Couchbase Capella Cloud Trattamento dei dati del cliente Addendum

Il presente Addendum sul trattamento dei dati (il presente "DPA") fa parte del Contratto di Servizio Capella Master, o di altro accordo tra il Cliente e Couchbase che regola l'utilizzo del Servizio Cloud da parte del Cliente ("Accordo"), tra Couchbase, Inc. ("Couchbase") e la parte identificata come "Cliente" nel Contratto ("Cliente") (ciascuno un "Partito" e, insieme, il "Parti"). La data di entrata in vigore del presente DPA è la data di entrata in vigore del Contratto o, se eseguito separatamente, la data dell'ultima firma del presente DPA ("Data di entrata in vigore").

Il presente DPA descrive gli impegni delle Parti in merito al trattamento dei Dati Personali in relazione all'utilizzo del Servizio Cloud da parte del Cliente. Qualsiasi termine in maiuscolo non definito nel presente DPA avrà il significato attribuitogli nel Contratto.

Il presente Accordo è stato aggiornato l'ultima volta il 07 maggio 2024.

Le Parti concordano quanto segue:

1. Definizioni. I seguenti termini in maiuscolo, quando utilizzati nel presente DPA, avranno il significato corrispondente fornito di seguito:

1. "Leggi sulla protezione dei dati applicabili" indica tutte le leggi, i regolamenti, le norme, le ordinanze e gli altri decreti mondiali sulla privacy e sulla protezione dei dati applicabili ai Dati personali, tra cui (ma non solo): (i) le leggi europee sulla protezione dei dati; e (ii) tutte le leggi e i regolamenti degli Stati Uniti, compreso il California Consumer Privacy Act del 2018 (California Civil Code §§ 1798.100 e seguenti ("CCPA"); come eventualmente modificato, sostituito o sostituito.

2. “Dati del cliente" indica qualsiasi Dato Personale trattato da Couchbase per conto del Cliente in qualità di fornitore di servizi o di incaricato del trattamento (a seconda dei casi) in relazione al Servizio Cloud, come più in particolare descritto nell'Allegato A della presente DPA.

3. "SEE" indica gli Stati membri dell'Unione europea, più l'Islanda, il Liechtenstein e la Norvegia.

4. “Leggi europee sulla protezione dei dati" indica: (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("GDPR"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche ("Direttiva e-Privacy"); (iii) qualsiasi implementazione nazionale applicabile di (i) e (ii); (iv) la Legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e la relativa Ordinanza ("L'FDPA svizzero"); e (v) per quanto riguarda il Regno Unito, il Data Protection Act 2018 e qualsiasi legislazione nazionale applicabile che sostituisca o converta in diritto nazionale il GDPR, la Direttiva e-Privacy o qualsiasi altra legge relativa ai dati e alla privacy in conseguenza dell'uscita del Regno Unito dall'Unione Europea (collettivamente, "Leggi sulla protezione dei dati nel Regno Unito"); in ogni caso come può essere modificato, sostituito o sostituito.

5. “Clausole modello" indica, a seconda delle circostanze specifiche del Cliente, uno dei seguenti elementi: (i) le clausole contrattuali standard per gli incaricati del trattamento approvate dalla Commissione europea ai sensi della decisione 2021/914 (la "2021 Clausole contrattuali standard"), e (ii) l'Addendum per il trasferimento internazionale dei dati nel Regno Unito alle Clausole Contrattuali Standard della Commissione UE, Versione B1.0, in vigore dal 21 marzo 2022, ("UK IDTA"), ciascuna alternativamente indicata come Clausole Contrattuali Standard, incorporate per riferimento e facenti parte del presente DPA.

6. "Dati personali" indica qualsiasi informazione che si riferisce a una persona fisica identificata o identificabile e che è protetta come "dati personali", "informazioni personali" o "informazioni di identificazione personale" ai sensi delle Leggi sulla protezione dei dati applicabili.

7. "Incidente di sicurezzaPer "Incidente di Sicurezza" si intende qualsiasi violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati del Cliente trasmessi, memorizzati o altrimenti trattati da Couchbase e/o dai suoi Subprocessori in relazione alla fornitura del Servizio Cloud. Le Parti riconoscono e concordano che "Incidente di sicurezza" non include i tentativi o le attività infruttuose che non compromettono la sicurezza dei Dati del Cliente, compresi i tentativi di log-in infruttuosi, i ping, le scansioni delle porte, gli attacchi di negazione del servizio e altri attacchi di rete ai firewall o ai sistemi in rete.

8. “Sottoprocessore" indica qualsiasi elaboratore incaricato da Couchbase o dalle sue Affiliate di assisterla nell'adempimento dei suoi obblighi relativi alla fornitura del Servizio Cloud ai sensi del Contratto o del presente DPA. I subelaboratori possono includere terzi o Affiliati di Couchbase, ma escludono qualsiasi dipendente, appaltatore o consulente di Couchbase.

9. I termini "controllore", "processore" e "elaborazione" hanno il significato loro attribuito nel GDPR, e "processo", "processi" e "elaborato" devono essere interpretati di conseguenza; e i termini "attività commerciale", "fornitore di servizi" e "vendere" hanno il significato loro attribuito nel CCPA.

2. Ruolo e ambito dell'elaborazione

1. Ambito di applicazione. Fatta salva la Sezione 2(b), la presente DPA si applica nella misura in cui Couchbase elabora come processore o fornitore di servizi (a seconda dei casi) qualsiasi Dato del Cliente protetto dalle Leggi Applicabili sulla Protezione dei Dati.

2. Ruolo delle parti. Le parti riconoscono e concordano che il Cliente è l'azienda pertinente, il responsabile del trattamento o l'incaricato del trattamento (a seconda dei casi) dei Dati del Cliente, e Couchbase è un fornitore di servizi, un incaricato del trattamento o un subprocessore (a seconda dei casi) per conto del Cliente, come ulteriormente descritto nell'Allegato A del presente DPA. A scanso di equivoci, le Parti riconoscono che Couchbase può essere l'azienda o il responsabile del trattamento in relazione ad altri Dati Personali, quali i Dati Personali inclusi in qualsiasi dato tecnico di utilizzo che Couchbase raccoglie in relazione al Servizio Cloud. Ciascuna Parte rispetterà tutte le leggi, le norme e i regolamenti ad essa applicabili e vincolanti per l'esecuzione del presente DPA, comprese le Leggi applicabili in materia di protezione dei dati.

3. Trattamento dei dati personali da parte di Couchbase. Couchbase accetta di trattare i Dati del Cliente solo per le finalità descritte nel presente DPA e in conformità alle istruzioni lecite e documentate del Cliente. Le parti convengono che il Contratto (compreso il presente DPA) stabilisce le istruzioni complete e definitive del Cliente a Couchbase in relazione al trattamento dei Dati del Cliente e il trattamento al di fuori dell'ambito di tali istruzioni (se del caso) richiederà un previo accordo scritto tra il Cliente e Couchbase. Fatta salva la Sezione 2(d) (Responsabilità del Cliente), Couchbase notificherà per iscritto al Cliente, a meno che ciò non sia vietato dalle Leggi Applicabili sulla Protezione dei Dati, e potrà sospendere il trattamento dei Dati del Cliente, qualora venga a conoscenza o ritenga che qualsiasi istruzione di trattamento dei dati da parte del Cliente violi le Leggi Applicabili sulla Protezione dei Dati.

4. Responsabilità del cliente. Il Cliente è responsabile della legittimità del trattamento dei Dati del Cliente ai sensi del Contratto o in relazione ad esso. Il Cliente dichiara e garantisce che (i) ha fornito, e continuerà a fornire, tutti gli avvisi e ha ottenuto, e continuerà ad ottenere, tutti i consensi, i permessi e i diritti necessari ai sensi delle Leggi applicabili in materia di protezione dei dati per consentire a Couchbase di trattare legittimamente i Dati del Cliente per le finalità contemplate dal Contratto (compreso il presente DPA); (ii) ha rispettato tutte le Leggi Applicabili in materia di Protezione dei Dati in qualità di responsabile del trattamento e/o azienda rispetto ai Dati del Cliente per la raccolta e la fornitura a Couchbase e ai suoi Subprocessori di tali Dati del Cliente; e (iii) si assicurerà che le sue istruzioni di trattamento siano conformi alle leggi applicabili (incluse le Leggi Applicabili in materia di Protezione dei Dati) e che il trattamento dei Dati del Cliente da parte di Couchbase in conformità alle istruzioni del Cliente non causerà a Couchbase una violazione delle Leggi Applicabili in materia di Protezione dei Dati.

5. Dati aggregati. A scanso di equivoci, l'Utente riconosce che Couchbase e le sue Affiliate hanno il diritto di raccogliere e creare informazioni anonime, aggregate e/o de-identificate (come definite dalle Leggi applicabili in materia di protezione dei dati) per i propri legittimi scopi commerciali.

3. Sottoelaborazione

1. Subprocessori autorizzati. Il Cliente riconosce e accetta che Couchbase possa incaricare dei Subprocessori di trattare i Dati del Cliente per conto del Cliente. I Subprocessori attualmente ingaggiati da Couchbase e autorizzati dal Cliente sono elencati sul sito web di Couchbase (attualmente pubblicato all'indirizzo https://info.couchbase.com/cloud-subprocessors.html). Almeno quindici (15) giorni prima di qualsiasi aggiunta di un nuovo subprocessore, Couchbase aggiornerà il sito web applicabile e fornirà al Cliente una notifica di tale aggiornamento tramite il meccanismo fornito su tale sito web di Couchbase, ad eccezione del caso in cui Couchbase ritenga ragionevolmente che l'assunzione di un nuovo subprocessore su base accelerata sia necessaria per proteggere la riservatezza, l'integrità o la disponibilità dei Dati del Cliente o per evitare un'interruzione materiale del Servizio Cloud, Couchbase darà invece tale notifica non appena ragionevolmente possibile.

2. Obblighi del subprocessore. Nella misura richiesta dalla Legge Applicabile sulla Protezione dei Dati, Couchbase: (i) stipulare un accordo scritto con ciascun Subprocessore che imponga condizioni di protezione dei dati del Cliente non inferiori agli obblighi di Couchbase ai sensi del presente DPA, nella misura in cui ciò sia applicabile ai servizi forniti da ciascun Subprocessore; e (ii) rimanere responsabile della propria conformità agli obblighi del presente DPA e di qualsiasi atto od omissione del Subprocessore che provochi la violazione da parte di Couchbase di uno qualsiasi dei suoi obblighi ai sensi del presente DPA.

3. Obiezioni ai subprocessori. Il Cliente può opporsi per iscritto alla nomina da parte di Couchbase di un nuovo Subprocessore per motivi ragionevoli relativi alla protezione dei dati, notificando tempestivamente per iscritto a Couchbase entro dieci (10) giorni di calendario dal ricevimento della comunicazione da parte di Couchbase in conformità alla Sezione 3(a) di cui sopra. Tale comunicazione spiegherà i ragionevoli motivi dell'obiezione e le parti discuteranno tali preoccupazioni in buona fede al fine di raggiungere una risoluzione commercialmente ragionevole. Se non è possibile raggiungere tale risoluzione, Couchbase, a sua esclusiva discrezione, non nominerà tale Subprocessore, oppure consentirà al Cliente di sospendere o terminare la porzione interessata del Servizio Cloud in conformità alle disposizioni di risoluzione del Contratto. Couchbase rimborserà al Cliente qualsiasi tariffa prepagata non utilizzata per tale porzione interessata del Servizio Cloud dopo la data effettiva di risoluzione. A meno che non venga sollevata un'obiezione come indicato nella presente Sezione 3(c), il Cliente acconsente all'utilizzo da parte di Couchbase di Subprocessori come descritto nel presente DPA.

4. Sicurezza e audit

1. Misure di sicurezza. Couchbase implementerà e manterrà adeguate misure di sicurezza tecniche e organizzative volte a proteggere i Dati del Cliente sotto il suo controllo da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente, tenendo conto dello stato dell'arte e delle migliori pratiche del settore, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento ("Misure di sicurezza"). Tali misure di sicurezza includeranno, come minimo, le misure descritte nell'Allegato B del presente DPA. Couchbase garantirà che qualsiasi persona autorizzata da Couchbase a trattare i Dati del Cliente ai sensi del presente DPA sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o legale).

2. Aggiornamenti delle misure di sicurezza. Il Cliente riconosce che le Misure di Sicurezza sono soggette al progresso tecnico e allo sviluppo e che Couchbase può aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva del Servizio Cloud acquistato dal Cliente.

3. Responsabilità della sicurezza del cliente. Il Cliente dovrà implementare e mantenere adeguate misure di sicurezza tecniche e organizzative volte a proteggere da Incidenti di Sicurezza e a preservare la sicurezza e la riservatezza dei Dati del Cliente sotto il suo controllo. Il Cliente è responsabile di (i) proteggere la sicurezza di tutte le credenziali del Cliente utilizzate per accedere al Servizio Cloud; (ii) proteggere l'Ambiente Cloud del Cliente e qualsiasi Sistema del Cliente (con tali misure che includono, a titolo esemplificativo, la rotazione regolare delle chiavi di accesso e altre misure standard del settore per impedire l'accesso non autorizzato); (iii) il backup e la messa in sicurezza dei Dati del Cliente sotto il controllo del Cliente all'interno dell'Ambiente Cloud del Cliente o di altri sistemi controllati dal Cliente; e (iv) la revisione delle informazioni rese disponibili da Couchbase relative alla sicurezza dei dati e alla privacy e la determinazione indipendente del fatto che il Servizio Cloud soddisfi i requisiti e gli obblighi legali del Cliente ai sensi della Legge Applicabile sulla Protezione dei Dati.

4. Risposta agli incidenti di sicurezza. Nella misura richiesta dalle Leggi applicabili in materia di protezione dei dati, quando viene a conoscenza di un Incidente di sicurezza, Couchbase lo comunicherà al Cliente senza indebito ritardo tramite i Servizi Cloud e dovrà: (i) includere in tale notifica al Cliente informazioni tempestive relative all'Incidente di Sicurezza non appena ne viene a conoscenza, come ragionevolmente richiesto dal Cliente per assisterlo in relazione a qualsiasi notifica di violazione dei dati personali richiesta ai sensi delle Leggi Applicabili sulla Protezione dei Dati, tenendo conto della natura del Servizio Cloud, delle informazioni disponibili a Couchbase e di qualsiasi restrizione alla divulgazione delle informazioni, come ad esempio gli obblighi di riservatezza; e (ii) adottare prontamente le misure, ritenute necessarie e ragionevoli da Couchbase, per contenere, indagare e porre rimedio a qualsiasi Incidente di Sicurezza, nella misura in cui il rimedio rientra nel ragionevole controllo di Couchbase. La notifica o la risposta di Couchbase a un Incidente di Sicurezza ai sensi della presente Sezione 4(d) non sarà interpretata come un riconoscimento da parte di Couchbase di qualsiasi colpa o responsabilità in relazione all'Incidente di Sicurezza. Gli obblighi di cui al presente documento non si applicano agli Incidenti di Sicurezza nella misura in cui sono causati dal Cliente o dai suoi Utenti Autorizzati.

5. Audit di sicurezza. Couchbase fornirà risposte scritte (su base confidenziale) a tutte le ragionevoli richieste scritte di informazioni fatte dall'Acquirente relative al trattamento dei Dati dell'Acquirente da parte di Couchbase, comprese le risposte a questionari di sicurezza delle informazioni e di audit necessari per confermare la conformità di Couchbase alla presente DPA, a condizione che l'Acquirente non eserciti tale diritto più di una volta in un periodo mobile di dodici (12) mesi. Fermo restando quanto sopra, l'Acquirente può anche esercitare tale diritto di audit nel caso in cui gli venga espressamente richiesto o imposto di fornire tali informazioni a un'autorità di protezione dei dati, o Couchbase abbia subito un Incidente di Sicurezza, o su un'altra base ragionevolmente simile.

5. Trasferimenti internazionali

1. Luoghi di lavorazione. Il Servizio Cloud è progettato per consentire al Cliente di determinare l'ambiente Cloud e la regione geografica in cui le istanze di database del Cliente saranno distribuite, come ulteriormente descritto nella Documentazione. Il Cliente riconosce e accetta che, nell'ambito della fornitura di un Servizio Cloud gestito, Couchbase può trasferire i Dati del Cliente in luoghi in cui Couchbase, le sue Affiliate o i suoi Subprocessori effettuano operazioni di elaborazione dati. Couchbase garantirà in ogni momento che tali trasferimenti avvengano nel rispetto dei requisiti delle Leggi applicabili in materia di protezione dei dati e della presente DPA.

6. Meccanismi di trasferimento.

1. Quadro sulla privacy dei dati. Couchbase partecipa e certifica la conformità al Quadro sulla privacy dei dati UE-USA, all'Estensione del Regno Unito al Quadro sulla privacy dei dati UE-USA e al Quadro sulla privacy dei dati Svizzera-USA (collettivamente, il "Quadro sulla privacy dei dati"). Come richiesto dal Data Privacy Framework, Couchbase (i) fornirà ai Dati del Cliente almeno lo stesso livello di protezione della privacy richiesto dai Principi e dai Principi Integrativi del relativo Data Privacy Framework (i "Principi"), (ii) notificherà al Cliente se Couchbase decide di non poter più adempiere all'obbligo di fornire lo stesso livello di protezione richiesto dal Data Privacy Framework, compresi i Principi, e (iii) su preavviso, adotterà misure ragionevoli e appropriate per porre rimedio al trattamento non autorizzato dei Dati del Cliente.

2. Trasferimenti disciplinati dalle leggi europee sulla protezione dei dati. Nella misura in cui Couchbase elabora (o fa elaborare) dati personali protetti dalle Leggi europee sulla protezione dei dati in un paese terzo che non è riconosciuto come fornitore di un'adeguata protezione dei dati personali (come descritto nelle Leggi europee sulla protezione dei dati), allora si applicheranno i termini e le condizioni dell'Allegato C (Trasferimenti di dati) e si riterrà che il Cliente (in qualità di esportatore di dati) abbia stipulato le Clausole Modello con Couchbase (in qualità di importatore di dati) e Couchbase accetta di rispettare e trattare tali Dati del Cliente in conformità alle Clausole Modello, che sono incorporate integralmente per riferimento e costituiscono parte integrante del presente DPA. Ai fini delle descrizioni nelle Clausole Modello: (A) Couchbase accetta di essere un "importatore di dati" e l'Acquirente è l'"esportatore di dati" (nonostante l'Acquirente possa essere un'entità situata al di fuori del SEE o del Regno Unito); (B) l'Allegato A e l'Allegato B del presente DPA sostituiscono l'Appendice 1 e l'Appendice 2 delle Clausole Modello. Non è intenzione di nessuna delle parti, né l'effetto del presente DPA, contraddire o limitare alcuna delle disposizioni contenute nelle Clausole Modello. Di conseguenza, se e nella misura in cui le Clausole Modello sono in conflitto con qualsiasi disposizione del presente DPA, le Clausole Modello prevarranno nella misura di tale conflitto. Le Clausole Modello non si applicheranno ai Dati del Cliente che non sono trasferiti, direttamente o tramite trasferimento successivo, al di fuori del SEE o del Regno Unito. Se e nella misura in cui Couchbase adotta una soluzione alternativa di esportazione dei dati per il trasferimento dei Dati del Cliente come prescritto dalle leggi europee sulla protezione dei dati applicabili ("Meccanismo di trasferimento alternativo"), si applicherà invece il Meccanismo di trasferimento alternativo (ma solo nella misura in cui tale Meccanismo di trasferimento alternativo si applica al trasferimento).

3. Requisiti aggiuntivi per il trasferimento. Se, in qualsiasi momento, le Leggi applicabili in materia di protezione dei dati richiedono l'adozione di ulteriori misure per consentire il trasferimento dei Dati del Cliente come stabilito nel presente DPA (tra cui, a titolo esemplificativo, l'esecuzione o la riesecuzione delle Clausole Contrattuali Standard 2021 o dell'IDTA del Regno Unito come documento separato e/o la stipula di ulteriori clausole di trasferimento transfrontaliero), e/o i meccanismi di trasferimento di cui al presente DPA sono modificati, sostituiti, abrogati o altrimenti interrotti ai sensi della Legge applicabile in materia di protezione dei dati, allora il Cliente e Couchbase concordano di collaborare in buona fede per adottare tutte le misure ragionevolmente richieste per consentire un trasferimento conforme alle Leggi applicabili in materia di protezione dei dati. Inoltre, nella misura richiesta dalla Legge Applicabile sulla Protezione dei Dati, Couchbase fornirà le informazioni ragionevolmente richieste in merito al trattamento dei dati personali ai sensi del Contratto per consentire all'Acquirente di effettuare valutazioni d'impatto sulla protezione dei dati o consultazioni preventive con le autorità di vigilanza.

7. Cancellazione dei dati del cliente

1. Il Servizio Cloud fornirà al Cliente controlli che il Cliente potrà utilizzare per cancellare o recuperare i Dati del Cliente durante il periodo di validità in modo coerente con la funzionalità del Servizio Cloud.

2. Il Cliente autorizza Couchbase, alla cessazione o alla scadenza del Contratto, o in caso di cessazione o sospensione del Servizio Cloud ai sensi del Contratto, a cancellare tutti i Dati del Cliente (comprese le copie) in suo possesso o controllo in conformità al Contratto, salvo che tale requisito non si applichi nella misura in cui Couchbase sia tenuta, ai sensi della legge applicabile, a conservare alcuni o tutti i Dati del Cliente.

8. Diritti dei singoli e cooperazione

1. Richieste dell'interessato. Il Servizio Cloud fornisce al Cliente una serie di controlli, tra cui caratteristiche e funzionalità di sicurezza, che il Cliente può utilizzare per recuperare, correggere, cancellare o limitare i Dati del Cliente, come descritto in qualsiasi documentazione applicabile al Servizio Cloud. Fatto salvo quanto previsto dalla Sezione 4(a), il Cliente può utilizzare tali controlli come misure tecniche e organizzative per assisterlo in relazione ai suoi obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati, inclusi i suoi obblighi relativi alla risposta alle richieste degli interessati. Nella misura in cui l'Acquirente non sia in grado di accedere autonomamente ai relativi Dati dell'Acquirente all'interno del Servizio Cloud, Couchbase, tenendo conto della natura del trattamento, fornirà una ragionevole cooperazione per assistere l'Acquirente a rispondere a qualsiasi richiesta da parte di persone o autorità di protezione dei dati applicabili in relazione al trattamento dei Dati dell'Acquirente ai sensi del Contratto. Nel caso in cui tali richieste che identificano il Cliente siano rivolte direttamente a Couchbase, Couchbase non risponderà direttamente a tale comunicazione senza la previa autorizzazione del Cliente, a meno che non sia legalmente obbligata a farlo. Se Couchbase è tenuta a rispondere a tale richiesta, Couchbase lo comunicherà prontamente al Cliente e gli fornirà una copia della richiesta, a meno che non sia legalmente vietato.

2. Ordini di comparizione e ordinanze del tribunale. Se un ente preposto all'applicazione della legge invia a Couchbase una richiesta di Dati del Cliente (ad esempio, attraverso un mandato di comparizione o un'ordinanza del tribunale), Couchbase darà al Cliente un ragionevole preavviso della richiesta per consentirgli di richiedere un ordine di protezione o altro rimedio appropriato, a meno che a Couchbase non sia legalmente vietato farlo.

9. Termini specifici per la giurisdizione

1. California. Nella misura in cui i Dati del Cliente sono soggetti alla CCPA, le parti convengono che il Cliente è un'azienda e che nomina Couchbase come suo fornitore di servizi (come definito ai sensi della CCPA) per trattare i Dati del Cliente come consentito dal Contratto (compresa la presente DPA) e dalla CCPA, o per scopi altrimenti concordati per iscritto (collettivamente, la "Scopi consentiti"). Il Cliente e Couchbase convengono che: (i) Couchbase non conserverà, utilizzerà o divulgherà informazioni personali per scopi diversi da quelli consentiti; (ii) i Dati del Cliente non sono stati venduti a Couchbase e Couchbase non "venderà" informazioni personali (come definite dal CCPA); (iii) Couchbase non conserverà, utilizzerà o divulgherà informazioni personali al di fuori del rapporto commerciale diretto tra il Cliente e Couchbase; e (iv) non combinerà i Dati del Cliente con informazioni personali (come definite ai sensi del CCPA) che Couchbase ha ricevuto da un'altra fonte, salvo quanto consentito dal CCPA. Le parti convengono che Couchbase può de-identificare o aggregare le informazioni personali nel corso della fornitura del Servizio Cloud. Couchbase certifica di aver compreso le restrizioni di cui alla presente Sezione 9(a) e che le rispetterà. Couchbase informerà il Cliente qualora determini di non poter più rispettare gli obblighi di cui alla presente Sezione 9(a) in qualità di fornitore di servizi ai sensi del CCPA.

10. Limitazione di responsabilità

1. La responsabilità di ciascuna Parte e di tutte le sue Affiliate, considerata complessivamente, derivante da o correlata al presente DPA (incluse le Clausole Modello), sia per contratto, che per illecito (inclusa la negligenza) o in base a qualsiasi altra teoria di responsabilità, sarà soggetta alle limitazioni e alle esclusioni di responsabilità contenute nell'Accordo, e qualsiasi riferimento nelle disposizioni alla responsabilità di una Parte indica la responsabilità complessiva di tale Parte e di tutte le sue Affiliate ai sensi e in relazione all'Accordo e al presente DPA.

2. Fatta eccezione per i casi in cui le Leggi applicabili in materia di protezione dei dati richiedono che un Affiliato del Cliente eserciti direttamente un diritto o ricorra a un rimedio ai sensi del presente DPA nei confronti di Couchbase, le parti convengono che (i) solo l'entità del Cliente che è la parte contraente del Contratto eserciterà qualsiasi diritto o ricorrerà a qualsiasi rimedio che qualsiasi Affiliato del Cliente possa avere ai sensi del presente DPA per conto dei suoi Affiliati, e (ii) il Cliente che è la parte contraente del Contratto eserciterà qualsiasi diritto ai sensi del presente DPA non separatamente per ogni Affiliato individualmente, ma in modo combinato per tutti i suoi Affiliati insieme.

11. Varie

1. In caso di conflitto tra il presente DPA e il Contratto, le parti convengono che prevarranno i termini del presente DPA, fermo restando che se e nella misura in cui vi sia un conflitto tra le Clausole contrattuali standard e qualsiasi altro termine del presente DPA, le disposizioni delle Clausole contrattuali standard prevarranno in relazione ai trattamenti disciplinati dalle Clausole contrattuali standard. Inoltre, in caso di conflitto tra il presente DPA e un Accordo di Business Associate stipulato tra le parti (un "BAA"), le disposizioni del BAA prevarranno rispetto a qualsiasi PHI (come definito in tale BAA).

2. Le parti convengono di tentare in buona fede di risolvere qualsiasi controversia derivante da o relativa al presente DPA, prima e come condizione preliminare all'avvio di procedimenti legali di qualsiasi tipo. Tutte le trattative ai sensi della presente Sezione 11(b) sono riservate e saranno trattate come trattative di compromesso e transazione ai fini delle norme probatorie applicabili.

3. Fatta eccezione per le modifiche apportate dal presente DPA, il Contratto rimane invariato e in pieno vigore.

4. Il presente DPA può essere sottoscritto in copie, ciascuna delle quali sarà considerata un originale, ma tutte insieme costituiranno uno stesso strumento.

5. Se una disposizione o una parte di disposizione del presente DPA è o diventa non valida, illegale o inapplicabile, essa sarà considerata eliminata, ma ciò non pregiudicherà la validità e l'applicabilità del resto del DPA.

6. Il presente DPA sarà disciplinato e interpretato in conformità con le disposizioni in materia di legge regolatrice e giurisdizione contenute nell'Accordo, a meno che non sia richiesto diversamente dalle leggi europee sulla protezione dei dati.

Il presente Allegato A fa parte della DPA e descrive il trattamento che Couchbase effettuerà sui Dati del Cliente in qualità di incaricato o subincaricato per conto del Cliente in qualità di responsabile o incaricato del trattamento, a seconda dei casi.
Dati del cliente
Durata
La durata del trattamento dei dati ai sensi del presente DPA è fino alla cessazione dell'Accordo in conformità ai suoi termini più il periodo dalla scadenza dell'Accordo fino alla cancellazione dei dati personali da parte di Couchbase in conformità ai termini dell'Accordo (compreso il presente DPA).

Categorie di dati
I dati personali da trattare riguardano le seguenti categorie di dati (specificare):

• Dati personali nel Contenuto del cliente o nel Contenuto dell'assistenza: Dati Personali inclusi in contenuti o dati forniti da o per conto del Cliente o degli Utenti Autorizzati da o attraverso il Servizio Cloud.

Categorie particolari di dati (se del caso)
Le parti non intendono trattare dati di categoria speciale nell'ambito dell'accordo.

Soggetti interessati
I dati personali da trattare riguardano le seguenti categorie di soggetti (specificare):

• I soggetti interessati comprendono le persone fisiche i cui dati sono forniti a Couchbase tramite il Servizio Cloud da o su indicazione del Cliente, compresi gli Utenti Autorizzati. I soggetti dei dati possono includere clienti, dipendenti, fornitori e utenti finali del Cliente.

Operazioni di lavorazione
I dati personali saranno oggetto delle seguenti attività di trattamento di base (specificare):

• elaborazione per fornire il Servizio Cloud in conformità al Contratto;

• elaborazione per eseguire qualsiasi operazione necessaria all'esecuzione dell'Accordo;

• trattamenti avviati dal Cliente nell'utilizzo del Servizio Cloud; e

• l'elaborazione per conformarsi ad altre ragionevoli istruzioni fornite dal Cliente (ad esempio tramite e-mail o ticket di assistenza) che siano coerenti con i termini del Contratto.

Frequenza
I dati personali possono essere trasferiti in modo continuativo.

Il presente Allegato descrive le Misure di Sicurezza di Couchbase. Il Cliente riconosce che il Servizio Cloud opera secondo un modello di responsabilità condivisa, che richiede, tra l'altro, che il Cliente adotti determinate misure quali la protezione della sicurezza del Contenuto del Cliente (che rimane memorizzato all'interno dell'ambiente del Cliente sotto il suo controllo). Se e nella misura in cui Couchbase tratta i Dati del Cliente per conto del Cliente in relazione al Servizio Cloud, Couchbase implementa e mantiene le seguenti Misure di Sicurezza:

Misure di crittografia dei dati

• Tutti i dati dei clienti vengono crittografati durante il trasferimento con TLS 1.2 (o superiore) e a riposo con crittografia AES-256.

• I computer portatili dei dipendenti sono criptati utilizzando la crittografia AES-256 su tutto il disco.

• Tutte le credenziali sono crittografate in transito utilizzando TLS 1.2 (o superiore) e crittografate a riposo.

• Le chiavi di crittografia vengono ruotate su base annuale e sono conservate e gestite dal fornitore di servizi cloud selezionato dal Cliente.

Misure di disponibilità e recuperabilità

• Couchbase mantiene piani e procedure di Disaster Recovery e Business continuity che sono progettati per garantire ragionevolmente la disponibilità del Servizio Cloud.

• Su base annuale, i piani di disaster recovery del piano di controllo di Capella vengono testati, rivisti e aggiornati, se necessario, per raggiungere l'obiettivo dei tempi di ripristino del servizio e dei punti di ripristino dei dati stabilito da Couchbase.

• L'offerta Couchbase Capella è distribuita in data center geograficamente distribuiti e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).

• La ridondanza è integrata nell'infrastruttura di sistema che supporta l'offerta Couchbase Capella. In caso di guasto di un sistema primario, l'infrastruttura ridondante in un'altra zona di disponibilità è configurata per prenderne il posto.

• I backup sono archiviati in ambienti controllati all'interno dell'infrastruttura cloud. L'accesso logico ai dati di backup è limitato al personale appropriato ed è memorizzato in archivi ad alta disponibilità.

• Ogni anno viene eseguito un test di ripristino del backup in cui il personale operativo ripristina un backup da un'istantanea per garantire che i dati possano essere ripristinati in caso di incidente.

Misure di sicurezza organizzative

• Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.

• Couchbase dispone di una metodologia definita per la categorizzazione dei dati in livelli di sensibilità, in base alla quale vengono selezionati e implementati controlli di protezione tecnici e procedurali adeguati.

• I dipendenti sono tenuti a seguire corsi di formazione contro la corruzione, l'etica e il codice di condotta, l'insider trading, la privacy dei dati globali e la sensibilizzazione annuale sulla sicurezza.

• I dipendenti sono tenuti a firmare accordi di non divulgazione e riservatezza al momento dell'assunzione.

• Sono in vigore politiche e procedure formali per le attività di onboarding e offboarding dei dipendenti. I processi di provisioning e de-provisioning degli account sono definiti e implementati.

• L'accesso dei dipendenti viene rimosso al momento della cessazione del rapporto di lavoro o regolato in base alle esigenze di cambiamento di ruolo.

• L'autenticazione a più fattori (MFA) è applicata per l'accesso alle risorse critiche e di produzione.

• Vengono applicati i requisiti di complessità delle password.

• La segregazione delle responsabilità e dei doveri viene attuata per ridurre le opportunità di modifiche o usi impropri non autorizzati o non intenzionali.

• Couchbase mantiene accordi di non divulgazione firmati con terze parti.

• Le reti Couchbase sono segregate in base ai livelli di fiducia e protette da firewall.

• Couchbase ha un processo definito per l'identificazione, la prioritizzazione e la correzione delle vulnerabilità, anche internamente tramite test e scansioni continue.

Misure di registrazione e monitoraggio

• È abilitata la registrazione delle attività degli utenti, delle eccezioni, degli errori e degli eventi di sicurezza delle informazioni. I registri vengono conservati, se necessario.

• Tutti i registri possono essere consultati solo dai dipendenti autorizzati di Couchbase e sono previsti controlli di accesso per impedire l'accesso non autorizzato.

• L'accesso in scrittura ai dati di registrazione è severamente vietato. Le strutture di registrazione e le informazioni di registro sono protette da manomissioni e accessi non autorizzati mediante l'uso di controlli di accesso e misure di sicurezza.

• Couchbase dispone di diverse misure di monitoraggio per generare avvisi di sicurezza e identificare attività irregolari.

• Il team operativo di Couchbase Capella esamina regolarmente gli avvisi di sicurezza e la loro configurazione sottostante per garantire che funzionino come previsto e che i controlli vengano modificati in base al cambiamento delle condizioni.

• Couchbase dispone di un piano documentato di gestione degli incidenti e di risposta alle violazioni dei dati che include procedure per il rilevamento, l'indagine, la notifica e la riparazione delle violazioni.

• Couchbase si avvale di fornitori di servizi indipendenti di terze parti per i test di penetrazione annuali e pone rimedio in modo appropriato ai risultati di tali test in base agli SLA definiti internamente.

Misure di controllo degli accessi

• Couchbase implementa le migliori pratiche di sicurezza e utilizza un'architettura di sicurezza basata sui ruoli attraverso i livelli di database, rete e applicazione e segue rigorosamente i principi del minimo privilegio quando concede l'accesso ai sistemi chiave.

• L'autenticazione a più fattori (MFA) è applicata per l'accesso alle risorse critiche e di produzione.

• Vengono applicati i requisiti di complessità delle password.

• Couchbase ha definito funzioni e ruoli per supportare una corretta segregazione dei compiti.

• L'accesso agli ambienti operativi, di produzione e di disaster recovery è protetto dall'uso di account utente univoci, da password forti, dall'uso dell'autenticazione a più fattori (MFA), dall'accesso basato sui ruoli e dal principio dei minimi privilegi.

• Le chiavi di accesso utilizzate dalle applicazioni Couchbase di produzione (ad esempio, le chiavi di accesso AWS) sono accessibili solo al personale autorizzato. Vengono ruotate (cambiate) in base alle necessità (ad esempio, in seguito a un avviso di sicurezza o a un'uscita del personale) e almeno ogni anno.

• L'attività degli utenti negli ambienti operativi, compresi l'accesso, la modifica o la cancellazione dei dati, viene registrata.

• Le richieste di autorizzazione e il provisioning vengono registrati, monitorati e verificati.

• Oltre ai firewall basati sulla rete, vengono implementati i Web Application Firewall (WAF).

• I controlli per la gestione dei dispositivi mobili sono in atto.

Misure di sicurezza fisica

• L'offerta Couchbase Capella è distribuita in data center geograficamente distribuiti e gestiti da fornitori di servizi cloud pubblici riconosciuti dal settore, come Amazon (AWS), Microsoft (Azure) e Google (GCP) (a seconda dei casi).

• L'accesso fisico a tutte le strutture contenenti dati sensibili è limitato e gestito.

• Tutte le strutture per le risorse informative (ad esempio, armadi di rete e magazzini) sono protette fisicamente in proporzione alla criticità o all'importanza della loro funzione.

• L'accesso alle strutture delle risorse informative è consentito solo al personale aziendale e agli appaltatori le cui responsabilità lavorative richiedono l'accesso a tali strutture.

• Tutte le strutture di risorse informative che consentono l'accesso ai visitatori sono configurate per tracciare l'accesso dei visitatori con un registro di accesso.

• Le registrazioni degli accessi tramite tessera e i registri dei visitatori per le strutture delle risorse informative sono conservati per una revisione di routine in base alla criticità delle risorse informative protette.

• Le apparecchiature sono protette per ridurre i rischi derivanti da minacce ambientali, pericoli e possibilità di accesso non autorizzato.

Misure di gestione del cambiamento

• Couchbase dispone di una politica e di una procedura di controllo degli accessi e di gestione delle modifiche per evitare modifiche non autorizzate.

• Couchbase monitora le modifiche ai sistemi in-scope per garantire che venga seguito il processo standard applicabile e per mitigare qualsiasi rischio di modifiche non rilevate alla produzione. Le modifiche sono tracciate nel sistema di gestione delle modifiche.

La governance

• Couchbase ha istituito un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità e la disponibilità dell'offerta Couchbase Capella e dei sistemi informativi e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi.

• Couchbase dispone di una politica di sicurezza delle informazioni documentata e approvata, compresa la documentazione di supporto.

• L'autorità e la responsabilità di gestire il programma di sicurezza delle informazioni di Couchbase sono state delegate al Gruppo Sicurezza e Conformità delle Informazioni, che è autorizzato dall'alta direzione a intraprendere le azioni necessarie per stabilire, implementare e gestire il programma di sicurezza delle informazioni di Couchbase.

• Le terze parti che forniscono servizi a Couchbase o che hanno accesso a sistemi e dati sono sottoposte a valutazioni basate sul rischio prima dell'ingresso in azienda e il loro programma di sicurezza viene periodicamente rivisto.

Conformità

• Couchbase completa verifiche annuali da parte di un revisore indipendente rispetto ai requisiti di controllo SOC 2 Type 2, HIPAA, CSA STAR e PCI-DSS, attestando il nostro impegno nei controlli che salvaguardano la riservatezza e la disponibilità delle informazioni memorizzate ed elaborate nel servizio Couchbase Capella.

Accesso minimo ai dati

• Le politiche e le procedure di trasferimento e condivisione dei dati sono stabilite tenendo conto delle normative vigenti.

• Vengono effettuate valutazioni sulla privacy in relazione all'implementazione di nuovi prodotti/servizi e al trattamento dei dati personali da parte di terzi.

• La raccolta dei dati è limitata alle finalità del trattamento (o ai dati che il cliente sceglie di fornire).

• Le misure di sicurezza sono in atto per fornire solo la quantità minima di accesso necessaria per svolgere le funzioni richieste.

• Vengono identificati i requisiti di conservazione dei dati

• L'accesso ai dati personali è limitato al personale coinvolto nel trattamento, secondo il principio della "necessità di sapere" e in base ai ruoli e alle responsabilità definiti delle persone.

Richieste di accesso ai dati

• Esistono processi che consentono alle persone di esercitare i loro diritti alla privacy (ad esempio, il diritto alla cancellazione o il diritto alla portabilità dei dati), come descritto nell'Informativa sulla privacy di Couchbase, disponibile al pubblico.

Couchbase continuerà ad analizzare la recente guida del Comitato europeo per la protezione dei dati sulle misure supplementari per soddisfare il requisito di adeguatezza del GDPR, e qualsiasi altro documento emesso dalle autorità europee per la protezione dei dati che si presenterà.

Il presente Allegato stabilisce i termini e le condizioni che si applicano quando l'uso del Servizio Cloud da parte del Cliente richiede un meccanismo di trasferimento successivo per trasferire legalmente i dati personali da una giurisdizione a Couchbase situata al di fuori di tale giurisdizione.

1. Le clausole contrattuali standard 2021. Per i trasferimenti di dati soggetti al GDPR, le Clausole Contrattuali Standard 2021 si applicheranno nel modo seguente:

1. Il Modulo Due (Controller to Processor) si applicherà nel caso in cui l'Utente sia un controller dei Dati dell'Utente e Couchbase un processore dei Dati dell'Utente;
2. Il Modulo Tre (da elaboratore a elaboratore) si applicherà nel caso in cui l'Acquirente sia un elaboratore dei Dati dell'Acquirente e Couchbase sia un sub-elaboratore dei Dati dell'Acquirente;
3. Per ogni modulo, se applicabile:
1. nella Clausola 7, si applicherà la clausola di attracco opzionale e le parti collaboreranno in buona fede per adottare le misure necessarie ad applicare le Clausole Contrattuali Standard 2021 a un'altra parte;
2. nella Clausola 9(a), si applicherà l'opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al subprocessore sarà quello stabilito nella Sezione 3 (Subprocessing) del presente DPA;
3. nella clausola 11, la lingua opzionale non si applica;
4. nella clausola 17 (opzione 2), le Clausole Contrattuali Standard 2021 saranno disciplinate dalla legge dello Stato membro dell'UE in cui è stabilito l'Esportatore di Dati e, in mancanza di tale legge, dalla legge della Repubblica d'Irlanda; a condizione che, per quanto riguarda qualsiasi trasferimento di dati soggetti alle leggi sulla protezione dei dati di un paese al di fuori del SEE in cui l'autorità competente ha approvato l'uso delle Clausole Contrattuali Standard 2021 (compresa, ma non solo, la Svizzera) (un "Paese adottante"), le Clausole Contrattuali Standard 2021 saranno disciplinate dalle leggi sulla protezione dei dati del Paese di adozione.
5. nella Clausola 18(b), le controversie saranno risolte dai tribunali dello Stato membro dell'UE in cui è stabilito l'Esportatore di dati e, in mancanza di tale legge, dai tribunali della Repubblica d'Irlanda; fermo restando che, in relazione a qualsiasi trasferimento di dati soggetto alle leggi sulla protezione dei dati di un Paese adottante, qualsiasi controversia derivante dalle Clausole contrattuali standard 2021 sarà risolta dai tribunali del Paese adottante.
6. Nell'allegato I, parte A:

   Esportatore di dati Il Cliente e le sue affiliate autorizzate.

   Dettagli di contatto L'indirizzo o gli indirizzi e-mail del Cliente specificati come account per ricevere le comunicazioni nell'ambito del Servizio Cloud.

   Ruolo di esportatore di dati Il Cliente è il responsabile del trattamento o l'incaricato del trattamento dei Dati del Cliente, a seconda dei casi.

   Attività rilevanti per i dati trasferiti: Ricezione di software e servizi da Couchbase e dalle sue affiliate.

   Firma e data Con la stipula dell'Accordo e del DPA, si ritiene che l'Esportatore di Dati abbia sottoscritto le presenti Clausole Contrattuali Standard qui incorporate, compresi i relativi Allegati, alla data di entrata in vigore del DPA.

   Importatore di dati Couchbase, Inc.

   Dettagli di contatto: Team legale di Couchbase - legal@couchbase.com

   Ruolo dell'importatore di dati: Couchbase è l'elaboratore o il sub-elaboratore dei Dati del Cliente, a seconda dei casi.

   Attività rilevanti per i dati trasferiti: Fornitura di software e servizi

   Firma e data: Con la stipula dell'Accordo e del DPA, si ritiene che l'Importatore di dati abbia sottoscritto le presenti Clausole contrattuali standard, qui incorporate, compresi i relativi allegati, alla data di entrata in vigore del DPA.

7. Nell'allegato I, parte B:

   Le categorie di soggetti interessati sono descritte nell'Allegato A della presente DPA.

   I dati sensibili trasferiti sono descritti nell'Allegato A del presente DPA.

   La frequenza del trasferimento è continua per tutta la durata del Contratto.

   La natura del trattamento è descritta nell'Allegato A del presente DPA.

   Le finalità del trattamento sono descritte nell'Allegato A della presente DPA.

   La durata del trattamento è descritta nell'Allegato A della presente LPD.

   Per i trasferimenti a subelaboratori, l'oggetto, la natura e la durata del trattamento sono indicati in https://info.couchbase.com/cloud-subprocessors.html

8. Nell'Allegato I, Parte C: l'autorità di vigilanza dello Stato membro dell'UE specificato nella Sezione 1(d)(iv) del presente Allegato C agisce in qualità di autorità di vigilanza competente; a condizione che, per quanto riguarda eventuali trasferimenti di dati soggetti alle leggi sulla protezione dei dati di un Paese adottante, l'autorità di vigilanza sia l'autorità di protezione dei dati del Paese adottante.
9. L'Allegato B del presente DPA funge da Allegato II delle Clausole contrattuali standard.
10. Le parti convengono che quanto segue descrive l'interpretazione delle parti di alcuni obblighi previsti dalle Clausole contrattuali standard:
    1. Audit: L'Esportatore di dati istruisce l'Importatore di dati a conformarsi a qualsiasi audit rispettando le disposizioni in materia di audit di cui alla Sezione 4(e) dell'accordo DPA.
    2. Responsabilità: Nella misura consentita dalle leggi europee sulla protezione dei dati, la responsabilità dell'Importatore di dati ai sensi delle Clausole contrattuali standard 2021 sarà soggetta a qualsiasi limitazione aggregata di responsabilità stabilita nell'Accordo.

2. Trasferimenti di dati dalla Svizzera. Nel caso in cui il trasferimento dei dati personali sia soggetto alla LPD svizzera, si applicheranno i termini della sezione 1 di cui sopra con le seguenti modifiche:

1. qualsiasi riferimento nelle Clausole Contrattuali Standard alla "Direttiva 95/46/CE" o al "Regolamento (UE) 2016/679" deve essere interpretato come riferimento alla FADP svizzera;
2. qualsiasi riferimento a "UE", "Unione", "Stato membro" e "diritto dello Stato membro" sarà interpretato come riferimento alla Svizzera e al diritto svizzero, a seconda dei casi; e
3. qualsiasi riferimento all'"autorità di controllo competente" e ai "tribunali competenti" deve essere interpretato come riferimento all'Incaricato federale della protezione dei dati e dell'informazione e ai tribunali competenti in Svizzera.

3. Trasferimenti di dati dal Regno Unito. Qualora il trasferimento dei dati personali sia soggetto alle leggi britanniche sulla protezione dei dati, le parti concordano:

1. Le disposizioni dell'IDTA, compresa la Parte 2 "Clausole obbligatorie", si applicano integralmente;
2. Ai fini della Tabella 1 dell'IDTA del Regno Unito, i nomi delle parti, i loro ruoli e i loro dettagli sono riportati nell'allegato C;
3. Ai fini delle Tabelle 2 e 3 dell'IDTA del Regno Unito, si applicano le Clausole contrattuali standard 2021 incorporate nel presente DPA per riferimento, comprese le informazioni contenute negli allegati; e
4. Ai fini della Tabella 4 dell'IDTA del Regno Unito, ciascuna delle parti può porre fine all'IDTA del Regno Unito se, dopo uno sforzo in buona fede delle parti per modificare il presente DPA, le parti non sono in grado di giungere a un accordo reciproco.
5. Nella misura consentita dalle leggi britanniche sulla protezione dei dati, la responsabilità dell'Importatore di dati sarà soggetta a qualsiasi limitazione aggregata di responsabilità stabilita nell'Accordo.