddove richiesto dalle Leggi sulla Protezione dei Dati e laddove il Cliente non abbia altrimenti accesso alle informazioni pertinenti. Salvo laddove richiesto dalle Leggi sulla Protezione dei Dati o in relazione a una Violazione dei Dati Personali del Cliente, il Cliente non richiederà tale assistenza più di una volta in un periodo di dodici (12) mesi. Il Cliente rimborserà i costi e le spese ragionevoli di Ultralytics sostenuti per fornire tale assistenza, laddove consentito dalla legge.
Link to this sectionSub-responsabili#
5.1 Autorizzazione Generale. Il Cliente concede a Ultralytics un'autorizzazione generale scritta a incaricare Sub-responsabili per Trattare i Dati Personali del Cliente per i Servizi.
5.2 Elenco e Avviso. Un elenco dei sub-responsabili del trattamento attuali è disponibile all'indirizzo Ultralytics Sub-Processor List (l'"Elenco"). Ultralytics fornirà un meccanismo per iscriversi alle notifiche di aggiornamento dell'Elenco e comunicherà i nuovi sub-responsabili del trattamento almeno dieci (10) giorni prima di autorizzarli a trattare i Dati Personali del Cliente. Il Cliente è responsabile dell'iscrizione a tali notifiche ove disponibili; se il Cliente non si iscrive, riconosce che potrebbe non ricevere preavviso tramite tale meccanismo. In tutti i casi, gli aggiornamenti dell'Elenco costituiranno notifica delle modifiche ai sub-responsabili del trattamento. Il Cliente riconosce che alcuni sub-responsabili del trattamento sono essenziali per la fornitura dei Servizi e che opporsi all'utilizzo di un sub-responsabile del trattamento potrebbe impedire alla Società di offrire i Servizi al Cliente.
Per chiarezza, le Affiliate di Ultralytics coinvolte nella fornitura dei Servizi, tra cui Ultralytics Ltd (UK) e Ultralytics AI Spain, S.L., possono agire come Sub-responsabili infragruppo laddove Trattino i Dati Personali del Cliente per conto di Ultralytics Inc. in relazione ai Servizi.
5.3 Opposizione a Nuovi Sub-responsabili. Il Cliente può opporsi per iscritto all'incarico di un nuovo Sub-responsabile per ragionevoli motivi di protezione dei dati secondo la Sezione 5.2. Se Ultralytics non può ragionevolmente risolvere l'opposizione del Cliente, il Cliente può interrompere il Servizio interessato tramite avviso scritto, senza sollevare il Cliente dal pagamento di eventuali commissioni maturate prima di tale interruzione.
5.4 Disposizioni a cascata. Ultralytics incaricherà i Sub-responsabili solo dopo aver condotto un'adeguata due diligence basata sul rischio per valutare se il Sub-responsabile sia in grado di fornire un livello di protezione appropriato per i Dati Personali del Cliente in conformità con le Leggi sulla Protezione dei Dati applicabili, e monitorerà periodicamente i Sub-responsabili come parte del suo programma di gestione dei fornitori. Ultralytics garantirà che i suoi Sub-responsabili siano soggetti a obblighi di protezione dei dati materialmente equivalenti a, o più protettivi di, quelli stabiliti nel presente DPA. Su richiesta del Cliente, Ultralytics fornirà copie (che potrebbero essere oscurate per riservatezza) dei termini pertinenti di protezione dei dati dei Sub-responsabili come richiesto ai sensi delle SCC.
Link to this sectionSicurezza#
6.1 Misure. Tenendo conto dello stato dell'arte, della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, Ultralytics implementerà e manterrà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato a tale rischio, in conformità con le Leggi sulla Protezione dei Dati applicabili, incluso l'Articolo 32 del GDPR. Queste misure sono descritte nell'Allegato C, che Ultralytics può aggiornare di volta in volta, a condizione che tale aggiornamento non riduca sostanzialmente il livello generale di protezione per i Dati Personali del Cliente.
6.2 Responsabilità del Cliente. Nonostante quanto sopra, il Cliente riconosce che, salvo quanto espressamente previsto nel presente DPA, il Cliente è responsabile del suo utilizzo sicuro dei Servizi, inclusa la protezione delle credenziali di autenticazione del proprio account, la configurazione appropriata dei controlli di accesso e la garanzia che i propri utenti accedano e utilizzino i Servizi in modo coerente con le Leggi sulla Protezione dei Dati applicabili e le funzionalità di sicurezza messe a disposizione da Ultralytics.
Link to this sectionAudit del Cliente e Dimostrazione di Conformità#
7.1 Documentazione. Su ragionevole richiesta, Ultralytics metterà a disposizione le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA (inclusi gli attuali rapporti di audit di terze parti o certificazioni, ove disponibili). Ultralytics manterrà registri sufficienti a dimostrare la conformità al presente DPA e conserverà tali registri per un periodo ragionevole a seguito della risoluzione (ad esempio, tre (3) anni), a meno che un periodo più lungo non sia richiesto dalla legge.
7.2 Audit. Laddove le Leggi sulla Protezione dei Dati lo richiedano e la documentazione sia insufficiente, il Cliente può, previo ragionevole avviso scritto e a proprie spese, richiedere un audit o un'ispezione dei sistemi e dei processi pertinenti di Ultralytics. Qualsiasi audit o ispezione di questo tipo sarà condotto solo dopo un mutuo accordo scritto tra le parti sull'ambito, la tempistica e la durata dell'audit, nonché su qualsiasi tasso di rimborso ragionevole per il tempo e le risorse di Ultralytics spesi in relazione all'audit. Qualsiasi audit condotto ai sensi della presente Sezione dovrà:
- (a) verificarsi non più di una volta in un periodo di dodici (12) mesi;
- (b) avvenire durante il normale orario lavorativo di Ultralytics;
- (c) essere soggetto a ragionevoli controlli di riservatezza, sicurezza e incolumità; e
- (d) essere limitato ai sistemi e ai registri ragionevolmente pertinenti al Trattamento dei Dati Personali del Cliente.
Il Cliente informerà prontamente Ultralytics di qualsiasi non conformità sostanziale identificata durante un audit per consentire a Ultralytics una ragionevole opportunità di risolvere tali riscontri.
Link to this sectionViolazioni dei Dati Personali#
8.1 Avviso. Ultralytics informerà il Cliente senza indebito ritardo ma non oltre 72 ore dopo essere venuta a conoscenza di una Violazione dei Dati Personali del Cliente.
8.2 Assistenza. Ultralytics fornirà assistenza ragionevole per le notifiche richieste dal Cliente alle autorità di regolamentazione e agli Interessati interessati, tenendo conto delle informazioni disponibili a Ultralytics.
8.3 Nessuna Ammissione. La notifica di violazione non costituisce un'ammissione di colpa o responsabilità. L'obbligo di notifica della violazione non si applica nella misura in cui una Violazione dei Dati Personali del Cliente sia causata dalle azioni o omissioni del Cliente o dei suoi utenti.
Link to this sectionTrasferimenti (UE/Regno Unito/Svizzera)#
9.1 Trasferimenti Internazionali. Il Cliente riconosce che le operazioni di trattamento primarie di Ultralytics possono avvenire negli Stati Uniti e in altre località come necessario per fornire i Servizi.
Per chiarezza, i Dati Personali del Cliente possono essere trasferiti anche tra Ultralytics Inc. e le sue Affiliate (inclusi Ultralytics Ltd (UK) e Ultralytics AI Spain, S.L.) laddove tali Affiliate agiscano come Sub-responsabili in relazione ai Servizi. Laddove tali trasferimenti si qualifichino come trasferimenti internazionali ai sensi delle Leggi sulla Protezione dei Dati applicabili, essi saranno soggetti a Tutele Appropriate, incluse le SCC (Modulo 3, ove applicabile) o altri meccanismi di trasferimento validi.
Laddove sia richiesto il trasferimento di Dati Personali del Cliente verso un paese che non è stato riconosciuto come fornitore di un livello adeguato di protezione dei dati, tali trasferimenti saranno effettuati soggetti a Tutele Appropriate in conformità con le Leggi sulla Protezione dei Dati applicabili, incluse, ove applicabile, le SCC e l'Addendum del Regno Unito come incorporato nel presente DPA.
9.2 SCC dell'UE. Per i trasferimenti di Dati Personali del Cliente soggetti al GDPR verso un paese terzo senza adeguatezza, le parti incorporano le SCC dell'UE. Il Modulo Due (Titolare→Responsabile) si applica laddove il Cliente sia un Titolare; il Modulo Tre (Responsabile→Sub-responsabile) si applica laddove il Cliente sia un Responsabile. Gli allegati delle SCC vengono completati utilizzando l'Allegato B (Allegato I/III) e l'Allegato C (Allegato II).
9.3 Addendum del Regno Unito. Per i trasferimenti soggetti al GDPR del Regno Unito, le parti incorporano l'Addendum del Regno Unito, completato facendo riferimento all'Allegato B/C e alla selezione del meccanismo di trasferimento applicabile.
9.4 Svizzera. Per i trasferimenti svizzeri, si applicano le SCC dell'UE con le modifiche standard svizzere (i riferimenti al GDPR includono la LPD svizzera; l'IFPD come autorità competente, ecc.), completati facendo riferimento agli Allegati.
9.5 Richieste di Accesso Governativo. Ultralytics gestirà le richieste legalmente vincolanti di Dati Personali del Cliente in modo coerente con la legge applicabile e le SCC, inclusa (laddove legalmente consentito) la notifica al Cliente e una cooperazione ragionevole.
Link to this sectionTermini da Titolare a Titolare (Account / Utilizzo / Operazioni di Sicurezza di Ultralytics)#
10.1 Ambito. Questa Sezione si applica al Trattamento dei Dati Personali del Titolare da parte di ciascuna parte in qualità di Titolare autonomo (non contitolari), incluso il Trattamento da parte di Ultralytics dei Dati dell'Account della Società e dei Dati di Utilizzo della Società.
10.2 Obblighi del Titolare Autonomo. Ciascuna parte:
- (a) Tratterà i Dati Personali del Titolare in conformità con le Leggi sulla Protezione dei Dati;
- (b) implementerà una sicurezza appropriata; e
- (c) risponderà alle comunicazioni normative relative al proprio Trattamento.
10.3 Trattamento in qualità di Titolare da parte di Ultralytics. Ultralytics Tratta i Dati dell'Account della Società e i Dati di Utilizzo della Società in qualità di Titolare per: amministrazione dell'account, fatturazione, monitoraggio della sicurezza e prevenzione degli abusi, verifica dell'identità, conformità legale, audit/contabilità e operazioni di servizio (incluse prestazioni e affidabilità). Tale Trattamento è descritto nella Privacy Policy di Ultralytics. Nulla nel presente DPA deve essere interpretato come creazione di un rapporto di contitolarità tra le parti.
Per evitare ogni dubbio, Ultralytics e le sue Affiliate possono trattare dati di contatto aziendali limitati (come nomi, indirizzi email aziendali e dettagli di contatto professionali) nel contesto di attività di sensibilizzazione commerciale, dimostrazioni, partnership e gestione delle relazioni con i clienti in qualità di Titolari autonomi.
Link to this sectionTermini della California (CCPA/CPRA)#
11.1 Fornitore di Servizi / Responsabile. Nella misura in cui si applicano CCPA/CPRA e Ultralytics Tratta i Dati Personali del Cliente per conto del Cliente, Ultralytics agisce come "fornitore di servizi" e/o "responsabile" e non "venderà" né "condividerà" tali informazioni personali.
11.2 Uso Limitato. Ultralytics non conserverà, utilizzerà o divulgherà i Dati Personali del Cliente al di fuori dello scopo commerciale diretto della fornitura dei Servizi, salvo quanto consentito da CCPA/CPRA.
11.3 Discriminazione. Le Parti non devono discriminare un Consumatore perché ha esercitato i propri diritti.
Link to this sectionDisposizioni Generali#
12.1 Limitazione di Responsabilità. Le limitazioni e le esclusioni nell'Accordo si applicano al presente DPA, salvo quanto proibito dalla legge o dalle SCC/Addendum del Regno Unito.
12.2 Separabilità. Qualora una qualsiasi disposizione del presente DPA fosse invalida o inapplicabile, il resto del presente DPA rimarrà valido e in vigore. La disposizione invalida o inapplicabile sarà (i) modificata come necessario per garantirne la validità e l'applicabilità, preservando il più possibile le intenzioni delle Parti o, se ciò non fosse possibile, (ii) interpretata in modo tale come se la parte invalida o inapplicabile non fosse mai stata contenuta ivi.
12.3 Esecuzione del presente DPA. Il presente DPA è incorporato e costituisce parte integrante dell'Accordo. Il Cliente stipula il presente DPA (incluse, ove applicabile, le SCC dell'UE e l'Addendum del Regno Unito) tramite:
- (a) accettazione o consenso a essere vincolato dall'Accordo (incluso facendo clic su "Accetto" o meccanismo simile ai Termini di Servizio),
- (b) esecuzione di un modulo d'ordine, dichiarazione di lavoro o altro accordo scritto che incorpori o faccia riferimento all'Accordo, o
- (c) utilizzo o continuazione dell'utilizzo dei Servizi dopo che il presente DPA è stato reso disponibile dalla Società.
Il Cliente dichiara e garantisce che l'individuo che accetta l'Accordo e/o utilizza i Servizi per conto del Cliente ha l'autorità di vincolare il Cliente e, ove applicabile, le sue Affiliate.
12.4 Contatti. Richieste sulla privacy: privacy@ultralytics.com; DPO: dpo@ultralytics.com; avvisi legali: legal@ultralytics.com.
Link to this sectionParti; Affiliate#
Il Cliente stipula il presente DPA per conto proprio e delle sue Affiliate che sono utenti autorizzati dei Servizi ai sensi dell'Accordo e sono Titolari/Responsabili dei Dati Personali del Cliente ("Affiliate Autorizzate"). Il Cliente dichiara di avere l'autorità di vincolare le Affiliate Autorizzate.
Link to this sectionAllegato A: Dettagli del Trattamento dei Dati Personali#
Natura: Ultralytics fornisce un software basato su cloud e servizi correlati che consentono ai Clienti di accedere e utilizzare prodotti e funzionalità di Ultralytics, inclusi addestramento di modelli, inferenza, gestione dei dataset, flussi di lavoro di distribuzione, nonché supporto e amministrazione correlati ("Servizi"), come descritto nell'Accordo.
Per chiarezza, i Servizi includono la Piattaforma Ultralytics, tramite la quale Ultralytics Tratta i Dati Personali del Cliente per conto del Cliente in conformità con il presente DPA. Separatamente, Ultralytics rende disponibili anche i modelli open-source YOLO di Ultralytics, che i Clienti possono distribuire e utilizzare autonomamente nei propri ambienti. Laddove i Clienti distribuiscano o utilizzino i modelli YOLO di Ultralytics al di fuori della Piattaforma Ultralytics, Ultralytics non Tratta Dati Personali per conto del Cliente e i Clienti sono gli unici responsabili dell'implementazione di misure tecniche e organizzative appropriate, della determinazione delle finalità e dei mezzi del Trattamento e della garanzia della conformità alle Leggi sulla Protezione dei Dati applicabili in relazione a tale distribuzione e utilizzo.
Scopo: Ultralytics elabora i dati personali del cliente per conto del cliente per le seguenti finalità:
- per fornire, gestire, proteggere e supportare i Servizi in conformità con l'Accordo e le istruzioni documentate del cliente;
- per conformarsi ad altre istruzioni ragionevoli e documentate fornite dal cliente, laddove tali istruzioni siano coerenti con l'Accordo e il presente DPA;
- per rispondere alle richieste avviate dal cliente o dai suoi utenti autorizzati durante l'utilizzo dei Servizi (incluse le richieste di assistenza clienti);
- per monitorare, prevenire e rilevare incidenti di sicurezza, frodi, abusi e uso improprio del servizio; e
- per conformarsi agli obblighi di legge applicabili.
Ultralytics non utilizzerà i dati personali del cliente per addestrare o migliorare i modelli generali di Ultralytics, salvo quanto espressamente indicato dal cliente per iscritto o tramite i Servizi. Per chiarezza, Ultralytics può utilizzare i dati di utilizzo dell'azienda e i dati aggregati o de-identificati (laddove consentito) per gestire, proteggere e migliorare i Servizi.
Laddove il cliente scelga di condividere dataset, modelli o altri contenuti tramite funzionalità comunitarie o pubbliche dei Servizi, tale condivisione costituisce un'istruzione documentata del cliente. Il cliente rimane l'unico responsabile di garantire di disporre di tutti i diritti necessari e delle basi legali per rendere tali dati disponibili ad altri utenti.
Durata del trattamento: Ultralytics tratterà i dati personali del cliente per la durata dell'Accordo e per tutto il tempo necessario a fornire i Servizi in conformità con le istruzioni del cliente. A seguito della risoluzione o scadenza dell'Accordo, Ultralytics eliminerà o restituirà i dati personali del cliente in conformità con l'Accordo e il presente DPA, a meno che non sia richiesta un'ulteriore conservazione dalla legge applicabile. Per chiarezza, laddove Ultralytics tratti dati personali del titolare del trattamento (inclusi i dati dell'account aziendale e i dati di utilizzo dell'azienda) come titolare del trattamento indipendente ai sensi della Sezione 10, tale trattamento avverrà per i periodi stabiliti nell'Informativa sulla privacy di Ultralytics.
Categorie di interessati: I dati personali del cliente possono riguardare le seguenti categorie di interessati, come determinato e controllato dal cliente:
- dipendenti, collaboratori, agenti e rappresentanti del cliente;
- utenti autorizzati e amministratori del cliente;
- e utenti finali, clienti o altri individui del cliente i cui dati personali il cliente sceglie di inviare ai Servizi.
Categorie di dati personali: I dati personali del cliente possono includere le seguenti categorie di dati personali, nella misura in cui vengono inviati o altrimenti resi disponibili tramite i Servizi dal cliente o per suo conto:
- Dati sull'identità dell'account e dell'utente, come nome, indirizzo email, nome utente/ID utente, nome dell'organizzazione e ruolo/autorizzazioni dell'utente (es. amministratore/utente).
- Dati di utilizzo e tecnici/dispositivo, come indirizzo IP, identificatori del dispositivo e attributi di sistema (es. tipo di dispositivo, sistema operativo, tipo di browser), file di log, timestamp, eventi di autenticazione, cronologia degli accessi e (laddove applicabile) applicazioni installate o dettagli di configurazione raccolti come parte dei flussi di lavoro aziendali del dispositivo o di sicurezza.
- Contenuti e input forniti dal cliente, come prompt generati dagli utenti, commenti, annotazioni, metadati o etichette dei dataset e qualsiasi altro contenuto caricato o inviato dal cliente tramite i Servizi (inclusi immagini/video/audio o altri file), ma solo nella misura in cui tale contenuto contenga dati personali.
- Dati di supporto e comunicazione, come comunicazioni di assistenza clienti, rapporti sui problemi, informazioni per la risoluzione dei problemi e dettagli di contatto amministrativi.
Le categorie di dati personali trattati possono includere ulteriormente quelle descritte nell'Informativa sulla privacy di Ultralytics.
Dati sensibili o categorie particolari di dati: I Servizi non sono progettati o destinati al trattamento di categorie particolari di dati personali (come definiti nell'Articolo 9 GDPR o equivalenti ai sensi delle leggi sulla protezione dei dati applicabili) o dati personali relativi a condanne penali e reati (Articolo 10 GDPR), ed è vietato al cliente fornire tali dati a meno che non sia espressamente concordato per iscritto con Ultralytics e soggetto a tutele aggiuntive.
Link to this sectionAllegato B: Informazioni dell'Allegato I e dell'Allegato III (EU SCC e addendum UK)#
Quanto segue include le informazioni richieste dall'Allegato I e dall'Allegato III degli EU SCC e dalla Tabella 1, dall'Allegato 1A e dall'Allegato 1B dell'addendum UK.
1. Le Parti
Esportatore di dati:
- Nome: Nome dell'entità legale del cliente
- Nome commerciale (se diverso): [Opzionale]
- Indirizzo: Indirizzo registrato del cliente
- Numero di registrazione ufficiale (se presente): [Opzionale]
- Nome della persona di contatto, posizione e dettagli di contatto: Nome, Titolo, Email
- Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Utilizzo dei Servizi ai sensi dell'Accordo, incluso il trasferimento dei dati personali del cliente a Ultralytics per il trattamento in relazione ai Servizi, come descritto nell'Accordo, nel presente DPA e nell'Allegato A.
- Firma e data: Tramite esecuzione/accettazione dell'Accordo/DPA
- Ruolo (titolare del trattamento/responsabile del trattamento): Titolare del trattamento
Importatore di dati:
- Nome: Ultralytics Inc.
- Nome commerciale (se diverso): N/D
- Indirizzo e informazioni di contatto: 5001 Judicial Way, Frederick, MD, 21703, Stati Uniti; privacy@ultralytics.com
- Numero di registrazione ufficiale (se presente): 6755919
- Attività rilevanti per i dati trasferiti ai sensi delle presenti Clausole: Trattamento dei dati personali del cliente per conto del cliente per fornire, gestire, proteggere, mantenere e supportare i Servizi, e come altrimenti descritto nell'Accordo, nel presente DPA e nell'Allegato A.
- Firma e data: Tramite esecuzione/accettazione dell'Accordo/DPA
- Ruolo (titolare del trattamento/responsabile del trattamento): Come descritto nella Sezione 3 del DPA.
2. Descrizione del trasferimento
| Campo | Dettagli |
|---|---|
| Interessati | Come descritto nell'Allegato A del DPA |
| Categorie di dati personali | Come descritto nell'Allegato A del DPA |
| Dati personali di categoria particolare (se applicabile) | Come descritto nell'Allegato A del DPA |
| Natura del trattamento | Come descritto nell'Allegato A del DPA |
| Finalità del trattamento | Come descritto nell'Allegato A del DPA |
| Durata del trattamento e conservazione (o i criteri per determinare tale periodo) | Come descritto nell'Allegato A del DPA |
| Frequenza del trasferimento | Come necessario per fornire ed eseguire tutti gli obblighi e i diritti relativi ai dati personali come previsto nell'Accordo o nel DPA |
| Destinatari dei dati personali trasferiti all'importatore di dati | La Società manterrà un elenco dei sub-responsabili del trattamento all'indirizzo: Ultralytics Sub-Processor List |
Sub-responsabili del trattamento infragruppo:
Ultralytics Ltd (Regno Unito) - supporto tecnico, assistenza clienti, assistenza all'onboarding e interazioni commerciali (incluse dimostrazioni e partnership)
Ultralytics AI Spain, S.L. (Spagna) - supporto tecnico, interazioni commerciali e attività rivolte ai clienti, che coinvolgono un trattamento limitato dei dati di contatto aziendali
3. Autorità di controllo competente
L'autorità di controllo sarà l'autorità di controllo dell'esportatore di dati, come determinato in conformità con la Clausola 13 degli EU SCC. L'autorità di controllo ai fini dell'addendum UK sarà l'Information Commissioner's Office del Regno Unito.
Link to this sectionAllegato C: Misure di sicurezza tecniche e organizzative#
Quanto segue include le informazioni richieste dall'Allegato II degli EU SCC e dall'Allegato II dell'addendum UK.
| Misura di sicurezza tecnica e organizzativa | Dettagli |
|---|---|
| Misure di pseudonimizzazione e crittografia dei dati personali | I dati personali del cliente sono protetti tramite crittografia in transito utilizzando connessioni sicure standard del settore (TLS) tra i componenti della piattaforma e gli endpoint esterni. I dati archiviati nei servizi cloud beneficiano della crittografia dei dati a riposo gestita dal fornitore cloud e di controlli sicuri di gestione delle chiavi. |
| Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di trattamento | Ultralytics mantiene impegni di sicurezza, riservatezza e disponibilità per i suoi Servizi, inclusa la configurazione di sistema progettata per limitare l'accesso non autorizzato, rilevamento e monitoraggio delle intrusioni, scansione delle vulnerabilità e penetration test, crittografia in transito e a riposo, e controlli di conservazione/smaltimento dei dati. La piattaforma Ultralytics opera utilizzando servizi cloud gestiti con disponibilità. I nostri fornitori di infrastruttura come servizio (IaaS) supportano la resilienza del database tramite replica e alta disponibilità. Ultralytics garantisce inoltre che le misure tecniche e organizzative (TOM) dei sub-responsabili del trattamento a valle soddisfino o superino gli standard stabiliti nel presente accordo. |
| Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico | I dati del cliente all'interno della piattaforma Ultralytics vengono sottoposti a backup utilizzando servizi nativi del fornitore cloud. I backup vengono monitorati e le eccezioni vengono indagate e risolte. I dati di backup sono crittografati a riposo e in transito e l'accesso è limitato al personale autorizzato. La pianificazione della continuità operativa e del disaster recovery include obiettivi del punto di ripristino (RPO), obiettivi del tempo di ripristino (RTO) e ruoli e responsabilità definiti. |
| Processi per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento | Ultralytics esegue regolarmente scansioni delle vulnerabilità sul sistema e sulla rete e penetration test sull'ambiente di produzione. La gestione delle vulnerabilità include la scansione delle dipendenze e pratiche di sviluppo sicuro integrate nelle pipeline CI/CD, e le vulnerabilità identificate vengono prioritarie e risolte in base alla gravità e al rischio. Inoltre, Ultralytics conduce una valutazione del rischio annuale e una revisione del management come parte della pratica ISMS standard. |
| Misure per l'identificazione e l'autorizzazione dell'utente | La piattaforma Ultralytics utilizza un provider di autenticazione e identità, che supporta l'autenticazione dell'utente e la gestione delle sessioni. L'accesso ai sistemi di ingegneria (inclusi i repository del codice sorgente) è limitato al personale autorizzato e regolato da autorizzazioni basate sui ruoli, protezioni dei rami e revisioni richieste. L'accesso interno segue un modello di privilegio minimo e controlli di accesso basati sui ruoli. |
| Misure per la protezione dei dati durante la trasmissione | L'ingresso di rete alla piattaforma Ultralytics è limitato a connessioni HTTPS (TLS) sicure tramite endpoint frontend designati. Le comunicazioni interne tra i componenti della piattaforma e i servizi di archiviazione sono crittografate in transito utilizzando TLS. |
| Misure per la protezione dei dati durante l'archiviazione | Per la piattaforma Ultralytics, i dati del cliente sono archiviati in servizi cloud gestiti e crittografati con ridondanza e supporto di backup. I servizi cloud gestiti forniscono crittografia integrata, backup automatizzati, archiviazione ridondante e alta disponibilità. La crittografia gestita dal fornitore cloud viene applicata ai dati a riposo. |
| Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali | La piattaforma Ultralytics è ospitata utilizzando fornitori di servizi cloud di terze parti. Le protezioni fisiche e ambientali per i data center di hosting sono gestite dalle organizzazioni sub-responsabili del trattamento pertinenti. Ultralytics esamina i rapporti di attestazione dell'organizzazione sub-responsabile del trattamento ed esegue un'analisi del rischio almeno su base annuale. |
| Misure per garantire la registrazione degli eventi | Ultralytics sfrutta la registrazione nativa del cloud per il monitoraggio, la risoluzione dei problemi e le indagini sugli incidenti. La disponibilità della piattaforma e gli avvisi relativi alla sicurezza vengono comunicati internamente tramite comunicazioni interne ed email, ed esternamente tramite una pagina di stato ospitata. Inoltre, Ultralytics esamina regolarmente l'accesso ad applicazioni, strumenti e risorse che elaborano o archiviano i dati del cliente. |
| Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita | Ultralytics mantiene processi documentati di gestione del cambiamento che regolano le modifiche alla piattaforma Ultralytics e alla base di codice del modello YOLO di Ultralytics, inclusi avvio del cambiamento, documentazione, standard di sviluppo, test, revisione e approvazione prima del rilascio o del dispiegamento. Le modifiche vengono tracciate nel controllo di versione con revisione tra pari e convalida della pipeline CI/CD. |
| Misure per la governance e la gestione interna dell'IT e della sicurezza IT | Ultralytics mantiene politiche e procedure di sicurezza allineate agli impegni di servizio e ai requisiti di conformità interna, con revisione annuale delle politiche e procedure chiave. I dipendenti devono prendere atto delle politiche tramite uno strumento dedicato di Governance, Rischio, Conformità (GRC) e sono tenuti a completare la formazione annuale sulla consapevolezza della sicurezza e la formazione sulla privacy, con formazione sulla codifica sicura per i ruoli di ingegneria. I rischi sono documentati in un registro dei rischi centralizzato e formalmente rivisti almeno annualmente. |
| Misure per la certificazione/assicurazione di processi e prodotti | Ultralytics si affida a servizi gestiti di terze parti (incluse organizzazioni di sottoservizi) ed esamina annualmente i loro rapporti SOC 2 come parte dei controlli di monitoraggio. La due diligence dei fornitori è basata sul rischio e i fornitori sono classificati in livelli (Critico/Alto/Medio/Basso), con tutele contrattuali e rivalutazioni periodiche. |
| Misure per garantire la minimizzazione dei dati | Ultralytics elabora i dati del cliente in conformità con gli accordi con i clienti e i requisiti applicabili in materia di protezione dei dati, e limita il trattamento a ciò che è necessario per fornire e supportare i Servizi (inclusi gestione dei dataset, annotazione, addestramento del modello, valutazione e relativa funzionalità della piattaforma). L'utilizzo open-source di YOLO di Ultralytics è gestito dal cliente e Ultralytics non elabora carichi di lavoro di inferenza per i clienti in tale contesto. |
| Misure per garantire la qualità dei dati | Ultralytics utilizza pratiche di sviluppo e dispiegamento controllate progettate per supportare l'integrità e l'affidabilità, inclusi revisione tra pari, test automatizzati, flussi di lavoro CI/CD e gestione controllata del cambiamento per la piattaforma e i rilasci di codice open-source. |
| Misure per garantire una conservazione limitata dei dati | Ultralytics applica impegni di conservazione dei dati e smaltimento dei dati come parte dei suoi impegni di servizio. I dati del cliente per la piattaforma vengono sottoposti a backup utilizzando servizi gestiti, e l'eliminazione/restituzione viene gestita in conformità con gli accordi con i clienti e la legge applicabile. |
| Misure per garantire la responsabilità | Ultralytics mantiene un piano di risposta agli incidenti e procedure documentate per identificare, segnalare, gestire e tracciare gli incidenti di sicurezza e privacy, incluse le comunicazioni per la segnalazione esterna delle vulnerabilità tramite security@ultralytics.com. Gli incidenti vengono documentati e gestiti con il coinvolgimento di Ingegneria, Legale e management esecutivo secondo necessità in base alla gravità. |
| Misure per consentire la portabilità dei dati e garantire la cancellazione | I dati personali del cliente inviati alla piattaforma Ultralytics possono essere eliminati dal cliente e/o su richiesta del cliente, in conformità con l'Accordo e il presente DPA. Laddove sia richiesta l'eliminazione, Ultralytics agirà secondo le istruzioni del cliente e i requisiti legali applicabili. (La portabilità è supportata nella misura in cui il cliente può esportare o recuperare i propri Dati del cliente dai Servizi come applicabile.) I modelli open-source YOLO di Ultralytics vengono distribuiti dal cliente all'interno del proprio ambiente dedicato, garantendo il pieno controllo della governance dei dati. |
| Misure tecniche e organizzative dei sub-responsabili del trattamento | Ultralytics utilizza un programma di gestione dei fornitori basato sul rischio per l'onboarding e il monitoraggio dei fornitori di servizi di terze parti, inclusa la revisione delle attestazioni di conformità e dei requisiti contrattuali di sicurezza e protezione dei dati. Ultralytics monitora anche le organizzazioni di sottoservizi ed esamina i loro rapporti SOC 2 annualmente. Ultralytics stipula anche Accordi di elaborazione dei dati con i propri sub-responsabili del trattamento con obblighi di protezione dei dati sostanzialmente simili a quelli contenuti nel presente DPA. |
Link to this sectionAllegato D: Addendum UK#
Addendum al trasferimento internazionale dei dati alle Clausole contrattuali standard della Commissione UE
Link to this sectionParte 1: Tabelle#
Tabella 1: Parti
| Campo | Esportatore | Importatore |
|---|---|---|
| Data di inizio | Questo Addendum UK avrà la stessa data di entrata in vigore del DPA | Questo Addendum UK avrà la stessa data di entrata in vigore del DPA |
| Dettagli delle parti | Cliente | Azienda |
| Contatto principale | Vedi Allegato B di questo DPA | Vedi Allegato B di questo DPA |
Tabella 2: SCC selezionate, Moduli e Clausole selezionate
| Campo | Dettagli |
|---|---|
| SCC UE | La versione delle SCC UE approvate a cui questo Addendum UK è allegato, come definita nel DPA e completata dalle Sezioni 6.2 e 6.3 del DPA. |
Tabella 3: Informazioni sull'Appendice
"Informazioni sull'Appendice" indica le informazioni che devono essere fornite per i moduli selezionati come stabilito nell'Appendice delle SCC UE approvate (diverse dalle Parti), e che per questo Addendum UK sono stabilite in:
| Allegato | Riferimento |
|---|---|
| Allegato 1A: Elenco delle Parti | Come da Tabella 1 sopra |
| Allegato 2B: Descrizione del Trasferimento | Vedi Allegato B di questo DPA |
| Allegato II: Misure tecniche e organizzative, incluse quelle per garantire la sicurezza dei dati | Vedi Allegato C di questo DPA |
| Allegato III: Elenco dei Sub-responsabili (solo Moduli 2 e 3) | Vedi Allegato B di questo DPA |
Tabella 4: Terminazione di questo Addendum UK in caso di modifiche all'Addendum UK approvato
Nota: Questa disposizione consente alla parte selezionata (se presente) di terminare l'Addendum UK se l'ICO modifica l'Addendum UK approvato, il che comporta direttamente un aumento sostanziale, sproporzionato e dimostrabile (a) dei suoi costi diretti per l'adempimento degli obblighi ai sensi dell'Addendum UK o (b) del suo rischio ai sensi dell'Addendum UK.
| Campo | Selezione |
|---|---|
| Terminazione di questo Addendum UK quando l'Addendum UK approvato cambia | x Importatore x Esportatore ☐ Nessuna delle Parti |
Link to this sectionSottoscrizione di questo Addendum UK#
Ogni parte accetta di essere vincolata dai termini e dalle condizioni stabiliti in questo Addendum UK, in cambio dell'accordo dell'altra parte a essere parimenti vincolata da questo Addendum UK.
Sebbene l'Allegato 1A e la Clausola 7 delle SCC UE approvate richiedano la firma delle Parti, ai fini dell'effettuazione di trasferimenti ex-UK, le Parti possono sottoscrivere questo Addendum UK in qualsiasi modo che le renda giuridicamente vincolanti per le Parti e consenta agli interessati di far valere i propri diritti come stabilito in questo Addendum UK. Sottoscrivere questo Addendum UK avrà lo stesso effetto della firma delle SCC UE approvate e di qualsiasi parte delle SCC UE approvate.
Link to this sectionInterpretazione di questo Addendum UK#
Laddove questo Addendum UK utilizzi termini definiti nelle SCC UE approvate, tali termini avranno lo stesso significato previsto nelle SCC UE approvate. Inoltre, i seguenti termini hanno i seguenti significati:
| Termine | Definizione |
|---|---|
| Addendum UK | indica questo Addendum per il Trasferimento Internazionale di Dati che incorpora le SCC UE, allegato al DPA come Allegato D. |
| SCC UE | indica la/e versione/i delle SCC UE approvate a cui questo Addendum UK è allegato, come stabilito nella Tabella 2, incluse le Informazioni sull'Appendice |
| Informazioni sull'Appendice | saranno come stabilito nella Tabella 3 |
| Garanzie appropriate | indica lo standard di protezione sui dati personali e sui diritti degli interessati, richiesto dalle Leggi sulla protezione dei dati del Regno Unito quando effettui un trasferimento ex-UK basandoti sulle clausole standard di protezione dei dati ai sensi dell'Articolo 46(2)(d) del UK GDPR. |
| Addendum UK approvato | indica il modello di Addendum emesso dall'ICO e presentato al Parlamento in conformità con la sezione 119A del Data Protection Act 2018 il 2 febbraio 2022, come eventualmente rivisto ai sensi della Sezione 18 dell'Addendum UK. |
| SCC UE approvate | indica le clausole contrattuali standard approvate dalla Commissione Europea nella Decisione 2021/914 del 4 giugno 2021, per i trasferimenti di dati personali verso paesi non altrimenti riconosciuti dalla Commissione Europea come offerenti un livello adeguato di protezione per i dati personali (come modificate e aggiornate di volta in volta). |
| ICO | indica l'Information Commissioner's Office. |
| trasferimento ex-UK | avrà la stessa definizione stabilita nel DPA. |
| UK | indica il Regno Unito di Gran Bretagna e Irlanda del Nord |
| Leggi sulla protezione dei dati del Regno Unito | indica tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta nel Regno Unito, inclusi il UK GDPR e il Data Protection Act 2018. |
| UK GDPR | avrà la definizione stabilita nel DPA. |
L'Addendum UK deve sempre essere interpretato in modo coerente con le Leggi sulla protezione dei dati del Regno Unito e in modo da soddisfare l'obbligo delle Parti di fornire le Garanzie appropriate.
Se le disposizioni incluse nell'Addendum UK modificano le SCC UE approvate in qualsiasi modo non consentito dalle SCC UE approvate o dall'Addendum UK approvato, tale/i modifica/he non sarà/anno incorporata/e nell'Addendum UK e la disposizione equivalente delle SCC UE approvate prenderà il loro posto.
In caso di incongruenza o conflitto tra le Leggi sulla protezione dei dati del Regno Unito e l'Addendum UK, si applicheranno le Leggi sulla protezione dei dati del Regno Unito.
Se il significato dell'Addendum UK non è chiaro o vi è più di un significato, si applicherà il significato più allineato con le Leggi sulla protezione dei dati del Regno Unito.
Eventuali riferimenti alla legislazione (o a specifiche disposizioni legislative) significano quella legislazione (o specifica disposizione) come potrebbe cambiare nel tempo. Ciò include il caso in cui tale legislazione (o specifica disposizione) sia stata consolidata, riemanata e/o sostituita dopo la sottoscrizione dell'Addendum UK.
Link to this sectionGerarchia#
Sebbene la Clausola 5 delle SCC UE approvate stabilisca che le SCC UE approvate prevalgono su tutti gli accordi correlati tra le parti, le parti concordano che, per i trasferimenti ex-UK, prevarrà la gerarchia nella Sezione 10 di seguito.
Laddove vi sia un'incongruenza o un conflitto tra l'Addendum UK approvato e le SCC UE (se applicabili), l'Addendum UK approvato prevale sulle SCC UE, salvo laddove (e nella misura in cui) i termini incoerenti o conflittuali delle SCC UE offrano una maggiore protezione per gli interessati, nel qual caso tali termini prevarranno sull'Addendum UK approvato.
Laddove questo Addendum UK incorpori le SCC UE sottoscritte per proteggere i trasferimenti ex-UE soggetti al GDPR, le parti riconoscono che nulla nell'Addendum UK influisce su tali SCC UE.
Link to this sectionIncorporazione e modifiche alle SCC UE#
Questo Addendum UK incorpora le SCC UE che sono modificate nella misura necessaria affinché:
- insieme operino per i trasferimenti di dati effettuati dall'esportatore di dati all'importatore di dati, nella misura in cui le Leggi sulla protezione dei dati del Regno Unito si applicano al trattamento dell'esportatore di dati durante l'effettuazione di tale trasferimento di dati, e forniscano Garanzie appropriate per tali trasferimenti di dati;
- le Sezioni da 9 a 11 di cui sopra prevalgono sulla Clausola 5 (Gerarchia) delle SCC UE; e
- l'Addendum UK (incluse le SCC UE in esso incorporate) sia (1) regolato dalle leggi dell'Inghilterra e del Galles e (2) qualsiasi controversia derivante da esso sia risolta dai tribunali dell'Inghilterra e del Galles.
A meno che le parti non abbiano concordato modifiche alternative che soddisfino i requisiti della Sezione 12 di questo Addendum UK, si applicheranno le disposizioni della Sezione 15 di questo Addendum UK.
Non possono essere apportate modifiche alle SCC UE approvate se non per soddisfare i requisiti della Sezione 12 di questo Addendum UK.
Vengono apportate le seguenti modifiche alle SCC UE (ai fini della Sezione 12 di questo Addendum UK):
- I riferimenti alle "Clausole" significano questo Addendum UK, che incorpora le SCC UE;
- Nella Clausola 2, eliminare le parole: "e, per quanto riguarda i trasferimenti di dati da titolari a responsabili e/o da responsabili a responsabili, clausole contrattuali standard ai sensi dell'Articolo 28(7) del Regolamento (UE) 2016/679";
- La Clausola 6 (Descrizione del/i trasferimento/i) è sostituita da: "I dettagli del/i trasferimento/i e in particolare le categorie di dati personali trasferiti e le finalità per le quali sono trasferiti sono quelli specificati nell'Allegato I.B laddove le Leggi sulla protezione dei dati del Regno Unito si applicano al trattamento dell'esportatore di dati durante l'effettuazione di tale trasferimento.";
- La Clausola 8.7(i) del Modulo 1 è sostituita da: "il trasferimento è verso un paese che beneficia di normative di adeguatezza ai sensi della Sezione 17A del UK GDPR che coprono il trasferimento successivo";
- La Clausola 8.8(i) dei Moduli 2 e 3 è sostituita da: "il trasferimento successivo è verso un paese che beneficia di normative di adeguatezza ai sensi della Sezione 17A del UK GDPR che coprono il trasferimento successivo;"
- I riferimenti al "Regolamento (UE) 2016/679", al "Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)" e a "tale Regolamento" sono tutti sostituiti da "Leggi sulla protezione dei dati del Regno Unito". I riferimenti a specifici Articoli del "Regolamento (UE) 2016/679" sono sostituiti dall'Articolo o Sezione equivalente delle Leggi sulla protezione dei dati del Regno Unito;
- I riferimenti al Regolamento (UE) 2018/1725 sono rimossi;
- I riferimenti a "Unione Europea", "Unione", "UE", "Stato membro dell'UE", "Stato membro" e "UE o Stato membro" sono tutti sostituiti da "Regno Unito";
- Il riferimento alla "Clausola 12(c)(i)" nella Clausola 10(b)(i) del Modulo uno è sostituito da "Clausola 11(c)(i)";
- La Clausola 13(a) e la Parte C dell'Allegato I non sono utilizzate;
- L'"autorità di controllo competente" e l'"autorità di controllo" sono entrambe sostituite dall'"Information Commissioner";
- Nella Clausola 16(e), il sottocomma (i) è sostituito da: "il Segretario di Stato emana regolamenti ai sensi della Sezione 17A del Data Protection Act 2018 che coprono il trasferimento di dati personali a cui si applicano queste clausole;";
- La Clausola 17 è sostituita da: "Queste Clausole sono regolate dalle leggi dell'Inghilterra e del Galles";
- La Clausola 18 è sostituita da: "Qualsiasi controversia derivante da queste Clausole sarà risolta dai tribunali dell'Inghilterra e del Galles." Un interessato può anche intentare azioni legali contro l'esportatore di dati e/o l'importatore di dati davanti ai tribunali di qualsiasi paese del Regno Unito. Le parti accettano di sottostare alla giurisdizione di tali tribunali."; e
- Le note a piè di pagina delle SCC UE approvate non fanno parte dell'Addendum UK, ad eccezione delle note 8, 9, 10 e 11.
Link to this sectionModifiche all'Addendum UK#
Le parti possono concordare di modificare le Clausole 17 e/o 18 delle SCC UE per fare riferimento alle leggi e/o ai tribunali della Scozia o dell'Irlanda del Nord.
Se le parti desiderano modificare il formato delle informazioni incluse nella Parte 1: Tabelle dell'Addendum UK approvato, possono farlo concordando la modifica per iscritto, a condizione che la modifica non riduca le Garanzie appropriate.
Di volta in volta, l'ICO può emettere un Addendum UK approvato revisionato che:
- apporta modifiche ragionevoli e proporzionate all'Addendum UK approvato, inclusa la correzione di errori nell'Addendum UK approvato; e/o
- riflette i cambiamenti nelle Leggi sulla protezione dei dati del Regno Unito.
L'Addendum UK approvato revisionato specificherà la data di inizio a partire dalla quale le modifiche all'Addendum UK approvato sono efficaci e se le parti devono rivedere questo Addendum UK, incluse le Informazioni sull'Appendice. Questo Addendum UK viene automaticamente modificato come stabilito nell'Addendum UK approvato revisionato a partire dalla data di inizio specificata.
Se l'ICO emette un Addendum UK approvato revisionato ai sensi della Sezione 18 di questo Addendum UK, se una parte subirà come risultato diretto delle modifiche nell'Addendum UK approvato un aumento sostanziale, sproporzionato e dimostrabile di:
- i suoi costi diretti per l'adempimento degli obblighi ai sensi dell'Addendum UK; e/o
- il suo rischio ai sensi dell'Addendum UK,
e in entrambi i casi ha prima intrapreso misure ragionevoli per ridurre tali costi o rischi in modo che non siano sostanziali e sproporzionati, allora tale parte può terminare questo Addendum UK alla fine di un periodo di preavviso ragionevole, fornendo un avviso scritto per tale periodo all'altra parte prima della data di inizio dell'Addendum UK approvato revisionato.
Le parti non necessitano del consenso di terze parti per apportare modifiche a questo Addendum UK, ma qualsiasi modifica deve essere apportata in conformità con i suoi termini.