(1) MEFERI Technologies Co., Ltd., una società costituita secondo le leggi della Cina, con sede legale in 5F, A5, Tianfu Software Park, n. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, Repubblica Popolare Cinese ("MEFERI", "Elaboratore", "Noi", "Ci" o "Nostro"); e

(2) Il Cliente ("Cliente", "Titolare del trattamento" o "Tu"), l'entità giuridica che ha sottoscritto o utilizza i Servizi di MEFERI come definiti di seguito e ha accettato i termini principali del servizio di MEFERI o un altro accordo quadro ("Accordo principale").

Il presente DPA costituisce parte integrante del Contratto principale e riflette l'accordo delle parti in merito al trattamento dei dati personali da parte di MEFERI per conto del Cliente in relazione ai Servizi.

Accettando il Contratto principale o accedendo o utilizzando i Servizi dopo che il presente DPA è stato reso disponibile, il Cliente stipula il presente DPA per conto proprio e, nella misura richiesta dalla Legge applicabile sulla protezione dei dati, in nome e per conto dei suoi Utenti autorizzati.

In caso di conflitto tra il presente DPA e l'Accordo principale, il presente DPA prevarrà nella misura in cui sussista tale conflitto in relazione al trattamento dei dati personali.

1. DEFINIZIONI

1.1. Per "Contratto Principale" si intende il contratto scritto principale (che può essere denominato Termini di Servizio, Condizioni Generali di Servizio, Contratto Quadro di Servizi, Contratto di Servizio, Contratto di Abbonamento o simili) stipulato tra il Cliente e MEFERI (o un Affiliato Contraente di MEFERI ai sensi della Sezione 18.4) per la fornitura dei Servizi, inclusi eventuali termini specifici del piano di servizio (ad esempio "MeCare (Nome del Piano): Condizioni Generali di Servizio") e qualsiasi modulo d'ordine o dichiarazione di lavoro eseguito ai sensi degli stessi. Il presente DPA costituisce parte integrante di tale Contratto Principale.

1.2. Per “Legge applicabile sulla protezione dei dati” si intendono tutte le leggi e i regolamenti applicabili al trattamento dei dati personali ai sensi del presente DPA, inclusi, a titolo esemplificativo ma non esaustivo, il GDPR e tutte le leggi, i regolamenti e la legislazione secondaria nazionali di attuazione, come modificati o aggiornati di volta in volta.

1.3. “Titolare del trattamento” ha il significato di cui all'articolo 4(7) del GDPR. Ai fini del presente DPA, il Cliente è il Titolare del trattamento.

1.4. “Interessato” ha il significato stabilito nell’articolo 4(1) del GDPR.

1.5. “GDPR” significa Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

1.6. “Dati personali” ha il significato stabilito nell’articolo 4(1) del GDPR ed è limitato ai dati personali elaborati da MEFERI per conto del Cliente nella fornitura dei Servizi come ulteriormente descritto nell’Appendice 1.

1.7. “Violazione dei dati personali” ha il significato stabilito nell’articolo 4(12) del GDPR, in particolare una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai dati personali del cliente trasmessi, archiviati o altrimenti elaborati da MEFERI.

1.8. “Trattamento” ha il significato stabilito nell’articolo 4(2) del GDPR. “Trattare” e “Trattato” devono essere interpretati di conseguenza.

1.9. Per “Responsabile del trattamento” si intende MEFERI Technologies Co., Ltd., (MEFERI) o, ove applicabile ai sensi della Sezione 18.4 del presente DPA, la parte affiliata contraente MEFERI del Contratto principale con il Cliente.

1.10. Per "Servizi" si intendono i prodotti e i servizi forniti da MEFERI al Cliente ai sensi del Contratto Principale, inclusi specificamente, a titolo esemplificativo ma non esaustivo, la soluzione Shadowalk MDM/EMM Cloud di MEFERI, i componenti ospitati nel cloud della soluzione ISA (Intelligent Shopper Assistant) di CIAO in cui MEFERI agisce come responsabile del trattamento, e qualsiasi servizio di supporto associato (inclusi, a titolo esemplificativo ma non esaustivo, i servizi forniti nell'ambito di un contratto di servizio MeCare di MEFERI) in cui MEFERI elabora i Dati Personali del Cliente. Per chiarezza, i Servizi non includono le distribuzioni on-premise del software MEFERI in cui l'elaborazione continua dei Dati Personali viene eseguita esclusivamente all'interno dell'ambiente del Cliente, salvo nei casi in cui MEFERI acceda a tali sistemi per il supporto su istruzione del Cliente.

1.11. Per “Sub-responsabile del trattamento” si intende qualsiasi terza parte incaricata da MEFERI di elaborare i dati personali per conto del Cliente in relazione ai Servizi.

1.12. Per “Misure tecniche e organizzative” o “TOM” si intendono le misure di sicurezza implementate da MEFERI per proteggere i Dati personali, come ulteriormente descritto nell’Appendice 2.

1.13. "Soluzioni di partner di terze parti" indica software o servizi forniti da terze parti che possono essere integrati o utilizzati insieme all'hardware o ai Servizi di MEFERI, come soluzioni di pagamento (ad esempio, WorldLine "Tap on Mobile") o software di auto-scansione al dettaglio (ad esempio, 4MAX "Scan & Go"), laddove il Cliente può avere un rapporto contrattuale diretto con tale terza parte.

2. RUOLI E RESPONSABILITÀ

2.1. Ruoli delle parti: il Cliente è il Titolare del trattamento e MEFERI è il Responsabile del trattamento dei dati personali del Cliente. Ciascuna parte si impegna a rispettare i rispettivi obblighi ai sensi della Legge applicabile in materia di protezione dei dati.

2.2. Obblighi del Cliente in qualità di Titolare del trattamento: il Cliente dichiara e garantisce che:

a. Ha rispettato e continuerà a rispettare tutte le disposizioni applicabili della Legge sulla protezione dei dati applicabile in relazione al trattamento dei dati personali e a tutte le istruzioni di trattamento impartite a MEFERI;

b. Ha la responsabilità esclusiva dell'accuratezza, della qualità e della legalità dei Dati Personali e dei mezzi con cui ha acquisito i Dati Personali, incluso l'ottenimento di tutti i consensi necessari, la fornitura di tutte le notifiche necessarie e l'avere una valida base giuridica per il Trattamento dei Dati Personali da parte di MEFERI in conformità con il presente DPA e l'Accordo Principale; e

c. Le istruzioni impartite a MEFERI per il trattamento dei dati personali dovranno essere conformi alla normativa vigente in materia di protezione dei dati.

2.3. Obblighi di MEFERI in qualità di Responsabile del trattamento: MEFERI dovrà:

a. Trattare i Dati Personali solo su istruzioni documentate del Cliente, anche per quanto riguarda i trasferimenti di Dati Personali verso un paese terzo o un'organizzazione internazionale, a meno che non sia richiesto dalla legge dell'Unione o di uno Stato membro a cui MEFERI è soggetta; in tal caso, MEFERI informerà il Cliente di tale obbligo legale prima del Trattamento, a meno che tale legge non vieti tali informazioni per importanti motivi di interesse pubblico (Articolo 28(3)(a) GDPR). Il Contratto Principale e il presente DPA costituiscono le istruzioni documentate del Cliente a MEFERI per il Trattamento dei Dati Personali.

b. Informare immediatamente il Cliente se, a giudizio di MEFERI, un'istruzione viola la normativa applicabile in materia di protezione dei dati (articolo 28(3) GDPR).

3. DETTAGLI DEL TRATTAMENTO

3.1. L'oggetto del Trattamento, la durata del Trattamento, la natura e la finalità del Trattamento, i tipi di Dati Personali e le categorie di Interessati sono indicati nell'Appendice 1 (Dettagli del Trattamento) del presente DPA.

4. RISERVATEZZA

4.1. MEFERI deve garantire che il proprio personale autorizzato al trattamento dei dati personali si sia impegnato alla riservatezza o sia soggetto a un adeguato obbligo legale di riservatezza (articolo 28(3)(b) GDPR).

5. SICUREZZA DEL TRATTAMENTO

5.1. Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, MEFERI attua e mantiene misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, come descritto nell'Appendice 2 (Misure tecniche e organizzative) (articolo 28(3)(c) e articolo 32 GDPR).

5.2. MEFERI può aggiornare o modificare i TOM di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino un degrado sostanziale della sicurezza complessiva dei Servizi.

6. SUB-LAVORAZIONE

6.1. Autorizzazione generale: il Cliente concede a MEFERI un'autorizzazione scritta generale per incaricare i Sub-responsabili del trattamento dei Dati personali per conto del Cliente in relazione alla fornitura dei Servizi (Articolo 28(2) GDPR).

6.2. Sub-responsabili attuali e notifica di nuovi sub-responsabili: MEFERI dovrà mantenere un elenco dei suoi attuali sub-responsabili, che dovrà essere reso disponibile al Cliente su richiesta o tramite una pagina web designata (vedere Appendice 3). MEFERI dovrà informare il Cliente di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri sub-responsabili con almeno trenta (30) giorni di calendario di anticipo, dando così al Cliente la possibilità di opporsi a tali modifiche.

6.3. Opposizione ai nuovi sub-responsabili: qualora il Cliente abbia una base ragionevole per opporsi all'utilizzo da parte di MEFERI di un nuovo sub-responsabile, dovrà darne comunicazione scritta a MEFERI tempestivamente entro dieci (10) giorni lavorativi dal ricevimento della comunicazione di MEFERI. In caso di opposizione da parte del Cliente, MEFERI compirà ogni ragionevole sforzo per rendere disponibile al Cliente una modifica ai Servizi o raccomandare una modifica commercialmente ragionevole alla configurazione o all'utilizzo dei Servizi da parte del Cliente, al fine di evitare il Trattamento dei Dati Personali da parte del nuovo sub-responsabile contestato, senza gravare irragionevolmente sul Cliente. Qualora MEFERI non sia in grado di rendere disponibile tale modifica entro un periodo di tempo ragionevole, che non superi i trenta (30) giorni di calendario, il Cliente potrà recedere dalla parte applicabile dei Servizi che non può essere fornita da MEFERI senza l'utilizzo del nuovo sub-responsabile contestato, inviando comunicazione scritta a MEFERI.

6.4. Obblighi del sub-responsabile: MEFERI deve garantire che qualsiasi sub-responsabile da lui incaricato sia soggetto a un contratto scritto o altro atto giuridico ai sensi del diritto dell'Unione o degli Stati membri che imponga obblighi di protezione dei dati almeno equivalenti a quelli imposti a MEFERI ai sensi del presente DPA, in particolare fornendo garanzie sufficienti per implementare misure tecniche e organizzative appropriate in modo tale che il trattamento soddisfi i requisiti della normativa applicabile in materia di protezione dei dati (articolo 28(4) GDPR).

6.5. Responsabilità: MEFERI rimarrà pienamente responsabile nei confronti del Cliente per l'adempimento degli obblighi di protezione dei dati dei suoi Sub-responsabili.

7. DIRITTI DELL'INTERESSATO

7.1. Tenendo conto della natura del Trattamento, MEFERI assisterà il Cliente implementando misure tecniche e organizzative appropriate, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dell'Interessato stabiliti nel Capo III del GDPR (ad esempio, diritto di accesso, rettifica, cancellazione, ecc.) (Articolo 28(3)(e) GDPR).

7.2. Qualora MEFERI riceva una richiesta direttamente da un Interessato relativa ai Dati Personali del Cliente, MEFERI dovrà tempestivamente informare il Cliente di tale richiesta e non dovrà rispondere all'Interessato, salvo per confermare che la richiesta riguarda il Cliente. Il Cliente sarà responsabile di rispondere a tutte le richieste dell'Interessato.

8. ASSISTENZA AL TITOLARE DEL TRATTAMENTO

8.1. Tenendo conto della natura del Trattamento e delle informazioni a disposizione di MEFERI, MEFERI fornirà ragionevole assistenza al Cliente per garantire il rispetto dei propri obblighi ai sensi degli Articoli da 32 a 36 del GDPR (Sicurezza del Trattamento, Notifica della Violazione dei Dati Personali all'autorità di controllo, Comunicazione di una Violazione dei Dati Personali all'Interessato, Valutazione d'Impatto sulla Protezione dei Dati e Previa consultazione dell'autorità di controllo) (Articolo 28(3)(f) GDPR).

9. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI

9.1. Notifica al cliente:

MEFERI dovrà informare il Cliente senza indebito ritardo e, in ogni caso, entro quarantotto (48) ore, dopo essere venuto a conoscenza di una violazione dei dati personali che riguarda i dati personali del Cliente (articolo 28(3)(f) e articolo 33(2) GDPR).

9.2. Tale notifica dovrà, nella misura del possibile, descrivere:

a. La natura della violazione dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo di soggetti interessati e le categorie e il numero approssimativo di record di dati personali interessati;

b. Il nome e i recapiti del responsabile della protezione dei dati di MEFERI o di altro punto di contatto presso il quale è possibile ottenere maggiori informazioni;

c. Le probabili conseguenze della violazione dei dati personali; e

d. Le misure adottate o proposte da MEFERI per affrontare la violazione dei dati personali, comprese, ove opportuno, misure per mitigarne i possibili effetti negativi.

9.3. Qualora e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, le informazioni possono essere fornite in più fasi senza ulteriore indebito ritardo.

9.4. Il Cliente è l'unico responsabile del rispetto dei propri obblighi di notifica di violazione dei dati ai sensi della Legge applicabile in materia di protezione dei dati. La notifica o la risposta di MEFERI a una violazione dei dati personali ai sensi della presente Sezione 9 non sarà interpretata come un riconoscimento da parte di MEFERI di alcuna colpa o responsabilità in relazione alla violazione dei dati personali.

10. CANCELLAZIONE O RESTITUZIONE DEI DATI

10.1. A scelta del Cliente, MEFERI cancellerà o restituirà tutti i Dati Personali al Cliente al termine della fornitura dei Servizi relativi al Trattamento, e cancellerà le copie esistenti, a meno che la legge dell'Unione o di uno Stato membro non richieda la conservazione dei Dati Personali (articolo 28(3)(g) GDPR). Le tempistiche specifiche di conservazione e cancellazione saranno quelle stabilite nel Contratto Principale o come altrimenti concordato.

11. VERIFICHE E ISPEZIONI

11.1. MEFERI metterà a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità agli obblighi previsti dall'articolo 28 del GDPR e consentirà e contribuirà agli audit, comprese le ispezioni, condotti dal Cliente o da un altro revisore incaricato dal Cliente (articolo 28(3)(h) GDPR).

11.2. Tali audit dovranno essere condotti durante il normale orario lavorativo di MEFERI, previo ragionevole preavviso scritto di almeno trenta (30) giorni di calendario, e non dovranno interferire in modo irragionevole con le attività commerciali di MEFERI. Il Cliente e MEFERI concorderanno reciprocamente l'ambito, i tempi e la durata dell'audit.

11.3. Il Cliente dovrà garantire che ogni revisore agisca in base a un accordo di riservatezza scritto. Il Cliente sosterrà i propri costi e quelli del revisore incaricato. Qualora l'audit riveli una violazione sostanziale del presente DPA da parte di MEFERI, MEFERI sosterrà i costi ragionevoli dell'audit, fino a un massimale concordato di comune accordo.

11.4. Nella misura consentita dalla legge, MEFERI può soddisfare i propri obblighi di audit fornendo al Cliente le certificazioni pertinenti rilasciate da un revisore indipendente di terze parti (ad esempio, ISO 27001, SOC 2 Tipo II) o riassunti delle stesse, nel rispetto degli obblighi di riservatezza appropriati.

12. TRASFERIMENTI INTERNAZIONALI DI DATI

12.1. MEFERI non trasferirà i Dati Personali a nessun Paese al di fuori dello Spazio Economico Europeo (SEE) o a un Paese ritenuto adeguato dalla Commissione Europea ai sensi dell'Articolo 45 del GDPR senza garantire che siano in atto le opportune misure di salvaguardia richieste dal Capitolo V del GDPR (ad esempio, stipulando Clausole Contrattuali Standard approvate dalla Commissione Europea).

12.2. Le sedi principali di elaborazione dei dati per i Servizi, in particolare quelle in cui i Dati Personali del Cliente sono ospitati da MEFERI sulla sua infrastruttura cloud principale, saranno all'interno dello Spazio Economico Europeo (SEE), utilizzando la regione eu-west-3 di Amazon Web Services (AWS) (Parigi, Francia). Ulteriori dettagli sui sub-responsabili del trattamento, inclusi i fornitori di infrastrutture cloud e le loro sedi, sono forniti nell'Appendice 3.

12.3 Qualora MEFERI effettui un trasferimento di Dati Personali a un Sub-responsabile in un Paese terzo (vale a dire, al di fuori del SEE o in un Paese non ritenuto adeguato dalla Commissione Europea) che non garantisce un livello di protezione adeguato, MEFERI dovrà garantire che tale trasferimento sia coperto da un meccanismo di trasferimento appropriato ai sensi del Capitolo V del GDPR, come le Clausole Contrattuali Tipo. Ciò include i trasferimenti che possono verificarsi qualora MEFERI utilizzi servizi di un Sub-responsabile la cui infrastruttura o il cui personale di supporto si trovino in tali Paesi terzi, anche se il luogo di trattamento primario specificato al punto 12.2 si trova all'interno del SEE.

13. UTILIZZO DI SOLUZIONI DI PARTNER DI TERZE PARTI DA PARTE DI MEFERI

13.1. Il Cliente riconosce che l'hardware o i Servizi di MEFERI possono essere utilizzati insieme a Soluzioni di Partner di terze parti (ad esempio, soluzioni di elaborazione dei pagamenti su dispositivi CIAO, software specifici per la gestione della vendita al dettaglio).

13.2. Qualora il Cliente scelga di utilizzare tali Soluzioni di Partner Terzi, potrà stipulare un rapporto contrattuale diretto con i fornitori di tali soluzioni. In tali casi, il fornitore terzo potrà agire in qualità di Titolare o Responsabile del Trattamento dei Dati Personali che gestisce in relazione ai propri servizi, come stabilito dal contratto stipulato tra il Cliente e tale fornitore terzo.

13.3. Il presente DPA disciplina esclusivamente il Trattamento dei Dati Personali da parte di MEFERI in qualità di Responsabile del Trattamento per il Cliente. Non si applica alle attività di Trattamento condotte da fornitori di Soluzioni di Partner Terzi con cui il Cliente ha un rapporto diretto, a meno che tale fornitore non agisca in qualità di Sub-Responsabile del Trattamento per MEFERI ai sensi della Sezione 6 del presente DPA.

14. RESPONSABILITÀ E INDENNITÀ

14.1. La responsabilità di ciascuna parte ai sensi del presente DPA sarà soggetta alle limitazioni ed esclusioni di responsabilità stabilite nell'Accordo principale.

14.2. Il Cliente dovrà indennizzare e tenere indenne MEFERI da tutte le richieste, azioni, rivendicazioni di terzi, perdite, danni e spese (incluse le ragionevoli spese legali) sostenute da MEFERI derivanti da qualsiasi violazione da parte del Cliente dei propri obblighi ai sensi del presente DPA o della Legge applicabile sulla protezione dei dati.

15. DURATA E RISOLUZIONE

15.1. Il presente DPA entrerà in vigore alla data di entrata in vigore del Contratto principale e rimarrà in vigore fino alla risoluzione o alla scadenza del Contratto principale, oppure fino a quando MEFERI non cesserà di elaborare i Dati personali per conto del Cliente, a seconda di quale evento si verifichi per ultimo.

15.2. Gli obblighi di riservatezza, cancellazione/restituzione dei dati e qualsiasi disposizione che per loro natura debba sopravvivere alla risoluzione, sopravvivranno alla risoluzione o alla scadenza del presente DPA.

16. MODIFICHE AL PRESENTE DPA

16.1. MEFERI può modificare il presente DPA di volta in volta pubblicando la versione modificata sul proprio sito web o altrimenti dandone comunicazione al Cliente.

16.2. Qualora MEFERI apporti una modifica sostanziale al presente DPA, MEFERI fornirà al Cliente un preavviso ragionevole della modifica (ad esempio, tramite e-mail al contatto designato dal Cliente o tramite una notifica all'interno dei Servizi). L'utilizzo continuato dei Servizi da parte del Cliente dopo tale periodo di preavviso costituirà accettazione del DPA modificato. Qualora il Cliente si opponga a una modifica sostanziale, potrà recedere dal Contratto Principale in conformità con i termini dello stesso.

17. LEGGE APPLICABILE E RISOLUZIONE DELLE CONTROVERSIE

17.1. Legge applicabile: il presente DPA sarà regolato e interpretato in conformità con le leggi stabilite come legge applicabile nel Contratto principale stipulato tra il Cliente e l'entità MEFERI parte di tale Contratto principale ("Entità contraente MEFERI").

17.2. Risoluzione delle controversie:

a. Le Parti si impegneranno a risolvere qualsiasi controversia, disputa o reclamo derivante da o relativo al presente DPA, alla sua interpretazione, validità, violazione o risoluzione ("Controversia") in via amichevole attraverso negoziati in buona fede tra i rispettivi rappresentanti autorizzati. b. Se una Controversia non può essere risolta tramite negoziazione entro trenta (30) giorni di calendario dalla notifica scritta di una Parte che avvia le negoziazioni, tale Controversia sarà risolta in conformità con il meccanismo di risoluzione delle controversie (ad esempio, arbitrato o procedimento giudiziario) e la sede come specificato nell'Accordo Principale. c. Nel caso in cui l'Accordo Principale preveda l'arbitrato:

i. Tale arbitrato costituirà il meccanismo principale per la risoluzione delle controversie ai sensi del presente DPA. ii. Salvo quanto diversamente specificato nell'Accordo principale, o qualora l'Accordo principale non specifichi i dettagli dell'arbitrato per questioni relative al presente DPA, le Parti concordano che qualsiasi controversia di questo tipo possa essere sottoposta ad arbitrato amministrato da un'istituzione arbitrale riconosciuta a livello internazionale concordata (come la Corte di arbitrato internazionale di Shenzhen (SCIA), il Centro di arbitrato internazionale di Singapore (SIAC) o il Centro di arbitrato internazionale di Hong Kong (HKIAC), o un'istituzione appropriata all'interno dell'Unione europea se l'Entità contraente MEFERI è una filiale con sede nell'UE). iii. L'arbitrato si svolgerà in inglese. La sede o il luogo legale dell'arbitrato sarà quello specificato nell'Accordo principale o, se non specificato o se viene concordata una sede diversa per una specifica controversia, una sede scelta di comune accordo dalle Parti o, in mancanza di tale accordo entro un termine ragionevole, dall'Entità contraente MEFERI. iv. Il lodo arbitrale sarà definitivo e vincolante per entrambe le Parti, fatti salvi i diritti di ricorso consentiti dalle leggi della sede dell'arbitrato per ingiustizia procedurale o mancanza di giurisdizione.

d. Se l'Accordo principale specifica un contenzioso giudiziario, i tribunali ivi specificati avranno giurisdizione, fatto salvo quanto previsto dalla Sezione 17.3 di seguito.

17.3. Considerazioni obbligatorie sulla legge sulla protezione dei dati: a. Nonostante qualsiasi altra disposizione del presente DPA o dell'Accordo principale, laddove la legge applicabile sulla protezione dei dati (incluso, a titolo esemplificativo ma non esaustivo, il GDPR) conceda a un interessato il diritto obbligatorio di adire i tribunali della propria residenza abituale o del luogo di lavoro, o del luogo in cui si è verificata una presunta violazione, o di presentare un reclamo a un'autorità di controllo, tali diritti non saranno pregiudicati dai termini del presente DPA. b. Laddove si applichi il GDPR, MEFERI e il Cliente garantiranno che qualsiasi scelta di legge o giurisdizione applicabile non impedisca agli interessati di beneficiare di eventuali disposizioni obbligatorie della legge dello Stato membro dell'Unione Europea in cui risiedono.

17.4. Esecuzione continua: in attesa della risoluzione di una controversia, le parti continueranno ad adempiere ai rispettivi obblighi ai sensi del presente DPA nella misura in cui ciò sia possibile, a meno che il DPA o l'accordo principale non vengano risolti.

18. INFORMAZIONI DI CONTATTO / PROTEZIONE DEI DATI

18.1. Responsabile del trattamento: MEFERI Technologies Co., Ltd. Indirizzo: 5F, A5, Tianfu Software Park, n. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, Repubblica Popolare Cinese

– Email per richieste sulla protezione dei dati: legal@meferi.com

18.2. Richieste di informazioni sulla protezione dei dati e DPO (per MEFERI Technologies Co., Ltd.): tutte le richieste relative alla protezione dei dati ai sensi del presente DPA devono essere indirizzate all'indirizzo e-mail specificato per MEFERI Technologies Co., Ltd. nella Sezione 18.1 di cui sopra.

18.3. Rappresentante UE per MEFERI Technologies Co., Ltd. (ai sensi dell'articolo 27 GDPR): Nome del rappresentante UE: MEFERI Poland Sp. z oo Indirizzo: Ul. Modelarska 18/2, 40-142 Katowice, Polonia E-mail per richieste di informazioni sulla protezione dei dati UE (per gli interessati e le autorità di controllo nell'UE in merito al trattamento da parte di MEFERI Technologies Co., Ltd.): poland@meferi.com

18.4. Elaborazione da parte di affiliate MEFERI: qualora il Cliente stipuli un Contratto principale con un'affiliata di MEFERI Technologies Co., Ltd. (ad esempio, MEFERI Poland Sp. z oo) ("Affiliata MEFERI contraente") e tale Affiliata MEFERI contraente agisca in qualità di Responsabile del trattamento dei dati personali ai sensi di tale Contratto principale:

a) Il presente DPA si applica alle attività di trattamento svolte dall'Affiliato contraente MEFERI e tutti i riferimenti a "MEFERI" o "Responsabile del trattamento" nel presente documento si intendono riferiti a tale Affiliato contraente MEFERI.

b) Le informazioni di contatto per le richieste di protezione dei dati relative al trattamento da parte di tale Affiliata Contraente MEFERI saranno quelle specificate nel Contratto Principale o come altrimenti comunicato dall'Affiliata Contraente MEFERI al Cliente. Per MEFERI Poland Sp. z oo, i dati di contatto sono: Indirizzo: Ul. Modelarska 18/2, 40-142 Katowice, Polonia

E-mail: poland@meferi.com

Telefono: +48 734-143-579

c) La legge applicabile e la risoluzione delle controversie per il presente DPA in tali casi saranno determinate dall'Accordo principale con l'Affiliato contraente MEFERI.

19. INTERO ACCORDOMENT

19.1. Il presente DPA, comprese le sue Appendici, costituisce l'intero accordo tra le parti in merito all'oggetto del presente documento e sostituisce tutti gli accordi, le proposte o le dichiarazioni precedenti e contemporanei, scritti o orali, riguardanti l'oggetto del medesimo.

IN FEDE DI CIÒ, le parti riconoscono il loro consenso al presente Contratto di elaborazione dati a partire dalla Data di entrata in vigore del Contratto principale o dall'utilizzo dei Servizi da parte del Cliente.

—

APPENDICE 1

DETTAGLI DEL TRATTAMENTO

La presente Appendice 1 costituisce parte integrante del DPA e descrive il trattamento dei dati personali da parte di MEFERI per conto del Cliente.

A. ELENCO DELLE PARTI

Titolare/i del trattamento/cliente/i:

La persona giuridica che ha stipulato il Contratto Principale con MEFERI per la fornitura dei Servizi. Il Cliente determina le finalità e le modalità del Trattamento dei Dati Personali.

Processore/i / MEFERI:

MEFERI Technologies Co., Ltd., o, ove applicabile ai sensi della Sezione 18.4 del presente DPA, la parte affiliata contraente MEFERI del Contratto principale con il Cliente, che fornisce i Servizi al Cliente.

B. DESCRIZIONE DEL TRATTAMENTO

1. Oggetto del trattamento:

Il trattamento dei dati personali nel contesto della fornitura, manutenzione, supporto e miglioramento dei servizi MEFERI sottoscritti dal cliente ai sensi del contratto principale, inclusi, a titolo esemplificativo ma non esaustivo, la soluzione cloud MEFERI Shadowalk MDM/EMM e i componenti ospitati nel cloud della soluzione CIAO Intelligent Shopper Assistant (ISA).

2. Durata del Trattamento:

Per la durata del Contratto principale tra MEFERI e il Cliente e fino a quando tutti i Dati personali non saranno cancellati o restituiti in conformità con la Sezione 10 del DPA.

3. Natura e finalità del trattamento:

– Per la soluzione cloud MEFERI Shadowalk MDM/EMM: consentire al Cliente di gestire, proteggere, monitorare e supportare da remoto la propria flotta di dispositivi mobili. Ciò include il provisioning dei dispositivi, la gestione della configurazione, la gestione delle applicazioni, l'applicazione delle policy di sicurezza, il monitoraggio dei dispositivi (se abilitato dal Cliente), la diagnostica remota e la generazione di report sullo stato e l'utilizzo dei dispositivi per il Cliente.

– Per i componenti ISA Cloud MEFERI CIAO (dove MEFERI è il Responsabile del Trattamento): per facilitare il funzionamento della soluzione di assistenza clienti intelligente per il Cliente (rivenditore). Ciò può includere l'autenticazione dell'utente, la gestione delle liste della spesa, l'elaborazione delle informazioni sui prodotti, i dati di interazione con il cliente (per analisi fornite al rivenditore) e l'abilitazione delle integrazioni con servizi di terze parti secondo le indicazioni del Cliente.

– Contratti di servizio MeCare: per i servizi MeCare MEFERI (in cui MEFERI agisce come Responsabile del trattamento): per fornire servizi di supporto, manutenzione, riparazione, monitoraggio e gestione dei dispositivi contrattuali come descritto nelle “Condizioni generali di servizio MeCare (Nome del piano)” applicabili e nella Guida ai servizi di supporto MeCare, che possono comportare l'accesso, la raccolta o altrimenti l'elaborazione dei dati personali archiviati o trasmessi dai dispositivi del cliente o forniti dal cliente nel corso della fornitura del servizio.

– Per i Servizi di supporto: per fornire supporto tecnico, risoluzione dei problemi, manutenzione e aggiornamenti per i Servizi, che potrebbero comportare l'accesso ai Dati personali elaborati all'interno dei Servizi o sui sistemi del Cliente su richiesta e istruzione del Cliente.

– Per rispettare le istruzioni documentate del Cliente come stabilito nel presente DPA e nell'Accordo principale.

– Per ottemperare agli obblighi di legge applicabili.

4. Categorie di interessati:

– Dipendenti, appaltatori e utenti autorizzati del Cliente: individui che amministrano o utilizzano i Servizi per conto del Cliente (ad esempio, amministratori IT che utilizzano Shadowalk, personale di vendita al dettaglio che gestisce o utilizza CIAO).

– Utenti finali dei dispositivi gestiti dal Cliente (per Shadowalk): individui (ad esempio, dipendenti del Cliente) che utilizzano computer mobili o altri dispositivi gestiti dal Cliente tramite la soluzione Shadowalk.

– Clienti del cliente (acquirenti) (per CIAO, se MEFERI elabora i loro dati personali in un backend cloud per conto del cliente rivenditore): individui che utilizzano i dispositivi ISA CIAO nel negozio del rivenditore.

5. Tipi di dati personali trattati:

Le tipologie specifiche di Dati Personali Trattati dipenderanno dai Servizi utilizzati dal Cliente e da come il Cliente configura e utilizza tali Servizi. I Dati Personali possono includere:

– Account utente e informazioni di contatto: nome, indirizzo e-mail, nome utente, password, numero di telefono, titolo professionale, reparto, ID dipendente, ruolo/autorizzazioni all'interno dei Servizi (se applicabile per l'amministrazione del servizio da parte del Cliente).

– Informazioni sul dispositivo (per Shadowalk): identificatori del dispositivo (ad esempio, numero di serie, IMEI, indirizzo MAC, UDID), modello del dispositivo, versione del sistema operativo, indirizzo IP, informazioni di rete, impostazioni di configurazione del dispositivo, applicazioni installate, dati sulla posizione del dispositivo (se abilitati dal Cliente).

– Dati di utilizzo e di registro (per Shadowalk e CIAO cloud): registri di sistema, tracce di controllo, registri delle attività, dati sulle prestazioni, dati diagnostici relativi all'utilizzo dei Servizi.

– Dati dell'acquirente (per CIAO, se applicabile): dettagli dell'account dell'acquirente (ad esempio, ID fedeltà, e-mail se fornita dall'acquirente per la registrazione tramite l'app del rivenditore su CIAO), liste della spesa, cronologia delle scansioni dei prodotti, dati di interazione con il dispositivo CIAO.

– Dati di supporto: informazioni fornite dal Cliente durante le interazioni di supporto, inclusi i dettagli di contatto, la descrizione dei problemi, i dettagli di configurazione del sistema e tutti i Dati personali contenuti nei registri o nei file condivisi con MEFERI per la risoluzione dei problemi.

– Qualsiasi altro dato personale che il Cliente (o i suoi utenti autorizzati o soggetti interessati) sceglie di inviare ai Servizi.

6. Categorie particolari di dati personali (se presenti):

MEFERI non intende trattare alcuna Categoria Speciale di Dati Personali (come definita nell'Articolo 9 del GDPR) per conto del Cliente. Il Cliente non dovrà caricare, fornire o incaricare MEFERI di trattare alcuna Categoria Speciale di Dati Personali, salvo esplicito accordo scritto con MEFERI e soggetto a garanzie adeguate. Qualora il Cliente fornisca tali dati senza previo consenso, sarà il solo responsabile di garantire una valida base giuridica per tale Trattamento.

—

APPENDICE 2

SICUREZZA TECNICA E ORGANIZZATIVA MEASURES (TOMS)

La presente Appendice 2 descrive le Misure Tecniche e Organizzative implementate da MEFERI per garantire un livello di sicurezza adeguato per il Trattamento dei Dati Personali. MEFERI può aggiornare periodicamente tali misure, a condizione che tali aggiornamenti non compromettano materialmente la sicurezza complessiva dei Servizi.

1. Politiche e governance della sicurezza delle informazioni:

a. MEFERI mantiene politiche e procedure interne progettate per proteggere i Dati Personali.

b. Le responsabilità per la sicurezza delle informazioni sono definite e assegnate.

c. Vengono condotte valutazioni regolari dei rischi per identificare e mitigare le minacce ai Dati Personali.

2. Sicurezza del personale:

a. I dipendenti e i collaboratori che hanno accesso ai Dati Personali sono soggetti a obblighi di riservatezza.

b. Al personale interessato viene fornita una formazione sulla sicurezza in merito alle proprie responsabilità in materia di protezione dei dati e sicurezza.

c. Possono essere effettuati controlli dei precedenti penali per il personale che ricopre ruoli sensibili, ove consentito dalla legge applicabile.

3. Controllo degli accessi fisici:

a. Sono in atto misure per impedire l'accesso fisico non autorizzato ai locali e alle strutture di MEFERI in cui i Dati Personali possono essere Trattati (ad esempio, uffici).

b. Ciò include perimetri di sicurezza, sistemi di controllo degli accessi, sorveglianza e registrazione degli accessi fisici, ove appropriato.

c. Per i data center utilizzati da MEFERI per i Servizi (vale a dire quelli del suo principale fornitore di servizi cloud, Amazon Web Services – AWS), MEFERI si affida alle solide misure di sicurezza fisica implementate da AWS.

4. Controllo dell'accesso al sistema (accesso logico):

a. L'accesso ai sistemi informatici Il trattamento dei dati personali è limitato al personale autorizzato.

b. Vengono utilizzati ID utente univoci e meccanismi di autenticazione avanzati (ad esempio password complesse, autenticazione a più fattori, ove appropriato e fattibile).

c. I diritti di accesso vengono concessi in base al principio del privilegio minimo (controllo degli accessi basato sui ruoli).

d. Vengono effettuate revisioni periodiche dei diritti di accesso.

e. Per l'accesso remoto vengono utilizzati protocolli sicuri.

5. Controllo dell'accesso ai dati:

a. Sono in atto misure per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati possano accedere solo ai Dati Personali a cui si riferisce il loro diritto di accesso, in conformità con i ruoli e le responsabilità loro assegnati.

b. I Dati Personali non vengono letti, copiati, modificati o rimossi senza autorizzazione durante l'Elaborazione, l'uso e dopo l'archiviazione, salvo quanto necessario per la fornitura dei Servizi o come indicato dal Cliente.

c. La separazione dei compiti e dei dati viene attuata ove opportuno.

6. Controllo della trasmissione:

a. I dati personali sono protetti contro la lettura, la copia, la modifica o la rimozione non autorizzate durante la trasmissione o il trasporto elettronico.

b. Per proteggere i Dati Personali trasmessi su reti pubbliche vengono utilizzate tecnologie di crittografia (ad esempio Transport Layer Security – TLS/Secure Sockets Layer – SSL per i dati in transito).

c. Qualora si verifichino trasferimenti di supporti fisici contenenti Dati Personali, vengono utilizzati metodi sicuri.

7. Controllo di input:

a. Vengono implementate misure per garantire che sia possibile successivamente verificare e stabilire se e da chi i Dati Personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dati (ad esempio, tramite registri di controllo).

b. Sono implementate funzionalità di registrazione e auditing per le attività di sistema critiche relative al trattamento dei dati personali.

8. Backup e ripristino dei dati:

a. Vengono eseguiti backup regolari dei Dati Personali Elaborati nell'ambito dei Servizi per garantire la disponibilità e l'integrità dei dati.

b. Le procedure di backup e ripristino vengono definite e testate periodicamente.

c. I backup vengono archiviati in modo sicuro.

9. Controllo della disponibilità e resilienza:

a. I sistemi sono progettati e configurati per garantire la disponibilità dei Dati Personali e la resilienza dei sistemi e dei servizi di elaborazione.

b. Ciò include misure quali ridondanza, tolleranza agli errori e capacità di disaster recovery, sfruttando principalmente l'infrastruttura del principale fornitore di servizi cloud di MEFERI (Amazon Web Services – AWS).

10. Segregazione dei dati:

a. I dati personali del cliente sono logicamente separati dai dati degli altri clienti MEFERI all'interno dei Servizi.

11. Sviluppo software sicuro (per le piattaforme cloud di MEFERI):

a. Le pratiche e i principi di codifica sicura sono incorporati nel ciclo di vita dello sviluppo software di MEFERI per le sue piattaforme cloud.

b. I test di sicurezza (ad esempio, scansione delle vulnerabilità, test di penetrazione) vengono condotti in modo appropriato per i Servizi.

c. Sono in atto procedure per l'identificazione, la valutazione e la correzione delle vulnerabilità nel software di MEFERI.

12. Gestione degli incidenti:

a. MEFERI mantiene un piano di risposta agli incidenti e procedure per rilevare, rispondere e ripristinare gli incidenti di sicurezza, comprese le violazioni dei dati personali.

b. Gli incidenti vengono indagati, documentati e vengono adottate le opportune misure correttive.

c. Sono stabiliti piani di comunicazione per le notifiche interne ed esterne come richiesto dalla legge applicabile in materia di protezione dei dati e dal presente DPA.

13. Gestione dei sub-responsabili:

a. Prima di coinvolgere i sub-responsabili del trattamento, viene effettuata la due diligence per garantire che possano fornire un livello adeguato di protezione dei dati.

b. Sono in vigore accordi contrattuali con i sub-responsabili del trattamento che impongono obblighi di protezione dei dati almeno equivalenti a quelli imposti a MEFERI ai sensi del presente DPA.

14. Monitoraggio e registrazione:

a. I sistemi che elaborano i Dati Personali vengono monitorati per rilevare eventi e anomalie di sicurezza, ove opportuno e fattibile.

b. I registri pertinenti vengono raccolti e rivisti secondo necessità per rilevare, indagare e rispondere agli incidenti di sicurezza.

15. Crittografia:

a. La crittografia dei dati personali inattivi viene implementata ove appropriato e tecnicamente fattibile (ad esempio, per l'archiviazione di database contenenti dati personali sensibili).

b. La crittografia dei dati personali in transito sulle reti pubbliche viene implementata utilizzando protocolli standard del settore (ad esempio, TLS).

*(Il Cliente riconosce che le Misure di Sicurezza sono soggette a progresso e sviluppo tecnico e che MEFERI può aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino un degrado della sicurezza complessiva dei Servizi acquistati dal Cliente.)*

—

APPENDICE 3

SUB-RESPONSABILI

Il Cliente fornisce a MEFERI un'autorizzazione generale per utilizzare le categorie di Sub-responsabili del trattamento elencate di seguito. MEFERI manterrà un elenco aggiornato dei suoi Sub-responsabili specifici, che sarà reso disponibile al Cliente pubblicandolo su una pagina web designata sul sito web di MEFERI. https://meferi.com/en/us/legal/subprocessors ). e fornirà questo elenco al Cliente su richiesta scritta al contatto per la protezione dei dati di MEFERI (ad esempio, legal@meferi.com ).

Categorie di sub-responsabili e finalità:

1. Fornitori di infrastrutture cloud: – Sub-responsabile e specifiche per l'hosting principale dei servizi forniti al cliente ai sensi del contratto principale:

– Entità: Amazon Web Services EMEA SARL (o l'entità contraente AWS pertinente per i servizi forniti nello SEE).

– Scopo: fornire l'infrastruttura di cloud computing di base (server, storage, networking, database) per l'hosting dei Servizi MEFERI (ad esempio, Shadowalk Cloud, backend CIAO Cloud) forniti al Cliente ai sensi del Contratto principale.

– Luogo di elaborazione dei dati personali del cliente (hosting primario): la regione AWS primaria per l'elaborazione dei dati personali del cliente ai sensi del presente DPA è eu-west-3 (Parigi, Francia) all'interno dello Spazio economico europeo (SEE).

– Tutele per il trasferimento dei dati: AWS fornisce un Addendum sul trattamento dei dati (DPA) che include Clausole contrattuali standard (SCC) per disciplinare i trasferimenti di dati personali, che si applicano se i dati vengono elaborati da AWS o trasferiti da AWS a sedi al di fuori del SEE che non sono coperte da una decisione di adeguatezza. Il cliente può consultare l'Addendum sul trattamento dei dati di AWS all'indirizzo  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf e informazioni sulla conformità al GDPR di AWS su  https://aws.amazon.com/compliance/gdpr-center/

– Nota sulle CDN (se applicabile): se MEFERI utilizza AWS CloudFront o servizi di rete per la distribuzione di contenuti (CDN) simili per migliorare le prestazioni dei Servizi, copie di determinati dati (in genere risorse statiche o contenuti memorizzati nella cache, che possono includere o meno Dati Personali a seconda della configurazione) potrebbero essere temporaneamente memorizzate nella cache presso le edge location AWS in tutto il mondo. Tuttavia, l'archiviazione autorevole e l'elaborazione primaria dei Dati Personali del Cliente per i Servizi rimarranno nella regione AWS sopra specificata (eu-west-3). MEFERI garantirà che tutti i Dati Personali del Cliente distribuiti tramite CDN siano gestiti in conformità con i requisiti del GDPR.

– Altri fornitori di infrastrutture cloud per i servizi forniti al cliente ai sensi del contratto principale:

– Attualmente, MEFERI non si avvale di altri fornitori di infrastrutture cloud di terze parti per l’hosting primario o la fornitura diretta dei Servizi definiti nell’Accordo principale, oltre a quanto descritto sopra.

2. Fornitori di servizi di comunicazione:

– Scopo: facilitare le comunicazioni essenziali al Cliente o ai suoi utenti autorizzati in relazione alla fornitura e all'uso dei Servizi (ad esempio, invio di e-mail per notifiche di servizio, reimpostazioni di password, avvisi di sicurezza e invio di SMS per avvisi critici o codici di autenticazione a due fattori).

– Sub-responsabili specifici utilizzati:

– Per comunicazioni via e-mail:

– Entità: Amazon Web Services EMEA SARL (che utilizza Amazon Simple Email Service – SES).

– Scopo specifico per MEFERI: per l'invio di notifiche e-mail transazionali e relative ai servizi agli utenti autorizzati del Cliente (ad esempio, avvisi sull'account, reimpostazioni della password, aggiornamenti del servizio, informazioni di sicurezza critiche) in relazione ai Servizi.

– Luogo del trattamento: l'infrastruttura di invio delle e-mail è situata principalmente all'interno delle regioni AWS che MEFERI utilizza per i suoi Servizi (ad esempio, configurata per inviare da una regione SEE come eu-west-1 Irlanda o eu-west-3 Parigi, ove possibile). Il trattamento di qualsiasi Dato Personale (come indirizzi e-mail e contenuto delle e-mail) tramite SES è regolato dall'Addendum sul Trattamento dei Dati AWS.

– Tutele per il trasferimento dei dati: coperte dall’Addendum sull’elaborazione dei dati di Amazon Web Services, che include clausole contrattuali standard. Disponibile

A: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– Per le comunicazioni SMS:

– Entità: Twilio Inc.

– Scopo specifico per MEFERI: per l'invio di notifiche SMS agli utenti autorizzati del Cliente come parte dei Servizi, ad esempio per avvisi critici o per la consegna di codici di autenticazione a due fattori (2FA), se tali funzionalità sono abilitate e utilizzate dal Cliente.

– Natura dei dati trattati: in genere include i numeri di telefono degli utenti autorizzati del Cliente e il contenuto dei messaggi SMS (ad esempio, codici di autenticazione, testo di avviso).

– Luogo del trattamento: principalmente USA.

– Tutele per il trasferimento dei dati: i trasferimenti di dati personali sono regolati dall'Addendum sul trattamento dei dati di Twilio, che incorpora le clausole contrattuali standard (SCC). Il cliente può consultare il DPA di Twilio all'indirizzo: https://www.twilio.com/legal/data-protection-addendum.

– Altri fornitori di servizi di comunicazione:

– Attualmente, MEFERI non si avvale di altri fornitori di servizi di comunicazione terzi per il trattamento dei Dati Personali del Cliente ai sensi del presente DPA, oltre a quanto sopra descritto per e-mail e SMS. Qualora vengano introdotte funzionalità specifiche che richiedono altri tipi di servizi di comunicazione e il Cliente ne accetti l'utilizzo, MEFERI aggiornerà questo elenco e ne darà comunicazione al Cliente in conformità alla Sezione 6.2 del presente DPA.

3. Fornitori di analisi e monitoraggio delle prestazioni dei servizi:

– Finalità: Monitorare le prestazioni, identificare errori e analizzare i modelli di utilizzo dei Servizi di MEFERI (ad esempio, Shadowalk Cloud, backend Cloud di CIAO) per mantenere e migliorare la stabilità, la funzionalità e l'esperienza utente del servizio. I dati elaborati da questi fornitori per i Servizi di MEFERI sono in genere pseudonimizzati, aggregati o costituiti da dati tecnico/operativi. MEFERI non utilizza questi fornitori per analizzare il contenuto specifico dei Dati Personali del Cliente all'interno dei Servizi, a meno che non sia esplicitamente indicato o concordato con il Cliente per scopi di supporto o risoluzione dei problemi.

– Sub-responsabili specifici utilizzati:

– Entità: Functional Software, Inc. (che opera con il nome di Sentry).

– Scopo specifico per MEFERI: per il monitoraggio degli errori in tempo reale, la diagnostica e il monitoraggio delle prestazioni all'interno dei servizi basati su cloud di MEFERI (Shadowalk Cloud, backend CIAO Cloud) per aiutare a identificare e risolvere i problemi tecnici.

– Natura dei dati trattati: in genere include messaggi di errore, stack trace, informazioni su dispositivi/browser, indirizzi IP (che MEFERI può configurare per essere resi anonimi o non archiviati ove possibile nell'ambito delle capacità di Sentry) e altri metadati operativi relativi agli eventi del servizio. MEFERI configura la sua integrazione con Sentry per ridurre al minimo l'acquisizione dei dati personali del cliente.

– Luogo del trattamento: principalmente USA.

– Tutele per il trasferimento dei dati: i trasferimenti sono regolati dall'Addendum sul trattamento dei dati di Sentry, che incorpora le clausole contrattuali standard. Disponibile all'indirizzo: https://sentry.io/legal/dpa/

– Analisi del sito web e del portale (MEFERI come Titolare del trattamento):

– Per le analisi relative al sito web aziendale di MEFERI (ad esempio, meferi.com) e ad altri portali pubblici di proprietà di MEFERI in cui MEFERI agisce in qualità di Titolare del trattamento dei dati, i dettagli dei fornitori di analisi (come Google Analytics) e del trattamento dei dati sono descritti nell'Informativa sulla privacy generale di MEFERI. Questi fornitori non sono elencati qui come sub-responsabili del trattamento ai sensi del presente DPA, a meno che non trattino anche i Dati personali del Cliente per conto di MEFERI nel contesto dei Servizi forniti al Cliente.

4. Strumenti di supporto e assistenza clienti:

– Scopo: gestire le richieste di assistenza clienti, fornire servizi di helpdesk e facilitare la comunicazione relativa all'assistenza per i Servizi di MEFERI.

– Strumenti specifici utilizzati:

– MEFERI utilizza il proprio portale di assistenza clienti e il sistema di ticketing proprietario, accessibili all'indirizzo support.meferi.com. Questo sistema è sviluppato e gestito da MEFERI ed è ospitato sull'infrastruttura cloud di MEFERI fornita da Amazon Web Services (AWS), come dettagliato nella Sezione 1 ("Fornitori di infrastrutture cloud") della presente Appendice.

– I dati personali inviati dagli utenti autorizzati del Cliente tramite questo portale di supporto (ad esempio, dettagli di contatto, contenuto della richiesta) vengono elaborati all'interno di questo sistema gestito da MEFERI.

– MEFERI attualmente non utilizza fornitori di Software-as-a-Service (SaaS) di terze parti per la sua piattaforma di assistenza clienti in cui vengono elaborati i dati personali dei clienti ai sensi del presente DPA. – Elaborazione dei dati e consenso dell'utente sul portale di assistenza:

– Gli utenti che accedono a support.meferi.com sono soggetti ai termini dell'Informativa sulla privacy di MEFERI e a qualsiasi Contratto utente applicabile per il portale di supporto, che regolano la raccolta e l'uso da parte di MEFERI dei Dati personali inviati direttamente dagli utenti al portale.

– Futuro coinvolgimento di fornitori terzi:

– Se in futuro MEFERI decidesse di avvalersi di fornitori terzi di supporto o di strumenti di assistenza clienti per l'elaborazione dei Dati personali del Cliente, questo elenco verrà aggiornato e il Cliente verrà informato in conformità alla Sezione 6.2 del presente DPA.

5. Subappaltatori tecnici (ad esempio, per sviluppo specializzato, manutenzione o test di sicurezza):

– Attualmente, MEFERI esegue servizi tecnici specializzati, sviluppo software, manutenzione di sistema e test di sicurezza per i suoi Servizi (come la soluzione Cloud MEFERI Shadowalk MDM/EMM e i componenti ospitati nel cloud della soluzione Intelligent Shopper Assistant (ISA) CIAO) utilizzando principalmente il proprio personale interno.

– MEFERI attualmente non impiega subappaltatori tecnici terzi in una veste che richiederebbe loro di elaborare i dati personali dei clienti per conto di MEFERI ai sensi del presente DPA.

– Qualora MEFERI decidesse in futuro di ingaggiare subappaltatori tecnici che elaboreranno i dati personali del cliente, MEFERI aggiornerà questo elenco di sub-responsabili e informerà il cliente in conformità con la Sezione 6.2 del presente DPA, assicurando che tale incarico sia conforme ai requisiti per il sub-trattamento stabiliti nel presente DPA, inclusa l'implementazione di adeguate misure di sicurezza per il trasferimento dei dati, ove necessario.

6. Centri di assistenza e fornitori di servizi logistici autorizzati:

– Scopo: fornire servizi di riparazione, diagnostica, ricondizionamento e logistica correlati per i prodotti MEFERI in base a contratti di servizio applicabili (come i piani di servizio MeCare) o termini di garanzia.

– Entità/Categoria: Centri di assistenza terzi autorizzati o partner logistici incaricati da MEFERI o dalle sue affiliate di eseguire riparazioni e gestione dei dispositivi MEFERI. (MEFERI gestisce una rete di tali fornitori autorizzati; i dettagli specifici del fornitore per una determinata riparazione possono dipendere dalla posizione del Cliente e dalla natura della richiesta di assistenza).

– Natura dei dati trattati: Possono includere:

– Informazioni di contatto dei rappresentanti del Cliente che coordinano la riparazione (nome, e-mail, numero di telefono, indirizzo di spedizione).

– Identificatori del dispositivo (numero di serie, modello).

– Descrizione del problema fornita dal Cliente.

Potenzialmente, eventuali Dati Personali rimanenti sui dispositivi inviati in riparazione non vengono cancellati o protetti dal Cliente prima della spedizione. MEFERI richiede ai Clienti di eseguire il backup e/o cancellare i Dati Personali dai dispositivi prima di inviarli in riparazione e la responsabilità di MEFERI per la perdita di tali dati è limitata in base al Contratto Principale o ai termini di servizio applicabili. Tuttavia, nella misura in cui tali dati siano accessibili al centro di riparazione durante la diagnostica o la riparazione, vengono trattati come Dati Personali del Cliente.

– Ubicazione del personale addetto all'elaborazione: i centri di assistenza per le riparazioni possono essere ubicati in diverse regioni del mondo, tra cui SEE, Repubblica Popolare Cinese o altri Paesi, a seconda dell'ubicazione del Cliente e della rete di assistenza di MEFERI. MEFERI fornirà informazioni sull'ubicazione dello specifico centro di riparazione su richiesta o come parte della procedura RMA, ove possibile.

– Tutele in materia di protezione dei dati: tutti i centri di assistenza e i fornitori di servizi logistici autorizzati che possono accedere ai Dati Personali del Cliente sono soggetti ad accordi scritti con MEFERI (o con l'affiliata MEFERI contraente) che includono obblighi di riservatezza e termini di trattamento dei dati che impongono requisiti di protezione dei dati almeno equivalenti a quelli stabiliti nel presente DPA. Per qualsiasi trasferimento di Dati Personali del Cliente a tali fornitori situati al di fuori dello Spazio Economico Europeo (SEE) in un paese non ritenuto adeguato dalla Commissione Europea, MEFERI garantisce che siano in atto meccanismi di trasferimento adeguati ai sensi del Capitolo V del GDPR, come le Clausole Contrattuali Standard (SCC). L'accesso ai Dati Personali sui dispositivi è limitato a quanto necessario per la diagnostica e la riparazione.