Questo Contratto di Elaborazione dei Dati, inclusi gli allegati, (“DPA”) fa parte dell'Accordo tra noi e il Cliente per l'acquisto di servizi di comunicazione (online) da noi per riflettere l'accordo delle Parti riguardo all'elaborazione dei Dati Personali del Cliente. In questo DPA, i termini “tu”, “tuo” o “Cliente” si riferiscono a te come nostro Cliente (soggetto alla Sezione 1.2 di seguito), e i termini “noi”, “ci,” o “nostro” si riferiscono a noi come Fornitore (come definito di seguito). I termini in maiuscolo utilizzati in questo DPA ma non definiti di seguito sono definiti nei nostri Termini e Condizioni Generali o in altro Accordo con noi che disciplina il tuo utilizzo dei Servizi.
Le parti concordano che questo DPA sostituirà qualsiasi supplemento di protezione dei dati esistente o simile accordo che le parti potrebbero aver precedentemente stipulato in relazione ai Servizi.
1. Ambito, Affiliati del Cliente e Termine
1.1 Ambito. Questo DPA regola il trattamento dei Dati Personali del Cliente da parte nostra in qualità di elaboratore.
1.2 Affiliati del Cliente. Il Cliente stipula questo DPA per conto proprio e, nella misura richiesta dalle Leggi sulla protezione dei dati, a nome e per conto dei propri Affiliati (come definito nei Termini), se e nella misura in cui tali Affiliati abbiano accesso ai Servizi e noi trattiamo Dati Personali del Cliente per i quali tali Affiliati qualificano come titolari del trattamento (“Affiliati del Cliente”). Ai fini del presente DPA, e salvo diversa indicazione, i termini “Cliente” e “tu” comprenderanno il Cliente e gli Affiliati del Cliente.
1.3 Durata. Questo DPA rimarrà in vigore fintanto che noi tratteremo Dati Personali del Cliente soggetti a questo DPA, nonostante la scadenza o la risoluzione dell'Accordo.
2. Definizioni
“Dati dell'Account” sono qualsiasi Dato Personale fornito da o per te a noi in relazione all'ingresso e alla gestione del Contratto e del tuo account, inclusi, ma non limitati a, informazioni di contatto, dettagli di fatturazione e corrispondenza riguardante l'ingresso e la gestione del Contratto e dei Servizi correlati.
“CCPA” significa il California Consumer Privacy Act del 2018 e qualsiasi regolamento promulgato in base a questo, in ciascun caso, come modificato di volta in volta.
“Dati del Cliente” significano qualsiasi dato e altra informazione o contenuto presentato da te o per te (o da un utente della tua Applicazione Cliente) ai sensi del Contratto e elaborato o archiviato dai Servizi.
“Dati Personali del Cliente” significano Dati Personali contenuti nei Dati del Cliente elaborati da noi come responsabile del trattamento, salvo diversa indicazione in questo DPA.
“Leggi sulla Protezione dei Dati” significa tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza o trattamento dei Dati Personali ai sensi del Contratto, incluso, per esempio e dove applicabile, il GDPR o il CCPA.
“EEA” significa, ai fini di questo DPA, l'Area Economica Europea e la Svizzera.
“GDPR” significa (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche riguardo al trattamento dei Dati Personali e alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); o (ii) esclusivamente per quanto riguarda il Regno Unito, il Data Protection Act 2018.
“Dati Personali” significa qualsiasi informazione relativa a una persona fisica identificata o identificabile, direttamente o indirettamente, sia da sola che in combinazione con altre informazioni.
“Violazione dei Dati Personali” significa qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale, non autorizzato o illegale ai Dati Personali del Cliente e qualsiasi altro termine simile ai sensi delle Leggi sulla Protezione dei Dati applicabili, come “Violazione della Sicurezza”.
“Servizi” significano tutti i prodotti e i servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da te ai sensi di qualsiasi Ordine; o (b) utilizzati da te.
“Fornitore” significa la nostra entità contrattuale che è parte di questo DPA, essendo l'entità contrattuale elencata in Sezione 15 nei Termini e Condizioni Generali (Entità Contrattuale), salvo diversa indicazione nel tuo Ordine. Tu o il Fornitore possono anche essere riferiti individualmente come “Parte” e insieme come “Parti” in questo DPA.
“Clausole Contrattuali Standard” significano Controller a Processor (Modulo Due) o Processor a Processor (Modulo Tre), a seconda dei casi, delle Clausole Contrattuali Standard per il trasferimento dei Dati Personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio approvato dalla Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 Giugno 2021, come attualmente stabilito nel Gazzetta Ufficiale dell'Unione Europea.
“Sub-processore” significa un'entità terza che tratta i Dati Personali del Cliente per conto del Fornitore dove il Fornitore agisce come responsabile del trattamento o un sub-processore.
“Clausole Contrattuali Standard del Regno Unito” significa una o tutte le seguenti: (i) accordo per il trasferimento internazionale dei dati emesso dal Commissario per l'Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; (ii) l'addendum al trasferimento internazionale dei dati alle clausole contrattuali standard della Commissione Europea per i trasferimenti internazionali di dati emesso dal Commissario per l'Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; o (iii) tali disposizioni contrattuali standard emesse dal Commissario per l'Informazione del Regno Unito o dalla Commissione Europea che possono sostituirle di volta in volta.
Termini come “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “soggetto dei dati”, ecc. avranno il significato loro assegnato ai sensi del GDPR. La definizione di “titolare del trattamento” include “impresa”, “consumatore”, “titolare”, e “organizzazione”; "responsabile del trattamento" include “fornitore di servizi”, “trattore”, e “intermediario dei dati”; “soggetto dei dati” include “consumatore” e “individuo”; e “Dati Personali” include “informazioni personali”, in ciascun caso come definito ai sensi del CCPA, e di altre Leggi sulla Protezione dei Dati applicabili. I termini “scopo aziendale”, “scopo commerciale”, “vendere”, e “condividere” avranno lo stesso significato delle Leggi sulla Protezione dei Dati applicabili e, in ciascun caso, i loro termini affini saranno interpretati di conseguenza.
3. Elaborazione dei Dati Personali del Cliente
3.1 Scopi. Elaboreremo i Dati Personali dei Clienti solo nella misura necessaria (i) per fornire i Servizi, inclusa la trasmissione di comunicazioni, garantendo la sicurezza dei servizi, fornendo rapporti tecnici e di consegna, fornendo supporto e sviluppando e implementando miglioramenti e aggiornamenti in conformità con le vostre istruzioni documentate nei nostri confronti come responsabile del trattamento dei dati come specificato nella Sezione 3.2 di questo DPA, (ii) per i nostri legittimi scopi aziendali come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento, e (iii) come altrimenti richiesto dalla legge applicabile.
3.2 Istruzioni del Cliente. L'Accordo e questo DPA costituiscono le vostre istruzioni complete nei nostri confronti come responsabile del trattamento dei dati al momento della firma di questo DPA. Ci conformeremo ad altre istruzioni documentate ragionevolmente fornite che siano coerenti con i termini dell'Accordo.
3.3 Dettagli del Trattamento. L'Allegato I, Parte B (Descrizione del Trasferimento) dell'Allegato I a questo DPA specifica la natura e lo scopo del trattamento da parte nostra come responsabile del trattamento dei dati o Sub-responsabile del trattamento, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali e le categorie di soggetti interessati.
3.4 Legittimi Scopi Aziendali. Riconoscete che trattiamo i Dati Personali dei Clienti come un titolare indipendente del trattamento nella misura necessaria per i seguenti legittimi scopi aziendali: fatturazione, gestione degli account, reportistica finanziaria e interna, contrastare e prevenire minacce alla sicurezza, attacchi informatici e crimine informatico che potrebbero influenzare voi, noi o i nostri servizi, modellazione aziendale (ad es. previsione, pianificazione della capacità e dei ricavi, e strategia di prodotto), frode, spam e prevenzione e rilevazione degli abusi, miglioramento continuo dei prodotti e servizi utilizzati da voi, e per conformarci ai nostri obblighi legali.
4. Obblighi del Cliente
4.1 Legalità. Quando agisci come titolare del trattamento dei Dati Personali del Cliente, garantisci che tutte le attività di trattamento sono lecite, hanno uno scopo specifico e che sono in atto tutte le comunicazioni e i consensi richiesti o altre basi legali appropriate per consentire il trasferimento lecito dei Dati Personali del Cliente. Se sei un responsabile del trattamento (in tal caso agirà come Sub-responsabile), garantirai che il titolare del trattamento competente assicuri che le condizioni elencate in questa Sezione 4.1 siano rispettate.
4.2 Conformità. Sei l'unico responsabile per (a) assicurarti di rispettare le Leggi sulla Protezione dei Dati applicabili al tuo utilizzo dei Servizi e al tuo stesso trattamento dei Dati Personali del Cliente, (b) fare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano le tue esigenze, e (c) implementare e mantenere misure di protezione dei dati e di sicurezza per i componenti che fornisci o controlli (compresi ma non limitati a password, dispositivi utilizzati con i Servizi e Applicazioni del Cliente).
5. Sicurezza
5.1 Misure di Sicurezza. Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito, del contesto e degli scopi del trattamento nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, implementeremo e manterremo opportune misure di sicurezza tecniche e organizzative per proteggere i Dati Personali dei Clienti da Violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati dei Clienti che i nostri sistemi utilizzano per il trattamento dei Dati Personali dei Clienti. Le misure di sicurezza applicate da noi sono descritte nell'Allegato II.
5.2 Aggiornamenti alle Misure di Sicurezza. Sei responsabile della revisione delle informazioni messe a disposizione da noi relative alla sicurezza dei Dati Personali dei Clienti e della formulazione di una valutazione indipendente riguardo se tali informazioni soddisfino le tue esigenze e obblighi legali ai sensi delle Leggi sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progressi e sviluppi tecnici, e che possiamo aggiornare o modificare le nostre misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino una degradazione della sicurezza complessiva dei Dati Personali dei Clienti.
5.3 Controlli di Accesso. Applichiamo i principi del “bisogno di sapere” e “minima privilegio” assicurando che l'accesso ai Dati Personali dei Clienti sia limitato al personale necessario per la fornitura dei Servizi e in linea con l'Accordo, incluso questo DPA.
5.4 Riservatezza del Trattamento. Garantiremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali dei Clienti (incluso il nostro personale, agenti e Sub-responsabili) sia informato della natura riservata di tali Dati Personali dei Clienti e sarà soggetto a un appropriato obbligo di riservatezza (sia un dovere contrattuale che statutario) che sopravvive alla cessazione del loro impegno.
5.5 Risposta e Notifica di Violazioni dei Dati Personali. Una volta a conoscenza di una Violazione dei Dati Personali, ci attiveremo senza ingiustificato ritardo (i) per informarti, (ii) per indagare sulla Violazione dei Dati Personali, (iii) fornire informazioni tempestive relative alla Violazione dei Dati Personali non appena diventano note o come ragionevolmente richiesto da te, e (iv) adottare misure commercialmente ragionevoli per mitigare gli effetti e prevenire la ricorrenza della Violazione dei Dati Personali.
6. Assistenza
6.1 Assistenza alla Protezione dei Dati. Ti forniremo assistenza in modo ragionevole per consentirti di adempiere ai tuoi obblighi ai sensi delle Leggi sulla Protezione dei Dati, compresa la notifica di una Violazione dei Dati Personali, la valutazione del livello appropriato di sicurezza del trattamento e l'assistenza nella realizzazione di una valutazione d'impatto sulla protezione dei dati pertinente.
6.2 Assistenza con i Diritti degli Interessati. Ti forniremo un'assistenza ragionevole per consentirti di adempiere ai tuoi obblighi nei confronti degli interessati che esercitano i propri diritti ai sensi delle Leggi sulla Protezione dei Dati, rendendo disponibili misure tecniche e organizzative tramite il tuo account. Per evitare dubbi, tu, in qualità di titolare del trattamento, sei responsabile del trattamento di qualsiasi richiesta o reclamo da parte degli interessati riguardo ai Dati Personali del Cliente di un interessato.
7. Divulgazione e richieste di divulgazione
7.1 Limitazioni sulla divulgazione e accesso. Non forniremo accesso o divulgheremo i Dati Personali del Cliente tranne che (i) come indicato da te, (ii) come stabilito nell'Accordo e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di divulgazione. Ti notifieremo il prima possibile se riceviamo una richiesta da un ente governativo o regolatorio per divulgare i Dati Personali del Cliente, a meno che tale notifica non sia vietata dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica di richiesta di divulgazione, disponibile sul nostro sito web nella pagina della Politica di Richiesta di Divulgazione.
8. Sub-processori
8.1 Elenco degli attuali Sub-processori. Accetti l'impegno dei Sub-processori in relazione ai Servizi, elencati nella nostra panoramica dei Sub-processori, che contiene anche una procedura per iscriverti alle notifiche sui cambiamenti nel nostro uso dei Sub-processori. Se ti iscrivi a tali notifiche e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di qualsiasi cambiamento nei Sub-processori non appena ragionevolmente possibile.
8.2 Nomina dei Sub-processori. Con questo DPA, fornisci una autorizzazione scritta generale per coinvolgerci Sub-processori per il trattamento dei Dati Personali del Cliente, salvo quanto stabilito nella Sezione 8.3 di questo DPA e i seguenti requisiti:
Restrigiamo l'accesso ai Dati Personali del Cliente da parte dei Sub-processori a quanto è strettamente necessario per fornire i servizi specificati nel contratto con il sub-processore;
Stabiliremo obblighi di protezione dei dati con il Sub-processore che siano sostanzialmente gli stessi degli obblighi previsti in questo DPA; e
Restiamo responsabili nei tuoi confronti ai sensi di questo DPA per l'esecuzione dei doveri di protezione dei dati del Sub-processore.
8.3 Notifica dei cambiamenti ai Sub-processori e diritto di opporsi. Prima di sostituire o coinvolgere nuovi Sub-processori (“Cambiamento del Sub-processore”), ti daremo la possibilità di opporsi al Cambiamento del Sub-processore. Puoi opporsi a un Cambiamento del Sub-processore a condizione che (i) l'opposizione sia effettuata per iscritto entro dieci (10) giorni lavorativi dalla nostra comunicazione del Cambiamento del Sub-processore e (ii) l'opposizione sia basata e spieghi chiaramente i motivi ragionevoli relativi alla protezione dei Dati Personali del Cliente. Quando ti opponi a un proposto Cambiamento del Sub-processore, lavoreremo con te in buona fede per apportare un cambiamento commercialmente ragionevole nella fornitura dei Servizi che eviti l'uso del relativo Sub-processore. Se tale cambiamento non può essere ragionevolmente effettuato entro trenta (30) giorni dalla nostra ricezione della notifica di opposizione, o se il cambiamento è commercialmente irragionevole per noi, ciascuna parte può terminare le funzioni applicabili dei Servizi che non possono essere fornite senza l'uso del relativo Sub-processore. Questo diritto di risoluzione è il tuo unico ed esclusivo rimedio se ti opponi a un Cambiamento del Sub-processore.
9. Trasferimenti transfrontalieri dei dati personali dei clienti
9.1 Trasferimenti di Dati Personali dei Clienti. Possiamo trasferire Dati Personali dei Clienti a condizione che siano in atto tutte le opportune garanzie richieste dalle Leggi sulla Protezione dei Dati. Ciò può includere una valutazione d'impatto sul trasferimento dei dati, l'adozione, il monitoraggio e la valutazione di misure tecniche, organizzative e legali supplementari, diritti dei soggetti interessati applicabili e che rimedi legali efficaci per i soggetti interessati siano disponibili.
9.2 Clausole Contrattuali Standard con Sottoprocessori. Salvo che non si applichi una decisione di adeguatezza o un meccanismo di trasferimento alternativo, come il Quadro per la Privacy dei Dati UE-USA, abbiamo stipulato e manterremo Clausole Contrattuali Standard con Sottoprocessori (inclusi i nostri Affiliati) situati al di fuori dello Spazio Economico Europeo (SEE), soggette alle condizioni stabilite nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per i Trasferimenti di Dati Personali dei Clienti. Nella misura in cui l'uso dei Servizi richiede un meccanismo di trasferimento di dati transfrontaliero per esportare legalmente i Dati Personali dei Clienti da una giurisdizione (ad es. SEE, California, Singapore, Svizzera o Regno Unito) a noi situati al di fuori di quella giurisdizione, questa sezione si applicherà. Se, nell'ambito dell'esecuzione dei Servizi, i Dati Personali dei Clienti soggetti al GDPR o ad altre leggi relative alla protezione o alla privacy degli individui applicabili a questo DPA vengono trasferiti a un'entità Provider situata in paesi che non garantiscono un adeguato livello di protezione dei dati ai sensi delle Leggi sulla Protezione dei Dati, i meccanismi di trasferimento elencati di seguito si applicheranno a tali trasferimenti e possono essere direttamente applicati dalle parti nella misura in cui tali trasferimenti siano soggetti alle Leggi sulla Protezione dei Dati.
9.3.1 Le parti concordano che le Clausole Contrattuali Standard si applicheranno ai Dati Personali dei Clienti trasferiti tramite i Servizi dal SEE o dalla Svizzera, direttamente o tramite trasferimento successivo, a un'entità Provider situata in un paese al di fuori del SEE o della Svizzera che non è riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, dall'autorità competente per la Svizzera) come fornitore di un adeguato livello di protezione dei dati personali.
9.3.1.1 Quando agisci come titolare del trattamento e noi siamo un responsabile del trattamento, il Modulo Due delle Clausole Contrattuali Standard si applicherà a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE. Quando agisci come responsabile del trattamento e noi siamo un sottoprocessore, il Modulo Tre delle Clausole Contrattuali Standard si applicherà a qualsiasi trasferimento di Dati Personali dei Clienti dal SEE.
9.3.1.2 Ciò che saremo considerati l'importatore di dati e tu sarai considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard. La firma da parte di ciascuna parte di questo DPA sarà trattata come la firma delle Clausole Contrattuali Standard applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi dell'Allegato 1 e dell'Allegato 2 delle Clausole Contrattuali Standard sono disponibili nell'Allegato I e nell'Allegato II di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevarranno esclusivamente in relazione a un trasferimento di Dati Personali dei Clienti dal SEE.
9.3.1.3 Dove le Clausole Contrattuali Standard richiedono che le parti scelgano tra clausole opzionali e inseriscano informazioni, le parti lo hanno fatto come indicato di seguito:
i. La Clausola Opzionale 7 “Clausola di docking” non sarà adottata.
ii. Per la Clausola 9 “Uso dei sottoprocessori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: l'importatore di dati ha l'autorizzazione generale del titolare per l'impegno di sottoprocessori da un elenco concordato. L'importatore di dati dovrà informare specificamente il titolare per iscritto di eventuali cambiamenti previsti a tale elenco attraverso l'aggiunta o la sostituzione di sottoprocessori con almeno 10 giorni lavorativi di anticipo, dando così al titolare il tempo necessario per poter opporsi a tali cambiamenti prima dell'impegno di sottoprocessori. L'importatore di dati fornirà all'esportatore di dati le informazioni necessarie per consentire all'esportatore di dati di esercitare il proprio diritto di opposizione. L'importatore di dati informerà l'esportatore di dati dell'impegno di sottoprocessori.”
iii. Per la Clausola 11 (a) “Rimedi”, le parti non adottano l'Opzione.
iv. Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno regolate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta diritti di beneficiario terzo. Le Parti concordano che questa sarà la legge dei Paesi Bassi.”
v. Per la Clausola 18 (b) “Scelta del Foro e Giurisdizione”: “Le Parti concordano che questi saranno i tribunali dei Paesi Bassi.”
9.3.2 Le parti concordano che le Clausole Contrattuali Standard del Regno Unito si applicheranno ai Dati Personali dei Clienti trasferiti tramite i Servizi dal Regno Unito, direttamente o tramite trasferimento successivo, a un'entità Provider situata in un paese al di fuori del Regno Unito che non è riconosciuto dall'autorità regolamentare competente del Regno Unito o ente governativo del Regno Unito come fornitore di un adeguato livello di protezione per i dati personali.
9.3.2.1 Ciò che saremo considerati l'importatore di dati e tu sarai considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard del Regno Unito. La firma da parte di ciascuna parte di questo DPA sarà trattata come la firma delle Clausole Contrattuali Standard del Regno Unito, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi delle Clausole Contrattuali Standard del Regno Unito sono disponibili nell'Allegato I e nell'Allegato II di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard del Regno Unito, le Clausole Contrattuali Standard del Regno Unito prevarranno esclusivamente in relazione al trasferimento di Dati Personali dei Clienti dal Regno Unito.
10. Audit
10.1 Rapporto di Audit. La nostra piattaforma di comunicazione sarà regolarmente auditata rispetto allo standard ISO 27001 (o equivalente). L'audit può, a nostra esclusiva discrezione, essere un audit interno o un audit effettuato da una terza parte. Su richiesta scritta, ti forniremo un riepilogo del/i rapporto/i di audit (“Rapporto di Audit”), in modo che tu possa verificare la nostra conformità con gli standard di audit e questo DPA. Tali Rapporti di Audit, così come eventuali conclusioni o risultati specificati ivi, sono nostre Informazioni Riservate.
10.2 Richieste di informazioni da parte del cliente. Metteremo a tua disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità con gli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni da parte tua, comprese le risposte a questionari sulla sicurezza delle informazioni e sull'audit che sono ragionevoli per portata e necessarie per confermare la conformità con questo DPA, a condizione che tu (i) abbia prima fatto uno sforzo ragionevole per ottenere le informazioni richieste dalla Documentazione, Rapporti di Audit e altre informazioni fornite o rese pubbliche da noi e (ii) non eserciti questo diritto più di una volta all'anno, a meno che una Violazione dei Dati Personali o un cambiamento significativo nelle nostre attività di trattamento in relazione ai Servizi richiedano che venga effettuato un questionario aggiuntivo. Tutte le risposte fornite sono le nostre Informazioni Riservate.
10.3 Audit del Cliente. Se un Rapporto di Audit fornito da noi a te ti dà motivi fondati per credere che siamo in violazione dei nostri obblighi ai sensi di questo DPA, relativi ai Dati Personali del Cliente forniti da te, consentiremo a un revisore indipendente e qualificato nominato da te e approvato da noi, di auditare le attività di trattamento dei Dati Personali applicabili rilevanti, a condizione che, per quanto possibile secondo la legge applicabile, siano soddisfatte le seguenti condizioni:
Ci dovrai dare un preavviso ragionevole di almeno sessanta (60) giorni prima di esercitare il diritto di audit;
Il revisore accetta di vincoli di riservatezza standard di mercato con noi;
Tu e il revisore prendete misure per ridurre al minimo le interruzioni delle nostre operazioni commerciali;
L'audit sarà effettuato durante l'orario di lavoro regolare;
Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o a sistemi non coinvolti nella fornitura dei Servizi; e
Dovrai pagare tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Alla scadenza o cessazione del Contratto, noi (a tua scelta) cancelleremo o restituiremo a te tutti i Dati Personali del Cliente (comprese le copie) in nostro possesso o controllo, salvo che questo requisito non si applichi nella misura in cui siamo tenuti per legge a trattenere alcuni o tutti i Dati Personali del Cliente. Se ci intimi di cancellare i Dati Personali del Cliente, i Dati Personali del Cliente archiviati nei nostri sistemi di backup saranno protetti da ulteriori elaborazioni e cancellati quando il periodo di conservazione richiesto sarà scaduto.
12. Comunicazione e diritti degli affiliati dei clienti
L'ingresso in questo DPA a nome e per conto di un'Affiliate Cliente come stabilito nella Sezione 1.2 costituisce un DPA separato tra noi e quell'Affiliate Cliente, soggetto a quanto segue:
12.1. Comunicazione. Il Cliente che è la parte contraente dell'Accordo rimarrà responsabile del coordinamento di tutta la comunicazione con noi ai sensi di questo DPA e avrà diritto a fare e ricevere qualsiasi comunicazione in relazione a questo DPA per conto delle sue Affiliate Clienti.
12.2 Diritti delle Affiliate Clienti. Quando un'Affiliate Cliente diventa parte del DPA con noi, avrà, nella misura richiesta dalle Leggi sulla Protezione dei Dati, il diritto di esercitare i diritti e di chiedere rimedi ai sensi di questo DPA, soggetto a quanto segue:
(i) A meno che le Leggi sulla Protezione dei Dati non richiedano all'Affiliate Cliente di esercitare un diritto o richiedere un rimedio ai sensi di questo DPA contro di noi direttamente da solo, le parti concordano che (i) solo il Cliente che è la parte contraente dell'Accordo eserciterà tale diritto o richiederà tale rimedio per conto dell'Affiliate Cliente, e (ii) il Cliente che è la parte contraente dell'Accordo eserciterà tali diritti ai sensi di questo DPA non separatamente per ciascuna Affiliate Cliente individualmente, ma in modo combinato per sé e per tutte le sue Affiliate Clienti insieme.
(ii) Le parti concordano che il Cliente che è la parte contraente dell'Accordo dovrà, quando viene effettuato un audit in loco delle procedure rilevanti per la protezione dei Dati Personali del Cliente a suo nome come stabilito nella Sezione 10.3 di questo DPA, adottare tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto di sé e di tutte le sue Affiliate Clienti in un unico audit.
Per chiarezza, un'Affiliate Cliente non diventa una parte contraente dell'Accordo.
13. Legge sulla privacy dei consumatori della California.
Nella misura in cui è applicabile, ci impegniamo a fare i seguenti ulteriori impegni nei tuoi confronti riguardo il trattamento dei Dati Personali del Cliente nell'ambito del CCPA.
13.1 I Nostri Obblighi Sotto le Leggi Statunitensi sulla Protezione dei Dati. I termini "scopo commerciale", "scopo commerciale", "consumatore", "vendere" e "condividere" così come utilizzati in questa Sezione 13.1 hanno il significato ad essi attribuito nel CCPA. Nella misura in cui applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali del Cliente soggetti al CCPA e ad altre leggi statunitensi sulla protezione dei dati (“Dati Personali degli Stati Uniti”) in conformità con le disposizioni del CCPA e delle altre leggi statunitensi sulla protezione dei dati. Con riferimento ai Dati Personali degli Stati Uniti, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento ai sensi delle altre leggi statunitensi sulla protezione dei dati. Non venderemo Dati Personali degli Stati Uniti. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale degli Stati Uniti (i) per qualsiasi scopo diverso dagli scopi aziendali specificati nell'Accordo (inclusa la conservazione, l'uso o la divulgazione dei Dati Personali degli Stati Uniti per uno scopo commerciale diverso dallo scopo aziendale specificato nell'Accordo o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della diretta relazione commerciale con te e noi.
13.2 Obblighi del Cliente. Dichiarate e garantite di aver fornito notifica all'Utente Finale che i Dati Personali vengono utilizzati o condivisi in conformità con le leggi sulla protezione dei dati applicabili. Siete responsabili della conformità ai requisiti delle leggi sulla protezione dei dati nella misura in cui siano applicabili a voi come titolari del trattamento.
14. Legge applicabile e risoluzione delle controversie
Qualsiasi controversia, reclamo o controversia (“Controversia”) derivante o correlata a questo DPA sarà regolata e interpretata in conformità con le leggi dei Paesi Bassi. Ciascuna Parte concorda che i tribunali competenti di Amsterdam, nei Paesi Bassi, avranno giurisdizione esclusiva per risolvere qualsiasi Controversia derivante o correlata a questo DPA.
APPENDICE I - DETTAGLI DEL TRATTAMENTO
Dove applicabile, questo Allegato I servirà come Allegato I alle Clausole Contrattuali Standard.
Allegato I, Parte A. Elenco delle Parti
Esportatore di dati: Cliente
Dettagli di contatto dell'esportatore di dati: L'indirizzo elencato nell'account del Cliente, o l'indirizzo email del proprietario dell'account del Cliente, o all'indirizzo email(i) per i quali il Cliente sceglie di ricevere notifiche ai sensi dell'Accordo.
Ruolo dell'esportatore di dati: Il ruolo dell'esportatore di dati è delineato nella Sezione 4 del DPA.
Firma e data: Se e quando applicabile, l'esportatore di dati si considera aver firmato le Clausole Contrattuali Standard incorporate nel presente documento alla Data di Efficacia del DPA.
Importatore di dati: Fornitore
Dettagli di contatto dell'importatore di dati: Responsabile della Protezione dei Dati - privacy@bird.com
Ruolo dell'importatore di dati: L'importatore di dati agisce come data processor.
Firma e data: Se e quando applicabile, l'importatore di dati si considera aver firmato le Clausole Contrattuali Standard incorporate nel presente documento alla Data di Efficacia del DPA.
Allegato I, Parte B. Descrizione del trasferimento
1. Categorie di soggetti interessati i cui Dati Personali vengono trasferiti.
Utenti. Persone di contatto (persone fisiche) o dipendenti, appaltatori o lavoratori temporanei (attuali, potenziali, ex) del Cliente che utilizzano i Servizi (“Utenti”).
Utenti finali. Qualsiasi individuo (i) i cui dettagli di contatto sono inclusi nell'elenco contatti del Cliente; (ii) le cui informazioni sono memorizzate o raccolte tramite i Servizi, oppure (ii) a cui il Cliente invia comunicazioni o con cui interagisce o comunica tramite i Servizi (collettivamente, “Utenti finali”). Sarai tu come Cliente a determinare esclusivamente le categorie di soggetti interessati incluse nella comunicazione inviata tramite la nostra piattaforma di comunicazione.
2. Categorie di Dati Personali trasferiti.
Dati Personali del Cliente contenuti, contenuto delle comunicazioni, dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente.
Contenuto della comunicazione, che può includere Dati Personali o altre caratteristiche personalizzate, a seconda del contenuto della comunicazione come determinato da te come Cliente.
Dati di traffico, che possono includere Dati Personali del Cliente riguardanti la instradamento, durata o tempistiche di una comunicazione come chiamate vocali, SMS o email, sia che si riferiscano a un individuo o a un'azienda.
Dati degli Utenti finali, come numero di telefono, indirizzo email, nome, cognome, nome profilo, paese, identificatore del canale.
Dati di utilizzo del cliente, possono contenere dati che possono essere collegati a te come individuo inclusi nei dati statistici e informazioni relative alle tue attività di account e servizio, informazioni relative ai servizi e rapporti analitici riguardanti le comunicazioni inviate e il supporto clienti.
3. Dati sensibili trasferiti (se applicabile) e restrizioni o garanzie applicate che tengano pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio rigorosi limiti di scopo, restrizioni di accesso (incluso accesso solo per il personale che ha seguito una formazione specializzata), mantenere un registro di accesso ai dati, restrizioni per trasferimenti ulteriori o misure di sicurezza aggiuntive.
Contenuto della comunicazione. I dati sensibili possono, di volta in volta, essere elaborati tramite i Servizi dove tu o i tuoi Utenti finali scegliete di includere dati sensibili nelle comunicazioni trasmesse utilizzando i Servizi. Sei responsabile per garantire che siano in atto le adeguate garanzie prima di trasmettere o elaborare, o prima di consentire ai tuoi Utenti finali di trasmettere o elaborare qualsiasi dato sensibile tramite i Servizi, in conformità con la Sezione 3.2 dell'Accordo.
Dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente. Nessun dato sensibile è contenuto nei dati di traffico, nei dati degli Utenti finali o nei dati di utilizzo del cliente.
4. La frequenza del trasferimento (ad esempio se i dati vengono trasferiti una sola volta o su base continuativa): I Dati Personali del Cliente vengono trasferiti su base continuativa per tutta la durata dell'Accordo.
5. Natura dell'elaborazione: Elaboreremo i Dati Personali del Cliente nella misura necessaria per fornire i Servizi ai sensi dell'Accordo. Non vendiamo alcun Dato Personale, inclusi i Dati Personali del Cliente, e non condividiamo Dati Personali con terzi a scopo di compenso o per gli interessi commerciali di quei terzi.
6. Scopo(i) del trasferimento dei dati e ulteriore elaborazione: Elaboreremo i Dati Personali del Cliente come data processor in conformità alle istruzioni del Cliente così come stabilito in questo DPA, a meno che l'elaborazione sia necessaria per ottemperare a un obbligo legale a cui siamo soggetti, nel qual caso ci classificheremo come data controller.
Contenuto della comunicazione, dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente. I Dati Personali contenuti nel contenuto della comunicazione, nei dati di traffico, nei dati degli Utenti finali e nei dati di utilizzo del cliente saranno soggetti alle seguenti attività di elaborazione di base:
Contenuto della comunicazione. La fornitura di prodotti e servizi di comunicazione programmabile, offerti sotto forma di interfacce di programmazione delle applicazioni (API) o tramite il Dashboard, al Cliente, inclusa la trasmissione da o verso l'applicazione software del Cliente dalla o alla nostra piattaforma di comunicazione, e altre reti di comunicazione.
Dati di traffico. I dati di traffico vengono elaborati al fine di trasmettere comunicazioni su una rete di comunicazione elettronica o per la fatturazione rispetto a tale comunicazione. Ciò può includere Dati Personali del Cliente riguardanti l'instradamento, la durata o le tempistiche di una comunicazione come chiamate vocali, SMS o email, sia che si riferiscano a un individuo o a un'azienda.
Dati degli Utenti finali. I Dati Personali degli Utenti finali sono necessari per eseguire i Servizi e saranno elaborati solo per le finalità di trasmissione della comunicazione, supporto clienti e per garantire conformità ai nostri obblighi legali.
Dati di utilizzo del cliente. I Dati Personali contenuti nei dati di utilizzo del cliente saranno soggetti alle attività di elaborazione per la fornitura dei Servizi ai sensi dell'Accordo, con l'obiettivo di fornire al Cliente informazioni sui Servizi e rapporti analitici riguardanti le comunicazioni inviate, il supporto clienti e il miglioramento continuo dei Servizi.
7. Il periodo per il quale i Dati Personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:
Contenuto della comunicazione e dati di traffico.
Per il contenuto della comunicazione e i dati di traffico contenuti nei Servizi SMS e Voice si applica un periodo di retention di sei mesi;
Per i Servizi Video, il contenuto della comunicazione e i dati di traffico sono conservati per un minimo di 30 giorni fino alla durata concordata con te;
Per i servizi Email, il contenuto della comunicazione e i dati di traffico sono conservati per 72 ore;
Per tutti gli altri servizi, il contenuto della comunicazione e i dati di traffico sono conservati per la durata dei Servizi, salvo se tu elimini il contenuto della comunicazione o i dati di traffico tramite le misure tecniche e organizzative fornite a te tramite i Servizi.
Dati degli Utenti finali. I dati degli Utenti finali saranno elaborati per la durata determinata dal Cliente, quando i dati degli Utenti finali sono inclusi nei tuoi profili di contatto, il periodo di retention predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B.
Dati di utilizzo del cliente. Alla risoluzione dell'Accordo, possiamo conservare, utilizzare e divulgare i dati di utilizzo del cliente per le finalità stabilite nella Sezione 6(d) di questo Allegato I, Parte B, soggetto agli obblighi di riservatezza stabiliti nell'Accordo. Ciò che è necessario anonimizzare o eliminare i dati di utilizzo del cliente quando non ne abbiamo più bisogno per le finalità stabilite nella Sezione 6(d) di questo Allegato I, Parte B.
8. Per i trasferimenti a (Sub-)responsabili del trattamento, specifica anche oggetto, natura e durata del trattamento: Per i trasferimenti a Sub-responsabili del trattamento, l'oggetto e la natura del trattamento sono delineati nella nostra panoramica sui Sub-responsabili del trattamento e la durata è per la durata dell'Accordo.
Allegato I, Parte C. Autorità di vigilanza competente
L'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) sarà l'autorità competente per la vigilanza.
APPENDICE II - MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE
Dove applicabile, questo Allegato II servirà come Annesto II alle Clausole Contrattuali Standard. Le seguenti informazioni forniscono maggiori dettagli riguardo alle nostre misure di sicurezza tecniche e organizzative esposte qui di seguito.
Misure di Sicurezza Tecniche e Organizzative:
Misure di pseudonimizzazione e protezione dei Dati Personali durante il trasporto e l'archiviazione: tutti i Dati Personali sono criptati durante il trasporto e a riposo e, per quanto rilevante dal punto di vista della sicurezza, trattati come se fossero classificati come dati sensibili. Le informazioni vengono sempre trasmesse tramite TLS con metodologie di crittografia aggiornate per impostazione predefinita.
Misure per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di elaborazione: stipuliamo contratti che contengono disposizioni di riservatezza con i nostri dipendenti, appaltatori, fornitori e Sub-processori. La nostra politica di continuità aziendale è quella di preparare la nostra attività e i servizi in caso di interruzioni prolungate causate da fattori al di fuori del nostro controllo e di ripristinare i servizi nella misura più ampia possibile in un tempo minimo. Comprendiamo che i servizi che forniamo sono critici per i nostri clienti e quindi abbiamo molto poca tolleranza per le interruzioni del servizio. I nostri tempi di recupero sono progettati per garantire che possiamo soddisfare i nostri obblighi verso tutti i nostri clienti
Processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dell'elaborazione: l'obiettivo della sicurezza delle informazioni e del nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner, i clienti e i sistemi informatici (autorizzati), e minimizzare il rischio di danneggiamenti prevenendo incidenti di sicurezza e gestendo le minacce e le vulnerabilità della sicurezza. Il nostro team legale, il Responsabile della Protezione dei Dati e il Team di Sicurezza si assicurano che le normative e gli standard applicabili siano inclusi nei nostri quadri di sicurezza.
Misure per l'identificazione e l'autorizzazione degli utenti: seguiamo i principi del “need to know“ e del “least privilege”. Promuoviamo l'uso del controllo degli accessi basato sui ruoli. L'assegnazione e la revoca sono supervisionate dal team di sicurezza, con Single-Sign-On e 2FA per impostazione predefinita. Sono stati definiti i proprietari di ciascun bene informatico, che sono responsabili di garantire che l'accesso ai loro sistemi sia appropriato e revisionato su base regolare. Quando trattiamo informazioni sensibili o intraprendiamo azioni critiche, utilizziamo il principio delle quattro occhi.
Misure per garantire l'registrazione degli eventi: i registri di audit sono memorizzati centralmente e monitorati regolarmente per eventi di sicurezza e sono mantenuti sicuri per evitare rischi di manomissione. La Politica di Gestione degli Incidenti applica il piano e le procedure di risposta agli incidenti. Queste linee guida vengono seguite se si verifica qualsiasi tipo di incidente di sicurezza o tecnico.
Misure per garantire la configurazione dei sistemi, compresa la configurazione predefinita: seguiamo un processo di gestione delle modifiche coerente per tutte le modifiche all'ambiente di produzione della Piattaforma di Comunicazione come Servizio. Per elaborare ulteriormente, tutte le richieste di modifica (RFC) devono essere approvate da una parte designata ed eseguite in conformità con il processo formale di controllo delle modifiche. Il processo di controllo garantisce che le modifiche proposte vengano revisionate, autorizzate, testate, implementate e rilasciate in modo controllato; e che lo stato di ciascuna modifica proposta venga monitorato. Vengono seguite delle basi di configurazione per configurare i sistemi in modo sicuro seguendo le best-practice. Inoltre, all'interno del dipartimento di Ingegneria, viene utilizzato un radar tecnologico per definire quali tecnologie (linguaggi, strumenti di piattaforma, database e strumenti di gestione dei dati) possono essere adottate o devono essere evitate durante lo sviluppo.
Misure per la sicurezza fisica: tutti i dipendenti di Bird lavorano da remoto. A causa della politica di lavoro da remoto di Bird, Bird ha implementato e fatto rispettare una politica di telelavoro che garantisce che i dipendenti lavorino da remoto in modo sicuro. La politica impone misure minime riguardanti la sicurezza fisica, la sicurezza dell'accesso, la sicurezza delle connessioni e della comunicazione.
Misure per la governance e la gestione della sicurezza informatica interna: manteniamo un programma di sicurezza basato sulla valutazione dei rischi, che include misure amministrative, organizzative, tecniche e fisiche progettate per proteggere i Servizi e la riservatezza, l'integrità e la disponibilità dei Dati dei Clienti. Il nostro programma di sicurezza delle informazioni è configurato in modo sistematico e ben organizzato. Inoltre, si applicano requisiti legali e normativi per garantire la riservatezza, l'integrità e la disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner e i clienti. Tutto ciò viene tradotto nelle nostre politiche, procedure e linee guida sulla sicurezza delle informazioni. Abbiamo un Comitato Direttivo per la Sicurezza che è responsabile a livello tattico della sicurezza delle informazioni. Ciò implica il coordinamento delle attività di sicurezza delle informazioni e la traduzione delle attività strategiche in attività operative per la nostra sicurezza e il nostro continuo mantenimento della conformità alle normative. Tutti i dipendenti sono responsabili della salvaguardia degli asset aziendali. Tutti i nostri dipendenti vengono selezionati per competenze, esperienza e integrità. I dipendenti vengono informati sulla sicurezza e sulla protezione dei dati durante la fase di onboarding, così come tramite regolari formazioni specifiche per team e altre presentazioni aziendali su larga scala sull'importanza della protezione dei dati e della conformità alla sicurezza. Siamo certificati ISO 27001, gli standard di sicurezza delle informazioni riconosciuti a livello globale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS).
Tutti i nostri fornitori di hosting sono certificati ISO 27001.
Siamo anche registrati presso l'Autorità Olandese per i Consumatori e i Mercati. Ciò significa che siamo sempre responsabili e completamente trasparenti con i nostri clienti.
Siamo sempre aggiornati su tutte le leggi e i regolamenti applicabili, inclusi il Regolamento Generale sulla Protezione dei Dati e il Framework di Protezione dei Dati EU-US.
Misure per certificazioni/assicurazione dei processi e dei prodotti: siamo soggetti a rigorosi controlli e audit di certificazione come parte della nostra conformità ISO/IEC 27001 e eseguiamo regolarmente test di vulnerabilità delle applicazioni e di penetrazione.
Misure per garantire la responsabilità: implementiamo politiche di sicurezza delle informazioni e di protezione dei dati in conformità con le leggi applicabili e pubblichiamo una panoramica delle informazioni rilevanti sul nostro ISMS nel nostro Panoramica sulla Sicurezza di MessageBird. Abbiamo nominato un Direttore della Sicurezza dedicato, un Responsabile della Sicurezza delle Informazioni, un Responsabile della Conformità e un Responsabile della Protezione dei Dati, e manteniamo documentazione delle nostre attività di elaborazione, inclusa la registrazione e la segnalazione di incidenti di sicurezza coinvolgenti Dati Personali ove applicabile.
Misure per garantire l'eliminazione dei dati: assicuriamo l'eliminazione dei dati attraverso un processo automatizzato di cancellazione all'interno del nostro ambiente di comunicazione e infrastruttura. Questo processo di cancellazione dei dati assicura che tutti i dati non più necessari per soddisfare uno scopo specifico vengano rimossi dai nostri sistemi dopo l'elaborazione.
