Accordo sul trattamento dei dati
Questo Accordo sul Trattamento dei Dati si applica a te se ti sei registrato ai Servizi di MessageBird (inclusi tramite una qualsiasi delle sue Affiliate) il o dopo il 28 febbraio 2022 e prima del 1 gennaio 2024. Effettivo dal 15 aprile 2022, questo Accordo sul Trattamento dei Dati si applicherà anche ai clienti che si sono registrati ai Servizi di MessageBird prima del 28 febbraio 2022. Il nostro Accordo sul Trattamento dei Dati archiviato è disponibile qui.
Questo accordo di trattamento dei dati, comprese le appendici (il "DPA"), fa parte dell'Accordo tra il Cliente e l'entità contrattuale elencata nella Sezione 15 (Entità Contrattuale) dei Termini e Condizioni Generali, salvo diversa indicazione nel modulo d'ordine. In questo DPA, i termini “tu”, “tuo”, o “Cliente” si riferiscono a te (soggetto alla Sezione 1.2 di seguito), e i termini "noi", “ci,” “nostro” o “MessageBird” si riferiscono a noi.
1. Scope, Customer Affiliates and Term
1.1 Scopo. Questo DPA disciplina il trattamento dei Dati Personali del Cliente da parte di MessageBird in qualità di responsabile del trattamento.
1.2 Soggetti Affiliati al Cliente. Il Cliente accede a questo DPA per proprio conto e, nella misura richiesta dalla Legislazione sulla Protezione dei Dati, nel nome e per conto dei propri Affiliati (come definito nei Termini), se e nella misura in cui fornisci a tali Affiliati l'accesso ai Servizi e noi trattiamo i Dati Personali del Cliente per i quali tali Affiliati qualificano come titolari del trattamento dei dati (“Soggetti Affiliati al Cliente”). Ai fini di questo DPA, e salvo diversa indicazione, i termini “Cliente” e “tu” includeranno Cliente e Affiliati.
1.3 Durata. Questo DPA rimarrà in vigore fintanto che MessageBird tratterà i Dati Personali del Cliente soggetti a questo DPA, a prescindere dalla scadenza o cessazione dell'Accordo.
2. Definizioni
I termini in maiuscolo utilizzati ma non definiti in questo DPA avranno il significato loro attribuito nell'Accordo. I seguenti termini definiti sono utilizzati in questo DPA:
2.1 “CCPA” indica il California Consumer Privacy Act del 2018 e qualsiasi normativa emanata ai sensi dello stesso, in ciascun caso, come di volta in volta modificata.
2.2 “Dati del Cliente” indica qualsiasi dato e altre informazioni o contenuti inviati da te o per te (o da un utente della tua Applicazione del Cliente) ai sensi dell'Accordo e trattati o archiviati dai Servizi.
2.3 “Dati Personali del Cliente” indica i Dati Personali contenuti nei Dati del Cliente. I dati dell'account non sono Dati Personali del Cliente. I dati dell'account sono qualsiasi dato fornito da o per te a MessageBird in relazione alla stipula e gestione dell'Accordo e del tuo account, inclusi ma non limitati a informazioni di contatto, dettagli di fatturazione del Cliente e corrispondenza sulla stipula e gestione dell'Accordo.
2.4 “Legislazione sulla Protezione dei Dati” indica tutte le leggi e i regolamenti di qualsiasi giurisdizione applicabili alla riservatezza, privacy, sicurezza o trattamento dei Dati Personali ai sensi dell'Accordo, inclusi, ove applicabile, il GDPR, il CCPA e tutte le altre leggi e regolamenti relativi alla privacy, marketing diretto o protezione dei dati.
2.5 “EEA” indica, ai fini di questo DPA, lo Spazio Economico Europeo e la Svizzera.
2.6 “Clausole Contrattuali Standard EU da Controllore a Processore” indica i moduli “Controllore a Processore” (Modulo 2) delle Clausole Contrattuali Standard per il trasferimento di Dati Personali verso paesi terzi ai sensi del GDPR e la Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
2.7 “Clausole Contrattuali Standard EU da Processore a Subprocessore” indica i moduli “Processore a Processore” (Modulo 3) delle Clausole Contrattuali Standard per il trasferimento di Dati Personali verso paesi terzi ai sensi del GDPR e la Decisione di Esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
2.8 “GDPR” indica (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali e alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); o (ii) solo per il Regno Unito, il Data Protection Act 2018.
2.9 “LGPD” indica la Lei Geral de Proteção de Dados del 2018 e qualsiasi normativa emanata ai sensi della stessa, in ciascun caso, come di volta in volta modificata.
2.10 “Dati Personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, direttamente o indirettamente.
2.11 “PDPA” indica il Personal Data Protection Act del 2012 e qualsiasi normativa emanata ai sensi della stessa, in ciascun caso, come di volta in volta modificata.
2.12 “Privacy Statement” indica l'informativa sulla privacy allora vigente per i Servizi disponibile all'indirizzo https://bird.com/legal/privacy.
2.13 “Violazione dei Dati Personali” indica qualsiasi distruzione, perdita, alterazione, divulgazione, accesso accidentale, non autorizzato o illecito ai Dati Personali del Cliente.
2.14 “Servizi” indica tutti i prodotti e i servizi forniti da noi o dai nostri Affiliati che sono (a) ordinati da te ai sensi di qualsiasi Modulo d'Ordine; o (b) utilizzati da te.
2.15 “Clausole Contrattuali Standard” indica (i) le Clausole Contrattuali Standard EU da Controllore a Processore; o (ii) le Clausole Contrattuali Standard EU da Processore a Subprocessore, singolarmente o collettivamente, a seconda del caso.
2.16 “Subprocessore” indica l'entità che tratta i Dati Personali del Cliente per conto di un'entità che agisce come responsabile del trattamento dei dati o come Subprocessore.
2.17 “UK Controller-to-Processor Standard Contractual Clauses” indica le clausole contrattuali standard per il trasferimento di Dati Personali a processori stabiliti in paesi terzi nella forma stabilita dalla Decisione della Commissione Europea 2010/87/UE, come può essere modificata, modificato o sostituito dalla Commissione Europea.
Termini come “trattamento”, “titolare del trattamento”, “responsabile del trattamento dei dati”, “interessato”, ecc. avranno il significato loro assegnato ai sensi del GDPR. La definizione di “titolare del trattamento” include “impresa”, “controllore” e “organizzazione”; "responsabile del trattamento dei dati" include “fornitore di servizi”, “processore” e “intermediario dei dati”; “interessato” include “consumatore” e “individuo”; e “Dati Personali” include “informazioni personali”, in ciascun caso come definito ai sensi del CCPA, LGPD o PDPA.
3. Trattamento dei Dati Personali del Cliente
3.1 Finalità. Tratteremo i Dati Personali del Cliente solo nella misura necessaria (i) per fornire i Servizi, inclusa la trasmissione di comunicazioni, garantire la sicurezza dei servizi, fornire rapporti tecnici e di consegna, fornire supporto e sviluppare e implementare miglioramenti e aggiornamenti in conformità con le vostre istruzioni documentate a noi come responsabile del trattamento dei dati come specificato nella Sezione 3.2 di questo DPA, e (ii) per i nostri legittimi scopi commerciali come specificato nella Sezione 3.4 di questo DPA come titolare del trattamento dei dati. Non vendiamo alcun Dato Personale, inclusi i Dati Personali del Cliente, e non condividiamo Dati Personali con terze parti per compensazione o per interessi commerciali propri di tali terze parti.
3.2 Istruzioni. L'Accordo e questo DPA costituiscono le vostre istruzioni complete a noi come responsabile del trattamento dei dati al momento della firma di questo DPA. Rispetteremo altre istruzioni ragionevolmente documentate a condizione che tali istruzioni siano coerenti con i termini dell'Accordo.
3.3 Dettagli del trattamento. L'Allegato I, Parte B. (Descrizione del trasferimento) di questo DPA specifica ulteriormente la natura e lo scopo del trattamento, le attività di trattamento, la durata del trattamento, i tipi di Dati Personali e categorie di soggetti interessati da noi come responsabile del trattamento o Subincaricato.
3.4 Scopi commerciali legittimi. Riconosci che trattiamo i Dati Personali del Cliente come titolare del trattamento indipendente nella misura necessaria per i seguenti scopi commerciali legittimi: fatturazione, gestione account, rendicontazione finanziaria e interna, combattere e prevenire minacce alla sicurezza, attacchi informatici e crimini informatici che potrebbero colpire noi o i nostri servizi, modellazione aziendale (ad esempio, previsione, pianificazione della capacità e delle entrate, strategia di prodotto), prevenzione e rilevamento di frodi, spam e abusi, miglioramento del prodotto e per adempiere ai nostri obblighi legali.
4. Customer Obligations
4.1 Legittimità. Quando agisci come responsabile del trattamento dei Dati Personali del Cliente, garantisci che tutte le attività di trattamento siano legittime, abbiano uno scopo specifico e che tutti gli avvisi e consensi richiesti o altre basi legali appropriate siano in atto per consentire il trasferimento legittimo dei Dati Personali del Cliente. Se agisci come responsabile del trattamento dei dati (nel qual caso noi agiremo come Subprocessore), ti assicurerai che il responsabile del trattamento dei dati pertinente garantisca che le condizioni elencate in questa Sezione 4.1 siano soddisfatte.
4.2 Conformità. Sei l'unico responsabile di (a) garantire che tu rispetti la Legislazione sulla Protezione dei Dati applicabile al tuo uso dei Servizi e al tuo trattamento dei Dati Personali del Cliente, (b) fare una valutazione indipendente se le misure tecniche e organizzative dei Servizi soddisfano le tue esigenze e (c) implementare e mantenere misure di privacy e sicurezza per i componenti che fornisci o controlli (inclusi ma non limitati a password, dispositivi usati con i Servizi e le Applicazioni del Cliente).
5. Sicurezza
5.1 Misure di sicurezza. Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, implementeremo e manterremo misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali del Cliente da Violazioni dei Dati Personali e per preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati del Cliente che i nostri sistemi utilizzano per trattare i Dati del Cliente. Le misure di sicurezza applicate da noi sono descritte nell'Allegato II.
5.2 Aggiornamenti delle misure di sicurezza. Sei responsabile di esaminare le informazioni messe a disposizione da noi relative alla sicurezza dei Dati Personali del Cliente e di effettuare una determinazione indipendente sul fatto che tali informazioni soddisfino i tuoi requisiti e obblighi legali ai sensi della Legislazione sulla Protezione dei Dati. Riconosci che le misure di sicurezza sono soggette a progressi e sviluppi tecnici e che potremmo aggiornare o modificare le nostre misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Dati Personali del Cliente.
5.3 Controlli di accesso. Applichiamo i principi del "need to know" e dei privilegi minimi.
5.4 Riservatezza del trattamento. Ci assicureremo che qualsiasi persona o parte autorizzata da noi a trattare i Dati Personali del Cliente (inclusi il nostro personale, agenti e Subincaricati) sia informata della natura riservata di tali Dati Personali del Cliente e sarà soggetta a un'adeguata obbligazione di riservatezza (sia un obbligo contrattuale che statutario) che sopravvive alla cessazione del loro impegno.
5.5 Risposta e notifica della Violazione dei Dati Personali. Una volta venuti a conoscenza di una Violazione dei Dati Personali, senza ritardi ingiustificati (i) ti informeremo, (ii) indagheremo sulla Violazione dei Dati Personali, (iii) forniremo tempestivamente informazioni relative alla Violazione dei Dati Personali man mano che diventano note o come ragionevolmente richiesto da te, e (iv) adotteremo misure commercialmente ragionevoli per mitigare gli effetti e prevenire la ricorrenza della Violazione dei Dati Personali.
6. Assistenza
6.1 Assistenza alla protezione dei dati. Vi forniremo l'assistenza ragionevolmente richiesta per permettervi di adempiere ai vostri obblighi ai sensi della Legislazione sulla Protezione dei Dati, inclusa la notifica di una Violazione dei Dati Personali, la valutazione del livello di sicurezza appropriato del trattamento e l'assistenza nella realizzazione di una valutazione d'impatto sulla protezione dei dati pertinente.
6.2 Assistenza con le richieste dei soggetti dei dati. Vi forniremo un'assistenza ragionevole per permettervi di adempiere ai vostri obblighi nei confronti dei soggetti dei dati che esercitano i loro diritti ai sensi della Legislazione sulla Protezione dei Dati, mettendo a disposizione misure tecniche e organizzative tramite il vostro account. Per evitare dubbi, voi come responsabili del trattamento dei dati siete responsabili di elaborare qualsiasi richiesta o reclamo da parte dei soggetti dei dati in relazione ai Dati Personali del Cliente di un soggetto dei dati.
7. Divulgazione e Richieste di Divulgazione
7.1 Limitazioni sulla divulgazione e accesso. Non forniremo accesso o divulgheremo i Dati Personali del Cliente eccetto (i) come diretto da te, (ii) come stabilito nel Contratto e in questo DPA, o (iii) come richiesto dalla legge.
7.2 Richieste di divulgazione. Ti informeremo il prima possibile se riceviamo una richiesta da parte di un ente governativo o di regolamentazione per divulgare i Dati Personali del Cliente, a meno che tale avviso non sia vietato dalla legge. Gestiremo le richieste di divulgazione in conformità con la politica sulle richieste di divulgazione disponibile su https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Subincaricati Attuali. Accetti l'ingaggio dei Subincaricati elencati su https://www.bird.com/en/legal/privacy#processorList sotto l'intestazione “End User Personal Data”, che contiene una procedura per iscriverti alle notifiche di cambiamenti al nostro utilizzo dei Subincaricati. Se ti iscrivi a tali notifiche, e tenendo conto della Sezione 8.3 di questo DPA, condivideremo i dettagli di qualsiasi cambiamento nei Subincaricati non appena ragionevolmente possibile.
8.2 Utilizzo dei Subincaricati. Attraverso questo DPA, fornisci un'autorizzazione generale scritta a noi per ingaggiare Subincaricati per l'elaborazione dei Dati Personali del Cliente, soggetto alla Sezione 8.3 di questo DPA e ai seguenti requisiti:
a. Limiteremo l'accesso ai Dati Personali del Cliente da parte dei Subincaricati a ciò che è strettamente necessario per fornire i servizi specificati nell'accordo con il subincaricato;
b. Concorderemo obblighi di protezione dati con il Subincaricato che sono sostanzialmente gli stessi degli obblighi previsti in questo DPA; e
c. Rimaniamo responsabili nei tuoi confronti ai sensi di questo DPA per l'adempimento degli obblighi di protezione dati del Subincaricato.
8.3 Notifica di cambiamenti ai Subincaricati e diritto di obiezione. Prima di sostituire o coinvolgere nuovi Subincaricati (“Modifica Subincaricato”), ti daremo l'opzione di obiettare alla Modifica Subincaricato.
Puoi obiettare a una Modifica Subincaricato a condizione che (i) l'obiezione sia fatta per iscritto entro dieci (10) giorni lavorativi dalla nostra comunicazione della Modifica Subincaricato e (ii) l'obiezione sia basata su e spieghi chiaramente i motivi ragionevoli relativi alla protezione dei Dati Personali del Cliente. Quando obietti a una proposta di Modifica Subincaricato, lavoreremo con te in buona fede per effettuare una modifica commercialmente ragionevole nella fornitura dei Servizi che eviti l'uso del Subincaricato pertinente. Se tale modifica non può essere ragionevolmente effettuata entro trenta (30) giorni lavorativi dalla ricezione della tua notifica di obiezione, o se la modifica è commercialmente irragionevole per noi, ciascuna parte può terminare le funzionalità applicabili dei Servizi che non possono essere forniti senza l'uso del Subincaricato pertinente. Questo diritto di terminazione è il tuo unico ed esclusivo rimedio se obietti a una Modifica Subincaricato.
9. Trasferimenti transfrontalieri dei dati personali dei clienti
9.1 Trasferimenti di Dati Personali del Cliente. Potremmo trasferire i Dati Personali del Cliente a condizione che siano in atto tutte le garanzie appropriate richieste dalla Normativa sulla protezione dei dati. Ciò può includere una valutazione preliminare dell'impatto del trasferimento di dati, l'adozione, il monitoraggio e la valutazione di misure tecniche, organizzative e legali supplementari, diritti dei soggetti interessati attuabili e che siano disponibili rimedi legali efficaci per i soggetti interessati.
9.2 Clausole Contrattuali Standard dei Sub-processori. A meno che non si applichi una decisione di adeguatezza o un meccanismo di trasferimento alternativo, abbiamo stipulato e manterremo in vigore Clausole Contrattuali Standard con i Sub-processori (comprese le nostre Affiliate) situati al di fuori dello SEE, soggetti ai termini stabiliti nella Sezione 9.1 di questo DPA.
9.3 Meccanismi di Trasferimento per i Trasferimenti di Dati Personali del Cliente. Nella misura in cui l'uso dei Servizi richiede un meccanismo di trasferimento dati transfrontaliero per esportare legalmente i Dati Personali del Cliente da una giurisdizione (es. SEE, California, Singapore, Svizzera o Regno Unito) verso di noi situati al di fuori di tale giurisdizione, si applicherà questa sezione. Se, nell'esecuzione dei Servizi, i Dati Personali del Cliente soggetti al GDPR o a qualsiasi altra legge relativa alla protezione o alla privacy degli individui che si applica a questo DPA vengono trasferiti a MessageBird situato in paesi che non garantiscono un livello adeguato di protezione dei dati personali ai sensi della Normativa sulla protezione dei dati, si applicheranno i meccanismi di trasferimento elencati di seguito e potranno essere applicati direttamente dalle parti nella misura in cui tali trasferimenti sono soggetti alla Normativa sulla protezione dei dati:
9.3.1 Le parti concordano che le Clausole Contrattuali Standard si applicheranno ai Dati Personali del Cliente trasferiti tramite i Servizi dallo SEE o dalla Svizzera, sia direttamente che tramite trasferimento successivo, a un'entità di MessageBird situata in un paese al di fuori dello SEE o della Svizzera che non è riconosciuto dalla Commissione Europea (o, nel caso di trasferimenti dalla Svizzera, dall'autorità competente per la Svizzera) come fornitore di un livello adeguato di protezione dei dati personali.
9.3.1.1 Quando ti comporti come titolare del trattamento dei dati e MessageBird è responsabile del trattamento dei dati, le Clausole Contrattuali Standard da Titolare a Responsabile si applicheranno a qualsiasi trasferimento di Dati Personali del Cliente dallo SEE. Quando ti comporti come responsabile del trattamento dei dati e MessageBird è un sub-processore, le Clausole Contrattuali Standard da Responsabile a Sub-responsabile si applicheranno a qualsiasi trasferimento di Dati Personali del Cliente dallo SEE.
9.3.1.2 MessageBird sarà considerato l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Standard. La firma di ciascuna parte di questo DPA sarà considerata come la firma delle Clausole Contrattuali Standard applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti negli Allegati 1 e 2 alle Clausole Contrattuali Standard sono disponibili nell'Allegato I e Allegato II a questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard, prevarranno le Clausole Contrattuali Standard esclusivamente per quanto riguarda un trasferimento di Dati Personali del Cliente dallo SEE.
9.3.1.3 Laddove le Clausole Contrattuali Standard richiedano alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti hanno agito come di seguito indicato:
La Clausola Opzionale 7 “Clausola di docking” non sarà adottata.
Per la Clausola 9 “Uso dei sub-processori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione generale scritta: l'importatore dei dati ha l'autorizzazione generale del titolare del trattamento per l'engaggio di sub-processore(i) da un elenco concordato. L'importatore dei dati informerà specificamente il titolare del trattamento per iscritto di qualsiasi modifica prevista a tale elenco attraverso l'aggiunta o la sostituzione di sub-processori almeno 10 giorni lavorativi in anticipo, dando così al titolare del trattamento il tempo sufficiente per poter opporsi a tali modifiche prima dell'impegno del(i) sub-processore(i). L'importatore dei dati fornirà all'esportatore dei dati le informazioni necessarie per permettere all'esportatore dei dati di esercitare il suo diritto di opposizione. L'importatore dei dati informerà l'esportatore dei dati dell'engaggio del(i) sub-processore(i).”
Per la Clausola 11 (a) “Ricorso”, le parti non adottano l'Opzione.
Per la Clausola 17 “Legge applicabile”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno governate dalla legge di uno degli Stati membri dell'UE, a condizione che tale legge permetta diritti di terzi beneficiari. Le Parti concordano che questa sarà la legge dei Paesi Bassi.”
Per la Clausola 18 (b) “Scelta del Foro e della Giurisdizione”: “Le Parti concordano che questi saranno i tribunali dei Paesi Bassi.”
9.3.2 Le parti concordano che le Clausole Contrattuali Standard da Titolare a Responsabile del Regno Unito si applicheranno ai Dati Personali del Cliente trasferiti tramite i Servizi dal Regno Unito, sia direttamente che tramite trasferimento successivo, a un'entità di MessageBird situata in un paese al di fuori del Regno Unito che non è riconosciuto dall'autorità regolatoria competente del Regno Unito o da un organismo governativo per il Regno Unito come fornitore di un livello adeguato di protezione dei dati personali.
9.3.2.1 MessageBird sarà considerato l'importatore dei dati e tu sarai considerato l'esportatore dei dati ai sensi delle Clausole Contrattuali Standard da Titolare a Responsabile del Regno Unito. La firma di ciascuna parte di questo DPA sarà considerata come la firma delle Clausole Contrattuali Standard da Titolare a Responsabile del Regno Unito, che saranno considerate incorporate in questo DPA. I dettagli richiesti negli Allegati 1 e 2 alle Clausole Contrattuali Standard da Titolare a Responsabile del Regno Unito sono disponibili nell'Allegato I e Allegato II a questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard da Titolare a Responsabile del Regno Unito, prevarranno le Clausole Contrattuali Standard da Titolare a Responsabile del Regno Unito esclusivamente per quanto riguarda il trasferimento dei Dati Personali del Cliente dal Regno Unito.
10. Verifica
10.1 Rapporto di Audit. La nostra piattaforma di comunicazione sarà regolarmente sottoposta ad audit nello standard ISO 27001:2013 (o equivalente). L'audit può, a nostra discrezione, essere un audit interno, o un audit effettuato da una terza parte. Su richiesta scritta, vi forniremo un riepilogo del rapporto di audit (“Rapporto di Audit”), in modo che possiate verificare la nostra conformità con gli standard di audit e questo DPA. Tali Rapporti di Audit, così come qualsiasi conclusione o risultato ivi specificato, sono le nostre Informazioni Riservate.
10.2 Richieste di informazioni del cliente. Metteremo a vostra disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti in questo DPA. Forniremo risposte scritte a richieste ragionevoli di informazioni da voi fatte, incluse le risposte a questionari di sicurezza delle informazioni e audit che siano ragionevoli nell'ambito e necessarie per confermare la conformità con questo DPA, purché voi (i) abbiate prima fatto uno sforzo ragionevole per ottenere le informazioni richieste dalla Documentazione, dai Rapporti di Audit e da altre informazioni fornite o rese pubbliche da noi, e (ii) non esercitiate questo diritto più di una volta all'anno, a meno che una Violazione dei Dati Personali o un cambiamento significativo nelle nostre attività di trattamento in relazione ai Servizi richiedano che venga eseguito un questionario aggiuntivo. Tutte le risposte fornite sono le nostre Informazioni Riservate.
10.3 Audit del Cliente. Se un Rapporto di Audit fornito da noi a voi vi dà motivi fondati per credere che siamo in violazione dei nostri obblighi ai sensi di questo DPA, relativi ai Dati Personali del Cliente forniti da voi, permetteremo a un auditor terzo indipendente e qualificato nominato da voi e approvato da noi, di auditare le attività di trattamento dei Dati Personali rilevanti e applicabili, purché siano soddisfatti i seguenti requisiti:
a. Dovrete darci almeno sessanta (60) giorni lavorativi di preavviso ragionevole prima di esercitare il diritto di audit;
b. L'auditor concorda obblighi di riservatezza standard di mercato con noi;
c. Voi e l'auditor prendete misure per minimizzare la distruzione delle nostre operazioni aziendali;
d. L'audit sarà eseguito durante le normali ore lavorative;
e. Non saremo obbligati a fornire accesso ai dati dei clienti di altri clienti o ai sistemi non coinvolti nella fornitura dei Servizi; e
f. Dovrete pagare tutti i costi dell'audit.
11. Cancellazione e Restituzione dei Dati Personali del Cliente
Alla cessazione o scadenza dell'Accordo, elimineremo o restituiremo a te tutti i Dati Personali del Cliente (comprese le copie) in nostro possesso o controllo, fatto salvo che questo requisito non si applichi nella misura in cui siamo tenuti dalla legge a conservare alcuni o tutti i Dati Personali del Cliente. Se ci istruisci a eliminare i Dati Personali del Cliente, i Dati Personali del Cliente archiviati nei nostri sistemi di backup saranno protetti da ulteriori elaborazioni e cancellati quando sarà trascorso il periodo di conservazione richiesto.
12. Comunicazione e Diritti dell'Affiliato Cliente
L'entrata in questo DPA a nome e per conto di un Affiliato del Cliente come stabilito nella Sezione 1.2 costituisce un DPA separato tra noi e quell'Affiliato del Cliente, soggetto a quanto segue:
12.1. Comunicazione. Il Cliente che è parte contraente dell'Accordo rimarrà responsabile per il coordinamento di tutte le comunicazioni con noi sotto questo DPA e avrà il diritto di fare e ricevere qualsiasi comunicazione relativa a questo DPA per conto dei suoi Affiliati del Cliente.
12.2 Diritti degli Affiliati del Cliente. Quando un Affiliato del Cliente diventa una parte del DPA con noi, esso avrà, nella misura richiesta dalla Legislazione sulla Protezione dei Dati, il diritto di esercitare i diritti e cercare rimedi sotto questo DPA, soggetto a quanto segue:
(i) A meno che la Legislazione sulla Protezione dei Dati richieda che l'Affiliato del Cliente eserciti un diritto o cerchi un rimedio sotto questo DPA direttamente da MessageBird da solo, le parti concordano che (i) soltanto il Cliente che è parte contraente dell'Accordo eserciterà tale diritto o cercherà tale rimedio per conto dell'Affiliato del Cliente, e (ii) il Cliente che è parte contraente dell'Accordo eserciterà tali diritti sotto questo DPA non separatamente per ciascun Affiliato del Cliente individualmente ma in modo combinato per se stesso e tutti i suoi Affiliati del Cliente insieme.
(ii) Le parti concordano che il Cliente che è parte contraente dell'Accordo, quando viene effettuato un audit sul posto delle procedure rilevanti per la protezione dei Dati Personali del Cliente per suo conto come stabilito nella Sezione 10.3 di questo DPA, adotterà tutte le misure ragionevoli per limitare qualsiasi impatto su di noi combinando, nella misura ragionevolmente possibile, diverse richieste di audit effettuate per conto di se stesso e di tutti i suoi Affiliati del Cliente in un unico audit.
Per chiarezza, un Affiliato del Cliente non diventa parte contraente dell'Accordo.
13. Legge sulla Privacy dei Consumatori della California
Ci impegniamo a fare i seguenti ulteriori impegni con voi per quanto riguarda il trattamento dei Dati Personali del Cliente nell'ambito del CCPA.
13.1 I nostri obblighi. Rispettiamo il CCPA e trattiamo tutti i Dati Personali del Cliente soggetti al CCPA (“Dati Personali CCPA”) in conformità con le disposizioni del CCPA. Per quanto riguarda i Dati Personali CCPA, siamo un fornitore di servizi ai sensi del CCPA. Non (a) venderemo Dati Personali CCPA; (b) conserveremo, utilizzeremo o divulgheremo qualsiasi Dato Personale CCPA per qualsiasi scopo diverso da quello specifico di fornire i Servizi, inclusa la conservazione, l'uso o la divulgazione di Dati Personali CCPA per uno scopo commerciale diverso dalla fornitura dei Servizi; o (c) conserveremo, utilizzeremo o divulgheremo Dati Personali CCPA al di fuori del nostro rapporto commerciale diretto con voi. Il Trattamento dei Dati Personali CCPA autorizzato dalle vostre istruzioni nei Termini e in questo DPA è parte integrante della nostra fornitura dei Servizi. Riconoscete e accettate che il nostro accesso ai Dati del Cliente non costituisce parte del corrispettivo scambiato ai sensi dell'Accordo. Nella misura in cui qualsiasi dato di utilizzo viene considerato Dati Personali CCPA, siamo l'azienda per quanto riguarda tali dati e tratteremo tali dati in conformità con la nostra Dichiarazione sulla Privacy. I termini “azienda”, “scopo commerciale”, “fornitore di servizi” e “vendere” utilizzati in questa Sezione 13.1 hanno i significati attribuiti loro nel CCPA. Entrambe le parti certificano di comprendere e di rispettare gli obblighi e le restrizioni previste in questo DPA e nell'Accordo richiesto ai sensi del CCPA.
13.2 Obblighi del cliente. Dichiarate e garantite di aver informato l'Utente finale che i Dati Personali vengono utilizzati o condivisi in conformità con i termini e le condizioni previsti nella Sezione 1798.140(t)(2)(C)(i) del CCPA. Siete responsabili della conformità alle disposizioni del CCPA applicabili a voi come titolare del trattamento dei dati.
14. Legge applicabile e risoluzione delle controversie
Sezione 13 dei Termini si applica a qualsiasi Controversia derivante o correlata a questo DPA, salvo diversa disposizione della Legge sulla Protezione dei Dati.
APPENDICE I - DETTAGLI DEL TRATTAMENTO
Dove applicabile, questo Allegato 1 servirà come Allegato I alle Clausole Contrattuali Standard SEE.
Allegato I, Parte A. Elenco delle parti
Esportatore di dati: Cliente
Dettagli di contatto dell'esportatore di dati: L'indirizzo elencato nell'account del Cliente, o l'indirizzo email del proprietario dell'account del Cliente, o l'indirizzo email per cui il Cliente sceglie di ricevere notifiche ai sensi dell'Accordo.
Ruolo dell'esportatore di dati: Il ruolo dell'esportatore di dati è descritto nella Sezione 4 del DPA.
Firma e data: Se e quando applicabile, l'esportatore di dati è considerato aver firmato le Clausole Contrattuali Standard incorporate qui a partire dalla Data di Entrata in Vigore del DPA.
Importatore di dati: MessageBird B.V.
Dettagli di contatto dell'importatore di dati: Trompenburgstraat 2-C, 1079TX, Amsterdam, Paesi Bassi, Responsabile della Protezione dei Dati - privacy@bird.com
Ruolo dell'importatore di dati: L'importatore di dati agisce come responsabile del trattamento dei dati.
Firma e data: Se e quando applicabile, l'importatore di dati è considerato aver firmato le Clausole Contrattuali Standard incorporate qui a partire dalla Data di Entrata in Vigore del DPA.
Allegato I, Parte B. Descrizione del trasferimento
1. Categorie di soggetti dei dati i cui Dati Personali sono trasferiti: Utenti. Persone di contatto del Cliente (persone fisiche) o dipendenti, appaltatori o lavoratori temporanei (attuali, potenziali, ex) che utilizzano i Servizi tramite l'account del Cliente (“Utenti”);Utenti Finali. Qualsiasi individuo (i) i cui dettagli di contatto sono inclusi nella lista dei contatti del Cliente; (ii) le cui informazioni sono archiviate o raccolte tramite i Servizi, o (ii) ai quali il Cliente invia comunicazioni o altrimenti interagisce o comunica tramite i Servizi (complessivamente, “Utenti Finali”). Tu, come Cliente, determini esclusivamente le categorie di soggetti dei dati incluse nella comunicazione inviata sulla nostra piattaforma di comunicazione.
2. Categorie di Dati Personali trasferiti: Dati Personali del Cliente contenuti in, contenuti di comunicazione, dati di traffico, dati degli Utenti Finali e dati di utilizzo del cliente.Contenuti di comunicazione, che possono includere Dati Personali o altre caratteristiche personalizzate, a seconda del contenuto della comunicazione come determinato da te, come Cliente.Dati di traffico, che possono includere Dati Personali del Cliente relativi all'instradamento, alla durata o al tempo di una comunicazione come una chiamata vocale, SMS o email, sia che riguardino un individuo o un'azienda.Dati degli Utenti Finali, come numero di telefono, indirizzo email, nome, cognome, nome del profilo, paese, identificatore del canale.Dati di utilizzo del cliente, possono contenere dati che possono essere collegati a te come individuo inclusi nei dati statistici e nelle informazioni relative al tuo account e alle attività del servizio, aiuti correlati al servizio e rapporti analitici riguardanti la comunicazione inviata e il supporto clienti.
3. Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengono pienamente in considerazione la natura dei dati e i rischi coinvolti, come, ad esempio, una rigorosa limitazione dello scopo, restrizioni di accesso (incluso l'accesso solo per personale che ha seguito una formazione specializzata), mantenimento di un registro degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive.
(a) Contenuti di comunicazione. I dati sensibili possono, di volta in volta, essere elaborati tramite i Servizi se tu o i tuoi Utenti Finali scegliete di includere dati sensibili all'interno delle comunicazioni trasmesse utilizzando i Servizi. Sei responsabile di garantire che siano messe in atto adeguate misure di salvaguardia prima di trasmettere o elaborare, o prima di permettere ai tuoi Utenti Finali di trasmettere o elaborare dati sensibili tramite i Servizi, in conformità con la Sezione 3.2 del Contratto.
(b) Dati di traffico, dati degli Utenti Finali e dati di utilizzo del cliente. Non sono contenuti dati sensibili nei dati di traffico, dati degli Utenti Finali o dati di utilizzo del cliente.
4. Frequenza del trasferimento (es. se i dati vengono trasferiti una tantum o su base continua): I Dati Personali del Cliente vengono trasferiti su base continua per la durata dell'Accordo.
5. Natura del trattamento: Tratteremo i Dati Personali del Cliente nella misura necessaria per fornire i Servizi ai sensi dell'Accordo. Non vendiamo alcun Dato Personale, inclusi i Dati Personali del Cliente, e non condividiamo i Dati Personali con terzi per compenso o per gli interessi commerciali propri di tali terzi.
6. Scopo(i) del trasferimento dei dati e ulteriore trattamento: Tratteremo i Dati Personali del Cliente come responsabile del trattamento dei dati in conformità con le istruzioni del Cliente come stabilito in questo DPA, a meno che il trattamento sia necessario per il rispetto di un obbligo legale a cui siamo soggetti, nel qual caso ci classificheremo come controllore dei dati.
Contenuti di comunicazione, dati di traffico, dati degli Utenti Finali e dati di utilizzo del cliente. I Dati Personali contenuti nei contenuti di comunicazione, nei dati di traffico, nei dati degli Utenti Finali e nei dati di utilizzo del cliente saranno soggetti alle seguenti attività di trattamento basi:
(a) Contenuti di comunicazione. La fornitura di prodotti e servizi di comunicazione programmabili, offerti sotto forma di interfacce di programmazione applicativa (API) o tramite la Dashboard, al Cliente, inclusi trasmissione verso o da l'applicazione software del Cliente da o verso la nostra piattaforma di comunicazione, e altre reti di comunicazione.
(b) Dati di traffico. I dati di traffico sono elaborati per scopi di trasmissione di comunicazioni su una rete di comunicazioni elettroniche o per la fatturazione relativa a tale comunicazione. Ciò può includere i Dati Personali del Cliente riguardanti l'instradamento, la durata o il tempo di una comunicazione come una chiamata vocale, SMS o email, sia che riguardino un individuo o un'azienda.
(c) Dati degli Utenti Finali. I Dati Personali degli Utenti Finali sono richiesti per effettuare i Servizi e saranno elaborati solo per scopi di trasmissione di comunicazione, supporto clienti e garanzia di conformità agli obblighi legali di MessageBird.
(d) Dati di utilizzo del cliente. I Dati Personali contenuti nei dati di utilizzo del cliente soggetti alle attività di trattamento di fornitura dei Servizi ai sensi dell'Accordo, con l'obiettivo di fornire al Cliente informazioni correlate ai Servizi e approfondimenti analitici riguardanti la comunicazione inviata, il supporto clienti e il miglioramento continuo dei Servizi.
7. Periodo per il quale i Dati Personali saranno conservati, o, se non è possibile, i criteri utilizzati per determinare tale periodo:
(a) Contenuti di comunicazione e dati di traffico. Per i dati di contenuto e di traffico contenuti nei Servizi SMS e Voice si applica un periodo di conservazione di sei mesi;
Per i Servizi di 24sessions i dati di contenuto e di traffico sono conservati per un minimo di 30 giorni fino alla durata concordata con te;
Per tutti gli altri servizi, i dati di contenuto e di traffico del cliente sono conservati per la durata dei Servizi, tranne se cancelli i dati di contenuto o di traffico tramite misure tecniche e organizzative fornite a te tramite i Servizi.
(b) Dati degli Utenti Finali. I dati degli Utenti Finali saranno elaborati per la durata determinata dal Cliente, quando i dati degli Utenti Finali sono inclusi nei tuoi profili di contatto; il periodo di conservazione predefinito è per la durata dei Servizi, soggetto alla Sezione 6(c) di questo Allegato I, Parte B.
(c) Dati di utilizzo del cliente. Alla cessazione dell'Accordo, possiamo conservare, usare e divulgare i Dati di Utilizzo del Cliente per i fini stabiliti nella Sezione 6(d) di questo Allegato I, Parte B, soggetti agli obblighi di riservatezza stabiliti nell'Accordo. Anonimizzeremo o cancelleremo i dati di utilizzo del cliente quando non ne avremo più bisogno per i fini stabiliti nella Sezione 6(d) di questo Allegato I, Parte B.
8. Per trasferimenti a (sub)processori, specifica anche l'oggetto, la natura e la durata del trattamento: Per i trasferimenti ai Subprocessori, l'oggetto e la natura del trattamento sono descritti su https://www.bird.com/legal/privacy#processorList e la durata è per la durata dell'Accordo.
Allegato I, Parte C. Autorità di vigilanza competente
Il Garante olandese per la protezione dei dati (Autoriteit Persoonsgegevens) sarà l'autorità di vigilanza competente.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Dove applicabile, questo Appendice II servirà come Allegato II alle Clausole Contrattuali Standard. Di seguito vengono fornite ulteriori informazioni riguardanti le nostre misure di sicurezza tecniche e organizzative stabilite di seguito.
Misure di Sicurezza Tecniche e Organizzative:
Misure di pseudonimizzazione e protezione dei Dati Personali durante la memorizzazione e il transito: Tutti i Dati Personali sono criptati durante il transito e a riposo e, nella misura rilevante dal punto di vista della sicurezza, trattati come se fossero classificati come dati sensibili. L'informazione è sempre trasmessa tramite TLS con metodologie di crittografia aggiornate per impostazione predefinita.
Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di elaborazione: stipuliamo accordi che contengono clausole di riservatezza con i nostri dipendenti, appaltatori, fornitori e Subprocessori. La nostra politica di continuità aziendale è preparare il nostro business e i servizi nel caso di interruzioni prolungate causate da fattori al di fuori del nostro controllo e ripristinare i servizi alla più ampia portata possibile in un tempo minimo. Comprendiamo che i servizi che forniamo sono fondamentali per i nostri clienti e pertanto abbiamo una tolleranza molto ridotta per le interruzioni del servizio. I nostri tempi per il recupero sono progettati per garantire che possiamo soddisfare i nostri obblighi verso tutti i nostri clienti.
Processi per il test, la valutazione e la verifica regolare dell'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento: L'obiettivo della sicurezza delle informazioni e del nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner, i clienti e i sistemi informatici (autorizzati), e ridurre al minimo il rischio di danni prevenendo incidenti di sicurezza e gestendo le minacce e le vulnerabilità di sicurezza. Il nostro team legale, il Responsabile della Protezione dei Dati e il Team di Sicurezza e Conformità assicurano che le normative e gli standard applicabili siano integrati nei nostri quadri di sicurezza.
Misure per l'identificazione e l'autorizzazione degli utenti: Seguiamo i principi di “necessità di conoscenza” e “privilegio minimo”. Promuoviamo l'uso del controllo degli accessi basato sui ruoli. Il provisioning e il deprovisioning sono supervisionati dal team di sicurezza, con Single-Sign-On e 2FA per impostazione predefinita. I proprietari sono stati definiti per ciascun asset di informazione che sono responsabili di garantire che l'accesso ai loro sistemi sia appropriato e rivisto regolarmente. Ogni volta che ci si occupa di informazioni sensibili o si compie un'azione critica, utilizziamo il principio del doppio controllo.
Misure per garantire la registrazione degli eventi: I registri di audit sono memorizzati centralmente e monitorati regolarmente per eventi di sicurezza e vengono mantenuti sicuri per evitare il rischio di manomissioni. La Politica di Gestione degli Incidenti applica il piano di risposta agli incidenti e le sue procedure. Queste linee guida vengono seguite in caso di qualsiasi tipo di incidente di sicurezza o tecnico. Nel caso di incidenti di sicurezza, verranno esaminati regolarmente dal Comitato di Direzione della Sicurezza, che comprende stakeholder senior dell'intera azienda.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita: Seguiamo un processo di gestione delle modifiche coerente per tutte le modifiche all'ambiente di produzione della Piattaforma di Comunicazione come Servizio. Per elaborare ulteriormente, tutte le richieste di modifiche (RFC) devono essere approvate da una parte designata ed eseguite secondo il processo formale di controllo delle modifiche. Il processo di controllo garantisce che le modifiche proposte siano esaminate, autorizzate, testate, implementate e rilasciate in modo controllato; e che lo stato di ciascuna modifica proposta sia monitorato. Vengono seguite le baseline di configurazione per configurare i sistemi in modo sicuro seguendo le migliori pratiche. Inoltre, all'interno del dipartimento di ingegneria, viene utilizzato un radar tecnologico per definire quali tecnologie (linguaggi, strumenti di piattaforma, database e strumenti di gestione dati) possono essere adottati o devono essere evitati durante lo sviluppo.
Misura per la sicurezza fisica: Promuoviamo attivamente una politica di “Lavoro da Ovunque” in modo che i nostri dipendenti siano liberi di lavorare da qualsiasi luogo desiderino. Tuttavia, abbiamo ancora i nostri uffici. Non abbiamo aree sicure/data center nei nostri locali poiché siamo un'azienda completamente basata su cloud. I nostri piani ufficio sono protetti da controlli di accesso fisici, CCTV e sicurezza presidiata.
Misure per la governance e la gestione interna dell'IT e della sicurezza IT: Manteniamo un programma di sicurezza basato sulla valutazione del rischio, che include garanzie amministrative, organizzative, tecniche e fisiche progettate per proteggere i Servizi e la riservatezza, l'integrità e la disponibilità dei Dati del Cliente. Il nostro programma di sicurezza delle informazioni è impostato in modo sistematico e ben organizzato. Inoltre, si applicano requisiti legali e normativi per garantire la riservatezza, l'integrità e la disponibilità delle informazioni per l'organizzazione, i dipendenti, i partner e i clienti. Tutto ciò si traduce nelle nostre politiche, procedure e linee guida di sicurezza delle informazioni. Abbiamo un Comitato di Direzione della Sicurezza responsabile del livello tattico della sicurezza delle informazioni. Questo comporta il coordinamento delle attività di sicurezza delle informazioni e la traduzione delle attività strategiche in attività operative per la nostra sicurezza e il nostro mantenimento continuo della conformità normativa. Tutti i dipendenti sono responsabili della protezione dei beni aziendali. Tutti i nostri dipendenti vengono valutati per competenza, esperienza e integrità. I dipendenti vengono informati sulla sicurezza e sulla protezione dei dati nella fase di avvio, nonché tramite formazione specifica per il team regolare e altre presentazioni globali dell'azienda sulla importanza della protezione dei dati e della conformità alla sicurezza. MessageBird è certificato ISO/IEC 27001:2013, lo standard globale riconosciuto per i sistemi di gestione della sicurezza delle informazioni (ISMS).
Tutti i nostri fornitori di hosting sono conformi a ISO/IEC 27001:2013.
Siamo inoltre registrati presso l'Autorità olandese per i consumatori e i mercati. Ciò significa che siamo sempre responsabili e completamente trasparenti con i nostri clienti.
Siamo un membro associato del Groupe Speciale Mobile Association (GSMA). La GSMA rappresenta gli interessi degli operatori di telefonia mobile in tutto il mondo. Siamo sempre aggiornati con tutte le leggi e i regolamenti applicabili, incluso il Regolamento Generale sulla Protezione dei Dati.
Misure per la certificazione/assicurazione di processi e prodotti: Sottoponiamo a rigorosa sorveglianza così come a audit di certificazione come parte della nostra conformità ISO/IEC 27001:2013, ed eseguiamo regolarmente prove di vulnerabilità delle applicazioni e penetration test. MessageBird adotta un approccio unificato alla gestione delle patch e delle vulnerabilità per garantire che le nostre tempistiche standard SLA siano mantenute sia che le vulnerabilità esistano nella nostra infrastruttura sottostante, nelle piattaforme operative o nel codice sorgente.
Misure per la sicurezza delle applicazioni: Garantiamo la sicurezza delle nostre applicazioni durante la fase di progettazione e sviluppo basata sulle Linee Guida di Codice Seguro di MessageBird.
Correzioni appropriate sono implementate prima del rilascio.
I cambiamenti di codice sono esaminati da persone qualificate (che hanno familiarità con la revisione del codice e lo sviluppo sicuro) a parte dagli sviluppatori originari.
Le applicazioni subiranno rigorosi test di sicurezza delle applicazioni per identificare eventuali nuove minacce e vulnerabilità almeno annualmente (in conformità con gli standard del settore e le migliori pratiche).
Tutte le modifiche del codice per le applicazioni che vengono inviate agli ambienti di produzione sono esaminate utilizzando processi manuali e/o automatizzati.
Sono condotti penetration test annualmente e caso per caso su nuovi prodotti/caratteristiche. Gli strumenti di analisi del codice sorgente automatici vengono utilizzati per rilevare difetti di sicurezza nel codice prima del deployment, in base al linguaggio.
Misure per la divulgazione delle vulnerabilità: Apprezziamo i ricercatori di sicurezza che hanno trovato vulnerabilità sulla nostra piattaforma per contattarci e inviare le loro scoperte a security@bird.com. Abbiamo un team di sicurezza dedicato che segue e invia inviti al nostro programma di bug bounty per indagare e rimediare dove necessario.
Misure per garantire la responsabilità: Attuiamo politiche di sicurezza delle informazioni e protezione dei dati in conformità con le leggi applicabili e pubblichiamo una panoramica delle informazioni rilevanti dell'ISMS (link). Abbiamo nominato un VP, Compliance e Sicurezza delle Informazioni dedicato e un Responsabile della Protezione dei Dati, e manteniamo documentazione delle nostre attività di elaborazione, inclusa la registrazione e la segnalazione degli incidenti di sicurezza che coinvolgono Dati Personali, dove applicabile.
Contents