Accordo per il trattamento dei dati (per i Clienti soggetti alle Leggi Europee sulla Protezione dei Dati, incluse Svizzera, Regno Unito e/o Leggi sulla Protezione dei dati di Australia e Sudafrica)
Il presente Accordo per il Trattamento dei Dati (“ATD“) forma parte dell’Accordo Quadro (come definito nelle Condizioni del Prodotto) tra il cliente, l’agenzia o il rivenditore (il “Cliente” o “Lei“) e la società Yext ivi menzionata (“Yext“) e riflette l’accordo tra le parti in merito al Trattamento dei Dati Personali (come definiti nel presente ATD). I termini maiuscoli utilizzati in questo ATD e non diversamente definiti hanno il medesimo significato di quello loro attribuito nell’Accordo Quadro o nelle Condizioni del Prodotto che può trovare qui. Nella misura in cui vi sia un qualsiasi conflitto tra questo ATD, l’Accordo Quadro, le Condizioni del Prodotto,prevarranno, salvo diverso accordo espressamente stabilito tra le parti, le disposizioni dei seguenti documenti : (a) il presente ATD, (b) l’Accordo Quadro, e (c) le Condizioni del Prodotto.
Nel presente ATD, i seguenti termini avranno i seguenti significati:
“Affiliata” indica un’entità che (i) controlla, (ii) è controllata da, o (iii) è sotto il controllo comune di Yext. Si considera che un’entità controlli un’altra entità se ha il potere di dirigere o far dirigere la sua gestione o le strategie globali di tale entità, attraverso la proprietà o il voto, per contratto o in un altro modo.
“Leggi sulla Protezione dei Dati” indica la Direttiva 2002/58/EC, il GDPR (come definito nel presente ATD) e qualunque legislazione o regolamento che implementi, dia seguito, modifichi, sostituisca, aggiunga, ripristini o consolidi essi, la Legge sulla Protezione dei Dati del 2018 del Regno Unito (Data Protection Act 2018), la Legge sulla Protezione dei Dati Personali del 2013 del Sud Africa (Protection of Personal Information Act 4 -2013, così detta “POPIA”), o qualunque altra legge applicabile relativa al Trattamento dei Dati Personali e privacy che esista in ogni giurisdizione rilevante.
“GDPR” indica in ciascun caso nella misura applicabile alle attività di Trattamento: (i) il Regolamento (UE) 2016/679; e (ii) il Regolamento (UE) 2016/679 come modificato da qualunque legislazione derivante dall’uscita del Regno Unito dalla Unione Europea.
“Dati Personali” avrà il significato attribuito alle espressioni “dati personali” o “informazioni personali” ai sensi delle Leggi sulla Protezione dei Dati applicabili.
“Categorie Particolari di Dati Personali” avrà il significato attribuito alle espressioni “categorie particolari di dati personali”, “dati sensibili” o “informazioni sensibili” ai sensi delle Leggi sulla Protezione dei Dati applicabili.
“Autorità di Controllo” indica l’autorità di protezione dei dati competente nel territorio in cui il Cliente è stabilito.
“Paese Terzo” indica qualsiasi paese diverso da: (i) i paesi all’interno dello Spazio economico europeo (SEE), (ii) la Svizzera e (iii) i paesi, territori o settori specifici rispetto ai quali è stata fornita una valutazione di adeguatezza ai sensi delle Leggi sulla Protezione dei Dati applicabili.
I termini “Titolare del Trattamento“, “Soggetti dei Dati“, “Trattamento” (“Trattare” deve essere interpretato allo stesso modo) “Violazione dei Dati Personali” e “Responsabile del Trattamento” avranno il significato dato loro dalle Leggi sulla Protezione dei Dati applicabili.
- Lei accetta di essere il Titolare del Trattamento in relazione ai Dati Personali dei suoi clienti, dipendenti e visitatori del sito (o nel caso di un’agenzia o di un rivenditore, i suoi clienti saranno considerati come i Titolari del Trattamento dei Dati Personali dei loro clienti finali, dipendenti e visitatori del sito) che sono forniti a o generati da Yext (o dall’agenzia o dal rivenditore) nel corso della fornitura dei Prodotti (“Dati Personali del Cliente“). Lei accetta che i Dati Personali del Cliente forniti a Yext in relazione ai Prodotti saranno Trattati da Lei in conformità con le Leggi sulla Protezione dei Dati applicabili. Yext non avrà alcuna responsabilità per l’accuratezza, la qualità e la legalità di qualsiasi Dato Personale del Cliente fornito a Yext e dei mezzi con cui tali Dati Personali del Cliente siano stati acquisti prima di essere forniti a Yext.
- Lei riconosce che Yext (o in caso di agenzia o rivenditore, l’agenzia o il rivenditore, ove applicabile) può richiedere alcuni Dati Personali per predisporre e gestire l’account del Cliente e le sue interazioni. Yext (o l’agenzia o il rivenditore ove applicabile) Tratterà tali Dati Personali in qualità di Titolare del Trattamento.
- Quando vengono Trattati i Dati Personali del Cliente nel contesto dei servizi Listings, Reviews o altri Prodotti come Events, Answers, Knowledge Tags e Pages (inclusi anche i cookies o altre tecnologie di tracciamento che formano parte delle funzionalità del Prodotto a fini analitici, come nel caso di Conversion Tracking), Yext li Tratterà come Responsabile del Trattamento (o nel caso di una agenzia o rivenditore, il rivenditore o l’agenzia saranno il Responsabile del Trattamento e Yext sarà considerato sotto- responsabile).
- Quando Yext è un Responsabile del Trattamento (o Sub-Responsabile), le disposizioni enunciate nelle Clausole 5-15 di cui sotto si applicheranno in relazione al Trattamento dei Dati Personali del Cliente. Oltre che alle disposizioni di cui alle Clausole 5-15, sia il Cliente che Yext dovranno conformarsi a qualsiasi ulteriore specifica disposizione locale di un paese, nella misura in cui le Leggi sulla Protezione dei Dati di un paese indicato nell’Allegato 3 si applichino al Trattamento dei Dati Personali del Cliente.
- Yext Tratterà i Dati Personali del Cliente esclusivamente in conformità alle istruzioni documentate, come stabilito nel presente ATD e nell’Accordo Quadro (comprese le Condizioni del Prodotto) anche in merito al trasferimento di Dati Personali del Cliente ad un Paese Terzo, e non Tratterà alcun Dato Personale del Cliente per nessun altro scopo, salvo se richiesto dalla legge, in qual caso, ove legalmente consentito, Yext la informerà di tale richiesta di legge prima di effettuare il Trattamento. Nei casi in cui Lei sia un’agenzia o un rivenditore, Lei assicurerà che il suo accordo con i suoi clienti contenga le disposizioni appropriate per consentirle di Trattare i Dati Personali dei Clienti e di garantire che essi abbiano fornito il consenso appropriato per consentirle di subappaltare il Trattamento dei Dati Personali dei Clienti a Yext e altri Sub-Responsabili del Trattamento in termini sostanzialmente simili a quelli del presente ATD.
- L’oggetto del Trattamento dei dati consiste nella fornitura dei Prodotti ed il Trattamento sarà effettuato fino alla data in cui Yext cesserà di fornirle i Prodotti. I suoi obblighi e i suoi diritti sono stabiliti nell’Accordo Quadro. L’Allegato 1 del presente ATD stabilisce la natura e lo scopo del Trattamento, i tipi di Dati Personali che Yext Tratta e le categorie di Soggetti dei Dati i cui Dati Personali sono Trattati.
- Yext implementerà le misure di sicurezza tecniche e organizzative appropriate (tra cui la garanzia che il personale di Yext autorizzato a Trattare i Dati Personali del Cliente si sia impegnato a rispettare gli obblighi di riservatezza) per garantire un livello di sicurezza adeguato ai rischi presentati dal Trattamento dei Dati Personali del Cliente, incluse quelle misure contenute nelle Leggi sulla Protezione dei Dati applicabili. I dettagli di tali misure sono definiti nell’Allegato 2.
- In caso di una Violazione dei Dati Personali che potrebbe avere un impatto sui Dati Personali del Cliente, Yext informerà il Titolare del Trattamento rilevante (all’indirizzo email che abbiamo registrato) o in caso di rivenditore o agente informerà il rivenditore o l’agente, senza indebito ritardo, dopo essere venuta a conoscenza di tale Violazione dei Dati Personali.
- Yext fornirà tali informazioni e assistenza nella modalità ragionevolmente necessaria (e nei tempi ragionevolmente specificati) per consentire al Titolare del Trattamento di adempiere ai suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati applicabili, inclusa l’assistenza a: (i) rispettare i propri obblighi di sicurezza, (ii) adempiere ai propri obblighi di rispondere alle richieste dei Soggetti dei Dati d’esercitare i loro diritti; e (iii) eseguire qualsiasi valutazione d’impatto sulla protezione dei dati e riesaminare tutte le operazioni di Trattamento per garantire che siano eseguite conformemente alla valutazione d’impatto sulla protezione dei dati e (iv) consultare l’Autorità di Controllo pertinente (ove applicabile). L’assistenza di Yext al Titolare del Trattamento ai sensi della presente disposizione sarà fornita a spese del Titolare del Trattamento. Il Titolare del Trattamento può richiedere tale assistenza via email a privacy@yext.com. Yext informerà il Titolare del Trattamento di ogni richiesta ricevuta direttamente dai Soggetti dei Dati.
- Yext verificherà la sicurezza dei computer e dell’ambiente informatico che utilizza nel Trattamento dei Dati Personali del Cliente. Questo controllo: (a) sarà eseguito almeno una volta l’anno; (b) può essere eseguito da professionisti indipendenti della sicurezza di terze parti a scelta e spese di Yext; (c) sarà eseguito secondo lo standard SOC2; e (d) darà luogo alla redazione di un rapporto di verifica (“Rapporto“), che dovrà intendersi come un’informazione confidenziale di Yext. Su vostra richiesta scritta, Yext le fornirà una copia confidenziale del Rapporto in modo da poter ragionevolmente verificare il rispetto di Yext agli obblighi di sicurezza previsti dal presente ATD.
- Se desidera modificare tale istruzione relativa all’esercizio del diritto di verifica o alla fornitura d’informazioni, al fine di dimostrare il rispetto dell’articolo 28 del GDPR, Lei avrà il diritto di modificare l’istruzione (a sue spese), previa richiesta per iscritto, fermo restando che Yext non avrà alcun obbligo di fornire informazioni riservate.
- Yext informerà immediatamente il Titolare del Trattamento (o nel caso di agente o rivenditore, notificherà all’agente o al rivenditore) se, a suo parere, Yext ritiene che un’istruzione da Lei trasmessa ai sensi della Clausola 11 è in violazione di qualsiasi Legge sulla Protezione dei Dati applicabile e Yext avrà il diritto, ma non l’obbligo, di sospendere l’esecuzione delle istruzioni in questione, fino a quando tali istruzioni verranno confermate per iscritto.
- Dopo la risoluzione dell’Accordo Quadro, Yext provvederà, su sua richiesta scritta, a cancellare o restituire tutti i Dati Personali del Cliente, se non diversamente previsto dalla legge.
- Lei riconosce e accetta che Yext possa ritenere le Affiliate e altre terze parti idonee come sub-responsabili del Trattamento (collettivamente i “Sub-Responsabili“) in relazione al Trattamento dei Dati Personali del Cliente, avendo imposto a tali Sub-Responsabili, in un accordo scritto, degli obblighi di protezione dei dati che non siano meno protettivi di quelli che sono imposti a Yext ai sensi del presente ATD. Yext sarà responsabile per l’adempimento di tali obblighi da parte dei Sub-Responsabili. Un elenco dei Sub-Responsabili è disponibile all’indirizzo https://www.yext.com/terms/subprocessors/ unitamente ad un sistema, a cui Lei accetta di iscriversi anticipatemente, per ricevere le notifiche dei nuovi Sub-Responsabili. È possibile contestare l’uso di un nuovo Sub-Responsabile da parte di Yext, inviando a Yext una contestazione per iscritto, entro dieci (10) giorni dal ricevimento della notifica di utilizzo di un nuovo Sub-Responsabile, ricevuta in conformità al sistema di cui sopra. Le contestazioni legittime devono contenere motivi ragionevoli e documentati relativi alla non conformità del Sub-Responsabile alle Leggi sulla Protezione dei Dati applicabili. Se, a ragionevole giudizio di Yext, tali obiezioni sono legittime, Yext si asterrà dall’utilizzare tale Sub-Responsabile nel contesto del Trattamento dei Dati Personali del Cliente. In tali casi, Yext farà tutto il possibile per (i) renderle disponibile una modifica dei Prodotti Yext o (ii) raccomandare una modifica alla sua configurazione o all’uso dei Prodotti per evitare il Trattamento dei Dati Personali del Cliente da parte del Sub-Responsabile oggetto di contestazione. Se Yext non è in grado di rendere disponibile tale modifica entro un ragionevole periodo di tempo, Lei, mediante una comunicazione scritta inviata a Yext, avrà la facoltà di terminare esclusivamente la sottoscrizione di quei Prodotti che non possono essere forniti da Yext senza l’utilizzo del Sub-Responsabile oggetto di contestazione. Esclusivamente in relazione ai Prodotti la cui sottoscrizione è stata terminata ed a partire dalla data della sua effettiva cessazione, Yext rimborserà tutte le spese prepagate che coprono il resto della durata della sottoscrizione di tali Prodotti.
- Lei riconosce che, come parte dei Prodotti, i Dati Personali del Cliente saranno archiviati in o accessibili dal Regno Unito e da qualsiasi altro Paese Terzo in cui i Sub-Responsabili di Yext manterranno delle infrastrutture. Laddove i trasferimento verso il Regno Unito siano coperti dalla una decisione di adeguatezza della Commissione EU del 28 giugno 2021 a favore del Regno Unito, Yext assicurerà una protezione adeguata per qualsiasi prossimo trasferimento verso ogni Paese Terzo un cui essa si avvale di Sub-Responsabili (fad esempio Yext, Inc.) in conformità delle Leggi sulla Protezione dei Dati ivi applicabili.
ALLEGATO 1
INFORMAZIONI SUL TRATTAMENTO DEI DATI
I Prodotti di Yext aiutano le società nel gestire le loro informazioni ditali rivolte al pubblico.
“Interessati” del trattamento dei dati
I Dati Personali del Cliente trasferiti riguardano le seguenti categorie di Interessati:
Se il Cliente usa il prodotto Listings (come uno dei Prodotti Listings o parte dei pacchetti Starter, Professional o Ultimate) e /o Events e decide di fornire tali informazioni a Listings: i dipendenti del Cliente.
Se il Cliente usa il prodotto Review Monitoring (come parte dei Prodotti Review o dei pacchetti Professional e Ultimate): gli individui che presentano recensioni online negli applicabili Siti degli Editori.
Se il Cliente usa il prodotto Review Generation (parte dei Prodotti Review o del pacchetto Ultimate): gli utenti che inviano una recensione al Cliente.
Se il Cliente sottoscrive il prodotto Pages, i visitatori delle pagine web del Cliente che sono basati su Pages.
Se il Cliente sottoscrive il prodotto Knowledge Tags: i visitatori delle pagine web che usano Knowledge Tags.
Se il Cliente sottoscrive il prodotto Answers: i visitatori delle pagine web del Cliente che usano Answers.
Se il Cliente decide di usare Conversion Tracking, per sua scelta volontaria: i visitatori del sito ai contenuti di Listing e/o Events negli applicabili Siti degli Editori.
Se il Cliente decide di usare Conversation Tracking, per sua scelta volontaria i visitatori delle pagine web di pages, Knowledge Tags e/o Answers.
Tipi di dati Personali
I Dati Personali del Cliente trasferiti riguardano le seguenti tipi di Dati Personali:
Prodotto |
Tipi di Dati Personali trattati da Yext per conto del Cliente | ||||
Nome, contatti, bio e/o ruolo degli Impiegati del Cliente | Nome o alias della persona che ha inserito la recensione online sui Siti degli Editori applicabili e contenuti di tale recensione | Nome e email o numero di telefono mobile della persona che ha inserito la recensione al Cliente e contenuti di tale recensione | Informazioni tecniche relative ai visitatori del sito come l’indirizzo IP* | Informazioni d’uso sulle visite del sito web (il riferimento alla URL, il contenuto visualizzato e il contenuto con cui si è interagito) | |
Listings/Events | Si, ma solo se fornito dal Cliente | ||||
Review Monitoring | Si | ||||
Review Generation | Si | ||||
Pages** | Si | Si** | |||
Knowledge Tags** | Si | Si** | |||
Answers*** | Si | Si*** | |||
Conversion Tracking**** | Si**** |
*L’Indirizzo IP non è messo a disposizione degli utenti del Cliente.
**Pages e Knowledge Tags possono essere messi in funzione con un pixel il cui scopo è fornire dati analitici aggregati al Cliente.
***Answers può essere messo in funzione con un cookie di sessione il cui scopo è fornire dati analitici aggregati al Cliente. Answers può anche essere implementato con una funzionalità opzionale di domande e risposte (Q&A) in modo che un visitatore possa inviare il proprio nome ed e-mail per essere contattato dal Cliente.
****Conversion Tracking è una funzionalità opzionale inserita nei contenuti di Listings o Events sui Siti degli Editori o all’interno di Pages, Knowledge Tags o Answers che fornisce approfondimenti aggregati qualora i visitatori che vengono rilevati da uno dei prodotti proprietari di Yext continuino a visitare altri siti Web specificati dal Cliente. Include un cookie persistente il cui scopo è fornire analisi aggregate al Cliente.
Categorie Particolari di Dati Personali
I Dati Personali del Cliente trasferiti riguardano le seguenti Categorie Particolari di Dati Personali:
Nessuno;
Yext non raccoglie intenzionalmente né Tratta nessuna Categoria Particolare di Dati Personali nella fornitura dei propri Prodotti e servizi. Il Cliente accetta di non fornire in qualsiasi momento delle Categorie Particolari di Dati Personali a Yext.
Operazioni di Trattamento
I Dati Personali del Cliente trasferiti saranno soggetti alle seguenti operazioni di Trattamento di base:
Raccolta, rivelazione attraverso trasmissione e disseminazione, hosting, manutenzione, organizzazione, archiviazione e supporto.
ALLEGATO 2
MISURE TECNICHE ED ORGANIZZATIVE
- Controllo dell’accesso alle aree di Trattamento
Yext adotta misure idonee al fine di impedire a persone non autorizzate di accedere alle apparecchiature di Trattamento dati utilizzate per Trattare i Dati Personali del Cliente. Ciò è realizzato in particolare mediante le seguenti misure:
- Sistema di controllo dell’accesso
- Carta d’accesso
- Emissione di chiavi
- Serratura delle porte
- Sistemi di videosorveglianza – CCTV monitor
- Sistema di allarme
- Personale di sorveglianza durante l’orario lavorativo e, per alcune strutture, anche al di fuori dell’orario lavorativo
- Controllo dell’accesso ai sistemi di Trattamento dati
Yext adotta misure idonee al fine di impedire che i propri sistemi di Trattamento dati siano utilizzati da persone non autorizzate. Ciò è realizzato in particolare mediante le seguenti misure:
- Procedure per la password (incluso la lunghezza minima e la modifica)
- Accesso ai sistemi IT previa approvazione della direzione delle risorse umane e degli amministratori del sistema IT
- Revisione dei controlli di accesso per garantire che le autorizzazioni siano modificate per il personale trasferito o non più in servizio
- Controllo dell’accesso per utilizzare aree specifiche dei sistemi di Trattamento dati
Yext garantisce che le persone autorizzate a utilizzare i suoi sistemi di Trattamento dei dati siano in grado di accedere ai Dati Personali del Cliente solo nell’ambito e nella misura consentita dal rispettivo permesso di accesso (autorizzazione) e che i Dati Personali del Cliente non possano essere letti, copiati, modificati o rimossi senza autorizzazione. Ciò è realizzato in particolare mediante le seguenti misure:
- Diritti di accesso differenziati
- Diritti di accesso definiti in base alle mansioni
- Registrazione automatica dell’accesso utente per alcuni sistemi IT
- Controllo della trasmissione dati
Yext adotta misure idonee al fine di impedire che i Dati Personali del Cliente vengano letti, copiati, modificati o cancellati da soggetti non autorizzati durante la loro trasmissione o durante il trasferimento del supporto dati, nonché per garantire di poter verificare e stabilire a quali soggetti sia previsto il trasferimento dei Dati Personali del Cliente mediante strumenti di trasmissione dati. Ciò è realizzato in particolare mediante le seguenti misure:
- Utilizzo di una rete privata interamente controllata per tutti i trasferimenti di dati all’interno di Yext
- Sistema di crittografia, mediante l’uso di una VPN per l’accesso remoto, il trasferimento e la comunicazione dei dati
- Divieto di uso di USB e CD Rom non crittografati
- Controllo istruttivo
Yext garantisce che i Dati Personali del Cliente possano essere Trattati solo in conformità con le istruzioni documentate, come stabilito nel presente ATD e nel Contratto Quadro (incluse le Condizioni del Prodotto). Ciò è realizzato mediante:
- Chiare istruzioni contrattuali
- Controllo della disponibilità dati
Yext adotta misure idonee per garantire che i Dati Personali del Cliente siano protetti in caso di distruzione o perdita accidentale. Ciò è realizzato in particolare mediante:
- Procedure di backup
- Gruppo di continuità (UPS)
- Archiviazione remota
- Sistemi di anti-virus/firewall
- Separazione del Trattamento per finalità diverse
Yext adotta misure idonee per garantire che i Dati Personali del Cliente destinati a scopi diversi possano essere Trattati separatamente. Ciò è realizzato in particolare mediante:
- Segregazione dei sistemi IT aziendali
- Segregazione degli ambienti IT di prova e di produzione
ALLEGATO 3
CONDIZIONI SPECIFICHE PER PAESE
Australia
Yext, in relazione al Trattamento di qualsiasi Dato Personale del Cliente, si atterrà ai Principi sulla Privacy Australiana, Australian Privacy Principles (APPs) (fatta eccezione per APP 1) definiti all’Allegato 1 della Legge sulla Privacy del 1998, Privacy Act 1988 (Cth) (“Privacy Act”).
Nel caso in cui Yext informi il Titolare del Trattamento rilevante (o rivenditore o agenzia) ai sensi della Clausola 8 del presente ATD, Yext dovrà conseguentemente fornire l’assistenza e le informazioni che i suddetti Titolare del Trattamento rilevante, rivenditore o agenzia possano ragionevolmente richiedere al fine di rispettare i loro obblighi di cui alla Parte IIIC del Privacy Act.
Dove applicabile, Lei dovrà assicurarsi di essere in possesso dei consensi necessari che le permettano di richiedere a Yext di Trattare i Dati Personali dei Clienti ai sensi della Legge sullo Spam del 2003, Spam Act 2003.