Termini per il trattamento dei dati

In connessione con i Servizi forniti ai sensi del Contratto di servizio (“Contratto di servizio”) stipulato tra il Fornitore dei servizi in quanto responsabile del trattamento dei dati – nello specifico Imprima o la relativa Società collegata in veste di contraente del Contratto di servizio (la parte in causa denominata “Fornitore dei servizi”) – e il Cliente in veste di titolare del trattamento dei dati (“Cliente”), le parti hanno convenuto che, al fine di garantire la conformità agli obblighi imposti al Cliente ai sensi della Legge sulla protezione dei dati, saranno applicati i presenti Termini per il trattamento dei dati (“Termini”). I presenti Termini saranno incorporati nel Contratto di servizio a titolo di riferimento.

LA FORNITURA OVVERO, A SECONDA DEL CASO, LA FRUIZIONE PROTRATTA DEI SERVIZI VALE QUALE ACCETTAZIONE DEI PRESENTI TERMINI.

LE PARTI CONVENGONO quanto segue:

  1. DEFINIZIONI
    1. Nell’ambito dei presenti Termini, le parole con l’iniziale maiuscola avranno il significato di cui al Contatto di servizio, salvo diversamente specificato di seguito o altrove nei presenti Termini:
      1. “Società collegata” indica qualsiasi società che, direttamente o indirettamente, subisca l’influenza dominante di un’altra società ovvero sia, insieme a questa, soggetta occasionalmente all’influenza dominante di una terza entità durante il Periodo di validità del contratto;
      2. “Legge sulla protezione dei dati” indica l’insieme delle leggi in materia di privacy applicabili al trattamento dei dati in connessione con i Servizi, inclusi, laddove applicabile, le Regolamento (UE) 2016/679, così come modificata o sostituita da successivi regolamenti, direttive o altri strumenti legali dell’Unione europea, compreso il Regolamento generale sulla protezione dei dati o leggi simili, o eventuali leggi sulla privacy dei dati applicabili in altre giurisdizioni di pertinenza;
      3. “Utente finale” avrà il significato di cui al Contratto di servizio;
      4. “Servizi” indica i servizi descritti nel Contratto di servizio e nella sezione successiva;
      5. “Clausole contrattuali” indica le clausole contrattuali standard della Commissione europea applicabili al trasferimento dei dati personali oltre i confini nazionali, come da successive modifiche o sostituzioni periodiche, o altri insiemi di clausole contrattuali approvate ai sensi della Legge sulla protezione dei dati e
      6. “Dati personali del Cliente” indica i dati personali da noi trattati in connessione con i Servizi forniti, come spiegato nei dettagli di seguito. In conformità con la clausola 2.1, la definizione potrebbe includere anche i dati personali di una Società collegata del Cliente.
  2.  NOMINA
    1. Le Società collegate e gli Utenti finali affidano al Cliente (il Cliente, le Società collegate e gli Utenti finali sono collettivamente definiti i “Committenti”) la fornitura e la gestione di diversi servizi, tra cui i Servizi prestati per loro conto. I Dati personali del Cliente possono, pertanto, contenere informazioni personali di cui uno qualsiasi dei Committenti risulta essere titolare. Il Cliente conferma di essere autorizzato a comunicare al Fornitore dei servizi qualsiasi istruzione o altra disposizione per conto dei Committenti circa il trattamento dei Dati personali del Cliente effettuato dal Fornitore dei servizi in connessione con i Servizi stessi.
    2. Il Cliente nomina il Fornitore dei servizi a cui affida il trattamento dei suoi Dati personali per conto dei Committenti, se del caso, nella misura necessaria alla fornitura dei Servizi o come altrimenti convenuto per iscritto dalle parti.
  3.  DURATA
    I presenti Termini diverranno effettivi a partire dal loro recepimento da parte del Cliente (la “Data di decorrenza”) e conserveranno piena validità ed efficacia fino alla risoluzione o alla scadenza del Contratto di servizio (il “Periodo di validità”).
  4. SERVIZI
    1. Il Fornitore dei servizi potrà effettuare il trattamento dei Dati personali del Cliente secondo le modalità descritte di seguito:
      1. Descrizione dei Servizi: Data room virtuali (virtual data room, VDR) basate su cloud e servizi di trattamento dei documenti associati.
      2. Descrizione del trattamento: Attività di trattamento correlate alla fornitura dei Servizi.
      3. Durata del trattamento: Equivalente alla durata del Contratto di servizio.
      4. Natura e finalità del trattamento: Conservazione dei dati personali all’interno di data room e trattamento secondo le modalità richieste in connessione con i servizi di trattamento dei documenti per conto dei Committenti, nonché autorizzazione degli utenti finali all’accesso e al trattamento dei Dati personali del Cliente nell’ambito della fornitura dei Servizi.
      5. Tipi di dati personali: Dati sull’occupazione, dati degli azionisti, dati dei clienti, dati commerciali, dati di vendita, dati finanziari, ecc.
      6. Categorie di soggetti interessati: Personale, consulenti, azionisti, clienti e altre persone.
  5. RISPETTO DELLE NORME SULLA PROTEZIONE DEI DATI
    1. In relazione al trattamento dei Dati personali del Cliente durante il Periodo di validità, salvo diversamente previsto dalla legge, il Fornitore dei servizi accetta di:
      1. ottemperare alla Legge sulla protezione dei dati relativamente al trattamento dei Dati personali del Cliente;
      2. trattare i Dati personali del Cliente solo nella misura necessaria per i Servizi, in conformità con le istruzioni legittime documentate, ragionevolmente fornite dal Cliente di volta in volta nel contesto dei Servizi, e per fini di analisi commerciale interna. Il Cliente garantisce e dichiara in via continuativa che le istruzioni da lui stesso fornite non comporteranno alcuna violazione della legge da parte del Fornitore dei servizi;
      3. informare il Cliente qualora, secondo la sua opinione, qualche istruzione violasse la Norme sulla protezione dei dati;
      4. garantire che tutto il personale autorizzato dal Fornitore dei servizi al trattamento dei Dati personali del Cliente abbia sottoscritto impegni di riservatezza o sia vincolato da adeguati obblighi statutari di riservatezza;
      5. adottare misure organizzative e tecniche appropriate per salvaguardare adeguatamente i Dati personali del Cliente, considerata la loro natura riservata e il rischio che potrebbe comportare qualsiasi Violazione della sicurezza (secondo la definizione data di seguito), come stabilito nel Contratto di servizio, o misure alternative adeguate e, come minimo, le misure definite nell’Appendice;
      6. informare senza indebito ritardo il Cliente in merito a qualsiasi richiesta del soggetto interessato ai sensi della Legge sulla protezione dei datio a richieste normative o di applicazione della legge riguardanti i Dati personali del Cliente. Il Fornitore dei servizi può prendere atto di qualsiasi richiesta di accesso dei soggetti interessati. Laddove concordato, il Fornitore dei servizi può, a spese del Cliente, rispondere alla richiesta di accesso dell’interessato per conto del Cliente;
      7. a spese del Cliente, fornirgli l’assistenza che potrebbe ragionevolmente richiedere al fine di assicurargli l’osservanza della Legge sulla protezione dei dati relativamente a sicurezza dei dati, notifiche delle violazioni
      8. a scelta e a spese del Cliente, eliminare o restituire tutti i Dati personali del cliente al Cliente stesso al termine della fornitura dei Servizi, nonché eliminare le copie esistenti di tutti i Dati personali del Cliente, ad eccezione di quelli archiviati a fini di continuità operativa e di ripristino in caso di incidente, laddove applicabile, nonché dei Dati personali del Cliente resi anonimi per scopi commerciali legittimi. Il Fornitore dei servizi può eliminare o distruggere tutti i Dati personali del Cliente non più necessari per adempiere ai presenti Termini;
      9. a spese del Cliente, mettergli a disposizione le informazioni ragionevolmente necessarie per dimostrare l’osservanza dei presenti Termini da parte del Fornitore dei servizi e consentire l’effettuazione di verifiche da parte di organismi terzi indipendenti, secondo quanto concordato tra le parti.
    2.  Il Cliente dovrà sollecitamente fornire l’assistenza che il Fornitore dei servizi potrebbe ragionevolmente richiedere al fine di ottemperare agli obblighi in materia di sicurezza e privacy dei dati previsti nei presenti Termini.
  6. INFORMATIVA
    Il Fornitore dei servizi, su richiesta e a spese del Cliente, dovrà fornire a ogni soggetto interessato un’informativa standard sulla privacy del Cliente secondo quanto questi potrà ragionevolmente richiedere di volta in volta ai sensi del Contratto di servizio.
  7. SUB-RESPONSABILI
    1. Il Fornitore dei servizi delegherà il trattamento dei Dati personali del Cliente a subappaltatori (ognuno definito “Sub-responsabile”) solo con il consenso del Cliente, come previsto nella seguente clausola 7.2.
    2. Qualora si affidasse a un Sub-responsabile, il Fornitore dei servizi dovrà:
      1. effettuare una verifica ragionevole della due diligence;
      2. stipulare un contratto le cui condizioni siano, per quanto possibile, identiche a quell
      3. e dei presenti Termini e che possa includere Clausole contrattuali atte a fornire una tutela adeguata per il trattamento dei Dati personali del Cliente; e
      4. informare il Cliente in merito a qualsiasi cambiamento previsto circa l’eventuale aggiunta o sostituzione di un Sub-responsabile. Laddove il Cliente si opponga a tali cambiamenti con un’obiezione pertinente e motivata, agendo in buona fede le parti collaboreranno alla risoluzione della situazione.
  8. INCIDENTI DI SICUREZZA
    1.  “Violazione della sicurezza” indica qualsiasi evento relativo alla sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati personali del Cliente trasmessi, conservati o comunque trattati.
    2. Qualora venga a conoscenza di qualsiasi Violazione della sicurezza, il Fornitore dei servizi deve informare il Cliente senza indugio. Laddove praticabile, il Fornitore dei servizi effettuerà notifiche graduali.
    3. Il Fornitore dei servizi indagherà sulla Violazione della sicurezza da lui stesso causata e utilizzerà ogni mezzo ragionevole per individuarne, prevenirne e mitigarne gli effetti. A spese del Cliente, il Fornitore dei servizi adotterà ulteriori misure che il Cliente potrà ragionevolmente richiedere per ottemperare alla Legge sulla protezione dei dati.
    4. Il Cliente non potrà rilasciare o pubblicare alcun atto, comunicazione, informativa, comunicato stampa o relazione riguardante qualsiasi Violazione della sicurezza senza la previa approvazione scritta del Fornitore dei servizi, che non potrà essere negata senza un ragionevole motivo.
  9. TRASFERIMENTO INTERNAZIONALE DEI DATI
    1. Il Fornitore dei servizi dovrà garantire che nessuno dei Dati personali del Cliente venga trasferito al di fuori:
      1. dello Spazio economico europeo; oppure
      2. di qualsiasi altro territorio soggetto a restrizioni al trasferimento dei Dati personali del Cliente oltre i confini nazionali ai sensi della Legge sulla protezione dei dati
      3. senza la previa autorizzazione scritta del Cliente, concessa in questa sede come previsto dalla clausola 9.2.
    2. A spese del Cliente, il Fornitore dei servizi gli offrirà l’assistenza che potrebbe ragionevolmente richiedere al fine di assicurare l’adempimento delle Clausole contrattuali o di altri meccanismi di trasferimento, come il quadro normativo EU-US Privacy Shield Framework (Scudo UE-USA per la privacy) applicabile ai trasferimenti tra UE e USA, e atti a garantire un adeguato livello di protezione dei dati.
  10. VARIE
    1. I titoli delle clausole e altri titoli dei presenti Termini valgono esclusivamente come riferimento e non costituiscono parte integrante né incidono in alcun modo sul significato o sull’interpretazione dei Termini stessi.
    2. Conformemente con la clausola 10.3, la responsabilità di tutte le parti ai sensi di questi Termini sarà soggetta alle esclusioni e alle limitazioni di responsabilità previste dal Contratto di servizio.
    3. Nulla di quanto contenuto nei presenti Termini escluderà o limiterà la responsabilità delle parti, che resterà inoltre tale in riferimento a disposizioni legislative di natura inderogabile. Nel rispetto di quanto precede, (i) i presenti Termini e il Contratto di servizio costituiscono l’accordo integrale tra le parti riguardo al trattamento dei Dati personali del Cliente nell’ambito dei Servizi e prevalgono su ogni precedente contratto, intesa, trattativa e discussione tra le parti in merito all’oggetto del contratto; inoltre, (ii) per la sottoscrizione dei presenti Termini, nessuna delle parti ha fatto affidamento, né potrà vantare eventuali diritti o esperire eventuali rimedi sulla base di dichiarazioni ovvero garanzie offerte per negligenza o in buona fede, eccezion fatta per quanto qui esplicitamente dichiarato.
    4. Il Cliente dovrà corrispondere al Fornitore dei servizi entro 15 giorni dalla data della fattura tutte le spese e i costi sostenuti, compresi – senza limitazioni – eventuali e ragionevoli costi legali, nonché i costi per la preparazione e l’invio della corrispondenza sostenuti dal Fornitore dei servizi e/o dalle sue Società collegate in connessione con lo svolgimento dei compiti a carico del Cliente come previsto dai presenti Termini.
    5. Laddove in seguito alla richiesta del Cliente di sospendere o rescindere, in tutto o in parte, qualsiasi contratto con un Sub-responsabile, sospendere o cessare qualsiasi trasferimento dei Dati personali del Cliente, distruggere o restituire al Cliente tutti i Dati personali del Cliente, oppure sospendere o cessare l’accesso ai Dati personali del Cliente o richieste analoghe, il Cliente, la sua Società collegata o l’Utente finale determinino l’impossibilità di continuare la fornitura dei Servizi ai sensi del Contratto di servizio, come previsto dal Fornitore dei servizi, quest’ultimo avrà il diritto di risolvere il Contratto di servizio senza alcuna responsabilità e in qualunque momento, con effetto immediato o ritardato, tramite notifica scritta al Cliente. Alla risoluzione del Contratto di servizio da parte del Fornitore dei servizi o del Cliente per ragioni correlate ai presenti Termini o per mancata conformità alla Legge sulla protezione dei dati, tutti i canoni per i Servizi, le spese e altri oneri previsti dal Contatto di servizio dovranno essere immediatamente pagati dal Cliente al Fornitore dei servizi, calcolati come se il Contratto di servizio fosse stato legittimamente risolto per convenienza da parte del Cliente secondo i relativi termini.
    6. Tutte le notifiche riguardanti la risoluzione o eventuali violazioni dovranno essere rese per iscritto in lingua inglese e indirizzate al contatto principale o all’Ufficio legale della controparte. Qualsiasi comunicazione sarà considerata recepita all’atto del ricevimento, comprovato da una ricevuta o da una conferma elettronica valida. Le notifiche inviate via posta si intenderanno ricevute 48 ore dopo la data del timbro postale impresso sul talloncino della raccomandata.
    7. Le disposizioni dei presenti Termini sono divisibili. Nel caso in cui qualsiasi frase, clausola o disposizione risultasse non valida o non applicabile in tutto o in parte, tale invalidità o inapplicabilità riguarderà soltanto la frase, la clausola o la disposizione in questione, mentre il resto del documento rimarrà pienamente valido ed efficace.
    8. Entrambe le parti potranno trasferire i propri diritti e/o obblighi ai sensi di questi Termini ai propri successori a fronte di una fusione, acquisizione, vendita, riorganizzazione o liquidazione.
    9. I presenti Termini sono disciplinati dalla legge applicabile al Contratto di servizio. Qualsiasi contenzioso (contrattuale o non contrattuale) riconducibile ai presenti Termini sarà devoluto e giustiziabile esclusivamente innanzi agli organi giurisdizionali del paese di origine della legge in questione, fatto salvo il diritto di entrambe le parti di appellarsi a qualsiasi corte per richiedere un’ingiunzione o altra misura correttiva a tutela della propria proprietà, dei propri diritti di proprietà intellettuale o delle proprie informazioni riservate.

APPENDICE – Misure di sicurezza

Il Fornitore dei servizi dovrà implementare le misure minime indicate di seguito, secondo quanto applicabile:

  • mantenimento della certificazione ISO 27001:2013
  • firewall di ultima generazione
  • controllo degli accessi degli utenti al sistema in base al principio del privilegio minimo
  • accesso remoto limitato e autenticazione multifattoriale per l’accesso remoto
  • protezione anti-virus, anti-malware e anti-spyware in tempo reale
  • osservanza delle istruzioni dei produttori di hardware e software
  • separazione dei dati in base a clienti e finalità laddove appropriato
  • aggiornamento regolare dei software
  • rimozione sicura dei dati dai dispositivi dismessi
  • crittografia a 256 bit dei dispositivi portatili di archiviazione dei dati e crittografia dei dati personali in transito
  • sistemi di prevenzione e rilevamento delle intrusioni
  • backup dei dati con regolari verifiche
  • procedure di continuità operativa e ripristino in caso di disastro
  • controlli preliminari del personale
  • controllo degli accessi fisici in base al principio del privilegio minimo
  • accordi di non divulgazione per il personale
  • formazione del personale in materia di riservatezza

In connection with the Services provided pursuant to the service agreement (“Service Agreement”) by the service provider as data processor, being Imprima or the relevant Affiliate which is party to the Service Agreement (the relevant party referred to as the “Service Provider”) to the Client as data controller (“Client”), the parties have agreed that these data processing terms (“Terms”) shall apply in order to address the compliance obligations imposed upon Client under Data Protection Law. These Terms shall be incorporated in the Service Agreement by reference.

BY CONTINUING TO PROVIDE OR RECEIVE THE SERVICES, AS APPLICABLE, THE PARTIES AGREE TO BE BOUND BY THESE TERMS.

NOW IT IS HEREBY AGREED as follows:

  1. DEFINITIONS
    1. In these Terms, capitalised words shall have the meaning as defined in the Service Agreement, unless these Terms expressly state otherwise below or elsewhere in these Terms:
      1. Affiliate” means any entity that directly or indirectly controls, is controlled by, or is under common control with, a party from time to time during the Term;
      2. Data Protection Law” means the data privacy laws applicable to the processing in connection with the Services, including, where applicable, the Directive 95/46/EC, as amended or replaced by any subsequent Regulation, Directive or other legal instrument of the European Union including by the General Data Protection Regulation or similar law, or the applicable data privacy laws of any other relevant jurisdiction;
      3. End User” shall have the meaning as defined in the Service Agreement;
      4. Services” means the services as described in the Service Agreement and the section below;
      5. Contractual Clauses” means the standard contractual clauses of the European Commission for the transfer of personal data across borders, as amended or replaced from time to time, or any equivalent set of contractual clauses approved for use under Data Protection Law; and
      6. Client Personal Data” means the personal data processed by us in connection with the Services as further described below. In accordance with clause 2.2, this may include the personal data of a Client Affiliate.
    2. The words “data subject”, “personal data”, “processing” and variations, “controller” and “processor” shall have the meaning attributed to them in Data Protection Law.
  2. APPOINTMENT
    1. The Client is designated by its Affiliates and End Users to provide and manage various services, including the Services on their behalf. Accordingly, Client Personal Data may contain personal data in relation to which Client Affiliates and End Users are controllers. The Client confirms that it is authorized to communicate to Service Provider any instructions or other requirements on behalf of Client Affiliates and End Users in respect of processing of Client Personal Data by Service Provider in connection with the Services.
    2. Service Provider is appointed by the Client to process Client Personal Data on behalf of the Client and/or Client Affiliates and/or End Users, as the case may be, as is necessary to provide the Services or as otherwise agreed by the parties in writing.
  3. DURATION
    1. These Terms shall commence on the earlier of: (i) the date of their execution, or (ii) the effective date of the Service Agreement (the “EffectiveDate”) and shall continue in full force and effect until the termination or expiry of the Service Agreement (the “Term”).
  4. SERVICES
    1. The Service Provider may carry out processing of Client Personal Data as described below:
      1. Description of Services: Cloud-based VDR Data Room services.
      2. Subject-matter of processing: Processing activities in connection with the provision of Services.
      3. Duration of processing: For the duration of the Service Agreement.
      4. Nature and purpose of processing: Hosting personal data in the Data Room and allowing end users to access and process Client Personal Data as part of Services.
      5. Type of personal data: Employment data, shareholder data, customer data, business data, sales data, financial data, etc.
      6. Categories of data subjects: Personnel, advisors, shareholders, customers and other individuals.
  5. DATA PROTECTION COMPLIANCE
    1. In relation to its processing of Client Personal Data during the Term, save as otherwise provided by law, Service Provider agrees to:
      1. comply with Data Protection Law in relation to its processing of Client Personal Data;
      2. process Client Personal Data only as required in connection with the Services, in accordance with the Client’s documented lawful instructions reasonably given in the context of the Services from time to time, and for internal business analytics. The Client warrants and represents on a continuous basis that its instructions will not put Service Provider in breach of the law;
      3. inform the Client if, in its opinion, an instruction infringes Data Protection Law;
      4. ensure that all personnel authorised by Service Provider to process Client Personal Data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;
      5. implement appropriate technical and organisational measures to appropriately safeguard Client Personal Data having regard to the nature of Client Personal Data which is to be protected and the risk of harm which might result from any Security Breach (as defined below), as set out in the Service Agreement or appropriate alternative measures, and as a minimum, the measures set out in the Appendix;
      6. inform without undue delay the Client of any data subject requests under Data Protection Law or regulatory or law enforcement requests relating to Client Personal Data. Service Provider may acknowledge each data subject access request. Where agreed, Service Provider may, at Client’s expense, respond to the subject access request on Client’s behalf;
      7. at Client’s expense, provide such assistance as the Client may reasonably require in order to ensure the Client’s compliance with Data Protection Law in relation to data security, data breach notifications, data protection impact assessments and prior consultations with competent supervisory authorities with responsibility for privacy and data protection matters;
      8. at the choice and expense of the Client, delete or return all Client Personal Data to the Client after the end of the provision of Services, and delete existing copies of all Client Personal Data, save for Client Personal Data archived for business continuity and disaster recovery purposes, where applicable, and anonymised Client Personal Data retained for legitimate business purposes. Service Provider may delete or destroy any Client Personal Data that are no longer needed in order to comply with these Terms; and
      9. at Client’s expense, make available to Client information reasonably necessary to demonstrate Service Provider’s compliance with these Terms and allow for audits carried out by an independent third party, as the parties may agree
    2. Client shall promptly provide such assistance as Service Provider may reasonably require in order to comply with its data privacy and security obligations under these Terms.
  6. NOTICE
    1. Service Provider will, upon Client request and at Client’s expense, provide to each data subject a standard Client privacy notice as the Client may reasonably request from time to time in accordance with the Service Agreement.
  7.  SUBPROCESSORS
    1. Service Provider will engage any subcontractors involved in the processing of Client Personal Data (each a “Subprocessor”) only with Client’s consent, which is, subject to clause 7.2, hereby given.
    2. When engaging a Subprocessor, Service Provider will:
      1. carry out reasonable due diligence;
      2. enter into a contract on terms, as far as practicable, same as those in these Terms, and which may include Contractual Clauses to provide adequate safeguards with respect to the processing of Client Personal Data; and
      3. inform the Client of any intended changes concerning the addition or replacement of a Subprocessor from time to time. If the Client objects to any such change on reasonable grounds, then acting in good faith the parties will work together to resolve such objection.
  8. SECURITY INCIDENTS
    1. Security Breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Client Personal Data transmitted, stored or otherwise processed.
    2. Service Provider will notify the Client without delay if it becomes aware of any Security Breach. Where practicable, Service Provider will provide phased notifications.
    3. Service Provider will investigate the Security Breach and take reasonable action to identify, prevent and mitigate the effects of the Security Breach caused by Service Provider. At the Client’s expense, Service Provider will take such further action as the Client may reasonably request in order to comply with Data Protection Law.
    4. The Client may not release or publish any filing, communication, notice, press release, or report concerning any Security Breach without Service Provider’s prior written approval; such approval shall not be unreasonably withheld.
  9. INTERNATIONAL DATA TRANSFERS
    1. Service Provider will ensure that no Client Personal Data are transferred out of either one of (9.1.1) or (9.1.2) options, without the express prior written consent of Client, which is hereby given, subject to clause 9.2:
      1. the European Economic Area; or
      2. any other territory in which restrictions are imposed on the transfer of Client Personal Data across borders under Data Protection Laws.
    2. At the Client’s expense, Service Provider will provide such assistance as the Client may reasonably require in order to ensure that Contractual Clauses or other applicable transfer mechanism, such as EU-US Privacy Shield Framework in relation to EU-US transfers, is in place to ensure adequate level of data protection.
  10. MISCELLANEOUS
    1. Clause and other headings in these Terms are for convenience of reference only and shall not constitute a part of or otherwise affect the meaning or interpretation of these Terms.
    2. Subject to clause 3, either party’s liability under these Terms shall be subject to the exclusions and limitations of liability under the Service Agreement.
    3. Nothing in these Terms will exclude or limit the liability of either party which cannot be limited or excluded by applicable law. Subject to the foregoing sentence, (i) these Terms and the Service Agreement constitute the entire agreement between the parties pertaining to the processing of Client Personal Data as part of the Services and supersede all prior agreements, understandings, negotiations and discussions of the parties relating to its subject matter; and (ii) in entering into these Terms neither party has relied on, and neither party will have any right or remedy based on, any statement, representation or warranty, whether made negligently or innocently, except those expressly set out in these Terms.
    4. The Client shall pay to Service Provider within 15 days of invoice date any costs and expenses including without limitation reasonable attorney fees and the cost of preparing and sending correspondence incurred by Service Provider and/or its Affiliates in connection with carrying out duties at the Client’s expense under these Terms.
    5. Where the Client causes that the Services may no longer be provided under the Service Agreement as envisaged by the Service Provider due to the Client’s request to, in whole or part, suspend or cease any contract with a Sub-Processor, to suspend or cease any transfer of Client Personal Data, to destroy or return to Client all Client Personal Data or to suspend or cease access to Client Personal Data or similar request, the Service Provider shall have the right to terminate the Service Agreement without liability at any time with immediate or delayed effect by written notice to the Client. Upon termination of the Service Agreement by the Service Provider or the Client for reasons relating to these Terms or compliance with Data Protection Law, all Service fees, expenses and other payments under the Service Agreement shall become immediately payable by the Client to Service Provider calculated as if the Service Agreement were lawfully terminated for convenience by the Client pursuant to its terms.
    6. All notices of termination or breach must be in English, in writing and addressed to the other party’s primary contact person or legal department. Notice will be treated as given on receipt, as verified by a valid receipt or electronic log. Postal notices will be deemed received 48 hours from the date of posting by recorded delivery of registered post.
    7. The provisions of these Terms are severable. If any phrase, clause or provision is invalid or unenforceable in whole or in part, such invalidity or unenforceability shall affect only such phrase, clause or provision, and the rest of these Terms shall remain in full force and effect.
    8. Either party may transfer its rights and/or obligations under these Terms to its successor as a result of a merger, acquisition, sale, reorganisation or liquidation.
    9. These Terms is governed by English law and the parties submit to the exclusive jurisdiction of the English courts in relation to any dispute (contractual or non-contractual) concerning these Terms save that either party may apply to any court for an injunction or other relief to protect its property, intellectual property rights or confidential information.

APPENDIX – Security Measures

Service Provider shall put in place the following minimum measures, as applicable.

  • maintain ISO 27001:2013 certification
  • latest generation firewalls
  • least system privilege user access control with user IDs and passwords with limited lifetime, where appropriate
  • restricted remote access and multi-factor authentication for remote access
  • real-time protection anti-virus, anti-malware and anti-spyware software
  • compliance with hardware and software manufacturer instructions
  • data separation according to client and purpose where appropriate
  • regular software updates
  • secure data removal from decommissioned devices
  • 256Bit encryption of portable data storage devices and encryption of personal data in transit
  • intrusion detection and prevention systems;
  • data backup with regular testing
  • business continuity and disaster recovery procedures
  • personnel vetting
  • least privilege physical access control
  • non-disclosure agreements for personnel
  • training of personnel on confidentiality