Accordo sul trattamento dei dati
Ultimo aggiornamento: 21 novembre 2024
Questo Accordo di Elaborazione dei Dati si applica a te per qualsiasi Servizio a cui ti iscrivi (inclusi quelli tramite una delle nostre Affiliate):
Dal giorno in cui ti iscrivi ai nostri Servizi, se il giorno è il 21 novembre 2024 o successivo.
Dal 22 dicembre 2024, se ti sei iscritto ai nostri Servizi prima del 21 novembre 2024.
Il nostro Accordo di Elaborazione dei Dati archiviato è disponibile qui.
Documenti
Contenuti
Questo Accordo sul Trattamento dei Dati, inclusi gli allegati, (“DPA”) fa parte dell'Accordo tra noi e il Cliente per l'acquisto di servizi di comunicazione (online) da noi per riflettere l'accordo delle Parti in merito al trattamento dei Dati Personali del Cliente. In questo DPA, i termini “you”, “your”, o “Customer” si riferiscono a te come nostro Cliente (soggetto alla Sezione 1.2 sotto), e i termini “we”, “us,” o “our” si riferiscono a noi come il Fornitore (come definito di seguito). I termini capitalizzati utilizzati in questo DPA ma non definiti di seguito sono definiti nei nostri Termini e Condizioni Generali o in un altro Accordo con noi che regola il tuo uso dei Servizi.
Le parti convengono che questo DPA sostituirà qualsiasi aggiunta alla protezione dei dati esistente o accordo simile che le parti potrebbero aver precedentemente stipulato in relazione ai Servizi.
1. Ambito, Affiliate del Cliente e Durata
1.1 Ambito. Questo DPA disciplina il trattamento dei Dati Personali del Cliente da parte nostra in qualità di responsabile del trattamento.
1.2 Affiliate del Cliente. Il Cliente stipula questo DPA per conto proprio e, nella misura richiesta dalle Leggi sulla Protezione dei Dati, in nome e per conto delle sue Affiliate (come definito nei Termini), se e nella misura in cui si fornisca a tali Affiliate l'accesso ai Servizi e noi trattiamo i Dati Personali del Cliente per i quali tali Affiliate qualificano come responsabili del trattamento dei dati (“Affiliate del Cliente”). Ai fini di questo DPA solo, e salvo dove indicato diversamente, i termini “Cliente” e “tu” includeranno Cliente e le Affiliate del Cliente.
1.3 Durata. Questo DPA rimarrà in vigore finché tratteremo i Dati Personali del Cliente soggetti a questo DPA, nonostante la scadenza o la risoluzione dell'Accordo.
2. Definizioni
“Account Data” indica qualsiasi Dato Personale fornito da te o per te a noi in connessione con la stipula e l'amministrazione dell'Accordo e del tuo account, compresi ma non limitati a informazioni di contatto, dettagli di fatturazione e corrispondenza riguardanti la stipula e l'amministrazione dell'Accordo e dei Servizi correlati.
“CCPA” indica il California Consumer Privacy Act del 2018 e qualsiasi regolamento emesso in virtù di esso, in ogni caso, come modificato di volta in volta.
“Customer Data” indica qualsiasi dato e altra informazione o contenuto inviato da te o per te (o da un utente della tua Applicazione Cliente) ai sensi dell'Accordo e processato o memorizzato dai Servizi.
“Customer Personal Data” indica i Dati Personali contenuti nei Customer Data elaborati da noi come responsabili del trattamento, salvo diversamente specificato in questo DPA.
“Data Protection Laws” indica tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza o lavorazione dei Dati Personali ai sensi dell'Accordo, inclusi, ad esempio, e dove applicabile, il GDPR o il CCPA.
“EEA” indica, ai fini di questo DPA, lo Spazio Economico Europeo e la Svizzera.
“GDPR” indica sia (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali e alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati); oppure (ii) solo con riferimento al Regno Unito, il Data Protection Act 2018.
“Personal Data” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, sia da sola che in combinazione con altre informazioni.
“Personal Data Breach” indica qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale, non autorizzato o illecito ai Dati Personali Cliente e qualsiasi altro termine simile secondo le leggi di Protezione dei Dati applicabili come “Violazione della sicurezza”.
“Services” indica tutti i prodotti e servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da te ai sensi di un qualsiasi Modulo d'Ordine; o (b) utilizzati da te.
“Provider” indica la nostra entità contrattuale che è parte di questo DPA, essendo l'entità contrattuale elencata nella Sezione 15 nei Termini e Condizioni Generali (Entità Contrattuale), salvo diversa indicazione nel tuo Modulo d'Ordine. Tu o il Provider potrete anche essere indicati individualmente come “Parte” e insieme come “Parti” in questo DPA.
“Standard Contractual Clauses” indica il modulo da Controller a Processor (Modulo Due) o Processor a Processor (Modulo Tre), a seconda dei casi, delle Clausole Contrattuali Standard per il trasferimento di Dati Personali verso paesi terzi in base al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio approvate dalla Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021, come attualmente stabilito al https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
“Sub-processor” indica un'entità di terza parte che elabora i Dati Personali Cliente per conto del Provider dove il Provider agisce come responsabile del trattamento o sub-responsabile.
“UK Standard Contractual Clauses” indica uno o tutti i seguenti: (i) accordo di trasferimento dati internazionali emesso dal Commissario dell'Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; (ii) l'addendum di trasferimento dati internazionali alle clausole contrattuali standard della Commissione Europea per i trasferimenti internazionali di dati emesso dal Commissario dell'Informazione del Regno Unito ai sensi della sezione 119A del DPA 2018; o (iii) tali disposizioni contrattuali standard emesse dal Commissario dell'Informazione del Regno Unito o dalla Commissione Europea che potrebbero sostituirli di volta in volta.
Termini come “processing”, “data controller”, “data processor”, “data subject”, ecc. avranno il significato assegnato loro ai sensi del GDPR. La definizione di “data controller” include “business”, “consumer”, “controller” e “organisation”; “data processor” include “service provider”, “processor” e “data intermediary”; “data subject” include “consumer” e “individual”; e “Personal Data” include “personal information”, in ogni caso come definito ai sensi del CCPA e delle altre leggi di Protezione dei Dati applicabili. I termini “business purpose”, “commercial purpose”, “sell” e “share” avranno lo stesso significato delle leggi di Protezione dei Dati applicabili e, in ogni caso, i loro termini cognitivi saranno interpretati di conseguenza.
3. Elaborazione dei Dati Personali del Cliente
3.1 Scopi. Elaboreremo i Dati Personali del Cliente solo nella misura necessaria (i) per fornire i Servizi, inclusa la trasmissione della comunicazione, garantendo la sicurezza dei servizi, fornendo rapporti tecnici e di consegna, fornendo supporto e sviluppando e implementando miglioramenti e aggiornamenti in conformità con le vostre istruzioni documentate a noi come responsabili del trattamento dei dati come specificato nella Sezione 3.2 di questo DPA, (ii) per i nostri legittimi interessi commerciali come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento dati, e (iii) come richiesto dalla legge applicabile.
3.2 Istruzioni del Cliente. L'Accordo e questo DPA costituiscono le vostre istruzioni complete a noi come responsabili del trattamento dei dati al momento della firma del presente DPA. Rispetteremo altre istruzioni ragionevolmente documentate, a condizione che tali istruzioni siano coerenti con i termini dell'Accordo.
3.3 Dettagli del Trattamento. L'Allegato I, Parte B (Descrizione del Trasferimento) dell'Appendice I a questo DPA specifica la natura e lo scopo del trattamento da parte nostra come responsabili del trattamento dati o Sub-responsabili, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali e le categorie di soggetti dei dati.
3.4 Legittimi Interessi Commerciali. Riconoscete che trattiamo i Dati Personali del Cliente come titolari del trattamento dati indipendenti nella misura necessaria per i seguenti legittimi interessi commerciali: fatturazione, gestione dell'account, rapporti finanziari e interni, contrasto e prevenzione delle minacce alla sicurezza, attacchi informatici e crimini informatici che possono influenzare voi, noi o i nostri servizi, modellazione aziendale (ad es. previsioni, pianificazione della capacità e dei ricavi e strategia di prodotto), prevenzione e rilevamento di frodi, spam e abusi, miglioramento continuo dei prodotti e servizi utilizzati da voi e per conformarsi ai nostri obblighi legali.
4. Obblighi del Cliente
4.1 Legalità. Quando agisci come titolare del trattamento dei dati personali del cliente, garantisci che tutte le attività di trattamento siano lecite, abbiano uno scopo specifico e che le eventuali notifiche e consensi richiesti o un'altra base giuridica appropriata siano in atto per consentire il lecito trasferimento dei dati personali del cliente. Se sei un responsabile del trattamento (nel qual caso noi agiremo come Sub-processore), dovrai assicurarti che il titolare del trattamento rilevante garantisca che le condizioni elencate nella presente Sezione 4.1 siano soddisfatte.
4.2 Conformità. Sei esclusivamente responsabile di (a) garantire di rispettare le Leggi sulla Protezione dei Dati applicabili all'uso che fai dei Servizi e al tuo trattamento dei Dati Personali del Cliente, (b) effettuare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano le tue esigenze, e (c) implementare e mantenere misure di protezione e sicurezza dei dati per i componenti che fornisci o controlli (inclusi ma non limitati a password, dispositivi utilizzati con i Servizi e Applicazioni del Cliente).
5. Sicurezza
5.1 Misure di Sicurezza. Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito, del contesto e delle finalità del trattamento nonché del rischio di diversa probabilità e gravità per i diritti e le libertà delle persone fisiche, implementeremo e manterremo adeguate misure di sicurezza tecniche e organizzative per proteggere i Dati Personali del Cliente da Violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati del Cliente che i nostri sistemi utilizzano per il trattamento dei Dati Personali del Cliente. Le misure di sicurezza applicate da noi sono descritte nell'Allegato II.
5.2 Aggiornamenti delle Misure di Sicurezza. Sei responsabile di esaminare le informazioni messe a disposizione da noi relative alla sicurezza dei Dati Personali del Cliente e di effettuare una valutazione indipendente per quanto riguarda il fatto che tali informazioni soddisfano i tuoi requisiti e obblighi legali ai sensi delle Leggi sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progresso tecnico e sviluppo, e che possiamo aggiornare o modificare le nostre misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino la degradazione della sicurezza complessiva dei Dati Personali del Cliente.
5.3 Controlli di Accesso. Applichiamo i principi di "necessità" e "privilegio minimo", assicurando che l'accesso ai Dati Personali del Cliente sia limitato al personale necessario per la fornitura dei Servizi e in conformità con l'Accordo, compreso questo DPA.
5.4 Riservatezza del Trattamento. Ci assicureremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali del Cliente (compreso il nostro personale, agenti e Sub-processori) sia informata della natura riservata di tali Dati Personali del Cliente e sia soggetta a un'appropriata obbligazione di riservatezza (sia essa di natura contrattuale o statutaria) che sopravvive alla cessazione del loro incarico.
5.5 Risposta e Notifica alle Violazioni dei Dati Personali. Dopo essere venuti a conoscenza di una Violazione dei Dati Personali, senza indebito ritardo (i) ti informeremo, (ii) indagheremo sulla Violazione dei Dati Personali, (iii) forniremo tempestivamente informazioni relative alla Violazione dei Dati Personali man mano che diventa nota o come ragionevolmente richiesto da te, e (iv) prenderemo misure commercialmente ragionevoli per mitigare gli effetti e prevenire il ripetersi della Violazione dei Dati Personali.
6. Assistenza
6.1 Assistenza per la Protezione dei Dati. Vi forniremo l'assistenza ragionevolmente richiesta per consentirvi di rispettare i vostri obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusa la notifica di una Violazione dei Dati Personali, la valutazione dell'appropriato livello di sicurezza del trattamento e l'assistenza nella realizzazione di una valutazione d'impatto sulla protezione dei dati pertinente.
6.2 Assistenza con i Diritti dei Soggetti dei Dati. Vi forniremo un'assistenza ragionevole per consentirvi di rispettare i vostri obblighi nei confronti dei soggetti dei dati che esercitano i loro diritti ai sensi delle Leggi sulla Protezione dei Dati, rendendo disponibili misure tecniche e organizzative tramite il vostro account. Per evitare dubbi, voi come titolare del trattamento dei dati siete responsabili dell'elaborazione di qualsiasi richiesta o reclamo da parte dei soggetti dei dati in merito ai Dati Personali del Cliente di un soggetto dei dati.
7. Divulgazione e Richieste di Divulgazione
7.1 Limitazioni alla divulgazione e all'accesso. Non forniremo accesso o divulgazione dei Dati personali del cliente eccetto (i) come da te indicato, (ii) come stabilito nell'Accordo e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di divulgazione. Ti informeremo il prima possibile se riceviamo una richiesta da un organo governativo o regolatorio per divulgare i Dati personali del cliente, a meno che tale comunicazione sia vietata dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica sulle richieste di divulgazione, disponibile sul nostro sito web qui.
8. Sub-responsabili del trattamento
8.1 Elenco degli attuali Sub-processori. Accetti l'ingaggio dei Sub-processori in relazione ai Servizi, elencati alla nostra panoramica dei Sub-processori, che contiene anche una procedura per abbonarti alle notifiche di modifiche relative al nostro utilizzo dei Sub-processori. Se ti abboni a tali notifiche, e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di qualsiasi cambiamento nei Sub-processori il prima possibile.
8.2 Nomina dei Sub-processori. Attraverso questo DPA, ci fornisci un'autorizzazione scritta generale per ingaggiare Sub-processori per il trattamento dei Dati Personali del Cliente, soggetti alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
Limiteremo l'accesso ai Dati Personali del Cliente da parte dei Sub-processori a quanto strettamente necessario per fornire i servizi specificati nell'accordo con il sub-processore;
Accorderemo obblighi di protezione dei dati con il Sub-processore che siano sostanzialmente gli stessi degli obblighi previsti da questo DPA; e
Rimaniamo responsabili nei tuoi confronti, ai sensi di questo DPA, per l'adempimento degli obblighi di protezione dati del Sub-processore.
8.3 Notifica dei Cambiamenti ai Sub-processori e Diritto di Opposizione. Prima di sostituire o ingaggiare nuovi Sub-processori (“Cambiamento del Sub-processore”), ti daremo la possibilità di opporti al Cambiamento del Sub-processore. Puoi opporti a un Cambiamento del Sub-processore a condizione che (i) l'opposizione sia fatta per iscritto entro dieci (10) giorni lavorativi dalla nostra notifica del Cambiamento del Sub-processore e che (ii) l'opposizione sia basata su e spieghi chiaramente le ragioni ragionevoli relative alla protezione dei Dati Personali del Cliente. Quando ti opponi a un Cambiamento del Sub-processore proposto, lavoreremo con te in buona fede per effettuare una modifica commercialmente ragionevole nella fornitura dei Servizi che eviti l'utilizzo del Sub-processore rilevante. Se tale modifica non può essere ragionevolmente effettuata entro trenta (30) giorni dal ricevimento della tua notifica di opposizione, o se la modifica è commercialmente irragionevole per noi, entrambe le parti possono terminare le funzioni applicabili dei Servizi che non possono essere fornite senza l'uso del Sub-processore rilevante. Questo diritto di rescissione è il tuo rimedio unico ed esclusivo se ti opponi a un Cambiamento del Sub-processore.
9. Trasferimenti transfrontalieri dei dati personali dei clienti
9.1 Trasferimenti di Dati Personali del Cliente. Possiamo trasferire i Dati Personali del Cliente a condizione che tutte le garanzie appropriate richieste dalle Leggi sulla Protezione dei Dati siano in atto. Questo può includere una precedente valutazione dell'impatto del trasferimento dei dati, l'adozione, il monitoraggio e la valutazione di misure tecniche, organizzative e legali supplementari, diritti applicabili per gli interessati, e che siano disponibili rimedi legali efficaci per gli interessati.
9.2 Clausole Contrattuali Tipo dei Sub-processori. A meno che non si applichi una decisione di adeguatezza o un meccanismo di trasferimento alternativo, come il Quadro sulla Privacy dei Dati UE-USA, abbiamo stipulato e manterremo Clausole Contrattuali Tipo con Sub-processori (inclusi i nostri Affiliati) situati al di fuori del SEE, soggetti ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per i Trasferimenti di Dati Personali del Cliente. Nella misura in cui il tuo utilizzo dei Servizi richiede un meccanismo di trasferimento di dati transfrontaliero per esportare legalmente i Dati Personali del Cliente da una giurisdizione (ad es. il SEE, California, Singapore, Svizzera o il Regno Unito) a noi situati al di fuori di tale giurisdizione, questa sezione si applicherà. Se, nell'esecuzione dei Servizi, i Dati Personali del Cliente soggetti al GDPR o qualsiasi altra legge relativa alla protezione o alla privacy degli individui che si applica a questo DPA sono trasferiti a un'entità del Fornitore situata in paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle Leggi sulla Protezione dei Dati, i meccanismi di trasferimento elencati di seguito si applicheranno a tali trasferimenti e potranno essere direttamente imposti dalle parti nella misura in cui tali trasferimenti sono soggetti alle Leggi sulla Protezione dei Dati.
9.3.1 Le parti concordano che le Clausole Contrattuali Tipo si applicheranno ai Dati Personali del Cliente che sono trasferiti tramite i Servizi dal SEE o dalla Svizzera, sia direttamente che tramite un trasferimento successivo, a un'entità del Fornitore situata in un paese al di fuori del SEE o della Svizzera che non è riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, dall'autorità competente per la Svizzera) come fornitore di un livello adeguato di protezione dei dati personali.
9.3.1.1 Quando agisci come controllore dei dati e noi siamo un elaboratore dei dati, il modulo Due per Collocatori dei Dati (EU Controller-to-Processor) delle Clausole Contrattuali Tipo si applicherà a qualsiasi trasferimento di Dati Personali del Cliente dal SEE. Quando agisci come elaboratore dei dati e noi siamo un sotto-elaboratore, il modulo Tre per Elaboratori (Processor-to-Processor) delle Clausole Contrattuali Tipo si applicherà a qualsiasi trasferimento di Dati Personali del Cliente dal SEE.
9.3.1.2 Saremo considerati l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Tipo. La firma di ognuna delle parti di questo DPA sarà considerata come la firma delle Clausole Contrattuali Tipo applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti nell'Allegato 1 e nell'Allegato 2 delle Clausole Contrattuali Tipo sono disponibili in Appendice I e Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Tipo, le Clausole Contrattuali Tipo prevarranno esclusivamente per quanto riguarda un trasferimento di Dati Personali del Cliente dal SEE.
9.3.1.3 Quando le Clausole Contrattuali Tipo richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti lo hanno fatto come indicato di seguito:
i. La clausola opzionale 7 “Clausola di docking” non sarà adottata.
ii. Per la Clausola 9 “Uso di sub-processori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione generale scritta: l'importatore dei dati ha l'autorizzazione generale del controllore per l'impegno di sub-processore(i) da un elenco concordato. L'importatore dei dati informerà specificamente il controllore per iscritto di eventuali cambiamenti previsti a tale elenco attraverso l'aggiunta o la sostituzione di sub-processori almeno 10 giorni lavorativi in anticipo, dando così al controllore tempo sufficiente per potersi opporre a tali cambiamenti prima dell'impegno del/dei sub-processore(i). L'importatore dei dati fornirà al controllore le informazioni necessarie per consentire al controllore di esercitare il suo diritto di obiezione. L'importatore dei dati informerà l'esportatore di dati dell'impegno del/dei sub-processore(i).”
iii. Per la Clausola 11 (a) “Rimedi”, le parti non adottano l'opzione.
iv. Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno regolate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge consenta diritti beneficiari a terze parti. Le Parti concordano che questa sarà la legge dei Paesi Bassi.”
v. Per la Clausola 18 (b) “Scelta del Forum e Giurisdizione”: “Le Parti concordano che tali saranno i tribunali dei Paesi Bassi.”
9.3.2 Le parti concordano che le Clausole Contrattuali Tipo britanniche si applicheranno ai Dati Personali del Cliente che sono trasferiti tramite i Servizi dal Regno Unito, sia direttamente che tramite un trasferimento successivo, a un'entità del Fornitore situata in un paese al di fuori del Regno Unito che non è riconosciuto dall'autorità regolatoria competente o dall'ente governativo del Regno Unito come fornitore di un livello adeguato di protezione dei dati personali.
9.3.2.1 Saremo considerati l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Tipo britanniche. La firma di ognuna delle parti di questo DPA sarà considerata come la firma delle Clausole Contrattuali Tipo britanniche che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi delle Clausole Contrattuali Tipo britanniche sono disponibili in Appendice I e Appendice II di questo DPA. In caso di conflitto o incoerenza tra questo DPA e le Clausole Contrattuali Tipo britanniche, le Clausole Contrattuali Tipo britanniche prevarranno esclusivamente per quanto riguarda il trasferimento di Dati Personali del Cliente dal Regno Unito.
10. Revisione
10.1 Audit Report. La nostra piattaforma di comunicazione sarà regolarmente sottoposta ad audit secondo lo standard ISO 27001 (o equivalente). L'audit può, a nostra sola discrezione, essere un audit interno o un audit eseguito da terzi. Su richiesta scritta, vi forniremo un riassunto del rapporto di audit (“Audit Report”), affinché possiate verificare la nostra conformità agli standard di audit e a questo DPA. Tali Report di Audit, così come eventuali conclusioni o risultati specificati in essi, sono nostre Informazioni Riservate.
10.2 Richieste di informazioni del cliente. Metteremo a vostra disposizione tutte le informazioni ragionevolmente necessarie a dimostrare la conformità agli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni fatte da voi, incluse risposte a questionari di sicurezza delle informazioni e audit che siano ragionevoli per portata e necessari a confermare la conformità a questo DPA, a condizione che voi (i) abbiate prima fatto uno sforzo ragionevole per ottenere le informazioni richieste dalla Documentazione, dai Report di Audit e da altre informazioni fornite o rese pubbliche da noi, e (ii) non eserciterete questo diritto più di una volta all'anno, salvo che una Violazione dei Dati Personali o un cambiamento significativo nelle nostre attività di elaborazione in relazione ai Servizi richiedano l'esecuzione di un questionario aggiuntivo. Tutte le risposte fornite sono nostre Informazioni Riservate.
10.3 Audit del cliente. Se un Report di Audit fornito da noi vi offre ragioni fondate per credere che siamo in violazione dei nostri obblighi ai sensi di questo DPA, relativi ai Dati Personali del Cliente forniti da voi, permetteremo a un revisore di terze parti indipendente e qualificato da voi designato e da noi approvato, di verificare le attività di elaborazione dei dati personali applicabili, a condizione che, nella misura massima consentita dalla legge applicabile, vengano rispettati i seguenti requisiti:
Ci fornirete almeno sessanta (60) giorni di preavviso ragionevole prima di esercitare il diritto di audit;
Il revisore accetta obblighi di riservatezza standard di mercato con noi;
Voi e il revisore adotterete misure per minimizzare la perturbazione delle nostre operazioni commerciali;
L'audit sarà condotto durante l'orario lavorativo normale;
Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o a sistemi non coinvolti nella fornitura dei Servizi; e
Voi pagherete tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Alla risoluzione o alla scadenza dell'Accordo, noi (a tua scelta) elimineremo o restituiremo a te tutti i Dati Personali del Cliente (incluse le copie) in nostro possesso o controllo, salvo che questo requisito non si applichi nella misura in cui siamo obbligati dalla legge a conservare alcuni o tutti i Dati Personali del Cliente. Se ci istruisci di eliminare i Dati Personali del Cliente, i Dati Personali del Cliente archiviati nei nostri sistemi di backup saranno protetti da ulteriori trattamenti e verranno eliminati quando sarà trascorso il periodo di conservazione richiesto.
12. Comunicazione e Diritti dell'Affiliato Cliente
L'ingresso in questo DPA a nome e per conto di un Affiliato del Cliente, come indicato nella Sezione 1.2, costituisce un DPA separato tra noi e quell'Affiliato del Cliente, soggetto alle seguenti condizioni:
12.1. Comunicazione. Il Cliente che è la parte contraente dell'Accordo rimarrà responsabile del coordinamento di tutte le comunicazioni con noi in base a questo DPA e avrà il diritto di effettuare e ricevere qualsiasi comunicazione relativa a questo DPA per conto dei suoi Affiliati del Cliente.
12.2 Diritti degli Affiliati del Cliente. Qualora un Affiliato del Cliente diventi parte del DPA con noi, esso sarà, nella misura richiesta dalle Leggi sulla Protezione dei Dati, autorizzato a esercitare i diritti e cercare rimedi secondo questo DPA, soggetto alle seguenti condizioni:
(i) A meno che le Leggi sulla Protezione dei Dati richiedano che l'Affiliato del Cliente eserciti un diritto o cerchi un rimedio sotto questo DPA contro di noi direttamente da solo, le parti concordano che (i) esclusivamente il Cliente che è la parte contraente dell'Accordo eserciterà qualsiasi diritto o cercherà qualsiasi rimedio per conto dell'Affiliato del Cliente e (ii) il Cliente che è la parte contraente dell'Accordo eserciterà tali diritti ai sensi di questo DPA non separatamente per ciascun Affiliato del Cliente individualmente ma in modo combinato per sé e per tutti i suoi Affiliati del Cliente insieme.
(ii) Le parti concordano che il Cliente che è la parte contraente dell'Accordo prenderà, quando viene effettuato un audit in loco delle procedure rilevanti per la protezione dei Dati Personali del Cliente, come stabilito nella Sezione 10.3 di questo DPA, tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per proprio conto e per conto di tutti i suoi Affiliati del Cliente in un unico audit.
Per chiarezza, un Affiliato del Cliente non diventa una parte contraente dell'Accordo.
13. Legge sulla privacy dei consumatori della California.
Nella misura in cui è applicabile, facciamo i seguenti ulteriori impegni nei tuoi confronti in merito al trattamento dei Dati Personali del Cliente nell'ambito del CCPA.
13.1 I Nostri Obblighi ai Sensi delle Leggi Statunitensi sulla Protezione dei Dati. I termini “business purpose”, “commercial purpose”, “consumer”, “sell” e “share” come utilizzati in questa Sezione 13.1 hanno il significato loro attribuito nel CCPA. Nella misura in cui è applicabile, ci conformeremo al CCPA e tratteremo tutti i Dati Personali del Cliente soggetti al CCPA e ad altre Leggi Applicabili Statunitensi sulla Protezione dei Dati (“U.S. Personal Data”) in conformità con le disposizioni del CCPA e delle altre Leggi Statunitensi sulla Protezione dei Dati. Con riferimento ai Dati Personali Statunitensi, siamo un fornitore di servizi ai sensi del CCPA e un responsabile del trattamento dei dati ai sensi di altre Leggi Statunitensi sulla Protezione dei Dati. Non venderemo i Dati Personali Statunitensi. Non conserveremo, utilizzeremo o divulgheremo alcun Dato Personale Statunitense (i) per qualsiasi scopo diverso dagli scopi commerciali specificati nell'Accordo (compreso il conservare, utilizzare o divulgare i Dati Personali Statunitensi per uno scopo commerciale diverso dallo scopo commerciale specificato nell'Accordo o come altrimenti consentito dal CCPA o dalle leggi applicabili); o (ii) al di fuori della relazione commerciale diretta con te e noi.
13.2 Obblighi del Cliente. Dichiari e garantisci di aver informato l'Utente Finale che i Dati Personali vengono utilizzati o condivisi in conformità con le Leggi sulla Protezione dei Dati applicabili. Sei responsabile del rispetto dei requisiti delle Leggi sulla Protezione dei Dati nella misura applicabile a te in qualità di titolare del trattamento dei dati.
14. Legge applicabile e risoluzione delle controversie
Qualsiasi controversia, reclamo o disputa (“Dispute”) derivante da o relativa a questo DPA sarà regolata e interpretata in conformità con le leggi dei Paesi Bassi. Ogni Parte accetta che i tribunali competenti di Amsterdam, Paesi Bassi, avranno giurisdizione esclusiva per risolvere qualsiasi Dispute derivante da o relativa a questo DPA.
APPENDICE I - DETTAGLI DEL TRATTAMENTO
Dove applicabile, questo Allegato I fungerà da Allegato I delle Clausole Contrattuali Standard.
Allegato I, Parte A. Elenco delle Parti
Esportatore di dati: Cliente
Dettagli di contatto dell'esportatore di dati: L'indirizzo elencato nell'account del Cliente, o l'indirizzo email del proprietario dell'account del Cliente, o all'indirizzo email per il quale il Cliente sceglie di ricevere avvisi ai sensi dell'Accordo.
Ruolo dell'esportatore di dati: Il ruolo dell'esportatore di dati è descritto nella Sezione 4 del DPA.
Firma e data: Se e quando applicabile, l'esportatore di dati è considerato come se avesse firmato le Clausole Contrattuali Standard incorporate qui a partire dalla Data di Entrata in Vigore del DPA.
Importatore di dati: Fornitore
Dettagli di contatto dell'importatore di dati: Data Protection Officer - privacy@bird.com
Ruolo dell'importatore di dati: L'importatore di dati agisce come responsabile del trattamento dei dati.
Firma e data: Se e quando applicabile, l'importatore di dati è considerato come se avesse firmato le Clausole Contrattuali Standard incorporate qui a partire dalla Data di Entrata in Vigore del DPA.
Allegato I, Parte B. Descrizione del Trasferimento
1. Categorie di soggetti i cui Dati Personali sono trasferiti.
Utenti. Persone di contatto (persone fisiche) o dipendenti, appaltatori o lavoratori temporanei (attuali, potenziali, ex) del Cliente che utilizzano i Servizi (“Utenti”).
Utenti finali. Qualsiasi individuo (i) i cui dati di contatto sono inclusi nelle liste di contatti del Cliente; (ii) le cui informazioni sono memorizzate o raccolte tramite i Servizi, o (ii) al quale il Cliente invia comunicazioni o altrimenti interagisce o comunica tramite i Servizi (collettivamente, “Utenti finali”). Tu, come Cliente, determini esclusivamente le categorie di soggetti dei dati inclusi nella comunicazione inviata tramite la nostra piattaforma di comunicazione.
2. Categorie di Dati Personali trasferiti.
Dati Personali del Cliente contenuti in, contenuti di comunicazione, dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente.
Contenuti di comunicazione, che possono includere Dati Personali o altre caratteristiche personalizzate, a seconda del contenuto della comunicazione come determinato da te come Cliente.
Dati di traffico, che possono includere Dati Personali del Cliente riguardanti l'instradamento, la durata o il tempo di una comunicazione come chiamata vocale, SMS o email, che si riferisca a un individuo o a un'azienda.
Dati degli Utenti finali, come numero di telefono, indirizzo email, nome, cognome, nome del profilo, paese, identificatore del canale.
Dati di utilizzo del cliente, che possono contenere dati che possono essere collegati a te come individuo inclusi nei dati statistici e nelle informazioni relative al tuo account e alle attività di servizio, ed analytics report sui servizi di comunicazione inviati e sul supporto clienti.
3. Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che considerano pienamente la natura dei dati e i rischi coinvolti, come per esempio la limitazione rigorosa dello scopo, le restrizioni di accesso (compreso l'accesso solo per il personale che ha seguito formazione specializzata), il mantenimento di un registro degli accessi ai dati, le restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive.
Contenuti di comunicazione. Dati sensibili possono, di volta in volta, essere trattati tramite i Servizi dove tu o i tuoi Utenti finali scegliete di includere dati sensibili all'interno delle comunicazioni trasmesse utilizzando i Servizi. Sei responsabile di garantire che siano in atto adeguate salvaguardie prima di trasmettere o trattare, o prima di consentire ai tuoi Utenti finali di trasmettere o trattare qualsiasi dato sensibile tramite i Servizi, in conformità con la Sezione 3.2 dell'Accordo.
Dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente. Nessun dato sensibile è contenuto nei dati di traffico, dati degli Utenti finali, o dati di utilizzo del cliente.
4. La frequenza del trasferimento (ad es. se i dati vengono trasferiti su base occasionale o continua): I Dati Personali del Cliente vengono trasferiti su base continuativa per la durata dell'Accordo.
5. Natura del trattamento: Tratteremo i Dati Personali del Cliente nella misura necessaria per fornire i Servizi ai sensi dell'Accordo. Non vendiamo alcun Dato Personale, inclusi i Dati Personali del Cliente, e non condividiamo Dati Personali con terzi per compenso o per interessi commerciali propri di tali terzi.
6. Scopo(i) del trasferimento dei dati e ulteriore trattamento: Tratteremo i Dati Personali del Cliente come responsabile del trattamento dei dati secondo le istruzioni del Cliente come stabilito in questo DPA, a meno che il trattamento non sia necessario per il rispetto di un obbligo legale a cui siamo soggetti, nel qual caso ci classificheremo come titolare del trattamento.
Contenuti di comunicazione, dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente. I Dati Personali contenuti nei contenuti di comunicazione, dati di traffico, dati degli Utenti finali e dati di utilizzo del cliente saranno soggetti ai seguenti attività di base del trattamento:
Contenuti di comunicazione. La fornitura di prodotti e servizi di comunicazione programmabile, offerti sotto forma di interfacce di programmazione delle applicazioni (API) o tramite il Dashboard, al Cliente, inclusa la trasmissione verso o dall'applicazione software del Cliente dalla nostra piattaforma di comunicazione, e altre reti di comunicazione.
Dati di traffico. I dati di traffico sono trattati per lo scopo di trasmettere comunicazioni su una rete elettronica di comunicazioni o per la fatturazione rispetto a quella comunicazione. Questo può includere Dati Personali del Cliente sull'instradamento, la durata o il tempo di una comunicazione come chiamata vocale, SMS o email, che riguardi un individuo o un'azienda.
Dati degli Utenti finali. I Dati Personali degli Utenti finali sono richiesti per eseguire i Servizi e verranno trattati solo per gli scopi di trasmissione delle comunicazioni, supporto clienti, e per garantire la conformità ai nostri obblighi legali.
Dati di utilizzo del cliente. I Dati Personali contenuti nei dati di utilizzo del cliente saranno soggetti alle attività di trattamento della fornitura dei Servizi ai sensi dell'Accordo, con l'obiettivo di fornire al Cliente insight sui Servizi e report analitici riguardanti le comunicazioni inviate, supporto clienti, e miglioramento continuo dei Servizi.
7. Il periodo per il quale i Dati Personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo:
Contenuti di comunicazione e dati di traffico.
Per i contenuti di comunicazione e i dati di traffico contenuti nei Servizi SMS e Voice, si applica un periodo di conservazione di sei mesi;
Per i Servizi Video, i contenuti di comunicazione e i dati di traffico sono conservati per un minimo di 30 giorni fino alla durata concordata con te;
Per i Servizi Email, i contenuti di comunicazione e i dati di traffico sono conservati per 72 ore;
Per tutti gli altri servizi, i contenuti di comunicazione e i dati di traffico sono conservati per la durata dei Servizi, tranne se si elimina il contenuto di comunicazione o i dati di traffico tramite le misure tecniche e organizzative fornite tramite i Servizi.
Dati degli Utenti finali. I dati degli Utenti finali saranno trattati per la durata determinata dal Cliente, quando i dati degli Utenti finali sono inclusi nei tuoi profili di contatto, il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B.
Dati di utilizzo del cliente. Alla cessazione dell'Accordo, possiamo conservare, utilizzare e divulgare i dati di utilizzo del cliente per gli scopi indicati nella Sezione 6(d) di questo Allegato I, Parte B, soggetto agli obblighi di riservatezza stabiliti nell'Accordo. Anonimizzeremo o elimineremo i dati di utilizzo del cliente quando non saranno più necessari per gli scopi indicati nella Sezione 6(d) di questo Allegato I, Parte B.
8. Per i trasferimenti a (Sub-)responsabili, indicare anche l'oggetto, la natura e la durata del trattamento: Per i trasferimenti a Sub-responsabili, l'oggetto e la natura del trattamento sono descritti nel nostro riepilogo dei Sub-responsabili e la durata è per la durata dell'Accordo.
Allegato I, Parte C. Autorità di controllo competente
L'Autorità per la Protezione dei Dati dei Paesi Bassi (Autoriteit Persoonsgegevens) sarà l'autorità di controllo competente.
APPENDICE II - MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE
Dove applicabile, questo Appendice II servirà come Allegato II alle Clausole Contrattuali Standard. Quanto segue fornisce ulteriori informazioni riguardo alle nostre misure tecniche e organizzative di sicurezza stabilite di seguito.
Misure Tecniche e Organizzative di Sicurezza:
Misure di pseudonimizzazione e protezione dei Dati Personali in archiviazione e transito: tutti i Dati Personali sono criptati in transito e a riposo e, nella misura rilevante da un punto di vista della sicurezza, trattati come se fossero classificati come dati sensibili. Le informazioni vengono sempre trasmesse tramite TLS con metodologie di crittografia aggiornate per impostazione predefinita.
Misure per garantire la riservatezza, l'integrità e la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione: stipuliamo accordi che contengono disposizioni di riservatezza con i nostri dipendenti, appaltatori, fornitori e Sub-processori. La nostra politica di continuità aziendale è preparare la nostra attività e i servizi nel caso di prolungate interruzioni causate da fattori al di fuori del nostro controllo e ripristinare i servizi nella massima misura possibile nel minor tempo possibile. Comprendiamo che i servizi che forniamo sono di importanza cruciale per i nostri clienti e pertanto abbiamo una tolleranza molto bassa per le interruzioni del servizio. I nostri tempi di recupero sono progettati per garantire che possiamo adempiere ai nostri obblighi con tutti i nostri clienti.
Processi per il test, la valutazione e la valutazione regolare dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento: l'obiettivo della sicurezza delle informazioni e il nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni all'organizzazione, dipendenti, partner, clienti e ai sistemi informativi (autorizzati), e minimizzare il rischio di danni prevenendo incidenti di sicurezza e gestendo minacce e vulnerabilità di sicurezza. Il nostro team legale, il Responsabile della Protezione dei Dati e il Team di Sicurezza si assicurano che le normative e gli standard applicabili siano integrati nei nostri quadri di sicurezza.
Misure per l'identificazione e l'autorizzazione degli utenti: seguiamo i principi del “bisogno di sapere“ e del “minimo privilegio”. Promuoviamo l'uso del controllo degli accessi basato sui ruoli. La fornitura e la revocazione sono supervisionate dal team di sicurezza, con Single-Sign-On e 2FA per impostazione predefinita. Sono stati definiti proprietari per ogni asset informativo che sono responsabili di garantire che l'accesso ai loro sistemi sia appropriato e revisionato regolarmente. Ogni volta che si gestiscono informazioni sensibili o si prende una decisione critica, utilizziamo il principio dei quattro occhi.
Misure per garantire la registrazione degli eventi: i registri di audit sono archiviati in modo centralizzato e monitorati regolarmente per eventi di sicurezza e sono mantenuti sicuri per evitare il rischio di manomissione. La politica di gestione degli incidenti applica il piano di risposta agli incidenti e le sue procedure. Queste linee guida sono seguite in caso di qualsiasi tipo di incidente di sicurezza o tecnico.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita: seguiamo un processo di gestione del cambiamento coerente per tutte le modifiche all'ambiente di produzione della Piattaforma di Comunicazione come un Servizio. Per elaborare ulteriormente, tutte le richieste di cambiamento (RFC) devono essere approvate da una parte designata ed eseguite secondo il processo di controllo dei cambiamenti formale. Il processo di controllo assicura che le modifiche proposte siano esaminate, autorizzate, testate, implementate e rilasciate in modo controllato; e che lo stato di ogni cambiamento proposto sia monitorato. Vengono seguite le linee guida di configurazione per configurare i sistemi in modo sicuro seguendo le migliori pratiche. Inoltre, all'interno del dipartimento di Ingegneria, un radar tecnologico è usato per definire quali tecnologie (linguaggi, strumenti di piattaforma, database e strumenti di gestione dei dati) possono essere adottate o devono essere evitate durante lo sviluppo.
Misure per la sicurezza fisica: Tutti i dipendenti di Bird lavorano da remoto. A causa della politica di lavoro remoto di Bird, Bird ha implementato e applicato una politica di telelavoro che garantisce che i dipendenti lavorino da remoto in modo sicuro. La politica impone misure minime riguardanti la sicurezza fisica, la sicurezza dell'accesso, e la sicurezza di connessione e comunicazione.
Misure per la governance e la gestione della sicurezza interna IT e IT: manteniamo un programma di sicurezza basato sulla valutazione del rischio, che include salvaguardie amministrative, organizzative, tecniche e fisiche progettate per proteggere i Servizi e la riservatezza, l'integrità e la disponibilità dei Dati del Cliente. Il nostro programma di sicurezza delle informazioni è impostato in modo sistematico e ben organizzato. Inoltre, si applicano requisiti legali e normativi per garantire la riservatezza, l'integrità e la disponibilità delle informazioni all'organizzazione, ai dipendenti, ai partner e ai clienti. Tutti questi sono tradotti nelle nostre politiche di sicurezza delle informazioni, procedure e linee guida. Abbiamo un Comitato di Coordinamento della Sicurezza che è responsabile del livello tattico della sicurezza delle informazioni. Questo comporta il coordinamento delle attività di sicurezza delle informazioni e la traduzione delle attività strategiche in attività operative per la nostra sicurezza e il nostro mantenimento continuo della conformità normativa. Tutti i dipendenti sono responsabili di salvaguardare i beni aziendali. Tutti i nostri dipendenti sono sottoposti a screening per competenza, esperienza e integrità. I dipendenti sono informati sulla sicurezza e la protezione dei dati nella fase di onboarding, così come attraverso sessioni di formazione specifiche per team, e altre presentazioni a livello aziendale sulla importanza della protezione dei dati e della conformità di sicurezza. Siamo certificati ISO 27001, lo standard di sicurezza delle informazioni riconosciuto a livello globale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS).
Tutti i nostri fornitori di hosting sono certificati ISO 27001.
Siamo anche registrati presso l'Autorità Olandese per i Consumatori e i Mercati. Questo significa che siamo sempre responsabili e pienamente trasparenti con i nostri clienti.
Siamo un Membro Associato dell'Associazione Groupe Speciale Mobile (GSMA). La GSMA rappresenta gli interessi degli operatori mobili in tutto il mondo.
Siamo sempre aggiornati con tutte le leggi e regolamenti applicabili, incluso il Regolamento Generale sulla Protezione dei Dati, e il Quadro di Protezione dei Dati UE-USA.
Misure per le certificazioni/garanzia dei processi e dei prodotti: subiamo rigorosi controlli di sorveglianza così come audit di certificazione come parte della nostra conformità ISO/IEC 27001, ed eseguiamo regolarmente test di vulnerabilità delle applicazioni e test di penetrazione.
Misure per garantire la responsabilità: implementiamo politiche di sicurezza delle informazioni e protezione dei dati in conformità con le leggi applicabili e pubblichiamo una panoramica delle nostre informazioni rilevanti per l'ISMS (link). Abbiamo nominato un Direttore della Sicurezza dedicato, un Responsabile della Sicurezza delle Informazioni, un Ufficiale di Conformità e un Responsabile della Protezione dei Dati, e manteniamo la documentazione delle nostre attività di elaborazione, incluso la registrazione e la segnalazione degli incidenti di sicurezza che coinvolgono Dati Personali dove applicabile.
Misure per garantire la cancellazione dei dati: garantiamo la cancellazione dei dati attraverso un processo di eliminazione automatizzato all'interno del nostro ambiente di comunicazione e infrastruttura. Questo processo di eliminazione dei dati garantisce che tutti i dati che non sono più necessari per soddisfare uno scopo specifico siano rimossi dai nostri sistemi dopo l'elaborazione.
