Licenza per il Software della Piattaforma

LumiraDx UK Ltd

Licenza per il Software della Piattaforma LumiraDx

Applicabile da gennaio 2020

Il presente contratto di licenza (unitamente all’informativa sulla privacy di LumiraDx UK Ltd) (“Licenza”) ha valore legale ed è stipulato tra l’Organizzazione (come definita in seguito) e LumiraDx UK Ltd, una società iscritta al Registro delle Imprese di Inghilterra e Galles con il numero 09206123 e con sede legale presso 3 More London Riverside, Londra, SE1 2AQ (“LumiraDx, noi o ci”) e regola l’uso da parte dell’Organizzazione di:

  • l’Instrument Software (come di seguito definito);
  • Connect Manager, quando l’Organizzazione ha scaricato una copia di Connect Manager sul proprio Dispositivo Mobile o effettuato l’accesso a Connect Manager (come di seguito definiti) con un browser;
  • i Servizi (come di seguito definiti); e
  • la Documentazione (come di seguito definita).

LumiraDx concede Connect Manager in licenza all’Organizzazione sulla base della presente Licenza e nel rispetto delle regole e delle politiche applicabili di qualsiasi fornitore appstore o operatore che offra all’Organizzazione la possibilità di scaricare Connect Manager (“Regole dell’Appstore”).

AVVISO IMPORTANTE:

Utilizzando Instrument Software e/o Connect Manager o spuntando la casella “Accetta”, l’Organizzazione e i suoi Utenti confermano di accettare i termini della presente Licenza. L’Organizzazione sarà responsabile di garantire che i propri Utenti aderiscano ai termini della presente Licenza. La presente licenza include, in particolare, le limitazioni di responsabilità contenute nella clausola 11.

1.    INTERPRETAZIONE

1.1    Le definizioni e le regole di interpretazione di cui alla presente clausola si applicano al contesto e alla presente Licenza:

Giorno lavorativo: qualsiasi giorno diverso dal sabato, dalla domenica o dai giorni festivi in Inghilterra, quando le banche londinesi sono in servizio.

Informazioni riservate: tutte le informazioni indicate come riservate da una delle parti per iscritto o che debbano essere considerate riservate (indipendentemente dal mezzo di comunicazione e di conservazione), incluso le informazioni che potrebbero arrecare danno agli interessi commerciali di qualsiasi persona, i segreti commerciali, i Diritti di Proprietà Intellettuale, il know-how di qualsiasi parte e tutti i Dati personali e i dati sensibili come definiti dalla Legislazione sulla Protezione dei Dati.

Connect Manager: il componente software online conosciuto come Connect Manager (e suoi eventuali successivi aggiornamenti e integrazioni) di proprietà di LumiraDx, che concede la licenza, e da usarsi in connessione allo Strumento Diagnostico se operato nella Modalità gestita.

Legislazione sulla Protezione dei Dati: il Regolamento Generale sulla Protezione dei Dati ((UE) 2016/679) (“GDPR”) ed eventuali leggi e regolamenti per la sua implementazione nonché la legislazione secondaria, la legge inglese sulla protezione dei dati (Data Protection Act) del 2018, la Direttiva UE sulla Protezione dei Dati 95/46/CE, la legge inglese sulla disciplina dei poteri investigativi (Regulation of Investigatory Powers Act) del 2000, i Regolamenti sulle telecomunicazioni (Telecommunications Regulations) del 2000 (Prassi commerciali legittime) (Intercettazione delle comunicazioni), la Direttiva sulla Protezione dei dati nelle Comunicazioni elettroniche 2002/58/CE, i Regolamenti sulla Privacy e le Comunicazioni elettroniche (Direttiva CE) del 2003 e tutte le leggi e i regolamenti applicabili relativi al trattamento dei dati personali e alla privacy, inclusi, ove applicabile, le linee guida e i codici professionali emessi dall’autorità nazionale per la protezione dei dati personali del Regno Unito (Information Commissioner).

Titolare del trattamento dei dati: ha il significato attribuito all’espressione dal GDPR.

Responsabile del trattamento dei dati: ha il significato attribuito all’espressione dal GDPR.

Strumento Diagnostico: lo strumento diagnostico fornito da LumiraDx all’Organizzazione.

Documentazione: la documentazione fisica ed elettronica fornita da LumiraDx e che si riferisce al Software della Piattaforma LumiraDx.

FOIA: la legge sulla libertà di informazione (Freedom of Information Act) del 2000 e qualsiasi legislazione ad essa subordinata come di volta in volta promulgata, unitamente alle linee guida e/o ai codici professionali emanati dall’Information Commissioner o relativo dipartimento governativo in relazione a tale legislazione.

Instrument Software: qualsiasi componente del software installato sullo Strumento Diagnostico (ed eventuali suoi aggiornamenti e integrazioni) posseduti e concessi in licenza da LumiraDx.

Diritti di proprietà intellettuale: brevetti, modelli di utilità, diritti di invenzione, diritto d’autore e diritti simili e connessi, marchi e marchi di servizi, nomi commerciali e nomi a dominio, diritti di presentazione e trade dress, avviamento e diritto di presentare azioni per commercializzazione ingannevole o concorrenza sleale, diritti su disegni, diritti sulle banche dati, diritti d’uso e di protezione della riservatezza delle informazioni riservate (inclusi know-how e segreti commerciali), e tutti gli altri diritti di proprietà intellettuale, sia registrati che non registrati, incluse le domande di registrazione e i diritti di richiedere, e ottenere, rinnovi o estensioni dei medesimi, diritti di priorità connessi a tali diritti e simili o equivalenti diritti o forme di protezione esistenti o futuri in qualsiasi parte del mondo.

Software Open-Source: software open source come definito dall’Iniziativa Open Source (http://opensource.org) o dalla Free Software Foundation (http://www.fsf.org).

Organizzazione: la persona giuridica che richiede una licenza d’uso per il Software della Piattaforma LumiraDx a LumiraDx, che agisce in qualità di Titolare del trattamento dei dati.

Gruppo LumiraDx: indica LumiraDx, le sussidiarie e partecipate di LumiraDx di volta in volta, e le sussidiarie di tali società partecipate di volta in volta. Ciascuna società del Gruppo LumiraDx è membro del Gruppo LumiraDx e l’espressione “Società del Gruppo LumiraDx” sarà interpretata in tal senso.

Software della Piattaforma LumiraDx: L’Instrument Software e Connect Manager.

Modalità Gestita: l’uso dello Strumento Diagnostico e dell’Instrument Software con Connect Manager che consente all’Organizzazione di trasferire i Dati dei pazienti a Connect Manager.

Dispositivo Mobile: i telefoni cellulari o portatili dell’Organizzazione.

Normale orario di lavoro: dalle 9.00 alle 17.00 ora locale del Regno Unito, di ciascun Giorno lavorativo.

Paziente/i: uno o più individui che hanno accesso ai servizi e alle cure mediche di un’Organizzazione pertinente.

Dati dei pazienti: le informazioni cliniche (inclusi, a titolo esemplificativo ma non esaustivo, i Dati personali) raccolti dall’Organizzazione durante il trattamento dei Pazienti, inserite dagli Utenti sul Software della Piattaforma LumiraDx.

Dati personali: ha il significato attribuito all’espressione dal GDPR.

Richiesta di informazioni: indica una richiesta di informazioni o una richiesta evidente ai sensi del FOIA.

Servizi: qualsiasi servizio accessibile tramite Connect Manager e i contenuti forniti tramite esso da LumiraDx all’Organizzazione.

Utenti: le persone autorizzate dall’Organizzazione a usare il Software della Piattaforma LumiraDx, tra cui dipendenti, agenti e contraenti indipendenti (ovvero il personale medico).

1.2    I titoli delle clausole, dell’Allegato e dei commi non influenzeranno l’interpretazione della presente Licenza.

1.3    Gli Allegati sono parte integrante della Licenza come se fossero qui interamente riportati. Qualsiasi riferimento alla presente Licenza include gli Allegati.

1.4    Qualsiasi parola posta dopo i termini incluso, tra cui, in particolare, ad esempio o simili espressioni sarà interpretata come illustrativa e non limitativa del senso delle parole, della descrizione, definizione, frase o termine che precede tali termini.

2.    INSTALLAZIONE

LumiraDx garantirà che una copia dell’Instrument Software sia preinstallata su ciascuno Strumento Diagnostico.

3.    CONCESSIONE DELLA LICENZA

3.1    In considerazione dell’accettazione dei termini della presente Licenza da parte dell’Organizzazione, LumiraDx con la presente concede all’Organizzazione, e agli Utenti, un diritto d’uso non esclusivo e non trasferibile per il Software della Piattaforma LumiraDx, per i Servizi e la Documentazione all’interno dell’Organizzazione, nel territorio in cui è stata concessa l’autorizzazione per l’uso dello Strumento Diagnostico per il trattamento di Pazienti e per il periodo in cui l’Organizzazione utilizza lo Strumento Diagnostico, salvo risoluzione ai sensi della presente Licenza.

3.2    LumiraDx ha il diritto di disabilitare qualsiasi password scelta dall’Organizzazione o assegnata da LumiraDx, in qualsiasi momento, qualora abbia ragione di ritenere che l’Organizzazione, o gli Utenti, abbiano violato i termini della presente Licenza.

3.3    L’Organizzazione potrebbe ricevere aggiornamenti del Software della Piattaforma LumiraDx tra cui le “patch” di integrazione e le correzioni degli errori di volta in volta.

3.4    L’Organizzazione si impegna a:

(a)    consentire l’uso del Software della Piattaforma LumiraDx, dei Servizi e della Documentazione unicamente a Utenti di età superiore ai 18 anni;

(b)    usare il Software della Piattaforma LumiraDx e i Servizi esclusivamente in connessione allo Strumento Diagnostico fornito da LumiraDx; e

(c)    usare la Documentazione per supportare il proprio uso del Software della Piattaforma LumiraDx e dei Servizi esclusivamente come descritto nelle clausole 3.5(a) e 3.5(b).

3.5    L’Organizzazione, se non altrimenti previsto nella presente Licenza o consentito dalla legge, si impegna a non:

(a)    copiare il Software della Piattaforma LumiraDx, i Servizi o la Documentazione;

(b)    rendere disponibili o consentire l’accesso al Software della Piattaforma LumiraDx, ai Servizi o alla Documentazione a soggetti esterni all’Organizzazione;

(c)    concedere a noleggio, in sub-licenza o in prestito, distribuire, tradurre, fondere, adattare, variare o modificare il Software della Piattaforma LumiraDx, i Servizi o la Documentazione;

(d)    apportare variazioni o modifiche alla totalità o a parti del Software della Piattaforma LumiraDx, dei Servizi o della Documentazione;

(e)    consentire l’incorporazione o combinazione della totalità o di parti del Software della Piattaforma LumiraDx, dei Servizi o della Documentazione con altri programmi o documentazioni senza il previo consenso per iscritto di LumiraDx;

(f)    disassemblare, decompilare, retroingegnerizzare o creare opere derivate basate sulla totalità o su parti del Software della Piattaforma LumiraDx o dei Servizi;

(g)    accedere completamente o parzialmente, al Software della Piattaforma LumiraDx, ai Servizi o alla Documentazione al fine di costruire un prodotto in competizione con il Software della Piattaforma LumiraDx o con i Servizi;

(h)    fornire o rendere altrimenti disponibili, completamente o parzialmente, il Software della Piattaforma LumiraDx, i Servizi o la Documentazione (inclusi i codici oggetto e sorgente), in formati e a soggetti diversi da quelli previsti dalla clausola 3, senza il previo consenso per iscritto di LumiraDx; e

(i)    trasferire o vendere a terzi uno Strumento Diagnostico su cui sia installato l’Instrument Software senza il previo consenso per iscritto di LumiraDx. (congiuntamente, le “Restrizioni della Licenza“).

3.6    L’Organizzazione si impegna a non:

(a)    usare il Software della Piattaforma LumiraDx, i Servizi o la Documentazione in modo illecito, per scopi illeciti o in modo non conforme alla presente Licenza, o agire in modo fraudolento o doloso, compiendo, ad esempio, atti di pirateria o inserendo codici maligni, inclusi virus o dati dannosi in Connect Manager, nei Servizi o nella Documentazione o qualsiasi sistema operativo;

(b)    usare il Software della Piattaforma LumiraDx per scopi diversi dall’esecuzione di test connessi all’uso dello Strumento Diagnostico in un contesto professionale;

(c)    commettere atti di contraffazione dei diritti di proprietà intellettuale di LumiraDx o di terzi in relazione all’uso del Software della Piattaforma LumiraDx, dei Servizi o della Documentazione (nella misura in cui tale uso non sia consentito dalla presente Licenza);

(d)    trasmettere alcun materiale diffamatorio, offensivo o altrimenti opinabile in relazione al proprio uso del Software della Piattaforma LumiraDx, dei Servizi o della Documentazione;

(e)    usare il Software della Piattaforma LumiraDx, i Servizi o la Documentazione in modo da danneggiare, disabilitare, sovraccaricare, pregiudicare o compromettere i sistemi o la sicurezza di LumiraDx od ostacolare altri utenti; e,

(f)    nel rispetto della clausola 12.2(d), non copiare o raccogliere informazioni o dati da Connect Manager, dai Servizi o dalla Documentazione. (congiuntamente, le “Restrizioni d’uso accettabile”).

3.7    LumiraDx seguirà le procedure di archiviazione per i Dati dei pazienti trattati con Connect Manager (come stabilito dalla politica relativa ai back-up, di cui si può ricevere una copia su richiesta). In caso di perdita, danno, modifica accidentale o illecita, divulgazione o accesso non autorizzati dei/ai Dati dei pazienti, LumiraDx informerà l’Organizzazione senza indebito indugio dal momento della scoperta dell’evento. Il solo ed esclusivo rimedio a disposizione dell’Organizzazione sarà il compimento di ogni ragionevole sforzo da parte di LumiraDx per ripristinare i Dati dei pazienti all’ultimo back-up. LumiraDx non sarà responsabile dell’eventuale perdita, distruzione, modifica o divulgazione dei Dati dei pazienti dovuta a terzi ad eccezione dei responsabili del trattamento esterni assunti da LumiraDx per il trattamento dei Dati dei Pazienti ai sensi della clausola 4.6.

4.    PROTEZIONE DEI DATI

4.1    Ciascuna delle parti si impegna a osservare i propri obblighi previsti dalla Legislazione sulla protezione dei dati e derivanti dalla presente Licenza. La presente clausola 4.1 integra e non solleva da, esclude o sostituisce gli obblighi delle parti ai sensi della Legislazione sulla protezione dei dati.

4.2    L’Organizzazione avrà la responsabilità esclusiva dei Dati dei pazienti. Nel rispetto della presente clausola 4, LumiraDx non avrà diritti sui Dati dei pazienti.

4.3    LumiraDx tratterà i Dati personali relativi a dipendenti, agenti e liberi professionisti dell’Organizzazione ai sensi della presente informativa sulla privacy, come visualizzata sul proprio sito web di volta in volta. Per le finalità della presente clausola 4.3, LumiraDx è il Titolare del trattamento di tali Dati personali.

4.4    Le parti prendono atto del fatto che, per le finalità previste dalla Legislazione sulla protezione dei dati, l’Organizzazione è il Titolare del trattamento e LumiraDx è il Responsabile del trattamento dei dati dei pazienti e degli altri Dati personali pertinenti forniti dall’Organizzazione a LumiraDx per il trattamento ai sensi delle clausole 4.5 e 4.6. L’Allegato 1 stabilisce l’ambito, la natura e la finalità del trattamento da parte di LumiraDx, la durata del trattamento, i tipi di Dati personali e le categorie di Soggetti interessati (come definiti dalla Legislazione sulla protezione dei dati).

4.5    Fatti salvi gli obblighi contenuti nella clausola 4.1, durante il trattamento dei Dati dei pazienti:

(a)    l’Organizzazione garantirà che i relativi soggetti terzi, inclusi a titolo esemplificativo ma non esaustivo, i Pazienti, siano stati informati di tale uso (incluso l’uso descritto nell’Allegato 1), trattamento e trasferimento e vi abbiano fornito il proprio esplicito consenso come previsto dalla Legislazione sulla protezione dei dati.

(b)    LumiraDx si impegna a:

(i)    trattare i Dati dei pazienti esclusivamente in base alle istruzioni scritte dell’Organizzazione, indicate all’Allegato 1, salvo quando LumiraDx sia tenuta a trattare i Dati dei pazienti ai sensi delle leggi di uno Stato membro dell’Unione europea o dell’Unione europea, applicabili a LumiraDx (“Leggi applicabili”). Laddove LumiraDx faccia affidamento sulle Leggi applicabili come base per il trattamento dei Dati dei pazienti, LumiraDx informerà tempestivamente l’Organizzazione prima di iniziare il trattamento previsto dalle Leggi applicabili, sempre che tale comunicazione da parte di LumiraDx all’Organizzazione non sia proibita da tali Leggi applicabili;

(ii)    garantire che siano state adottate le misure tecniche, contrattuali e organizzative idonee alla protezione da trattamento illecito o non autorizzato dei Dati dei pazienti, perdita o distruzione accidentale o danno ai Dati dei pazienti, e commisurate al danno eventualmente risultante da tale trattamento non autorizzato o illecito o perdita accidentale, distruzione o danno, e alla natura dei dati da proteggere, tenendo in considerazione lo stato di sviluppo tecnologico e il costo di implementazione delle eventuali misure;

(iii)    garantire che tutto il personale con accesso ai Dati dei pazienti e/o preposto al trattamento degli stessi sia tenuto a mantenere la riservatezza sui Dati dei pazienti;

(iv)    assistere l’Organizzazione, a spese della medesima, nella risposta alle richieste degli interessati e garantire l’adempimento degli obblighi relativi alla sicurezza, alle notifiche in caso di violazioni, alle valutazioni d’impatto e alle consultazioni con le autorità garanti o regolatorie previsti per l’Organizzazione dalla Legislazione sulla protezione dei dati;

(v)    informare l’Organizzazione senza indebito indugio in caso di scoperta di una violazione dei Dati dei pazienti;

(vi)    garantire di non commettere od omettere volontariamente o negligentemente alcuna azione per cui l’Organizzazione possa essere considerata responsabile di violazione dei propri obblighi ai sensi della Legislazione sulla protezione dei dati;

(vii)    tenere dei registri scritti completi e accurati e documentare le attività di trattamento dei Dati dei pazienti per dimostrare la conformità alla presente clausola 4; e

(viii)    non trasferire i Dati dei pazienti al di fuori del SEE senza aver adottato le adeguate misure di sicurezza. L’Organizzazione accetta che i Dati personali relativi ai propri dipendenti, agenti o appaltatori indipendenti possano essere trasferiti fuori dal SEE, a condizione che siano state adottate le misure di sicurezza adeguate al trasferimento e che LumiraDx garantisca un adeguato livello di protezione per tutti i Dati dei pazienti trasferiti.

4.6    L’Organizzazione consente a LumiraDx di incaricare come responsabili esterni del trattamento dei Dati personali ai sensi della presente Licenza dei: fornitori di servizi di archiviazione dei dati (inclusi i membri del Gruppo LumiraDx), fornitori incaricati della consegna, fornitori di dispositivi (incluso lo Strumento Diagnostico) e fornitori di servizi esterni (che potrebbero fornire servizi di assistenza telefonica e servizi di assistenza tecnica). LumiraDx conferma di aver stipulato o (a seconda dei casi) che intende stipulare con tali responsabili del trattamento esterni, un contratto scritto contenente i termini commerciali standard per tale soggetto terzo. Come stipulato dall’Organizzazione e LumiraDx, LumiraDx rimarrà pienamente responsabile delle azioni od omissioni di tali responsabili del trattamento esterni incaricati ai sensi della presente clausola 4.6.

4.7    L’Organizzazione accetta che LumiraDx possa generare dati resi anonimi a partire dai Dati dei pazienti inseriti nel Software della Piattaforma LumiraDx dall’Organizzazione, a condizione che siano osservati gli Standard di anonimizzazione per la pubblicazione dei Dati sanitari ISB1523.

5.    CLAUSOLA CONDIZIONALE

5.1    Se il Regno Unito lascia l’Unione Europea senza un accordo di ritiro al giorno dell’uscita (o se il periodo transitorio ai sensi di un accordo di ritiro scade prima che la Commissione europea abbia adottato una decisione di adeguatezza per il Regno Unito):

(a)    le parti sottoscrivono le clausole contrattuali tipo (“SCC”) di cui alla decisione della Commissione UE 2010/87/CE, accluse nell’Allegato 2, e concordano, laddove non si applichino altre appropriate misure di salvaguardia o esenzione, che i Dati del paziente oggetto della presente Licenza (e ai quali si applica il Capitolo V del GDPR) saranno trasferiti in conformità alle SCC, ad esclusione delle clausole facoltative esistenti in tale data. Le parti convengono di fare il possibile per completare gli allegati alle SCC tempestivamente e in ogni caso entro 30 giorni allo scopo di dare pieno effetto alle clausole. In caso di conflitto tra la presente Licenza e le SCC, si applicheranno i termini delle SCC.

6.   LIBERTÀ DI INFORMAZIONE

6.1    LumiraDx prende atto del fatto che l’Organizzazione possa essere soggetta ai requisiti previsti dal FOIA e supporterà e collaborerà con l’Organizzazione (a spese dell’Organizzazione) per permettere a quest’ultima di agire conformemente a tali requisiti di divulgazione delle informazioni.

6.2    LumiraDx si impegna a:

(a)    trasferire qualsiasi Richiesta di Informazioni all’Organizzazione non appena possibile in seguito alla ricezione di tale Richiesta di Informazioni.

(b)    fornire all’Organizzazione una copia di tutte le Informazioni in suo possesso o potere nel formato richiesto dall’Organizzazione non appena possibile (o nei tempi eventualmente specificati dall’Organizzazione) dopo la ricezione della richiesta di tali Informazioni da parte dell’Organizzazione; e

(c)    fornire il supporto necessario, ragionevolmente richiesto dall’Organizzazione, per permettere alla stessa di rispondere a una Richiesta di Informazioni nei tempi previsti dall’articolo 10 del FOIA.

6.3    LumiraDx non risponderà in nessun caso direttamente a una Richiesta di informazioni.

7.    OBBLIGHI DELL' ORGANIZZAZIONE

7.1    L’Organizzazione si impegna a:

(a)    ottenere il permesso dai proprietari dei Dispositivi Mobili, controllati ma non posseduti dall’Organizzazione, su cui è stata scaricata o su cui è utilizzata una copia di Connect Manager;

(b)    trattare le password o le altre informazioni fornite come parte delle procedure di sicurezza di LumiraDx in modo riservato; L’Organizzazione non le divulgherà a terzi;

(c)    garantire che tutti i propri Utenti del Software della Piattaforma LumiraDx agiscano conformemente alla presente Licenza e utilizzino esclusivamente la stessa per le finalità previste dalla clausola 3;

(d)    garantire che tutti i propri Utenti del Software della Piattaforma LumiraDx agiscano conformemente alle procedure e alle linee guida stabilite dalla Documentazione (incluso il manuale utente) relative all’uso del Software della Piattaforma LumiraDx;

(e)    collaborare in ogni momento con LumiraDx e fornire le informazioni ragionevolmente richieste da LumiraDx;

(f)    supervisionare e controllare l’uso del Software della Piattaforma LumiraDx ai sensi dei termini della presente Licenza e garantire che il Software della Piattaforma LumiraDx sia utilizzato da professionisti sanitari debitamente qualificati e formati;

(g)    informare LumiraDx immediatamente in caso di eventi avversi a cui il Software della Piattaforma LumiraDx possa aver contribuito. L’Organizzazione accetta inoltre di fornire i dettagli dell’evento per iscritto e di collaborare con LumiraDx durante le indagini relative all’evento. L’Organizzazione prende atto del fatto, e accetta, che tutte le comunicazioni relative agli eventi avversi siano da considerarsi Informazioni riservate e quindi soggette agli obblighi di riservatezza previsti dalla clausola 9;

(h)    Informare LumiraDx di qualsiasi problematica, difetto o questione relativa al Software della Piattaforma LumiraDx. L’Organizzazione prende atto del fatto, e accetta, che tutte le comunicazioni relative a problematiche, difetti o questioni relative al Software della Piattaforma LumiraDx siano da considerarsi Informazioni riservate e quindi soggette agli obblighi di riservatezza previsti dalla clausola 8; e

(i)    non consentire a terzi di fornire assistenza tecnica in relazione al Software della Piattaforma LumiraDx, ai Servizi o alla Documentazione.

8.    DIRITTI DI PROPRIETÀ

8.1    L’Organizzazione accetta che LumiraDx e/o i suoi licenzianti (che sono terzi proprietari dei diritti di proprietà intellettuale utilizzati nel Software della Piattaforma LumiraDx), siano i titolari di tutti i Diritti di Proprietà Intellettuale del Software della Piattaforma LumiraDx, dei Servizi e della Documentazione. La presente Licenza non cede all’Organizzazione alcun diritto relativo a brevetti, diritti d’autore, diritti sulle banche dati, segreti commerciali, nomi commerciali, marchi (sia registrati che non registrati) o qualsiasi altro ulteriore diritto o licenza in relazione al Software della Piattaforma LumiraDx, ai Servizi o alla relativa Documentazione diverso dal diritto d’uso previsto dalla presente Licenza.

8.2    L’Organizzazione prende atto di non avere diritto di accesso al Software della Piattaforma LumiraDx tramite codice sorgente.

9.    RISERVATEZZA

9.1    LumiraDx prende atto del fatto che i Dati dei pazienti siano Informazioni riservate dell’Organizzazione.

9.2    Nel rispetto della clausola 9.3, le parti manterranno confidenziali le Informazioni riservate dell’altra parte e faranno quanto ragionevolmente possibile per impedire la divulgazione a terzi delle Informazioni riservate da parte dei propri dipendenti, agenti e appaltatori indipendenti.

9.3    La clausola 9.2 non si applica alle divulgazioni di informazioni:

(a)    previste dalla legge applicabile; tuttavia si applica la clausola 5 a qualsiasi divulgazione prevista ai sensi del FOIA;

(b)    richieste dai soggetti assunti da una delle parti per l’esecuzione degli obblighi di tale parte ai sensi della presente Licenza;

(c)    per cui una parte possa dimostrare che tali informazioni siano già generalmente disponibili e di pubblico dominio non a causa di una violazione della clausola 9.2;

(d)    che siano già lecitamente possedute dalla parte ricevente prima della divulgazione effettuata dalla parte divulgante, e quest’ultima non sia vincolata da obblighi di riservatezza in relazione a tali informazioni;

(e)    per cui l’altra parte abbia fornito il previo consenso scritto alla divulgazione.

10.    FORMAZIONE

10.1    La Documentazione include un manuale utente che fornisce le informazioni di base per la formazione dell’Organizzazione e degli Utenti. L’Organizzazione garantirà che tutti gli Utenti abbiano letto e compreso le informazioni di base per la formazione contenute nella Documentazione prima di utilizzare il Software della Piattaforma LumiraDx.

10.2    L’Organizzazione accetta e si impegna, anche a nome dei propri Utenti, a soddisfare gli eventuali requisiti di formazione aggiuntivi per il Software della Piattaforma LumiraDx di volta in volta previsti.

11.    LIMITAZIONE DELLA RESPONSABILITÀ

11.1    L’Organizzazione accetta di assumersi l’esclusiva responsabilità dei risultati ottenuti dall’uso del Software della Piattaforma LumiraDx e dei Servizi e per le conclusioni derivanti da tale uso. LumiraDx non avrà alcuna responsabilità per i danni causati da errori od omissioni nelle informazioni fornite dall’Organizzazione o da eventuali azioni intraprese da LumiraDx su istruzioni dell’Organizzazione. L’Organizzazione prende atto del fatto che il Software della Piattaforma LumiraDx non è stato progettato per i requisiti specifici dell’Organizzazione e che sarà pertanto responsabilità di quest’ultima garantire che le strutture e le funzioni del Software della Piattaforma LumiraDx, come descritti nei Documenti, soddisfino i requisiti della stessa.

11.2    Il Software della Piattaforma LumiraDx e i Servizi sono esclusivamente intesi come strumento diagnostico e non sostituiscono la professionalità e il giudizio di medici, farmacisti o altri operatori sanitari. Tutte le informazioni sono fornite tenendo in considerazione che gli operatori sanitari incaricati della cura del paziente sono i soli ed esclusivi responsabili della decisione dei trattamenti da prescrivere o somministrare a tutti i pazienti e, in particolare, della scelta di utilizzare le informazioni fornite dal Software della Piattaforma LumiraDx in quanto sicure, adeguate o efficaci per un paziente specifico o in circostanze specifiche.

11.3    LumiraDx non sarà responsabile:

(a)    a titolo di responsabilità extracontrattuale (incluso per negligenza o violazione degli obblighi normativi), contrattuale, per dichiarazione fuorviante, riparazione o altro, perdita di ricavi, perdita di profitto o contratti, perdita di volume d’affari, interruzione di attività commerciale, perdita di denaro o presunto risparmio, perdita o esaurimento di opportunità, avviamento, reputazione e/o perdite analoghe, perdita o danneggiamento di dati o informazioni, perdita puramente economica oppure perdite, costi, danni, oneri o spese speciali, indiretti o consequenziali, derivanti in qualsiasi modo dalla presente Licenza; o

(b)    per qualsiasi perdita derivante da un risultato dell’Organizzazione che esporta informazioni o dati (compresi i Dati del paziente) dalle funzioni di visualizzazione in Connect Manager.

11.4    Oltre alle perdite elencate nella clausola 11.3 (per cui LumiraDx non si assume alcuna responsabilità), la responsabilità totale aggregata contrattuale, extracontrattuale (incluso per negligenza o violazione degli obblighi normativi), per falsa dichiarazione, riparazione o altro di LumiraDx, derivante dall’effettiva o prevista esecuzione della presente Licenza, si limita alle tariffe totali pagate a LumiraDx per lo/gli Strumento/i Diagnostico/i nei 12 mesi precedenti la data di presentazione della pretesa.

11.5    Nulla nella presente Licenza è volto a escludere la responsabilità per decesso o lesioni personali causate da negligenza, frode o falsa dichiarazione fraudolenta.

11.6    Il Cliente prende atto del fatto che l’eventuale Software Open Source fornito dal Fornitore, viene fornito “tal quale” ed è espressamente soggetto alle esclusioni della clausola 11.7. I termini della licenza di un Software Open Source potrebbero prevalere su alcuni termini della presente Licenza.

11.7    La presente Licenza descrive pienamente le responsabilità di LumiraDx in relazione al Software della Piattaforma LumiraDx, ai Servizi e alla Documentazione. Se non altrimenti ed espressamente previsto dalla presente Licenza, non vi sono condizioni, garanzie, dichiarazioni o altri termini, espressi o impliciti, vincolanti per LumiraDx. Eventuali condizioni, garanzie, dichiarazioni o altri termini riguardanti la fornitura del Software della Piattaforma LumiraDx, dei Servizi o della Documentazione, che potrebbero altrimenti essere impliciti o incorporati nella presente Licenza, per legge, diritto consuetudinario o di altro tipo, sono esclusi nella misura massima consentita dalla legge.

12.    DURATA E RISOLUZIONE

12.1    Senza pregiudizio di ogni altro diritto o rimedio previsto a suo favore, LumiraDx potrebbe risolvere la presente Licenza con effetto immediato con notifica scritta all’Organizzazione nei seguenti casi:

(a)    violazione sostanziale da parte dell’Organizzazione o dei suoi Utenti di uno qualsiasi dei termini della presente Licenza, se tale violazione è irrimediabile o (ove rimediabile) se non viene corretta entro un periodo di 14 giorni dalla notifica scritta in cui si chiede tale riparazione.

(b)    violazione da parte dell’Organizzazione o dei suoi Utenti di una delle Restrizioni della Licenza o le Restrizioni d’uso accettabile;

(c)    l’Organizzazione sospende o minaccia di sospensione, da parte dell’Organizzazione del pagamento dei propri debiti o qualora essa non sia in grado di onorarli alla relativa scadenza, o qualora ammetta la sua incapacità o sia considerata incapace di saldare i propri debiti come definito all’articolo 123 della Legge sull’insolvenza (Insolvency Act) del 1986;

(d)    nel caso in cui sia stata depositata una petizione, inviata una comunicazione o emessa una decisione o ordinanza relativa alla messa in liquidazione dell’Organizzazione per scopi diversi da un progetto di fusione dell’Organizzazione con una o più società terze o dalla ristrutturazione societaria dell’Organizzazione;

(e)    nel caso in cui sia stata presentata in tribunale una richiesta, o emessa un’ordinanza, per la nomina di un amministratore, o una comunicazione dell’intenzione di nominare un amministratore, o sia stato nominato un amministratore per l’Organizzazione;

(f)    qualora una persona abbia diritto di nominare un curatore per i beni dell’Organizzazione o un curatore sia stato nominato per i beni dell’Organizzazione;

(g)    sospensione o cessazione, o minaccia di sospensione o cessazione parziale o completa dell’attività da parte dell’Organizzazione; o

(h)    qualora l’Organizzazione abbia trasferito o consentito l’accesso a uno Strumento Diagnostico su cui è installato l’Instrument Software o che viene utilizzato in Modalità Gestita per accedere a Connect Manager, fuori dall’Organizzazione o ad altri soggetti terzi, senza il previo consenso per iscritto di LumiraDx.

12.2    Alla risoluzione della presente Licenza per qualsiasi ragione:

(a)    cesseranno tutti i diritti concessi all’Organizzazione ai sensi della presente Licenza.

(b)    l’Organizzazione cesserà immediatamente ogni attività autorizzata dalla presente Licenza (incluso l’uso del Software della Piattaforma LumiraDx, dei Servizi e della Documentazione) e cancellerà Connect Manager da tutti i Dispositivi Mobili distruggendo immediatamente tutte le copie da essa controllate;

(c)    l’Organizzazione restituirà e cesserà di usare la Documentazione (e tutte le relative copie) appartenente a LumiraDx;

(d)    l’Organizzazione cancellerà o effettuerà l’estrazione (utilizzando la funzione di Connect Manager per l’esportazione) dei Dati dei pazienti conservati su Connect Manager entro 10 giorni dalla data di risoluzione della presente Licenza. Se richiesto dall’Organizzazione, LumiraDx può fornire un’assistenza ragionevole per consentire l’estrazione dei Dati dei pazienti archiviati in Connect Manager e i costi di tale assistenza saranno addebitati all’Organizzazione alle tariffe concordate con LumiraDx; e

(e)    l’Organizzazione cancellerà o rimuoverà tutti i Dati dei pazienti, o gli altri Dati personali, dall’Instrument Software entro 10 giorni dalla data di risoluzione della presente Licenza.

12.3    Le seguenti clausole sopravvivranno alla risoluzione o scadenza della presente Licenza: clausola 1 (Interpretazione), clausola 9 (Riservatezza), clausola 11 (Limitazione della responsabilità) e la presente clausola 12 (Risoluzione).

13.    MODIFICA

Qualsiasi modifica alla presente Licenza dovrà essere stipulata per iscritto e firmata dalle parti (o dai relativi legali rappresentanti).

14.    RINUNCIA

L’eventuale mancata o tardiva esecuzione di qualsiasi diritto o rimedio previsto dalla presente Licenza o dalla legge non costituirà rinuncia a tale diritto o rimedio o ad altri diritti e rimedi, e non impedirà o limiterà il futuro esercizio dello/degli stesso/i. L’eventuale esercizio individuale o parziale di tale diritto o rimedio non impedirà o limiterà il futuro esercizio dello stesso o di altri diritti e rimedi.

15.    CLAUSOLA SALVATORIA

15.1    Nel caso in cui una delle disposizioni (o parte di una disposizione) della presente Licenza sia considerata invalida, inapplicabile o illecita da un organo amministrativo della giurisdizione competente, le altre disposizioni rimarranno in vigore.

15.2    Qualora una disposizione considerata invalida, inapplicabile o illecita diventi valida, applicabile o lecita in seguito alla cancellazione di alcune parti della stessa, tale disposizione si applicherà con le modifiche eventualmente necessarie a raggiungere l’effetto commerciale desiderato dalle parti.

16.    CESSIONE

16.1    L’Organizzazione non potrà cedere, trasferire, assegnare, subappaltare o negoziare in altri modi i propri diritti o obblighi derivanti dalla presente Licenza senza il previo consenso scritto di LumiraDx.

16.2    LumiraDx potrà, in qualsiasi momento, cedere, trasferire, assegnare, subappaltare o negoziare in altri modi i diritti o gli obblighi derivanti dalla presente Licenza.

17.    DIRITTI DI TERZI

La presente Licenza non conferisce alcun diritto a persone o parti ( diverse dalle parti della presente Licenza e, ove applicabile, dai relativi successori, aventi causa e Società del Gruppo LumiraDx) come previsto dalla legge sui contratti (Contracts Act) del 1999 (Rights of Third Parties, Diritti di terzi).

18.    NOTIFICHE

18.1    Le notifiche previste dalla presente Licenza saranno formulate per iscritto e consegnate a mano o con servizio postale prepagato di prima classe o raccomandata con ricevuta di ritorno all’altra parte, all’indirizzo principale dell’attività o altro indirizzo fornito all’altra parte per gli scopi qui previsti.

18.2    Una notifica correttamente indirizzata, inviata con servizio postale prepagato o raccomandata con ricevuta di ritorno, sarà considerata ricevuta come da prassi per il normale servizio postale.

19.    LEGGE APPLICABILE E FORO COMPETENTE

19.1    La presente Licenza e le eventuali controversie o pretese da essa derivanti o connesse alla sua fattispecie o formazione (incluse le controversie e le pretese extracontrattuali) saranno regolate e interpretate in base alla legge di Inghilterra e Galles.

19.2    Le parti accettano irrevocabilmente la competenza esclusiva dei tribunali d’Inghilterra e Galles per la composizione di qualsiasi controversia o pretesa derivante dalla, o connessa alla, presente Licenza o alla sua fattispecie o formazione (incluse le controversie o pretese extracontrattuali).

ALLEGATO 1

Trattamento, Dati Personali e Interessati

1.  Trattamento da parte di LumiraDx

1.1 Natura e finalità del trattamento

      LumiraDx e i membri del Gruppo LumiraDx possono trattare i Dati Personali per:

  • registrare i test effettuati sui Pazienti e i relativi risultati;
  • fornire servizi all’Organizzazione e mantenerne traccia;
  • garantire agli Utenti di avere accesso alle informazioni rilevanti per il proprio ruolo ed esclusivamente basate sullo stesso;
  • garantire la conformità alla normativa;
  • garantire che i Pazienti possano essere identificati e visualizzare i corretti risultati dei test associati al Paziente sulle cartelle cliniche elettroniche;
  • analisi dei dati e ricerche statistiche per aiutare LumiraDx a meglio comprendere come sono utilizzati i propri prodotti;
  • indagare sull’eventuale uso improprio dell’account dell’Organizzazione, frode e recupero crediti;
  • assistenza, manutenzione e sicurezza del paziente (incluse le indagini sugli errori);
  • migliorare la prestazione o le funzioni del Software della Piattaforma LumiraDx, dei Servizi o della Documentazione;
  • fornire riscontri all’Organizzazione e/o al Paziente e migliorare la prestazione del servizio fornito dall’Organizzazione;
  • migliorare o sviluppare lo Strumento Diagnostico o il Software della Piattaforma LumiraDx;
  • migliorare la comprensione, il trattamento, i risultati e la scelta per Pazienti e professionisti sanitari; e
  • adempiere gli obblighi normativi o regolatori previsti di volta in volta per LumiraDx.

1.2 Oggetto e durata del trattamento

L’oggetto e la durata del trattamento sono indicati nella Licenza.  

2.  Tipi di dati personali

  • Dati personali che includono i dati identificativi del paziente, nome, cognome, data di nascita e sesso.
  • Dati relativi alla salute, incluse le condizioni mediche dei Pazienti e le informazioni relative ai risultati dei test.

3.  Categorie di soggetti interessati

  • Paziente/i.  

ALLEGATO 2

Clausole contrattuali tipo per il trasferimento dei Dati personali dall’Unione Europea ai responsabili del trattamento stabiliti in Paesi terzi (trasferimenti da titolare del trattamento a responsabile del trattamento)

Ai fini dell’Articolo 26(2) della Direttiva 95/46/CE per il trasferimento dei dati personali ai responsabili del trattamento stabiliti in Paesi terzi che non garantiscono un livello adeguato di protezione dei dati

Nome dell’organizzazione esportatrice dei dati: ...............................................................

Indirizzo: ...............................................................

Tel.: ...............................................................

Fax: ...............................................................

E-mail: ...............................................................

Altre informazioni necessarie per identificare l’organizzazione ..............................................................

(l’“esportatore dei dati”)

Nome dell’organizzazione importatrice dei dati: ...............................................................

Indirizzo: ...............................................................

Tel.: ...............................................................

Fax: ...............................................................

E-mail: ...............................................................

Altre informazioni necessarie per identificare l’organizzazione ..............................................................

(l’“importatore dei dati”)

HANNO CONVENUTO le seguenti Clausole contrattuali (le Clausole) al fine di addurre adeguate garanzie in materia di protezione della privacy e dei diritti e libertà fondamentali delle persone per il trasferimento, da parte dell’esportatore dei dati all’importatore dei dati, dei dati personali specificati nell’ALLEGATO A.

1.    Definizioni

Ai fini delle Clausole:

(a)    dati personali, categorie speciali di dati, trattare/trattamento, titolare del trattamento, responsabile del trattamento, Interessato e autorità di controllo hanno lo stesso significato agli stessi attribuito nella direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, concernente la protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (1);

(b)    l’esportatore dei dati  indica il titolare del trattamento che trasferisce i dati personali;

(c)    l’importatore dei dati indica il responsabile del trattamento che accetta di ricevere dall’esportatore dei dati i dati personali destinati al trattamento per suo conto dopo il trasferimento in conformità con le sue istruzioni e i termini delle Clausole e che non è soggetto al sistema di un paese terzo che garantisce una protezione adeguata ai sensi di Articolo 25(1), della Direttiva 95/46/CE;

(d)    il sub-responsabile del trattamento indica qualsiasi responsabile del trattamento designato dall’importatore dei dati o da qualsiasi altro sub-responsabile del trattamento dell’importatore dei dati che accetta di ricevere dall’importatore dei dati o da qualsiasi altro sub-responsabile del trattamento dell’importatore dei dati i dati personali, esclusivamente per le attività di trattamento previste che devono essere effettuate per conto dell’esportatore dei dati dopo il trasferimento in conformità con le sue istruzioni, le condizioni delle Clausole e le condizioni del subcontratto scritto;

(e)    la legge sulla protezione dei dati applicabile indica la legislazione che tutela i diritti e le libertà fondamentali delle persone e, in particolare, il loro diritto alla privacy in relazione al trattamento dei dati personali applicabile a un titolare del trattamento dei dati nello Stato membro in cui è stabilito l’esportatore dei dati;

(f)    misure di sicurezza organizzative e tecniche indica le misure volte a proteggere i dati personali da distruzione accidentale o illecita o da perdita accidentale, alterazione, divulgazione o accesso non autorizzati, in particolare laddove il trattamento comporti la trasmissione di dati su una rete, e contro ogni altra forma di trattamento illecito.

2.    Dettagli del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove applicabile, sono specificati nell’ALLEGATO A che costituisce parte integrante delle Clausole.

3.    Clausola del terzo beneficiario

3.1    L’Interessato può far valere nei confronti dell’esportatore dei dati la presente clausola 3, le clausole da 4 (b) a 4(i), le clausole da 5(a) a 5(e) e le clausole da 5(g) a 5(j), la clausola 6.1 e la clausola 6.2, la clausola 7, la clausola 8.2 e le clausole da 9 a 12 come terzo beneficiario.

3.2    L’Interessato può far valere contro l’importatore dei dati la presente clausola 3, le clausole da 5(a) a 5(e) e la clausola 5(g), la clausola 6, la clausola 7, la clausola 8.2 e le clausole da 9 a 12, nei casi in cui l’esportatore dei dati sia di fatto scomparso o ha cessato di esistere a norma di legge salvo qualora un’entità succedente non abbia assunto tutte le obbligazioni giuridiche dell’esportatore dei dati per contratto o per legge, e a seguito di ciò la stessa assuma i diritti e le obbligazioni dell’esportatore dei dati, nel qual caso l’Interessato può farli valere nei confronti di tale entità.

3.3    L’Interessato può far valere contro il sub-responsabile del trattamento questa clausola 3, le clausole da 5(a) a 5(e) e la clausola 5(g), la clausola 6, la clausola 7, la clausola 8.2 e le clausole da 9 a 12, nei casi in cui sia l’importatore dei dati sia l’esportatore dei dati siano di fatto scomparsi o hanno cessato di esistere a norma di legge o sono divenuti insolventi salvo qualora un’entità succedente non abbia assunto tutte le obbligazioni giuridiche dell’esportatore dei dati per contratto o per legge, e a seguito di ciò la stessa assume i diritti e le obbligazioni dell’esportatore dei dati, nel qual caso l’Interessato può farli valere nei confronti di tale entità. Tale responsabilità civile del sub-responsabile del trattamento sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

3.4    Le parti non si oppongono alla rappresentanza dell’Interessato da parte di un’associazione o altro organismo qualora l’Interessato lo desideri espressamente e ciò sia consentito dalla legislazione nazionale.

4.    Obblighi dell’esportatore dei dati

L’esportatore dei dati accetta e garantisce:

(a)    che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere effettuato in conformità con le disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, ove applicabile, che è stato notificato alle autorità competenti dello Stato membro in cui è stabilito l’esportatore dei dati) e che non viola le disposizioni pertinenti di tale Stato;

(b)    che ha ordinato e per tutta la durata dei servizi di trattamento dei dati personali ordinerà all’importatore dei dati di trattare i dati personali trasferiti solo per conto dell’esportatore dei dati e in conformità con la legge sulla protezione dei dati applicabile e le Clausole;

(c)    che l’importatore dei dati fornirà garanzie sufficienti in relazione alle misure di sicurezza organizzative e tecniche specificate nell’ALLEGATO B al presente contratto;

(d)    che dopo la valutazione dei requisiti della legge sulla protezione dei dati applicabile, le misure di sicurezza sono idonee a proteggere i dati personali da distruzione accidentale o illecita o perdita accidentale, alterazione, divulgazione o accesso non autorizzati, in particolare laddove il trattamento comporti la trasmissione di dati su una rete e contro tutte le altre forme illecite di trattamento e che tali misure assicurano un livello di sicurezza adeguato ai rischi posti dal trattamento e alla natura dei dati da proteggere, tenendo conto dello stato dell’arte e del costo della loro implementazione;

(e)    che garantirà la conformità alle misure di sicurezza;

(f)    che, se il trasferimento coinvolge categorie speciali di dati, l’Interessato è stato informato o sarà informato prima o non appena possibile dopo il trasferimento, che i suoi dati potrebbero essere trasmessi a un Paese terzo che non fornisce una protezione adeguata ai sensi della Direttiva 95/46/CE;

(g)    di inoltrare qualsiasi notifica ricevuta dall’importatore dei dati o da qualsiasi sub-responsabile del trattamento ai sensi della clausola 5(b) e della clausola 8.3, all’autorità di controllo per la protezione dei dati se l’esportatore dei dati decide di continuare il trasferimento o di revocare la sospensione;

(h)    di rendere disponibile agli interessati, su richiesta, una copia delle Clausole, ad eccezione dell’ALLEGATO B, e una descrizione riepilogativa delle misure di sicurezza, nonché una copia di qualsiasi contratto per i servizi di sub-trattamento che devono essere svolti in conformità alle Clausole, salvo qualora le Clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;

(i)    che, in caso di sub-trattamento, l’attività di trattamento viene eseguita in conformità alla clausola 11 da un sub-responsabile del trattamento che fornisca almeno lo stesso livello di protezione per i dati personali e i diritti degli Interessati di quello dell’importatore dei dati ai sensi delle Clausole; e

(j)    che garantirà la conformità con le clausole da 4(a) a 4(i).

5.    Obblighi dell’importatore dei dati

L’importatore dei dati accetta e garantisce:

(a)    di trattare i dati personali solo per conto dell’esportatore dei dati e in conformità con le sue istruzioni e le Clausole; se non è in grado di fornire tale conformità per qualsiasi motivo, accetta di informare tempestivamente l’esportatore dei dati della sua incapacità di garantire la conformità, nel qual caso l’esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o risolvere il contratto;

(b)    che non ha motivo di ritenere che la legislazione ad esso applicabile gli impedisca di adempiere alle istruzioni ricevute dall’esportatore dei dati e alle sue obbligazioni contrattuali e che in caso di modifica di tale legislazione, che potrebbe avere un effetto avverso sostanziale sulle garanzie e le obbligazioni previste dalle Clausole, informerà tempestivamente della modifica l’esportatore dei dati non appena ne sarà a conoscenza, nel qual caso l’esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o risolvere il contratto;

(c)    che ha implementato le misure di sicurezza organizzative e tecniche specificate nell’ALLEGATO B prima del trattamento dei dati personali trasferiti;

(d)    che informerà tempestivamente l’esportatore dei dati su:

(i)    qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte delle forze dell’ordine, se non diversamente vietato, come un divieto ai sensi del diritto penale per preservare la riservatezza di un’indagine delle forze dell’ordine;

(ii)    qualsiasi accesso accidentale o non autorizzato; e

(iii)    qualsiasi richiesta ricevuta direttamente dagli Interessati senza rispondere a tale richiesta, a meno che non sia stata altrimenti autorizzata a farlo;

(e)    di trattare tempestivamente e correttamente tutte le richieste dell’esportatore dei dati relative al trattamento dei dati personali oggetto del trasferimento e rispettare il parere dell’autorità di controllo in merito al trattamento dei dati trasferiti;

(f)    su richiesta dell’esportatore dei dati, di sottoporre le proprie strutture di trattamento dei dati al controllo delle attività di trattamento coperte dalle Clausole che sarà svolto dall’esportatore dei dati o da un organismo ispettivo composto da membri indipendenti e in possesso delle qualifiche professionali richieste vincolati ad un obbligo di riservatezza, selezionati dall’esportatore dei dati, ove applicabile, in accordo con l’autorità garante;

(g)    rendere disponibile all’Interessato, su richiesta, una copia delle Clausole, o qualsiasi contratto per il sub-trattamento, salvo qualora le Clausole o il contratto non contengano informazioni commerciali nel qual caso può rimuovere tali informazioni commerciali, con l’eccezione dell’ALLEGATO B che sarà sostituito da una descrizione sommaria delle misure di sicurezza nei casi in cui l’Interessato non possa ottenere una copia dall’esportatore dei dati,

(h)    che, in caso di sub-trattamento, ha precedentemente informato l’esportatore dei dati e ottenuto il suo previo consenso per iscritto;

(i)    che i servizi di trattamento da parte del sub-responsabile del trattamento saranno eseguiti in conformità alla clausola 11; e

(j)    di inviare prontamente una copia di qualsiasi accordo con il sub-responsabile del trattamento stipulato ai sensi delle Clausole all’esportatore dei dati.

6.    Responsabilità

6.1    Le parti convengono che qualsiasi Interessato che abbia subito danni a seguito di qualsiasi violazione delle obbligazioni di cui alla clausola 3 o alla clausola 11 da parte di qualsiasi parte o sub-responsabile del trattamento ha diritto di ricevere un’indennità dall’esportatore dei dati per il danno subito.

6.2    Se l’Interessato non può presentare una richiesta di risarcimento nei confronti dell’esportatore dei dati ai sensi del paragrafo 1, derivante da una violazione da parte dell’importatore dei dati o del suo sub-responsabile del trattamento di una delle proprie obbligazioni di cui alla clausola 3 o alla clausola 11, poiché l’esportatore dei dati è effettivamente scomparso o ha cessato di esistere per legge o è diventato insolvente, l’importatore dei dati conviene che l’Interessato può presentare una richiesta di risarcimento contro l’importatore dei dati come se fosse l’esportatore dei dati, salvo qualora qualsiasi entità succedente non abbia assunto tutte le obbligazioni legali dell’esportatore dei dati per contratto o per legge, nel qual caso l’Interessato può far valere i propri diritti nei confronti di tale entità.

L’importatore dei dati non può fare affidamento su una violazione da parte di un sub-responsabile del trattamento delle proprie obbligazioni al fine di evitare le proprie responsabilità.

6.3    Se l’Interessato non può presentare una richiesta di risarcimento contro l’esportatore dei dati o l’importatore dei dati di cui ai paragrafi 1 e 2, derivante da una violazione da parte del sub-responsabile del trattamento di una delle proprie obbligazioni di cui alla clausola 3 o alla clausola 11 poiché sia l’esportatore dei dati sia l’importatore dei dati sono effettivamente scomparsi o hanno cessato di esistere per legge o sono diventati insolventi, il sub-responsabile del trattamento conviene che l’Interessato può presentare una richiesta di risarcimento contro il sub-responsabile del trattamento come se fosse l’esportatore dei dati o l’importatore dei dati, salvo qualora qualsiasi entità succedente non abbia assunto tutte le obbligazioni legali dell’esportatore dei dati per contratto o per legge, nel qual caso l’Interessato può far valere i propri diritti nei confronti di tale entità. La responsabilità del sub-responsabile del trattamento sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

7.    Mediazione e giurisdizione 

7.1    L’importatore dei dati concorda sul fatto che se l’Interessato invoca contro di esso i diritti di terzo beneficiario e/o chiede un risarcimento dei danni ai sensi delle Clausole, l’importatore dei dati accetterà la decisione dell’Interessato:

(a)    di rimettere la controversia alla mediazione da parte di una persona indipendente o, ove applicabile, dall’autorità di controllo;

(b)    di segnalare la controversia ai tribunali dello Stato membro in cui è stabilito l’esportatore dei dati.

7.2    Le parti convengono che la scelta effettuata dall’Interessato non pregiudicherà i suoi diritti sostanziali o procedurali di cercare rimedi in conformità con altre disposizioni della legge nazionale o internazionale.

8.    Cooperazione con le autorità garanti

8.1    L’esportatore dei dati accetta di depositare una copia del presente contratto presso l’autorità garante qualora la stessa lo richieda o qualora tale deposito sia richiesto ai sensi della legge applicabile in materia di protezione dei dati.

8.2    Le parti convengono che l’autorità garante ha il diritto di eseguire un controllo dell’importatore dei dati, e di qualsiasi sub-responsabile del trattamento, che abbia lo stesso ambito e sia soggetto alle stesse condizioni che si applicano a un controllo dell’esportatore dei dati ai sensi della legge applicabile in materia di protezione dei dati.

8.3    L’importatore dei dati dovrà informare tempestivamente l’esportatore dei dati sull’esistenza di una legislazione applicabile ad esso o a qualsiasi sub-responsabile del trattamento che impedisca l’esecuzione di un controllo dell’importatore dei dati, o di qualsiasi sub-responsabile del trattamento, ai sensi del paragrafo 2. In tal caso l’esportatore dei dati avrà il diritto di adottare le misure previste nella clausola 5(b).

9.    Legge applicabile

Le Clausole saranno disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore dei dati.

10.    Modifica del contratto

Le parti si impegnano a non alterare o modificare le Clausole. Ciò non impedisce alle parti di aggiungere clausole su questioni commerciali, ove necessario, purché le stesse non siano in contrasto con le Clausole.

11.    Sub-trattamento

11.1    L’importatore dei dati non subappalterà alcuna delle proprie operazioni di trattamento eseguite per conto dell’esportatore dei dati ai sensi delle Clausole senza il previo consenso per iscritto dell’esportatore dei dati. Laddove l’importatore dei dati subappalti i suoi obblighi ai sensi delle Clausole, con il consenso dell’esportatore dei dati, lo farà solo tramite un accordo scritto con il sub-responsabile del trattamento che imponga le stesse obbligazioni del sub-responsabile del trattamento imposte all’importatore dei dati ai sensi delle Clausole. Laddove il sub-responsabile del trattamento non adempia ai propri obblighi di protezione dei dati ai sensi di tale accordo scritto, l’importatore dei dati rimarrà pienamente responsabile nei confronti dell’esportatore dei dati per l’adempimento degli obblighi del sub-responsabile del trattamento ai sensi di tale accordo.

11.2    Il suddetto contratto scritto tra l’importatore dei dati e il sub-responsabile del trattamento prevederà anche una clausola di terzo beneficiario come disposto nella clausola 3 per i casi in cui l’Interessato non sia in grado di presentare la richiesta di risarcimento di cui al paragrafo 1 della clausola 6 contro l’esportatore dei dati o l’importatore dei dati perché sono effettivamente scomparsi o hanno cessato di esistere giuridicamente o sono diventati insolventi e nessuna entità succedente ha assunto tutte le obbligazioni legali dell’esportatore dei dati o dell’importatore dei dati per contratto o per effetto di legge. Tale responsabilità civile del sub-responsabile del trattamento sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

11.3    Le disposizioni relative agli aspetti riguardanti la protezione dei dati per il sub-trattamento del contratto di cui al paragrafo 1 saranno disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore dei dati.

11.4    L’esportatore dei dati terrà un elenco degli accordi di sub-trattamento dei dati conclusi ai sensi delle Clausole e notificati dall’importatore dei dati ai sensi della clausola 5(j), che sarà aggiornato almeno una volta all’anno. L’elenco sarà disponibile all’autorità garante della protezione dei dati dell’esportatore dei dati.

12.    Obbligo dopo l’interruzione dei servizi di trattamento dei dati personali

12.1    Le parti convengono che al termine della fornitura dei servizi di trattamento dei dati, l’importatore dei dati e il sub-responsabile del trattamento devono, a scelta dell’esportatore dei dati, restituire tutti i dati personali trasferiti e le copie degli stessi all’esportatore dei dati o distruggere tutti i dati personali e certificare all’esportatore dei dati di averlo fatto, salvo qualora la legislazione applicabile all’importatore dei dati non impedisca allo stesso di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l’importatore dei dati assicura che garantirà la riservatezza dei dati personali trasferiti e cesserà di trattare attivamente i dati personali trasferiti.

12.2    L’importatore dei dati e il sub-responsabile del trattamento garantiscono che, su richiesta dell’esportatore dei dati e/o dell’autorità garante, sottoporranno le proprie strutture di trattamento dei dati ad un controllo delle misure di cui al paragrafo 1.
Per conto dell’esportatore dei dati:

Nome (indicato per esteso): ...............................................................

Posizione: ...............................................................

Indirizzo: ...............................................................

Altre informazioni necessarie per
rendere il contratto vincolante (se presenti): ...............................................................

Firma ...............................................................

(Timbro dell’organizzazione)

Per conto dell’importatore dei dati:

Nome (indicato per esteso): ...............................................................

Posizione: ...............................................................

Indirizzo: ...............................................................

Altre informazioni necessarie per
rendere il contratto vincolante (se presenti): ...............................................................

Firma ...............................................................

(Timbro dell’organizzazione)

ALLEGATO A alle Clausole contrattuali tipo

Questo ALLEGATO fa parte delle Clausole e deve essere compilato e firmato dalle parti.

Gli Stati membri possono completare o specificare, secondo le rispettive procedure nazionali, ogni ulteriore informazione necessaria che deve essere contenuta nel presente ALLEGATO A.

Esportatore dei dati

 

L’esportatore dei dati è (specificare brevemente le attività pertinenti al trasferimento):

....................................................

Importatore dei dati

 

L’importatore dei dati è (specificare brevemente le attività pertinenti al trasferimento):

....................................................

Soggetti Interessati

 

I Dati personali trasferiti riguardano le seguenti categorie di Interessati (specificare)

....................................................

Categorie di dati

 

I Dati personali trasferiti riguardano le seguenti categorie di dati (specificare)

....................................................

Categorie speciali di dati (se pertinenti)

 

I Dati personali trasferiti riguardano le seguenti categorie speciali di dati (specificare)

....................................................

Operazioni di trattamento

 

I Dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base (specificare)

....................................................

ESPORTATORE DEI DATI

IMPORTATORE DEI DATI

Nome:..................................................

Firma autorizzata:...........................

Nome:..................................................

Firma autorizzata:...........................

ALLEGATO B alle Clausole contrattuali tipo

Questo ALLEGATO B fa parte delle Clausole e deve essere compilato e firmato dalle parti.

Descrizione delle misure di sicurezza organizzative e tecniche implementate dall’importatore dei dati in conformità alle clausole 4(d) e 5(c) (o documento/normativa allegati):

..........................................................................................................

..........................................................................................................

..........................................................................................................

.......................................................................................

  1. Interpretation

    1. The definitions and rules of interpretation in this clause apply in the background and in this Licence:

Business Day: a day other than a Saturday, Sunday or public holiday in England when banks in London are open for business.

Confidential Information: any information which has been designated as confidential by either party in writing or that ought to be considered as confidential (however it is conveyed or on whatever media it is stored) including information which would or would be likely to prejudice the commercial interests of any person, trade secrets, Intellectual Property Rights, know-how of either party and all Personal Data and sensitive data within the meaning of the Data Protection Legislation.

Connect Manager: the online software component known as Connect Manager (and any updates or supplements to it) which is owned and licensed by LumiraDx and may be used in connection with the Diagnostic Instrument when operating in a Managed Mode.    

Data Protection Legislation: the General Data Protection Regulation ((EU) 2016/679) (“GDPR”) and any national implementing laws, regulations and secondary legislation, the Data Protection Act 2018, the EU Data Protection Directive 95/46/EC, the Regulation of Investigatory Powers Act 2000, the Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000, the Electronic Communications Data Protection Directive 2002/58/EC, the Privacy and Electronic Communications (EC Directive) Regulations 2003 and all applicable laws and regulations relating to processing of personal data and privacy, including where applicable the guidance and codes of practice issued by the Information Commissioner.

Data Controller: has the meaning given to it in the GDPR.  

Data Processor: has the meaning given to it in the GDPR. 

Diagnostic Instrument: the diagnostic instrument supplied by LumiraDx to the Organization.    

Documentation: physical and electronic documentation provided by LumiraDx which relates to the LumiraDx Platform Software.  

FOIA: the Freedom of Information Act 2000 and any subordinate legislation made under that Act from time to time together with any guidance and/or codes of practice issued by the Information Commissioner or relevant government department in relation to such legislation.

Instrument Software: any software component installed on the Diagnostic Instrument (and any updates or supplements to it) which is owned and licensed by LumiraDx.  

Intellectual Property Rights: patents, utility models, rights to inventions, copyright and neighbouring and related rights, trade marks and service marks, business names and domain names, rights in get-up and trade dress, goodwill and the right to sue for passing off or unfair competition, rights in designs, database rights, rights to use, and protect the confidentiality of, confidential information (including know-how and trade secrets), and all other intellectual property rights, in each case whether registered or unregistered and including all applications and rights to apply for and be granted, renewals or extensions of, and rights to claim priority from, such rights and all similar or equivalent rights or forms of protection which subsist or will subsist now or in the future in any part of the world.

Open-Source Software: open-source software as defined by the Open Source Initiative (http://opensource.org) or the Free Software Foundation (http://www.fsf.org).

Organization: the legal entity who requests a licence to use the  LumiraDx Platform Software from LumiraDx, who is acting as Data Controller.  

LumiraDx Group: means LumiraDx, any subsidiary or any holding company from time to time of LumiraDx, and any subsidiary from time to time of a holding company of that company. Each company in the LumiraDx Group is a member of the LumiraDx Group and the term “LumiraDx Group Company” shall be construed accordingly.  

LumiraDx Platform Software: the Instrument Software and Connect Manager. 

Managed Mode: the use of the Diagnostic Instrument and the Instrument Software with Connect Manager which allows the Organization to transfer Patient Data to Connect Manager.  

Mobile Device: the Organization’s mobile telephone or handheld device.  

Normal Business Hours: 9.00 am to 5.00 pm local UK time, each Business Day.

Patient(s): an individual or individuals accessing care/medical services from a relevant Organization.

Patient Data: the clinical information (including, but not limited to, Personal Data) collected by the Organization in the course of treating Patients which is inputted by its Users onto the LumiraDx Platform Software.  

Personal Data: has the meaning given to it in the GDPR.

Requests for Information: means a request for information or an apparent request under the FOIA.  

Services: any services accessible through Connect Manager and the content LumiraDx provides to the Organization through it.  

Users: anyone authorised by the Organization to use the LumiraDx Platform Software which includes its employees, agents and independent contractors (namely clinicians).

    1. Clause, Schedule and paragraph headings shall not affect the interpretation of this Licence.

    2. The Schedules form part of this Licence and shall have effect as if set out in full in the body of this Licence. Any reference to this Licence includes the Schedules.  

    3. Any words following the terms including, include, in particular, for example or any similar expression shall be construed as illustrative and shall not limit the sense of the words, description, definition, phrase or term preceding those terms.

  1. Installation

LumiraDx shall ensure that one copy of the Instrument Software is pre-installed on each Diagnostic Instrument.  

  1. Grant of Licence 

    1. In consideration of the Organization agreeing to abide by the terms of this Licence, LumiraDx hereby grants to the Organization, and the Users, a non-exclusive, non-transferable right to use the LumiraDx Platform Software, the Services and the Documentation within their Organization in the territory where authorized to use the Diagnostics Instrument for the treatment of Patients, for the period during which the Organization uses the Diagnostic Instrument, unless terminated in accordance with this Licence.     

    2. LumiraDx has the right to disable any password, whether chosen by the Organization or allocated by LumiraDx, at any time, if in its reasonable opinion the Organization, or the Users, have failed to comply with any of the terms of this Licence.

    3. The Organization may be provided with updates of the LumiraDx Platform Software which includes the incorporation of “patches” and corrections of errors from time to time.  

    4. The Organization shall only: 

      1. allow Users to use the LumiraDx Platform Software, the Services and the Documentation if over 18 years of age; 

      2. use the LumiraDx Platform Software and the Services in connection with a Diagnostic Instrument supplied by LumiraDx; and 

      3. use the Documentation to support its use of the LumiraDx Platform Software and the Services as provided in clauses 3.5(a) and 3.5(b).  

    5. The Organization shall not, except as expressly set out in this Licence or as permitted by law:

      1. copy the LumiraDx Platform Software, the Services or the Documentation;

      2. make available or grant access to the LumiraDx Platform Software, the Services or the Documentation to anyone outside of the Organization;

      3. rent, lease, sub-license, distribute, loan, translate, merge, adapt, vary or modify the LumiraDx Platform Software, the Services or the Documentation;

      4. make alterations to, or modifications of, the whole or any part of the LumiraDx Platform Software, the Services or the Documentation; 

      5. permit the LumiraDx Platform Software, the Services or the Documentation or any part to be combined with, or become incorporated in, any other programs or documentation without obtaining the prior written consent of LumiraDx;

      6. disassemble, decompile, reverse-engineer or create derivative works based on the whole or any part of the LumiraDx Platform Software or the Services; 

      7. access all or any part of the LumiraDx Platform Software, the Services or the Documentation in order to build a product which competes with the LumiraDx Platform Software or the Services; 

      8. provide or otherwise make available the LumiraDx Platform Software, the Services or the Documentation in whole or in part (including object and source code), in any form to any person other than provided for in clause 3 without prior written consent from LumiraDx; and 

      9. transfer or sell any Diagnostics Instrument on which the Instrument Software is installed, to any third party, without the prior written consent of LumiraDx.  

(together, the “Licence Restrictions”).

    1. The Organization shall not:  

      1. use the LumiraDx Platform Software, the Services or the Documentation in any unlawful manner, for any unlawful purpose, or in any manner inconsistent with this Licence, or act fraudulently or maliciously, for example, by hacking into or inserting malicious code, including viruses, or harmful data into Connect Manager, the Services or the Documentation or any operating system;

      2. use the LumiraDx Platform Software for any purpose other than testing performed in connection with use of the Diagnostic Instrument in a professional setting; 

      3. infringe LumiraDx’s intellectual property rights or those of any third party in relation to its use of the LumiraDx Platform Software, the Services or the Documentation (to the extent that such use is not permitted by this Licence);

      4. transmit any material that is defamatory, offensive or otherwise objectionable in relation to its use of the LumiraDx Platform Software, the Services or the Documentation;

      5. use the LumiraDx Platform Software, the Services or the Documentation in a way that could damage, disable, overburden, impair or compromise LumiraDx’s systems or security or interfere with other users; and

      6. subject to clause 12.2(d), not collect or harvest any information or data from Connect Manager, the Services or the Documentation, 

(together, the “Acceptable Use Restrictions”).

    1. LumiraDx shall follow its archiving procedures for Patient Data processed by Connect Manager (as set out in its back-up policy, a copy of which is available on request).  In the event of any accidental or unlawful loss, damage, alteration, unauthorised disclosure or access to Patient Data, LumiraDx will notify the Organization without undue delay on becoming aware of the event. The Organization’s sole and exclusive remedy shall be for LumiraDx to use reasonable commercial endeavours to restore the Patient Data from the latest back-up.  LumiraDx shall not be responsible for any loss, destruction, alteration or disclosure of Patient Data caused by any third party except for a third party processor engaged by LumiraDx for the processing of Patient Data in accordance with clause 4.6.  

  1. Data Protection 

    1. Each party shall duly observe all their obligations under the Data Protection Legislation, which arise in connection with this Licence.  This clause 4.1 is in addition to, and does not relieve, remove or replace, a party's obligations under the Data Protection Legislation.  

    2. The Organization shall have sole responsibility for the Patient Data.  Subject to this clause 4, LumiraDx shall have no rights in the Patient Data.  

    3. LumiraDx shall process Personal Data relating to the Organization’s employees, agents and independent contractors in accordance with its privacy policy as displayed on its website from time to time.  For the purposes of this clause 4.3, LumiraDx is the Data Controller of such Personal Data.    

    4. The parties acknowledge that for the purposes of the Data Protection Legislation, the Organization is the Data Controller and LumiraDx is the Data Processor of the Patient Data and other related Personal Data provided by the Organization to LumiraDx for processing in accordance with clauses 4.5 and 4.6. Schedule 1 sets out the scope, nature and purpose of processing by LumiraDx, the duration of the processing and the types of Personal Data and categories of Data Subject (as defined in the Data Protection Legislation).

    5. Notwithstanding the general obligation in clause 4.1, when processing Patient Data:

      1. the Organization shall ensure that the relevant third parties, including, but not limited to Patients, have been informed of, and have given their specific consent to, such use (including the use set out at Schedule 1), processing, and transfer as required by Data Protection Legislation;

      2. LumiraDx shall:

        1. only process that Patient Data on the written instructions of the Organization, which are set out in Schedule 1, unless LumiraDx is required by the laws of any member of the European Union or by the laws of the European Union applicable to LumiraDx to process Patient Data (“Applicable Laws”). Where LumiraDx is relying on Applicable Laws as the basis for processing Patient Data, LumiraDx shall promptly notify the Organization of this before performing the processing required by the Applicable Laws unless those Applicable Laws prohibit LumiraDx from so notifying the Organization;

        2. ensure that it has in place appropriate technical, contractual and organisational measures to protect against unauthorised or unlawful processing of the Patient Data and against accidental loss or destruction of, or damage to, the Patient Data, appropriate to the harm that might result from the unauthorised or unlawful processing or accidental loss, destruction or damage and the nature of the data to be protected, having regard to the state of technological development and the cost of implementing any measures;

        3. ensure that all personnel who have access to and/or process Patient Data are obliged to keep the Patient Data confidential;

        4. assist the Organization, at the Organization's cost, in responding to any request from a data subject and in ensuring compliance with its obligations under the Data Protection Legislation with respect to security, breach notifications, impact assessments and consultations with supervisory authorities or regulators;

        5. notify the Organization without undue delay on becoming aware of a breach of Patient Data; 

        6. ensure it does not knowingly or negligently do or omit to do anything which places the Organization in breach of the Organization’s obligations under the Data Protection Legislation; 

        7. maintain complete and accurate written records and information of its Patient Data processing activities to demonstrate compliance with this clause 4; and  

        8. not transfer any Patient Data outside the EEA unless appropriate safeguards have been put in place.  The Organization agrees that Personal Data relating to the Organization’s employees, agents or independent contractors may be transferred outside the EEA provided that appropriate safeguards in relation to the transfer are in place and LumiraDx ensures that an adequate level of protection is provided to all Patient Data transferred.  

    6. The Organization consents to LumiraDx appointing third party data repository providers (which includes any member of the LumiraDx Group) and third party delivery providers, third party suppliers of devices (including the Diagnostic Instrument), third party services providers (who may provide telephone support services and technical support services) as a third party processor of Personal Data under this Licence. LumiraDx confirms that it has entered or (as the case may be) will enter with the third party processor into a written agreement substantially on that third party's standard terms of business. As between the Organization and LumiraDx, LumiraDx shall remain fully liable for all acts or omissions of any third party processor appointed by it pursuant to this clause 4.6.

    7. The Organization agrees that LumiraDx may create anonymised data from the Patient Data inputted into the LumiraDx Platform Software by the Organization provided that ISB1523 Anonymisation Standards for Publishing Health Care Data are observed.

  2. Conditionality clause 

    1. If the UK leaves the European Union without a withdrawal agreement on the day of exit (or the transitional period under a withdrawal agreement expires before the European Commission has adopted an adequacy decision for the UK) then:

      1. the parties hereby enter into the standard contractual clauses (“SCCs”) in the EU Commission's decision 2010/87/EC annexed at Schedule 2 and agree, where no other appropriate safeguard or exemption applies, that the Patient Data subject to this Licence (and to which Chapter V of GDPR) applies) will be transferred in accordance with the SCCs exclusive of any optional clauses as of that date. The parties agree to use best endeavours to complete the annexes to the SCCs promptly and in any event within 30 days for the purpose of giving full effect to the clauses. If there is any conflict between this Licence and the SCCs the terms of the SCCs shall apply.

  3. Freedom of information 

    1. LumiraDx acknowledges that the Organization may be subject to the requirements of the FOIA and shall assist and co-operate with the Organization (at the Organization’s expense) to enable the Organization to comply with these information disclosure requirements.

    2. LumiraDx shall:

      1. transfer any Request for Information to the Organization as soon as practicable after receipt of a Request for Information;

      2. provide the Organization with a copy of all Information in its possession or power in the form that the Organization requires as soon as practicable (or such other longer period as the Organization may specify) of the Organization requesting that Information; and

      3. provide all necessary assistance as reasonably requested by the Organization to enable the Organization to respond to a Request for Information within the time for compliance set out in section 10 of the FOIA.

    3. In no event shall LumiraDx respond directly to a Request for Information. 

  4. Organization's obligations

    1. The Organization shall:

      1. obtain permission from the owners of the Mobile Devices, on which it has downloaded or used a copy of Connect Manager which are controlled, but not owned, by it; 

      2. treat passwords, or any other information provided as part of LumiraDx’s security procedures, as confidential. The Organization shall not disclose it to any third party; 

      3. ensure that all its Users of the LumiraDx Platform Software act in accordance with this Licence and only use it for the purposes set out in clause 3;  

      4. ensure that all its Users of the LumiraDx Platform Software comply with the procedures and guidelines set out in the Documentation (including the user manual) relating to the use of the LumiraDx Platform Software; 

      5. at all times co-operate with LumiraDx and provide information reasonably required by LumiraDx; 

      6. supervise and control the use of the LumiraDx Platform Software in accordance with the terms of this Licence and ensure that the LumiraDx Platform Software is only used by suitably qualified and trained healthcare professionals; 

      7. immediately notify LumiraDx of any adverse event where the  LumiraDx Platform Software may have been a contributory factor.  The Organization further agrees to provide written details of the event and co-operate with LumiraDx in its investigation of the event.  The Organization acknowledges and agrees that the all communications relating to any adverse event shall be deemed to be Confidential Information and shall be subject to the confidentiality obligations at clause 9; 

      8. report all failures, issues or defects in the LumiraDx Platform Software to LumiraDx.  The Organization acknowledges and agrees that the all communications relating to failures, issues or defects in the LumiraDx Platform Software shall be considered to be Confidential Information and shall be subject to the confidentiality obligations at clause 8; and 

      9. not permit any third party to provide technical support in respect of the LumiraDx Platform Software, the Services or the Documentation. 

  5. Proprietary rights

    1. The Organization acknowledges that LumiraDx, and/or its licensors (who are third party owners of intellectual property rights used in the LumiraDx Platform Software), own all Intellectual Property Rights in the LumiraDx Platform Software, the Services and the Documentation.  This Licence does not grant the Organization any rights to, or in, patents, copyrights, database rights, trade secrets, trade names, trade marks (whether registered or unregistered), or any other rights or licences in respect of the LumiraDx Platform Software, the Services or any related Documentation, other than the right to use them in accordance with this Licence.  

    2. The Organization acknowledges that it has no right to have access to the LumiraDx Platform Software in source-code form.

  6. Confidentiality

    1. LumiraDx acknowledges that the Patient Data is the Confidential Information of the Organization.

    2. Subject to clause 9.3, the parties shall keep confidential the Confidential Information of the other party and shall use all reasonable endeavours to prevent their employees, agents and independent contractors from making any disclosure to any person of the Confidential Information.  

    3. Clause 9.2 shall not apply to any disclosure of information:

      1. required by any applicable law, provided that clause 5 shall apply to any disclosures required under the FOIA;

      2. that is reasonably required by persons engaged by a party in the performance of that party's obligations under this Licence;

      3. where a party can demonstrate that such information is already generally available and in the public domain otherwise than as a result of a breach of clause 9.2;

      4. which is already lawfully in the possession of the receiving party, prior to its disclosure by the disclosing party, and the disclosing party is not under any obligation of confidence in respect of that information;

      5. by a party when the other party has given its prior written consent to disclosure.

  7. Training 

    1. The Documentation includes a user manual which provides basic training information for the Organization and the Users.  The Organization shall ensure that all Users have read and understood the basic training information, set out in the Documentation, before using the LumiraDx Platform Software.  

    2. The Organization agrees to undertake, and shall procure that all Users undertake, any additional training requirements set out in the LumiraDx Platform Software from time to time.  

  8. Limitation of liability

    1. The Organization agrees that it assumes sole responsibility for results obtained from the use of the LumiraDx Platform Software and the Services and for conclusions drawn from such use. LumiraDx shall have no liability for any damage caused by errors or omissions in any information provided by the Organization, or any actions taken by LumiraDx at the Organization's direction.  The Organization acknowledges that the LumiraDx Platform Software was not designed to the Organization’s individual requirements and that it is therefore the Organization’s responsibility to ensure that the facilities and functions of the LumiraDx Platform Software as described in the Documents meet its requirements.  

    2. The LumiraDx Platform Software and the Services are intended only as a diagnostic aid and are not a substitute for the expertise and judgement of physicians, pharmacists or other healthcare professionals.  All information is provided on the basis that the healthcare practitioners responsible for patient care will retain full and sole responsibility for deciding any treatment to prescribe or dispense for all patients and in particular whether the use of information provided by the LumiraDx Platform Software is safe, appropriate or effective for any particular patient or in any particular circumstances.

    3. LumiraDx shall not be liable: 

      1. whether in tort (including for negligence or breach of statutory duty), contract, misrepresentation, restitution or otherwise for any loss of income, loss of profits or contracts, loss of business, business interruption, loss of money or anticipated savings, loss of or depletion of opportunity, goodwill, reputation and/or similar losses or loss or corruption of data or information, or pure economic loss, or for any special, indirect or consequential loss, costs, damages, charges or expenses however arising under this Licence; or

      2. for any loss arising as a result of the Organization exporting information or data (including Patient Data) from the display functions in Connect Manager.    

    4. Other than the losses set out in clause 11.3 (for which LumiraDx is not liable), LumiraDx's total aggregate liability in contract, tort (including negligence or breach of statutory duty), misrepresentation, restitution or otherwise, arising in connection with the performance or contemplated performance of this Licence shall be limited to the total fees paid to  LumiraDx for the Diagnostic Instrument(s) during the 12 months preceding the date on which the claim arose.   

    5. Nothing in this Licence excludes the liability for death or personal injury caused by negligence or for fraud or fraudulent misrepresentation. 

    6. The Customer acknowledges that any Open-Source Software provided by the Supplier is provided "as is" and expressly subject to the disclaimer in clause 11.7.  The terms of an Open-Source Software licence may override some of the terms of this Licence.    

    7. This Licence sets out the full extent of LumiraDx’s liabilities in respect of the LumiraDx Platform Software, the Services and the Documentation.  Except as expressly stated in this Licence, there are no conditions, warranties, representations or other terms, express or implied, that are binding on LumiraDx.  Any condition, warranty, representation or other term concerning the supply of the LumiraDx Platform Software, the Services or the Documentation which might otherwise be implied into, or incorporated in, this Licence whether by statute, common law or otherwise, is excluded to the fullest extent permitted by law.

  9. Term and termination

    1. Without affecting any other right or remedy available to it, LumiraDx may terminate the Licence with immediate effect by giving written notice to the Organization if:

      1. the Organization, or its Users, commits a material breach of any term of this Licence which breach is irremediable or (if such breach is remediable) fails to remedy that breach within a period of 14 days after being notified in writing to do so;

      2. the Organization, or its Users, breach any of the Licence Restrictions or the Acceptable Use Restrictions; 

      3. the Organization suspends, or threatens to suspend, payment of its debts or is unable to pay its debts as they fall due or admits inability to pay its debts or is deemed unable to pay its debts within the meaning of section 123 of the Insolvency Act 1986;

      4. a petition is filed, a notice is given, a resolution is passed, or an order is made, for or in connection with the winding up of the Organization other than for the sole purpose of a scheme for a solvent amalgamation of the Organization with one or more other companies or the solvent reconstruction of the Organization;

      5. an application is made to court, or an order is made, for the appointment of an administrator, or if a notice of intention to appoint an administrator is given or if an administrator is appointed, over the Organization;

      6. a person becomes entitled to appoint a receiver over the assets of the Organization or a receiver is appointed over the assets of the Organization; 

      7. the Organization suspends or ceases, or threatens to suspend or cease, carrying on all or a substantial part of its business; or 

      8. the Organizations transfers, or allows any third party access to, any Diagnostic Instrument, on which the Instrument Software is installed or which is used in Manager Mode to access Connect Manager, outside of the Organization or to any third party, without the prior written consent of LumiraDx.  

    2. On termination of this Licence for any reason:

      1. all the rights granted to the Organization under this Licence shall cease; 

      2. the Organization shall immediately cease all activities authorised by this Licence (including its use of the LumiraDx Platform Software, the Services and the Documentation) and shall delete Connect Manager from all Mobile Devices and immediately destroy all copies in its control; 

      3. the Organization shall return and make no further use of the Documentation (and all copies of it) belonging to LumiraDx; 

      4. the Organization shall delete or extract (using the export functionality in Connect Manager) any Patient Data stored in Connect Manager within 10 days of the date of termination of this Licence.  If requested by the Organization, LumiraDx may provide reasonable assistance to enable the extraction of any Patient Data stored in Connection Manager and the costs of such assistance shall be charged to the Organization at the rates agreed with LumiraDx; and 

      5. the Organization shall delete or remove all Patient Data, or other Personal Data, from the Instrument Software within 10 days of the date of termination of this Licence.  

    3. On termination or expiry of this Licence, the following clauses shall continue in force: clause 1 (Interpretation), clause 9 (Confidentiality), clause 11 (Limitation of Liability) and this clause 12 (Termination).  

  10. Variation

No variation of this Licence shall be effective unless it is in writing and signed by the parties (or their authorised representatives).

  1. Waiver

No failure or delay by a party to exercise any right or remedy provided under this Licence or by law shall constitute a waiver of that or any other right or remedy, nor shall it prevent or restrict the further exercise of that or any other right or remedy. No single or partial exercise of such right or remedy shall prevent or restrict the further exercise of that or any other right or remedy.

  1. Severance

    1. If any provision (or part of a provision) of this Licence is found by any court or administrative body of competent jurisdiction to be invalid, unenforceable or illegal, the other provisions shall remain in force.

    2. If any invalid, unenforceable or illegal provision would be valid, enforceable or legal if some part of it were deleted, the provision shall apply with whatever modification is necessary to give effect to the commercial intention of the parties.

  2. Assignment

    1. The Organization shall not, without the prior written consent of LumiraDx, assign, transfer, charge, sub-contract or deal in any other manner with all or any of its rights or obligations under this Licence.

    2. LumiraDx may at any time assign, transfer, charge, sub-contract or deal in any other manner with all or any of its rights or obligations under this Licence.

  3. Third party rights

This Licence does not confer any rights on any person or party (other than the parties to this Licence and, where applicable, their successors and permitted assigns and any LumiraDx Group Company) pursuant to the Contracts (Rights of Third Parties) Act 1999.

  1. Notices

    1. Any notice required to be given under this Licence shall be in writing and shall be delivered by hand or sent by pre-paid first-class post or recorded delivery post to the other party at its main trading address or such other address as may have been notified by that party for such purposes.  

    2. A correctly addressed notice sent by pre-paid first-class post or recorded delivery post shall be deemed to have been received at the time at which it would have been delivered in the normal course of post. 

  2. Governing law and Jurisdiction 

    1. This Licence and any dispute or claim arising out of or in connection with it or its subject matter or formation (including non-contractual disputes or claims) shall be governed by and construed in accordance with the law of England and Wales.

    2. Each party irrevocably agrees that the courts of England and Wales shall have exclusive jurisdiction to settle any dispute or claim arising out of or in connection with this Licence or its subject matter or formation (including non-contractual disputes or claims).

SCHEDULE 1


Processing, Personal Data and Data Subjects


1.   Processing by LumiraDx

1.1 Nature and Purpose of processing

      LumiraDx, and any member of the LumiraDx Group, may process Personal Data: 

  • to record which tests were performed on which Patients and the results; 

  • to provide services to the Organization and maintain its account; 

  • to ensure Users have access to information relevant to their role and only to their role; 

  • to ensure regulatory compliance; 

  • to ensure Patients can be identified and the correct test results associated with the Patient appear in the electronic health record; 

  • for data analytics and statistical research to help LumiraDx better understand how its products are used; 

  • to investigate misuse of the Organization’s account, fraud and debt collection.

  • for support, maintenance and patient safety (including the investigation of faults); 

  • to improve the performance or features of the LumiraDx Platform Software, the Services or the Documentation;

  • to provide feedback to the Organization and/or Patient and improve the performance of the service that the Organization provide; 

  • to improve or develop the Diagnostic Instrument or LumiraDx Platform Software;

  • to improve the understanding, treatment, outcomes and choice for Patients and healthcare professionals; and 

  • to comply with any relevant statutory or regulatory requirement imposed on LumiraDx from time to time.

1.2 Subject matter and duration of the processing

The subject matter and duration of the processing are set out in the Licence.  

2.  Types of personal data

  • Personal data including patient identification, first name, surname, date of birth and gender; 

  • data concerning health, including healthcare conditions affecting Patients and test result information. 

3.  Categories of data subject

  • Patient(s).   

SCHEDULE 2

Standard Contractual Clauses for the Transfer of Personal Data from the European Union to Processors established in Third Countries (Controller-to-Processor Transfers) 


For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection

Name of the data exporting organisation: ...............................................................

address: ...............................................................

tel: ...............................................................

fax: ...............................................................

e-mail: ...............................................................

Other information needed to identify the organisation ..............................................................

(the “data exporter”)

Name of the data importing organisation: ...............................................................

address: ...............................................................

tel: ...............................................................

fax: ...............................................................

e-mail: ...............................................................

Other information needed to identify the organisation ..............................................................

(the “data importer”)

HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in ANNEX A.

  1. Definitions

For the purposes of the Clauses:

    1. personal data, special categories of data, process/processing, controller, processor, data subject and supervisory authority shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1);

    2. the data exporter means the controller who transfers the personal data;

    3. the data importer means the processor who agrees to receive from the data exporter personal data intended for processing on its behalf after the transfer in accordance with its instructions and the terms of the Clauses and who is not subject to a third country's system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;

    4. the sub-processor means any processor engaged by the data importer or by any other sub-processor of the data importer who agrees to receive from the data importer or from any other sub-processor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with its instructions, the terms of the Clauses and the terms of the written subcontract;

    5. the applicable data protection law means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;

    6. technical and organisational security measures means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.

  1. Details of the transfer

The details of the transfer and in particular the special categories of personal data where applicable are specified in ANNEX A which forms an integral part of the Clauses.

  1. Third-party beneficiary clause

    1. The data subject can enforce against the data exporter this clause 3, clause 4(b) to clause 4(i), clause 5(a) to clause 5(e) and clause 5(g) to clause 5(j), clause 6.1 and clause 6.2, clause 7, clause 8.2 and clause 9 to clause 12 as third-party beneficiary.

    2. The data subject can enforce against the data importer this clause 3, clause 5(a) to clause 5(e) and clause 5(g), clause 6, clause 7, clause 8.2 and clause 9 to clause 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.

    3. The data subject can enforce against the sub-processor this clause 3, clause 5(a) to clause 5(e) and clause 5(g), clause 6, clause 7, clause 8.2, and clause 9 to clause 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the sub-processor shall be limited to its own processing operations under the Clauses.

    4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.

  2. Obligations of the data exporter

The data exporter agrees and warrants:

    1. that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;

    2. that it has instructed and throughout the duration of the personal data-processing services will instruct the data importer to process the personal data transferred only on the data exporter's behalf and in accordance with the applicable data protection law and the Clauses;

    3. that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in ANNEX B to this contract;

    4. that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;

    5. that it will ensure compliance with the security measures;

    6. that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC; 

    7. to forward any notification received from the data importer or any sub-processor pursuant to clause 5(b) and clause 8.3 to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;

    8. to make available to the data subjects upon request a copy of the Clauses, with the exception of ANNEX B and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;

    9. that, in the event of sub-processing, the processing activity is carried out in accordance with clause 11 by a sub-processor providing at least the same level of protection for the personal data and the rights of data subjects as the data importer under the Clauses; and 

    10. that it will ensure compliance with clause 4(a) to clause 4(i). 

  1. Obligations of the data importer

The data importer agrees and warrants:

    1. to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

    2. that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

    3. that it has implemented the technical and organisational security measures specified in ANNEX B before processing the personal data transferred; 

    4. that it will promptly notify the data exporter about:

      1. any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation;

      2. any accidental or unauthorised access; and

      3. any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;

    5. to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;

    6. at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;

    7. to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of ANNEX B which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;

    8. that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent;

    9. that the processing services by the sub-processor will be carried out in accordance with clause 11; and

    10. to send promptly a copy of any sub-processor agreement it concludes under the Clauses to the data exporter.

  1. Liability

    1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in clause 3 or in clause 11 by any party or sub-processor is entitled to receive compensation from the data exporter for the damage suffered.

    2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or its sub-processor of any of their obligations referred to in clause 3 or in clause 11 because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, in which case the data subject can enforce its rights against such entity. 

The data importer may not rely on a breach by a sub-processor of its obligations in order to avoid its own liabilities.

    1. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the sub-processor of any of their obligations referred to in clause 3 or in clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the sub-processor agrees that the data subject may issue a claim against the data sub-processor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the sub-processor shall be limited to its own processing operations under the Clauses. 

  1. Mediation and jurisdiction 

    1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject:

      1. to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;

      2. to refer the dispute to the courts in the Member State in which the data exporter is established.

    2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.

  2. Cooperation with supervisory authorities

    1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.

    2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any sub-processor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.

    3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any sub-processor preventing the conduct of an audit of the data importer, or any sub-processor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in clause 5(b).

  3. Governing Law

The Clauses shall be governed by the law of the Member State in which the data exporter is established.

  1. Variation of the contract

The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clauses. 

  1. Sub-processing

    1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the sub-processor which imposes the same obligations on the sub-processor as are imposed on the data importer under the Clauses. Where the sub-processor fails to fulfil its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the sub-processor's obligations under such agreement.

    2. The prior written contract between the data importer and the sub-processor shall also provide for a third-party beneficiary clause as laid down in clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the sub-processor shall be limited to its own processing operations under the Clauses.

    3. The provisions relating to data protection aspects for sub-processing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established.

    4. The data exporter shall keep a list of sub-processing agreements concluded under the Clauses and notified by the data importer pursuant to clause 5(j), which shall be updated at least once a year. The list shall be available to the data exporter's data protection supervisory authority. 

  2. Obligation after the termination of personal data processing services

    1. The parties agree that on the termination of the provision of data-processing services, the data importer and the sub-processor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.

    2. The data importer and the sub-processor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data-processing facilities for an audit of the measures referred to in paragraph 1.

On behalf of the data exporter:

Name (written out in full): ...............................................................

Position: ...............................................................

Address: ...............................................................

Other information necessary in order for 

the contract to be binding (if any): ...............................................................

Signature ...............................................................

 (Stamp of organisation)

On behalf of the data importer:

Name (written out in full): ...............................................................

Position: ...............................................................

Address: ...............................................................

Other information necessary in order for 

the contract to be binding (if any): ...............................................................

Signature ...............................................................

 (Stamp of organisation)

  1. to the Standard Contractual Clauses

This ANNEX A forms part of the Clauses and must be completed and signed by the parties.

The Member States may complete or specify, according to their national procedures, any additional necessary information to be contained in this ANNEX A.

Data exporter

 

The data exporter is (please specify briefly your activities relevant to the transfer):

....................................................

Data importer

 

The data importer is (please specify briefly your activities relevant to the transfer):

....................................................

Data subjects

 

The personal data transferred concern the following categories of data subjects (please specify)

....................................................

Categories of data

 

The personal data transferred concern the following categories of data (please specify)

....................................................

Special categories of data (if appropriate)

 

The personal data transferred concern the following special categories of data (please specify)

....................................................

Processing operations

 

The personal data transferred will be subject to the following basic processing activities (please specify)

....................................................

DATA EXPORTER

DATA IMPORTER

Name:..................................................

Authorised signature:...........................

Name:..................................................

Authorised signature:...........................

  1. to the Standard Contractual Clauses

This ANNEX B forms part of the Clauses and must be completed and signed by the parties.

Description of the technical and organisational security measures implemented by the data importer in accordance with clause 4(d) and clause 5(c) (or documents/legislation attached):

.....................................................................................................................................................................................................................................................................................................................................................................................................................

 

(iv)